RIPE దుర్వినియోగ నిరోధక కార్యవర్గానికి మార్చి 13 BGP హైజాకింగ్ (hjjack)ని RIPE విధానం యొక్క ఉల్లంఘనగా పరిగణించండి. ప్రతిపాదన ఆమోదించబడితే, ట్రాఫిక్ అంతరాయంతో దాడి చేయబడిన ఇంటర్నెట్ ప్రొవైడర్ దాడి చేసిన వ్యక్తిని బహిర్గతం చేయడానికి ప్రత్యేక అభ్యర్థనను పంపే అవకాశం ఉంటుంది. సమీక్షా బృందం తగిన ఆధారాలను సేకరించినట్లయితే, BGP అంతరాయానికి మూలమైన LIR చొరబాటుదారుగా పరిగణించబడుతుంది మరియు దాని LIR స్థితి నుండి తీసివేయబడుతుంది. కొన్ని వాదనలు కూడా జరిగాయి మార్పులు.
ఈ పబ్లికేషన్లో మేము దాడికి ఉదాహరణగా చూపాలనుకుంటున్నాము, ఇక్కడ నిజమైన దాడి చేసే వ్యక్తిని మాత్రమే కాకుండా, ప్రభావితమైన ప్రిఫిక్స్ల మొత్తం జాబితా కూడా ఉంది. అంతేకాకుండా, అటువంటి దాడి మళ్లీ ఈ రకమైన ట్రాఫిక్ యొక్క భవిష్యత్తు అంతరాయాలకు ఉద్దేశ్యాల గురించి ప్రశ్నలను లేవనెత్తుతుంది.
గత రెండు సంవత్సరాలుగా, MOAS (మల్టిపుల్ ఆరిజిన్ అటానమస్ సిస్టమ్) వంటి వైరుధ్యాలు మాత్రమే BGP అంతరాయాలుగా ప్రెస్లో కవర్ చేయబడ్డాయి. MOAS అనేది రెండు వేర్వేరు స్వయంప్రతిపత్త వ్యవస్థలు AS_PATHలో సంబంధిత ASNలతో విరుద్ధమైన ఉపసర్గలను ప్రచారం చేసే ప్రత్యేక సందర్భం (AS_PATHలో మొదటి ASN, ఇకపై మూలం ASNగా సూచించబడుతుంది). అయితే, మనం కనీసం పేరు పెట్టవచ్చు ట్రాఫిక్ అంతరాయం, వడపోత మరియు పర్యవేక్షణకు ఆధునిక విధానాలను దాటవేయడంతోపాటు వివిధ ప్రయోజనాల కోసం AS_PATH లక్షణాన్ని మార్చేందుకు దాడి చేసేవారిని అనుమతిస్తుంది. తెలిసిన దాడి రకం - అటువంటి అంతరాయం యొక్క చివరి రకం, కానీ ప్రాముఖ్యత లేదు. గత వారాల్లో మనం చూసిన దాడి ఇదే రకమైనది. ఇటువంటి సంఘటన అర్థమయ్యే స్వభావం మరియు చాలా తీవ్రమైన పరిణామాలను కలిగి ఉంటుంది.
TL;DR వెర్షన్ కోసం చూస్తున్న వారు "పర్ఫెక్ట్ అటాక్" ఉపశీర్షికకు స్క్రోల్ చేయవచ్చు.
నెట్వర్క్ నేపథ్యం
(ఈ సంఘటనలో పాల్గొన్న ప్రక్రియలను బాగా అర్థం చేసుకోవడంలో మీకు సహాయపడటానికి)
మీరు ఒక ప్యాకెట్ను పంపాలనుకుంటే మరియు మీరు గమ్యస్థాన IP చిరునామాను కలిగి ఉన్న రౌటింగ్ పట్టికలో బహుళ ఉపసర్గలను కలిగి ఉంటే, అప్పుడు మీరు పొడవైన పొడవుతో ఉపసర్గ కోసం మార్గాన్ని ఉపయోగిస్తారు. రౌటింగ్ పట్టికలో ఒకే ఉపసర్గ కోసం అనేక విభిన్న మార్గాలు ఉంటే, మీరు ఉత్తమమైనదాన్ని ఎంచుకుంటారు (ఉత్తమ మార్గం ఎంపిక విధానం ప్రకారం).
