RIPE முறைகேடு எதிர்ப்பு பணிக்குழுவிற்கு மார்ச் 13 BGP கடத்தலை (hjjack) RIPE கொள்கையின் மீறலாகக் கருதுங்கள். முன்மொழிவு ஏற்றுக்கொள்ளப்பட்டால், போக்குவரத்து இடைமறிப்பால் தாக்கப்பட்ட இணைய வழங்குநர், தாக்குபவர்களை அம்பலப்படுத்த ஒரு சிறப்பு கோரிக்கையை அனுப்ப வாய்ப்பைப் பெறுவார். மறுஆய்வுக் குழு போதுமான ஆதாரங்களைச் சேகரித்தால், BGP இடைமறிப்புக்கான ஆதாரமாக இருந்த LIR ஒரு ஊடுருவும் நபராகக் கருதப்படும் மற்றும் அதன் LIR நிலையிலிருந்து நீக்கப்படலாம். சில வாதங்களும் இருந்தன மாற்றங்கள்.
இந்த வெளியீட்டில், தாக்குதலின் உதாரணத்தைக் காட்ட விரும்புகிறோம், அங்கு உண்மையான தாக்குபவர் கேள்விக்குரியவர் மட்டுமல்ல, பாதிக்கப்பட்ட முன்னொட்டுகளின் முழு பட்டியலையும். மேலும், அத்தகைய தாக்குதல் மீண்டும் இந்த வகையான போக்குவரத்தின் எதிர்கால குறுக்கீடுகளுக்கான நோக்கங்கள் பற்றிய கேள்விகளை எழுப்புகிறது.
கடந்த இரண்டு வருடங்களாக, MOAS (Multiple Origin Autonomous System) போன்ற மோதல்கள் மட்டுமே BGP குறுக்கீடுகளாக பத்திரிகைகளில் வந்துள்ளன. MOAS என்பது AS_PATH இல் உள்ள தொடர்புடைய ASNகளுடன் முரண்பட்ட முன்னொட்டுகளை விளம்பரப்படுத்தும் ஒரு சிறப்பு நிகழ்வாகும் (AS_PATH இல் உள்ள முதல் ASN, இனிமேல் ASN என குறிப்பிடப்படுகிறது). இருப்பினும், நாம் குறைந்தபட்சம் பெயரிடலாம் ட்ராஃபிக் இடைமறிப்பு, வடிகட்டுதல் மற்றும் கண்காணிப்பதற்கான நவீன அணுகுமுறைகளைத் தவிர்ப்பது உட்பட, பல்வேறு நோக்கங்களுக்காக AS_PATH பண்புக்கூறைக் கையாள ஒரு தாக்குதலை அனுமதிக்கிறது. அறியப்பட்ட தாக்குதல் வகை - அத்தகைய குறுக்கீட்டின் கடைசி வகை, ஆனால் முக்கியத்துவம் இல்லை. கடந்த வாரங்களில் நாம் பார்த்த தாக்குதல் இதுவாகத்தான் இருக்க முடியும். அத்தகைய நிகழ்வு புரிந்துகொள்ளக்கூடிய இயல்பு மற்றும் மிகவும் கடுமையான விளைவுகளைக் கொண்டுள்ளது.
TL;DR பதிப்பைத் தேடுபவர்கள் "சரியான தாக்குதல்" வசனத்திற்குச் செல்லலாம்.
நெட்வொர்க் பின்னணி
(இந்த சம்பவத்தில் உள்ள செயல்முறைகளை நீங்கள் நன்கு புரிந்துகொள்ள உதவுவதற்காக)
நீங்கள் ஒரு பாக்கெட்டை அனுப்ப விரும்பினால், இலக்கு ஐபி முகவரியைக் கொண்ட ரூட்டிங் டேபிளில் பல முன்னொட்டுகள் இருந்தால், நீண்ட நீளம் கொண்ட முன்னொட்டுக்கான வழியைப் பயன்படுத்துவீர்கள். ரூட்டிங் அட்டவணையில் ஒரே முன்னொட்டுக்கு பல்வேறு வழிகள் இருந்தால், நீங்கள் சிறந்ததைத் தேர்ந்தெடுப்பீர்கள் (சிறந்த பாதை தேர்வு நுட்பத்தின் படி).
