Compañía Cloudflare sitio , deseñado para chamar a atención sobre o problema da filtración de rutas BGP incorrectas e a posibilidade de realizar ataques de redirección de tráfico mediante o protocolo BGP. O sitio permítelle comprobar o uso da tecnoloxía para filtrar rutas incorrectas por parte dos provedores e avaliar a implementación do soporte RPKI.
Moitos operadores seguen expostos a anuncios de subrede BGP con información de lonxitude de ruta ficticia, encamiñando o tráfico de tránsito a través de provedores de terceiros. Cada vez están xurdindo casos de uso de BGP para ataques, durante os cales os atacantes, ao comprometer a infraestrutura dos provedores, organizan a redirección e a interceptación do tráfico para falsificar sitios específicos organizando un ataque MiTM para substituír as respostas DNS.
A solución ao problema é introducir un sistema de autorización para anuncios BGP baseado en RPKI (Infraestrutura de clave pública de recursos), que permite determinar se un anuncio BGP procede do propietario da rede ou non. Cando se usa RPKI para sistemas autónomos e enderezos IP, constrúese unha cadea de confianza desde IANA ata rexistradores rexionais (RIR) e despois aos provedores de servizos (LIR) e usuarios finais, o que permite a terceiros verificar que o funcionamento do recurso foi realizado. realizada polo seu propietario. Desafortunadamente, a pesar dos problemas, RPKI aínda non é usado pola maioría dos provedores. O novo servizo Cloudflare permítelle rastrexar os operadores problemáticos e chamalos á atención pública.
Fonte: opennet.ru