ఇప్పటికే ఉన్న వడపోత మరియు పర్యవేక్షణ విధానాలు AS_PATH లక్షణాన్ని విశ్లేషించడం ద్వారా మార్గాలను విశ్లేషించడానికి మరియు నిర్ణయాలు తీసుకోవడానికి ప్రయత్నిస్తాయి. ప్రకటన సమయంలో రూటర్ ఈ లక్షణాన్ని ఏదైనా విలువకు మార్చవచ్చు. AS_PATH ప్రారంభంలో యజమాని యొక్క ASNని జోడించడం (మూలం ASN వలె) ప్రస్తుత మూలం తనిఖీ విధానాలను దాటవేయడానికి సరిపోతుంది. అంతేకాకుండా, దాడి చేయబడిన ASN నుండి మీకు మార్గం ఉన్నట్లయితే, మీ ఇతర ప్రకటనలలో ఈ మార్గం యొక్క AS_PATHని సంగ్రహించడం మరియు ఉపయోగించడం సాధ్యమవుతుంది. మీరు రూపొందించిన ప్రకటనల కోసం ఏదైనా AS_PATH-మాత్రమే ధ్రువీకరణ తనిఖీ చివరికి పాస్ అవుతుంది.
ప్రస్తావించదగిన కొన్ని పరిమితులు ఇప్పటికీ ఉన్నాయి. ముందుగా, అప్స్ట్రీమ్ ప్రొవైడర్ ద్వారా ప్రిఫిక్స్ ఫిల్టర్ చేసినట్లయితే, అప్స్ట్రీమ్లో కాన్ఫిగర్ చేయబడిన మీ క్లయింట్ కోన్కు ప్రిఫిక్స్ చెందకపోతే మీ రూట్ ఇప్పటికీ ఫిల్టర్ చేయబడవచ్చు (సరైన AS_PATHతో కూడా). రెండవది, సృష్టించబడిన మార్గం తప్పు దిశలలో ప్రచారం చేయబడి, రూటింగ్ విధానాన్ని ఉల్లంఘిస్తే చెల్లుబాటు అయ్యే AS_PATH చెల్లదు. చివరగా, ROA పొడవును ఉల్లంఘించే ఉపసర్గతో ఏదైనా మార్గం చెల్లనిదిగా పరిగణించబడుతుంది.
సంఘటన
కొన్ని వారాల క్రితం మేము మా వినియోగదారుల నుండి ఒక ఫిర్యాదును స్వీకరించాము. మేము అతని మూలం ASN మరియు /25 ఉపసర్గలతో మార్గాలను చూశాము, అయితే వినియోగదారు వాటిని ప్రచారం చేయలేదని పేర్కొన్నారు.