தற்போதுள்ள வடிகட்டுதல் மற்றும் கண்காணிப்பு அணுகுமுறைகள் AS_PATH பண்புக்கூறை பகுப்பாய்வு செய்வதன் மூலம் வழிகளை பகுப்பாய்வு செய்து முடிவுகளை எடுக்க முயற்சி செய்கின்றன. விளம்பரத்தின் போது எந்த மதிப்பிற்கும் திசைவி இந்த பண்புகளை மாற்றலாம். AS_PATH இன் தொடக்கத்தில் உரிமையாளரின் ASN ஐச் சேர்ப்பது (மூலம் ASN ஆக) தற்போதைய தோற்றம் சரிபார்ப்பு வழிமுறைகளைத் தவிர்க்க போதுமானதாக இருக்கலாம். மேலும், தாக்கப்பட்ட ASN இலிருந்து உங்களுக்கான பாதை இருந்தால், உங்கள் மற்ற விளம்பரங்களில் இந்த வழியின் AS_PATH ஐ பிரித்தெடுத்து பயன்படுத்த முடியும். நீங்கள் உருவாக்கிய அறிவிப்புகளுக்கான AS_PATH-க்கு மட்டும் சரிபார்ப்புச் சரிபார்ப்பு முடிந்துவிடும்.
இன்னும் குறிப்பிட்ட சில வரம்புகள் உள்ளன. முதலாவதாக, அப்ஸ்ட்ரீம் வழங்குநரால் முன்னொட்டு வடிகட்டப்பட்டால், அப்ஸ்ட்ரீமில் உள்ளமைக்கப்பட்ட உங்கள் கிளையன்ட் கூம்புக்கு முன்னொட்டு இல்லை என்றால், உங்கள் பாதை வடிகட்டப்படலாம் (சரியான AS_PATH உடன் கூட). இரண்டாவதாக, உருவாக்கப்பட்ட பாதை தவறான திசைகளில் விளம்பரப்படுத்தப்பட்டு, ரூட்டிங் கொள்கையை மீறினால், சரியான AS_PATH செல்லாததாகிவிடும். கடைசியாக, ROA நீளத்தை மீறும் முன்னொட்டைக் கொண்ட எந்த வழியும் செல்லாததாகக் கருதப்படலாம்.
சம்பவம்
சில வாரங்களுக்கு முன்பு எங்கள் பயனர்களில் ஒருவரிடமிருந்து புகார் வந்துள்ளது. அவரது தோற்றம் ASN மற்றும் /25 முன்னொட்டுகளுடன் வழிகளைப் பார்த்தோம், அதே நேரத்தில் பயனர் அவற்றை விளம்பரப்படுத்தவில்லை என்று கூறினார்.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
ஏப்ரல் 2019 தொடக்கத்திற்கான அறிவிப்புகளின் எடுத்துக்காட்டுகள்
/25 முன்னொட்டுக்கான பாதையில் உள்ள NTT அதை குறிப்பாக சந்தேகத்திற்குரியதாக்குகிறது. சம்பவத்தின் போது LG NTTக்கு இந்த பாதை தெரியாது. எனவே ஆம், சில ஆபரேட்டர்கள் இந்த முன்னொட்டுகளுக்காக முழு AS_PATH ஐ உருவாக்குகிறார்கள்! மற்ற ரவுட்டர்களைச் சரிபார்த்தால், ஒரு குறிப்பிட்ட ASN: AS263444. இந்த தன்னாட்சி அமைப்புடன் பிற வழிகளைப் பார்த்த பிறகு, பின்வரும் சூழ்நிலையை நாங்கள் சந்தித்தோம்:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
இங்கே என்ன தவறு என்று யூகிக்க முயற்சிக்கவும்
யாரோ ஒருவர் பாதையிலிருந்து முன்னொட்டை எடுத்து, அதை இரண்டு பகுதிகளாகப் பிரித்து, அந்த இரண்டு முன்னொட்டுகளுக்கும் ஒரே AS_PATH மூலம் வழியை விளம்பரப்படுத்தியதாகத் தெரிகிறது.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
பிளவு முன்னொட்டு ஜோடிகளில் ஒன்றிற்கான எடுத்துக்காட்டு வழிகள்
ஒரே நேரத்தில் பல கேள்விகள் எழுகின்றன. நடைமுறையில் இந்த வகையான இடைமறிப்புகளை யாராவது உண்மையில் முயற்சித்திருக்கிறார்களா? இந்த வழிகளில் யாராவது சென்றுள்ளார்களா? என்ன முன்னொட்டுகள் பாதிக்கப்பட்டன?
