Compania Cloudflare website , conceput pentru a atrage atenția asupra problemei scurgerii rutelor BGP incorecte și asupra posibilității de a efectua atacuri de redirecționare a traficului folosind protocolul BGP. Site-ul vă permite să verificați utilizarea tehnologiei pentru filtrarea rutelor incorecte de către furnizori și să evaluați implementarea suportului RPKI.
Mulți operatori rămân expuși la reclamele de subrețea BGP cu informații fictive despre lungimea rutei, direcționând traficul de tranzit prin furnizori terți. Din ce în ce mai mult, apar cazuri de utilizare a BGP pentru atacuri, timp în care atacatorii, prin compromiterea infrastructurii furnizorilor, organizează redirecționarea și interceptarea traficului pentru a falsifica anumite site-uri prin organizarea unui atac MiTM pentru a înlocui răspunsurile DNS.
Soluția problemei este introducerea unui sistem de autorizare pentru anunțurile BGP bazat pe RPKI (Resource Public Key Infrastructure), care vă permite să determinați dacă un anunț BGP provine sau nu de la proprietarul rețelei. Atunci când se utilizează RPKI pentru sisteme autonome și adrese IP, se construiește un lanț de încredere de la IANA la registratorii regionali (RIR) și apoi la furnizorii de servicii (LIR) și utilizatorii finali, ceea ce permite terților să verifice dacă funcționarea resursei a fost efectuat de proprietarul acesteia. Din păcate, în ciuda problemelor, RPKI nu este încă folosit de majoritatea furnizorilor. Noul serviciu Cloudflare vă permite să urmăriți operatorii cu probleme și să îi aduceți în atenția publicului.
Sursa: opennet.ru