Empresa Cloudflare site , projetado para chamar a atenção para o problema de vazamento de rotas BGP incorretas e a possibilidade de realizar ataques de redirecionamento de tráfego utilizando o protocolo BGP. O site permite verificar o uso de tecnologia para filtragem de rotas incorretas pelos provedores e avaliar a implementação do suporte RPKI.
Muitas operadoras permanecem expostas a anúncios de sub-rede BGP com informações fictícias sobre comprimento de rota, roteando o tráfego de trânsito por meio de provedores terceirizados. Cada vez mais surgem casos de utilização de BGP para ataques, durante os quais os invasores, ao comprometerem a infraestrutura dos provedores, organizam o redirecionamento e a interceptação de tráfego para falsificar sites específicos, organizando um ataque MiTM para substituir as respostas DNS.
A solução para o problema é introduzir um sistema de autorização para anúncios BGP baseado em RPKI (Resource Public Key Infrastructure), que permite determinar se um anúncio BGP vem do proprietário da rede ou não. Ao usar RPKI para sistemas autônomos e endereços IP, uma cadeia de confiança é construída da IANA para registradores regionais (RIRs) e depois para provedores de serviços (LIRs) e usuários finais, o que permite que terceiros verifiquem se a operação do recurso foi realizado pelo seu proprietário. Infelizmente, apesar dos problemas, o RPKI ainda não é utilizado pela maioria dos provedores. O novo serviço Cloudflare permite rastrear operadores problemáticos e levá-los à atenção do público.
Fonte: opennet.ru