Azienda Cloudflare
Molti operatori rimangono esposti agli annunci della sottorete BGP con informazioni fittizie sulla lunghezza del percorso, instradando il traffico di transito attraverso fornitori di terze parti. Stanno emergendo sempre più spesso casi di utilizzo di BGP per attacchi, durante i quali gli aggressori, compromettendo l'infrastruttura dei provider, organizzano il reindirizzamento e l'intercettazione del traffico per falsificare siti specifici organizzando un attacco MiTM per sostituire le risposte DNS.
La soluzione al problema è introdurre un sistema di autorizzazione per gli annunci BGP basato su RPKI (Resource Public Key Infrastructure), che consenta di determinare se un annuncio BGP proviene o meno dal proprietario della rete. Quando si utilizza RPKI per sistemi autonomi e indirizzi IP, viene costruita una catena di fiducia da IANA ai registrar regionali (RIR), quindi ai fornitori di servizi (LIR) e agli utenti finali, che consente a terzi di verificare che il funzionamento della risorsa sia stato effettuato dal suo proprietario. Purtroppo, nonostante i problemi, l’RPKI non è ancora utilizzato dalla maggior parte dei provider. Il nuovo servizio Cloudflare permette di tracciare gli operatori problematici e portarli all'attenzione del pubblico.
Fonte: opennet.ru