இங்கிருந்துதான் நமது தோல்விகளின் தொடர் ஆரம்பமாகிறது, மேலும் இணையத்தின் தற்போதைய நிலை குறித்த ஏமாற்றத்தின் மற்றொரு சுற்று.
தோல்வியின் பாதை
முதலில் செய்ய வேண்டியது முதலில். எந்த திசைவிகள் அத்தகைய இடைமறித்த வழிகளை ஏற்றுக்கொண்டன மற்றும் யாருடைய போக்குவரத்தை இன்று மாற்றியமைக்க முடியும் என்பதை நாம் எவ்வாறு தீர்மானிக்க முடியும்? நாங்கள் /25 முன்னொட்டுகளுடன் தொடங்குவோம் என்று நினைத்தோம், ஏனெனில் அவை "வெறுமனே உலகளாவிய விநியோகத்தைக் கொண்டிருக்க முடியாது." நீங்கள் யூகிக்கிறபடி, நாங்கள் மிகவும் தவறாக இருந்தோம். இந்த மெட்ரிக் மிகவும் சத்தமாக மாறியது மற்றும் அத்தகைய முன்னொட்டுகளைக் கொண்ட வழிகள் அடுக்கு-1 ஆபரேட்டர்களிடமிருந்தும் தோன்றும். எடுத்துக்காட்டாக, என்டிடியில் சுமார் 50 முன்னொட்டுகள் உள்ளன, அவை அதன் சொந்த வாடிக்கையாளர்களுக்கு விநியோகிக்கின்றன. மறுபுறம், இந்த மெட்ரிக் மோசமானது, ஏனெனில் ஆபரேட்டர் பயன்படுத்தினால் அத்தகைய முன்னொட்டுகளை வடிகட்டலாம் , எல்லா திசைகளிலும். எனவே, இதுபோன்ற சம்பவத்தின் விளைவாக போக்குவரத்து திசைதிருப்பப்பட்ட அனைத்து ஆபரேட்டர்களையும் கண்டுபிடிப்பதற்கு இந்த முறை பொருத்தமானது அல்ல.
மற்றொரு நல்ல யோசனையை நாங்கள் பார்க்க வேண்டும் என்று நினைத்தோம் . குறிப்பாக தொடர்புடைய ROA இன் அதிகபட்ச நீள விதியை மீறும் பாதைகளுக்கு. இந்த வழியில், கொடுக்கப்பட்ட AS க்குக் காணக்கூடிய தவறான நிலையுடன் வெவ்வேறு மூல ASNகளின் எண்ணிக்கையைக் கண்டறியலாம். இருப்பினும், ஒரு "சிறிய" சிக்கல் உள்ளது. இந்த எண்ணின் சராசரி (சராசரி மற்றும் பயன்முறை) (வெவ்வேறு தோற்றம் கொண்ட ASNகளின் எண்ணிக்கை) சுமார் 150 ஆகும், மேலும் சிறிய முன்னொட்டுகளை வடிகட்டினாலும், அது 70க்கு மேல் இருக்கும். இந்த நிலை மிகவும் எளிமையான விளக்கத்தைக் கொண்டுள்ளது: நுழைவு புள்ளிகளில் "தவறான வழிகளை மீட்டமைத்தல்" கொள்கையுடன் ROA- வடிப்பான்களை ஏற்கனவே பயன்படுத்தும் சில ஆபரேட்டர்கள், இதன் மூலம் நிஜ உலகில் ROA மீறலுடன் கூடிய பாதை எங்கு தோன்றினாலும், அது எல்லா திசைகளிலும் பரவும்.
கடைசி இரண்டு அணுகுமுறைகள் எங்கள் சம்பவத்தைப் பார்த்த ஆபரேட்டர்களைக் கண்டறிய அனுமதிக்கின்றன (அது மிகவும் பெரியதாக இருந்ததால்), ஆனால் பொதுவாக அவை பொருந்தாது. சரி, ஆனால் ஊடுருவியவரைக் கண்டுபிடிக்க முடியுமா? இந்த AS_PATH கையாளுதலின் பொதுவான அம்சங்கள் என்ன? சில அடிப்படை அனுமானங்கள் உள்ளன:
- முன்னொட்டு இதற்கு முன் எங்கும் காணப்படவில்லை;
- தோற்றம் ASN (நினைவூட்டல்: AS_PATH இல் முதல் ASN) செல்லுபடியாகும்;
- AS_PATH இல் உள்ள கடைசி ASN என்பது தாக்குபவரின் ASN ஆகும் (அதன் பக்கத்து வீட்டுக்காரர் அனைத்து உள்வரும் வழிகளிலும் அண்டை வீட்டாரின் ASN ஐச் சரிபார்த்தால்);
- தாக்குதல் ஒரு வழங்குநரிடமிருந்து தொடங்குகிறது.