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.7.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.18.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.0/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.163.226.128/25|265466 262761 263444 22356 3491 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.0/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
TABLE_DUMP2|1554076803|B|xxx|265466|78.164.7.128/25|265466 262761 263444 6762 2914 9121|INCOMPLETE|xxx|0|0||NAG||
ఏప్రిల్ 2019 ప్రారంభంలో ప్రకటనల ఉదాహరణలు
/25 ఉపసర్గ కోసం NTT పాత్లో ప్రత్యేకించి అనుమానాస్పదంగా ఉంది. సంఘటన జరిగినప్పుడు LG NTTకి ఈ మార్గం గురించి తెలియదు. కాబట్టి అవును, కొంతమంది ఆపరేటర్లు ఈ ప్రిఫిక్స్ల కోసం మొత్తం AS_PATHని సృష్టిస్తారు! ఇతర రౌటర్లను తనిఖీ చేయడం ద్వారా ఒక నిర్దిష్ట ASNని వెల్లడిస్తుంది: AS263444. ఈ స్వయంప్రతిపత్త వ్యవస్థతో ఇతర మార్గాలను చూసిన తర్వాత, మేము ఈ క్రింది పరిస్థితిని ఎదుర్కొన్నాము:
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.0/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.23.143.128/25|265466 262761 263444 22356 6762 9498 9730 45528|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.24.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.0.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.26.128.0/17|265466 262761 263444 6762 4837|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.96.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.64.112.0/20|265466 262761 263444 6762 3491 4760|IGP|xxx|0|0||NAG||
ఇక్కడ తప్పు ఏమిటో ఊహించడానికి ప్రయత్నించండి
ఎవరైనా రూట్ నుండి ఉపసర్గను తీసుకొని, దానిని రెండు భాగాలుగా విభజించి, ఆ రెండు ప్రిఫిక్స్ల కోసం అదే AS_PATHతో మార్గాన్ని ప్రచారం చేసినట్లు కనిపిస్తోంది.
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.36.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|263444|1.6.38.0/23|263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.36.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|61775|1.6.38.0/23|61775 262761 263444 52320 9583|IGP|xxx|0|0|32:12595 52320:21311 65444:20000|NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.36.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|265466|1.6.38.0/23|265466 262761 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.36.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
TABLE_DUMP2|1554076800|B|xxx|28172|1.6.38.0/23|28172 52531 263444 52320 9583|IGP|xxx|0|0||NAG||
స్ప్లిట్ ప్రిఫిక్స్ జతలలో ఒకదానికి ఉదాహరణ మార్గాలు
ఒకేసారి అనేక ప్రశ్నలు తలెత్తుతాయి. ఆచరణలో ఎవరైనా ఈ రకమైన అంతరాయాన్ని నిజంగా ప్రయత్నించారా? ఎవరైనా ఈ మార్గాలను తీసుకున్నారా? ఏ ఉపసర్గలు ప్రభావితం చేయబడ్డాయి?
ఇక్కడే మా వైఫల్యాల శ్రేణి ప్రారంభమవుతుంది మరియు ఇంటర్నెట్ యొక్క ప్రస్తుత ఆరోగ్య స్థితితో మరో రౌండ్ నిరాశ.
వైఫల్యం యొక్క మార్గం
మొదటి విషయాలు మొదటి. అటువంటి అడ్డగించబడిన మార్గాలను ఏ రౌటర్లు అంగీకరించాయి మరియు ఈ రోజు ఎవరి ట్రాఫిక్ను మళ్లించవచ్చో మేము ఎలా గుర్తించగలము? మేము /25 ఉపసర్గలతో ప్రారంభించాలని అనుకున్నాము ఎందుకంటే అవి "కేవలం ప్రపంచ పంపిణీని కలిగి ఉండవు." మీరు ఊహించినట్లుగా, మేము చాలా తప్పు చేసాము. ఈ మెట్రిక్ చాలా ధ్వనించేదిగా మారింది మరియు టైర్-1 ఆపరేటర్ల నుండి కూడా ఇటువంటి ప్రిఫిక్స్లతో మార్గాలు కనిపిస్తాయి. ఉదాహరణకు, NTT దాదాపు 50 అటువంటి ఉపసర్గలను కలిగి ఉంది, ఇది దాని స్వంత క్లయింట్లకు పంపిణీ చేస్తుంది. మరోవైపు, ఈ మెట్రిక్ చెడ్డది ఎందుకంటే ఆపరేటర్ ఉపయోగిస్తే అటువంటి ఉపసర్గలను ఫిల్టర్ చేయవచ్చు , అన్ని దిశలలో. అందువల్ల, అటువంటి సంఘటన కారణంగా ట్రాఫిక్ దారి మళ్లించబడిన అన్ని ఆపరేటర్లను కనుగొనడానికి ఈ పద్ధతి తగినది కాదు.
