Кампанія Cloudflare сайт , закліканы прыцягнуць увагу да праблемы з уцечкай некарэктных BGP-маршрутаў і магчымасці здзяйснення нападаў па перанакіраванні трафіку пры дапамозе пратаколу BGP. Сайт дазваляе праверыць ужыванне правайдэрамі тэхналогіі фільтрацыі некарэктных маршрутаў і ацаніць укараненне падтрымкі RPKI.
Многія аператары застаюцца неабароненымі ад паступлення BGP-анонсаў падсетак з фіктыўнымі звесткамі аб даўжыні маршруту, якія накіроўваюць транзітны трафік праз іншых правайдэраў. Усё часцей усплываюць выпадкі выкарыстання BGP для нападаў, падчас якіх зламыснікі шляхам кампраметацыі інфраструктуры правайдэраў арганізуюць перанакіраванне і перахоп трафіку для падмены пэўных сайтаў праз арганізацыю MiTM-напады для замены адказаў DNS.
Рашэннем праблемы з'яўляецца ўкараненне сістэмы аўтарызацыі BGP-анонсаў на аснове RPKI (Resource Public Key Infrastructure), якая дазваляе вызначыць ці зыходзіць BGP-анонс ад уладальніка сеткі ці не. Пры выкарыстанні RPKI для аўтаномных сістэм і IP-адрасоў будуецца ланцужок даверу ад IANA да рэгіянальных рэгістратараў (RIRs), а затым да правайдэраў (LIR) і канчатковым спажыўцам, якая дазваляе трэцім асобам пераканацца, што аперацыя з рэсурсам была праведзена яго ўладальнікам. На жаль, нягледзячы на праблемы, RPKI пакуль не прымяняецца большай часткай правайдэраў. Новы сэрвіс Cloudflare дазваляе адсачыць праблемных аператараў і прыцягнуць да іх грамадскую ўвагу.
Крыніца: opennet.ru