அனைத்து அனுமானங்களும் சரியாக இருந்தால், அனைத்து தவறான வழிகளும் தாக்குபவர்களின் ASN ஐ (ஏஎஸ்என் தோற்றம் தவிர) காண்பிக்கும், எனவே இது ஒரு "முக்கியமான" புள்ளியாகும். உண்மையான கடத்தல்காரர்களில் AS263444 இருந்தது, இருப்பினும் மற்றவர்கள் இருந்தனர். சம்பவ வழிகளை நாங்கள் கருத்தில் இருந்து நிராகரித்தாலும் கூட. ஏன்? சரியான பாதைகளுக்கு கூட ஒரு முக்கியமான புள்ளி முக்கியமானதாக இருக்கலாம். இது ஒரு பிராந்தியத்தில் மோசமான இணைப்பின் விளைவாக இருக்கலாம் அல்லது நமது சொந்தத் தெரிவுநிலையில் உள்ள வரம்புகளின் விளைவாக இருக்கலாம்.
இதன் விளைவாக, ஒரு தாக்குதலைக் கண்டறிய ஒரு வழி உள்ளது, ஆனால் மேலே உள்ள அனைத்து நிபந்தனைகளும் பூர்த்தி செய்யப்பட்டால் மட்டுமே மற்றும் கண்காணிப்பு வரம்புகளைக் கடக்கும் அளவுக்கு இடைமறிப்பு பெரியதாக இருக்கும்போது மட்டுமே. இந்த காரணிகளில் சில பூர்த்தி செய்யப்படாவிட்டால், அத்தகைய குறுக்கீட்டால் பாதிக்கப்பட்ட முன்னொட்டுகளை நாம் அடையாளம் காண முடியுமா? சில ஆபரேட்டர்களுக்கு - ஆம்.
தாக்குபவர் ஒரு குறிப்பிட்ட வழியை உருவாக்கும் போது, அத்தகைய முன்னொட்டு உண்மையான உரிமையாளரால் விளம்பரப்படுத்தப்படாது. அதிலிருந்து அதன் அனைத்து முன்னொட்டுகளின் டைனமிக் பட்டியல் உங்களிடம் இருந்தால், அதை ஒப்பிட்டு, சிதைந்த மேலும் குறிப்பிட்ட வழிகளைக் கண்டறிய முடியும். எங்கள் பிஜிபி அமர்வுகளைப் பயன்படுத்தி இந்த முன்னொட்டுகளின் பட்டியலை நாங்கள் சேகரிக்கிறோம், ஏனெனில் இப்போது ஆபரேட்டருக்குத் தெரியும் வழிகளின் முழுப் பட்டியல் மட்டுமல்லாமல், அது உலகிற்கு விளம்பரப்படுத்த விரும்பும் அனைத்து முன்னொட்டுகளின் பட்டியலையும் நாங்கள் வழங்குகிறோம். துரதிர்ஷ்டவசமாக, கடைசி பகுதியை சரியாக முடிக்காத பல டஜன் ரேடார் பயனர்கள் இப்போது உள்ளனர். நாங்கள் விரைவில் அவர்களுக்கு அறிவித்து இந்த சிக்கலை தீர்க்க முயற்சிப்போம். மற்ற அனைவரும் இப்போது எங்கள் கண்காணிப்பு அமைப்பில் சேரலாம்.