మేము ఆలోచించిన మరో మంచి ఆలోచన చూడండి . ప్రత్యేకించి సంబంధిత ROA యొక్క గరిష్ట పొడవు నియమాన్ని ఉల్లంఘించే మార్గాల కోసం. ఈ విధంగా మేము ఇచ్చిన ASకి కనిపించే చెల్లని స్థితితో విభిన్న మూలాల ASNల సంఖ్యను కనుగొనగలము. అయితే, ఒక "చిన్న" సమస్య ఉంది. ఈ సంఖ్య యొక్క సగటు (మధ్యస్థ మరియు మోడ్) (వివిధ మూలాల ASNల సంఖ్య) సుమారు 150 మరియు, మేము చిన్న ఉపసర్గలను ఫిల్టర్ చేసినప్పటికీ, అది 70 కంటే ఎక్కువగా ఉంటుంది. ఈ పరిస్థితికి చాలా సులభమైన వివరణ ఉంది: కేవలం ఒక ఎంట్రీ పాయింట్ల వద్ద "చెల్లని మార్గాలను రీసెట్ చేయి" విధానంతో ఇప్పటికే ROA- ఫిల్టర్లను ఉపయోగిస్తున్న కొంతమంది ఆపరేటర్లు, తద్వారా వాస్తవ ప్రపంచంలో ROA ఉల్లంఘన ఉన్న మార్గం ఎక్కడ కనిపించినా, అది అన్ని దిశల్లో ప్రచారం చేయగలదు.
చివరి రెండు విధానాలు మా సంఘటనను చూసిన ఆపరేటర్లను కనుగొనడానికి మాకు అనుమతిస్తాయి (ఇది చాలా పెద్దది కాబట్టి), కానీ సాధారణంగా అవి వర్తించవు. సరే, కానీ మనం చొరబాటుదారుని కనుగొనగలమా? ఈ AS_PATH మానిప్యులేషన్ యొక్క సాధారణ లక్షణాలు ఏమిటి? కొన్ని ప్రాథమిక అంచనాలు ఉన్నాయి:
- ఉపసర్గ ఇంతకు ముందు ఎక్కడా కనిపించలేదు;
- మూలం ASN (రిమైండర్: AS_PATHలో మొదటి ASN) చెల్లుతుంది;
- AS_PATHలో చివరి ASN దాడి చేసేవారి ASN (అన్ని ఇన్కమింగ్ రూట్లలో దాని పొరుగువారు పొరుగువారి ASNని తనిఖీ చేసినట్లయితే);
- దాడి ఒకే ప్రొవైడర్ నుండి ఉద్భవించింది.
అన్ని అంచనాలు సరైనవి అయితే, అన్ని తప్పు మార్గాలు దాడి చేసేవారి ASN (మూలం ASN మినహా)ని ప్రదర్శిస్తాయి మరియు అందువల్ల, ఇది "క్లిష్టమైన" పాయింట్. నిజమైన హైజాకర్లలో AS263444 ఉన్నారు, అయితే ఇతరులు ఉన్నారు. మేము సంఘటన మార్గాలను పరిగణనలోకి తీసుకోకుండా విస్మరించినప్పుడు కూడా. ఎందుకు? సరైన మార్గాల కోసం కూడా ఒక క్లిష్టమైన పాయింట్ కీలకంగా ఉండవచ్చు. ఇది ఒక ప్రాంతంలో పేలవమైన కనెక్టివిటీ లేదా మన స్వంత దృశ్యమానతలో పరిమితుల ఫలితంగా ఉండవచ్చు.
