クラウドフレア社 сайт 、不正な BGP ルートの漏洩の問題と、BGP プロトコルを使用してトラフィック リダイレクト攻撃が実行される可能性について注意を促すように設計されています。 このサイトでは、プロバイダーによる誤ったルートをフィルタリングするテクノロジーの使用状況を確認し、RPKI サポートの実装を評価できます。
多くの通信事業者は、サードパーティのプロバイダーを介してトランジット トラフィックをルーティングする、架空のルート長情報を含む BGP サブネット アドバタイズメントに依然としてさらされています。 BGP を攻撃に使用するケースが増えています。攻撃者はプロバイダーのインフラストラクチャを侵害し、DNS 応答を置き換える MiTM 攻撃を組織してトラフィックのリダイレクトと傍受を組織し、特定のサイトになりすまします。
この問題の解決策は、RPKI (リソース公開キー基盤) に基づく BGP アナウンスメントの認証システムを導入することです。これにより、BGP アナウンスメントがネットワーク所有者からのものであるかどうかを判断できるようになります。 自律システムと IP アドレスに RPKI を使用すると、IANA から地域レジストラ (RIR)、さらにサービス プロバイダー (LIR) とエンド ユーザーに至る信頼のチェーンが構築され、第三者がリソースの操作が正しく行われたことを検証できるようになります。その所有者によって実行されます。 残念ながら、問題があるにもかかわらず、RPKI はまだほとんどのプロバイダーで使用されていません。 新しい Cloudflare サービスを使用すると、問題のあるオペレーターを追跡し、世間の注目を集めることができます。
出所: オープンネット.ru