அசல் சம்பவத்திற்குத் திரும்பினால், தாக்குபவர் மற்றும் விநியோக பகுதி ஆகிய இரண்டும் முக்கியமான புள்ளிகளைத் தேடுவதன் மூலம் எங்களால் கண்டறியப்பட்டது. ஆச்சரியப்படும் விதமாக, AS263444 அதன் அனைத்து வாடிக்கையாளர்களுக்கும் புனையப்பட்ட வழிகளை அனுப்பவில்லை. ஒரு அந்நியமான தருணம் இருந்தாலும்.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
எங்கள் முகவரி இடத்தை இடைமறிக்கும் முயற்சியின் சமீபத்திய உதாரணம்
எங்கள் முன்னொட்டுகளுக்காக இன்னும் குறிப்பிட்டவை உருவாக்கப்பட்ட போது, சிறப்பாக உருவாக்கப்பட்ட AS_PATH பயன்படுத்தப்பட்டது. எவ்வாறாயினும், இந்த AS_PATH எங்களின் முந்தைய பாதைகள் எதிலிருந்தும் எடுக்கப்பட்டிருக்க முடியாது. எங்களிடம் AS6762 உடன் தொடர்பு கூட இல்லை. சம்பவத்தில் உள்ள மற்ற வழிகளைப் பார்க்கும்போது, அவற்றில் சில உண்மையான AS_PATH ஐப் பயன்படுத்தியது, மற்றவை உண்மையானது போல் தோன்றினாலும் பயன்படுத்தப்படவில்லை. AS_PATH ஐ மாற்றுவது எந்த நடைமுறை அர்த்தத்தையும் தராது, ஏனெனில் டிராஃபிக் எப்படியும் தாக்குபவர்களுக்கு திருப்பி விடப்படும், ஆனால் "மோசமான" AS_PATH உள்ள வழிகளை ASPA அல்லது வேறு ஏதேனும் ஆய்வு பொறிமுறையால் வடிகட்டலாம். கடத்தல்காரனின் உந்துதலைப் பற்றி இங்கு சிந்திக்கிறோம். இந்த சம்பவம் திட்டமிட்ட தாக்குதல் என்பதை உறுதிப்படுத்த போதுமான தகவல்கள் தற்போது எங்களிடம் இல்லை. இருப்பினும், இது சாத்தியம். கற்பனை செய்து பார்க்க முயற்சிப்போம், இன்னும் அனுமானமாக இருந்தாலும், மிகவும் உண்மையான சூழ்நிலை.
சரியான தாக்குதல்
நம்மிடம் என்ன இருக்கிறது? நீங்கள் உங்கள் வாடிக்கையாளர்களுக்கான டிரான்ஸிட் வழங்குநர் ஒளிபரப்பு வழிகள் என்று வைத்துக்கொள்வோம். உங்கள் வாடிக்கையாளர்களுக்கு பல இருப்பு (மல்டிஹோம்) இருந்தால், அவர்களின் போக்குவரத்தின் ஒரு பகுதியை மட்டுமே நீங்கள் பெறுவீர்கள். ஆனால் அதிக போக்குவரத்து, உங்கள் வருமானம் அதிகம். எனவே இதே AS_PATH உடன் இதே வழிகளின் சப்நெட் முன்னொட்டுகளை விளம்பரப்படுத்தத் தொடங்கினால், அவற்றின் மீதமுள்ள போக்குவரத்தைப் பெறுவீர்கள். இதன் விளைவாக, மீதமுள்ள பணம்.
ROA இங்கே உதவுமா? ஒருவேளை ஆம், நீங்கள் அதை முழுமையாகப் பயன்படுத்துவதை நிறுத்த முடிவு செய்தால் . கூடுதலாக, ROA பதிவுகளை வெட்டும் முன்னொட்டுகளுடன் வைத்திருப்பது மிகவும் விரும்பத்தகாதது. சில ஆபரேட்டர்களுக்கு, இத்தகைய கட்டுப்பாடுகள் ஏற்றுக்கொள்ள முடியாதவை.
மற்ற ரூட்டிங் பாதுகாப்பு வழிமுறைகளைக் கருத்தில் கொண்டு, ASPA இந்த விஷயத்திலும் உதவாது (ஏனெனில் இது AS_PATH ஐ சரியான பாதையில் பயன்படுத்துகிறது). குறைந்த தத்தெடுப்பு விகிதங்கள் மற்றும் தரமிறக்கும் தாக்குதல்களின் மீதமுள்ள சாத்தியக்கூறு காரணமாக BGPSec இன்னும் உகந்த விருப்பமாக இல்லை.
எனவே தாக்குதல் நடத்துபவருக்கு தெளிவான ஆதாயம் மற்றும் பாதுகாப்பு குறைபாடு உள்ளது. அருமையான கலவை!
நான் என்ன செய்ய வேண்டும்?