ఫలితంగా, దాడి చేసే వ్యక్తిని గుర్తించడానికి ఒక మార్గం ఉంది, కానీ పైన పేర్కొన్న అన్ని షరతులు నెరవేరినట్లయితే మరియు పర్యవేక్షణ పరిమితులను దాటడానికి అంతరాయం తగినంతగా ఉన్నప్పుడు మాత్రమే. ఈ కారకాల్లో కొన్నింటిని కలుసుకోకపోతే, అటువంటి అంతరాయానికి గురైన ఉపసర్గలను మనం గుర్తించగలమా? నిర్దిష్ట ఆపరేటర్లకు - అవును.
దాడి చేసే వ్యక్తి మరింత నిర్దిష్టమైన మార్గాన్ని సృష్టించినప్పుడు, అటువంటి ఉపసర్గ నిజమైన యజమాని ద్వారా ప్రచారం చేయబడదు. మీరు దాని నుండి దాని అన్ని ఉపసర్గల యొక్క డైనమిక్ జాబితాను కలిగి ఉంటే, అప్పుడు పోలిక చేయడం మరియు వక్రీకరించిన మరింత నిర్దిష్ట మార్గాలను కనుగొనడం సాధ్యమవుతుంది. మేము మా BGP సెషన్లను ఉపయోగించి ఈ ప్రిఫిక్స్ల జాబితాను సేకరిస్తాము, ఎందుకంటే మాకు ప్రస్తుతం ఆపరేటర్కు కనిపించే మార్గాల పూర్తి జాబితా మాత్రమే కాకుండా, అది ప్రపంచానికి ప్రచారం చేయాలనుకుంటున్న అన్ని ప్రిఫిక్స్ల జాబితా కూడా అందించబడింది. దురదృష్టవశాత్తు, చివరి భాగాన్ని సరిగ్గా పూర్తి చేయని అనేక డజన్ల మంది రాడార్ వినియోగదారులు ఉన్నారు. మేము త్వరలో వారికి తెలియజేస్తాము మరియు ఈ సమస్యను పరిష్కరించడానికి ప్రయత్నిస్తాము. ప్రస్తుతం మా మానిటరింగ్ సిస్టమ్లో అందరూ చేరవచ్చు.
మేము అసలు సంఘటనకు తిరిగి వస్తే, దాడి చేసిన వ్యక్తి మరియు పంపిణీ ప్రాంతం రెండూ క్లిష్టమైన పాయింట్ల కోసం శోధించడం ద్వారా మేము గుర్తించాము. ఆశ్చర్యకరంగా, AS263444 తన ఖాతాదారులందరికీ కల్పిత మార్గాలను పంపలేదు. ఒక స్ట్రేంజర్ క్షణం ఉన్నప్పటికీ.
BGP4MP|1554905421|A|xxx|263444|178.248.236.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
BGP4MP|1554905421|A|xxx|263444|178.248.237.0/24|263444 6762 197068|IGP|xxx|0|0|13106:12832 22356:6453 65444:20000|NAG||
మా చిరునామా స్థలాన్ని అడ్డగించే ప్రయత్నానికి ఇటీవలి ఉదాహరణ
మా ప్రిఫిక్స్ల కోసం మరిన్ని నిర్దిష్టమైనవి సృష్టించబడినప్పుడు, ప్రత్యేకంగా సృష్టించబడిన AS_PATH ఉపయోగించబడింది. అయితే, ఈ AS_PATH మా మునుపటి మార్గాల నుండి తీసుకోబడలేదు. మాకు AS6762తో కమ్యూనికేషన్ కూడా లేదు. సంఘటనలోని ఇతర మార్గాలను పరిశీలిస్తే, వాటిలో కొన్ని గతంలో ఉపయోగించిన నిజమైన AS_PATHని కలిగి ఉన్నాయి, మరికొన్ని నిజమైన మార్గంగా కనిపించినప్పటికీ ఉపయోగించలేదు. AS_PATHని మార్చడం వలన ఎటువంటి ఆచరణాత్మకమైన అర్ధం లేదు, ఎందుకంటే ట్రాఫిక్ ఏమైనప్పటికీ దాడి చేసే వ్యక్తికి దారి మళ్లించబడుతుంది, కానీ "చెడు" AS_PATH ఉన్న మార్గాలను ASPA లేదా ఏదైనా ఇతర తనిఖీ యంత్రాంగం ద్వారా ఫిల్టర్ చేయవచ్చు. ఇక్కడ మనం హైజాకర్ యొక్క ప్రేరణ గురించి ఆలోచిస్తాము. ఈ సంఘటన ప్రణాళికాబద్ధమైన దాడి అని నిర్ధారించడానికి మా వద్ద ప్రస్తుతం తగినంత సమాచారం లేదు. అయినప్పటికీ, ఇది సాధ్యమే. ఇప్పటికీ ఊహాత్మకంగా ఉన్నప్పటికీ, సంభావ్యంగా చాలా వాస్తవమైన పరిస్థితిని ఊహించడానికి ప్రయత్నిద్దాం.
పర్ఫెక్ట్ ఎటాక్
మన దగ్గర ఏమి ఉంది? మీరు మీ క్లయింట్ల కోసం ట్రాన్సిట్ ప్రొవైడర్ ప్రసార మార్గాలని అనుకుందాం. మీ క్లయింట్లు బహుళ ఉనికిని కలిగి ఉంటే (మల్టీహోమ్), అప్పుడు మీరు వారి ట్రాఫిక్లో కొంత భాగాన్ని మాత్రమే అందుకుంటారు. కానీ ఎక్కువ ట్రాఫిక్, మరింత మీ ఆదాయం. కాబట్టి మీరు అదే AS_PATHతో ఇదే మార్గాల సబ్నెట్ ప్రిఫిక్స్లను అడ్వర్టైజింగ్ చేయడం ప్రారంభిస్తే, మీరు వారి మిగిలిన ట్రాఫిక్ను స్వీకరిస్తారు. ఫలితంగా, మిగిలిన డబ్బు.
ROA ఇక్కడ సహాయం చేస్తుందా? బహుశా అవును, మీరు దీన్ని పూర్తిగా ఉపయోగించడం మానేయాలని నిర్ణయించుకుంటే . అదనంగా, ఖండన ఉపసర్గలతో ROA రికార్డులను కలిగి ఉండటం చాలా అవాంఛనీయమైనది. కొంతమంది ఆపరేటర్లకు, ఇటువంటి పరిమితులు ఆమోదయోగ్యం కాదు.
ఇతర రౌటింగ్ భద్రతా విధానాలను పరిశీలిస్తే, ASPA ఈ సందర్భంలో కూడా సహాయం చేయదు (ఎందుకంటే ఇది చెల్లుబాటు అయ్యే మార్గం నుండి AS_PATHని ఉపయోగిస్తుంది). తక్కువ స్వీకరణ రేట్లు మరియు డౌన్గ్రేడ్ దాడులకు మిగిలిన అవకాశం కారణంగా BGPSec ఇప్పటికీ సరైన ఎంపిక కాదు.
కాబట్టి దాడి చేసిన వ్యక్తికి మాకు స్పష్టమైన లాభం మరియు భద్రత లేకపోవడం ఉంది. గొప్ప మిశ్రమం!
మనం ఏమి చేయాలి?