உங்கள் தற்போதைய ரூட்டிங் கொள்கையை மதிப்பாய்வு செய்வதே வெளிப்படையான மற்றும் மிகக் கடுமையான படியாகும். நீங்கள் விளம்பரப்படுத்த விரும்பும் சிறிய பகுதிகளாக உங்கள் முகவரி இடத்தை உடைக்கவும் (மேற்படிப்புகள் இல்லை). அதிகபட்ச நீள அளவுருவைப் பயன்படுத்தாமல், அவர்களுக்கு மட்டும் ROA இல் கையொப்பமிடுங்கள். இந்த நிலையில், உங்களின் தற்போதைய POV, அத்தகைய தாக்குதலில் இருந்து உங்களைக் காப்பாற்றும். இருப்பினும், மீண்டும், சில ஆபரேட்டர்களுக்கு இந்த அணுகுமுறை மிகவும் குறிப்பிட்ட வழிகளை பிரத்தியேகமாக பயன்படுத்துவதால் நியாயமானதாக இல்லை. ROA மற்றும் வழிப் பொருள்களின் தற்போதைய நிலையில் உள்ள அனைத்து சிக்கல்களும் எங்களின் எதிர்காலப் பொருட்களில் ஒன்றில் விவரிக்கப்படும்.
கூடுதலாக, நீங்கள் அத்தகைய குறுக்கீடுகளை கண்காணிக்க முயற்சி செய்யலாம். இதைச் செய்ய, உங்கள் முன்னொட்டுகளைப் பற்றிய நம்பகமான தகவல் எங்களுக்குத் தேவை. எனவே, நீங்கள் எங்கள் கலெக்டருடன் ஒரு BGP அமர்வை உருவாக்கி, உங்கள் இணையத் தெரிவுநிலை பற்றிய தகவலை எங்களுக்கு வழங்கினால், மற்ற சம்பவங்களுக்கான வாய்ப்பை நாங்கள் கண்டறியலாம். எங்கள் கண்காணிப்பு அமைப்பில் இன்னும் இணைக்கப்படாதவர்களுக்கு, தொடங்குவதற்கு, உங்கள் முன்னொட்டுகளுடன் வழிகளின் பட்டியல் போதுமானதாக இருக்கும். நீங்கள் எங்களுடன் ஒரு அமர்வு இருந்தால், உங்கள் எல்லா வழிகளும் அனுப்பப்பட்டுள்ளதா என்பதைச் சரிபார்க்கவும். துரதிருஷ்டவசமாக, சில ஆபரேட்டர்கள் முன்னொட்டு அல்லது இரண்டை மறந்துவிடுவதால், எங்கள் தேடல் முறைகளில் குறுக்கிடுவதால், இது நினைவில் கொள்ளத்தக்கது. சரியாகச் செய்தால், உங்கள் முன்னொட்டுகளைப் பற்றிய நம்பகமான தரவு எங்களிடம் இருக்கும், இது எதிர்காலத்தில் உங்கள் முகவரி இடத்திற்கான இந்த (மற்றும் பிற) போக்குவரத்து இடைமறிப்பு வகைகளைத் தானாகக் கண்டறிந்து கண்டறிய உதவும்.
உங்கள் ட்ராஃபிக்கை நிகழ்நேரத்தில் குறுக்கிடுவதை நீங்கள் அறிந்தால், அதை நீங்களே சமாளிக்க முயற்சி செய்யலாம். இந்த குறிப்பிட்ட முன்னொட்டுகளுடன் வழிகளை நீங்களே விளம்பரப்படுத்துவதே முதல் அணுகுமுறை. இந்த முன்னொட்டுகளில் புதிய தாக்குதல் ஏற்பட்டால், மீண்டும் செய்யவும்.
இரண்டாவது அணுகுமுறை, தாக்குபவர் மற்றும் அவர் ஒரு முக்கியமான புள்ளியாக இருப்பவர்களையும் (நல்ல வழிகளுக்கு) தாக்குபவர்களுக்கு உங்கள் வழிகளை அணுகுவதைத் துண்டித்து தண்டிப்பது. உங்கள் பழைய வழித்தடங்களின் AS_PATH இல் தாக்குபவரின் ASN ஐச் சேர்ப்பதன் மூலம் இதைச் செய்யலாம், இதனால் BGP இல் உள்ளமைந்த லூப் கண்டறிதல் பொறிமுறையைப் பயன்படுத்தி அந்த AS ஐத் தவிர்க்க அவர்களை கட்டாயப்படுத்தலாம். .
ஆதாரம்: www.habr.com