మీ ప్రస్తుత రూటింగ్ విధానాన్ని సమీక్షించడం అనేది స్పష్టమైన మరియు అత్యంత కఠినమైన దశ. మీరు ప్రచారం చేయాలనుకుంటున్న అతిచిన్న భాగాలుగా (అతివ్యాప్తి చెందకుండా) మీ చిరునామా స్థలాన్ని విభజించండి. maxLength పరామితిని ఉపయోగించకుండా వారి కోసం మాత్రమే ROAపై సంతకం చేయండి. ఈ సందర్భంలో, మీ ప్రస్తుత POV అటువంటి దాడి నుండి మిమ్మల్ని రక్షించగలదు. అయితే, మళ్ళీ, కొంతమంది ఆపరేటర్లకు ఈ విధానం మరింత నిర్దిష్ట మార్గాలను ప్రత్యేకంగా ఉపయోగించడం వలన సహేతుకమైనది కాదు. ROA మరియు రూట్ ఆబ్జెక్ట్ల ప్రస్తుత స్థితికి సంబంధించిన అన్ని సమస్యలు మా భవిష్యత్ మెటీరియల్లలో ఒకదానిలో వివరించబడతాయి.
అదనంగా, మీరు అలాంటి అంతరాయాలను పర్యవేక్షించడానికి ప్రయత్నించవచ్చు. దీన్ని చేయడానికి, మీ ప్రిఫిక్స్ల గురించి మాకు విశ్వసనీయ సమాచారం అవసరం. కాబట్టి, మీరు మా కలెక్టర్తో BGP సెషన్ను ఏర్పాటు చేసి, మీ ఇంటర్నెట్ విజిబిలిటీ గురించి మాకు సమాచారాన్ని అందిస్తే, మేము ఇతర సంఘటనల కోసం స్కోప్ను కనుగొనగలము. మా మానిటరింగ్ సిస్టమ్కి ఇంకా కనెక్ట్ కాని వారికి, ప్రారంభించడానికి, మీ ప్రిఫిక్స్లతో మాత్రమే మార్గాల జాబితా సరిపోతుంది. మీకు మాతో సెషన్ ఉంటే, దయచేసి మీ అన్ని రూట్లు పంపబడ్డాయో లేదో తనిఖీ చేయండి. దురదృష్టవశాత్తూ, కొంతమంది ఆపరేటర్లు ఉపసర్గ లేదా రెండింటిని మరచిపోయి మా శోధన పద్ధతుల్లో జోక్యం చేసుకోవడం వలన ఇది గుర్తుంచుకోవడం విలువైనది. సరిగ్గా చేస్తే, మీ ప్రిఫిక్స్ల గురించిన విశ్వసనీయమైన డేటా మా వద్ద ఉంటుంది, ఇది భవిష్యత్తులో మీ చిరునామా స్థలం కోసం ఈ (మరియు ఇతర) రకాల ట్రాఫిక్ అంతరాయాన్ని స్వయంచాలకంగా గుర్తించడంలో మరియు గుర్తించడంలో మాకు సహాయపడుతుంది.
మీరు నిజ సమయంలో మీ ట్రాఫిక్కు అటువంటి అంతరాయం గురించి తెలుసుకుంటే, దాన్ని మీరే ఎదుర్కోవడానికి ప్రయత్నించవచ్చు. ఈ మరింత నిర్దిష్టమైన ఉపసర్గలతో మార్గాలను మీరే ప్రకటించడం మొదటి విధానం. ఈ ప్రిఫిక్స్లపై కొత్త దాడి జరిగితే, పునరావృతం చేయండి.
దాడి చేసే వ్యక్తికి మరియు అతను కీలకమైన (మంచి మార్గాల కోసం) దాడి చేసే వ్యక్తికి మీ మార్గాల యాక్సెస్ను కత్తిరించడం ద్వారా శిక్షించడం రెండవ విధానం. మీ పాత మార్గాల యొక్క AS_PATHకి దాడి చేసేవారి ASNని జోడించడం ద్వారా ఇది చేయవచ్చు మరియు తద్వారా BGPలో అంతర్నిర్మిత లూప్ డిటెక్షన్ మెకానిజంను ఉపయోగించి ఆ ASని నివారించేలా వారిని బలవంతం చేయవచ్చు. .
మూలం: www.habr.com