హలో, నా పేరు అలెగ్జాండర్ అజిమోవ్. Yandex వద్ద, నేను వివిధ పర్యవేక్షణ వ్యవస్థలను, అలాగే రవాణా నెట్వర్క్ నిర్మాణాన్ని అభివృద్ధి చేస్తాను. కానీ ఈ రోజు మనం BGP ప్రోటోకాల్ గురించి మాట్లాడుతాము.
ఒక వారం క్రితం, Yandex అన్ని పీరింగ్ భాగస్వాములతో ఇంటర్ఫేస్ల వద్ద ROV (రూట్ ఆరిజిన్ వాలిడేషన్)ని అలాగే ట్రాఫిక్ ఎక్స్ఛేంజ్ పాయింట్లను ప్రారంభించింది. ఇది ఎందుకు జరిగింది మరియు ఇది టెలికాం ఆపరేటర్లతో పరస్పర చర్యను ఎలా ప్రభావితం చేస్తుంది అనే దాని గురించి క్రింద చదవండి.
BGP మరియు దానిలో తప్పు ఏమిటి
BGP ఇంటర్డొమైన్ రూటింగ్ ప్రోటోకాల్గా రూపొందించబడిందని మీకు బహుశా తెలిసి ఉండవచ్చు. అయితే, అలాగే, వినియోగ కేసుల సంఖ్య పెరుగుతూ వచ్చింది: నేడు, BGP, అనేక పొడిగింపులకు ధన్యవాదాలు, ఒక సందేశ బస్సుగా మారింది, ఆపరేటర్ VPN నుండి ఇప్పుడు ఫ్యాషన్గా ఉన్న SD-WAN వరకు టాస్క్లను కవర్ చేస్తుంది మరియు అప్లికేషన్ను కూడా కనుగొంది SDN-వంటి కంట్రోలర్ కోసం రవాణా, దూరం వెక్టార్ BGPని లింక్ల సాట్ ప్రోటోకాల్కు సమానమైనదిగా మారుస్తుంది.
అంజీర్. 1.
BGP ఎందుకు చాలా ఉపయోగాలు పొందింది (మరియు అందుకుంటూనే ఉంది)? రెండు ప్రధాన కారణాలు ఉన్నాయి:
- BGP అనేది అటానమస్ సిస్టమ్స్ (AS) మధ్య పనిచేసే ఏకైక ప్రోటోకాల్;
- BGP TLV (రకం-పొడవు-విలువ) ఆకృతిలో అట్రిబ్యూట్లకు మద్దతు ఇస్తుంది. అవును, ప్రోటోకాల్ ఇందులో ఒంటరిగా లేదు, కానీ టెలికాం ఆపరేటర్ల మధ్య జంక్షన్లలో దాన్ని భర్తీ చేయడానికి ఏమీ లేనందున, అదనపు రౌటింగ్ ప్రోటోకాల్కు మద్దతు ఇవ్వడం కంటే దానికి మరొక ఫంక్షనల్ ఎలిమెంట్ను జోడించడం ఎల్లప్పుడూ లాభదాయకంగా మారుతుంది.
అతనికి ఏమైంది? సంక్షిప్తంగా, అందుకున్న సమాచారం యొక్క ఖచ్చితత్వాన్ని తనిఖీ చేయడానికి ప్రోటోకాల్ అంతర్నిర్మిత విధానాలను కలిగి లేదు. అంటే, BGP అనేది ఒక ప్రయోరి ట్రస్ట్ ప్రోటోకాల్: మీరు ఇప్పుడు Rostelecom, MTS లేదా Yandex యొక్క నెట్వర్క్ని కలిగి ఉన్నారని ప్రపంచానికి చెప్పాలనుకుంటే, దయచేసి!
IRRDB ఆధారిత ఫిల్టర్ - చెత్తలో అత్యుత్తమమైనది
ప్రశ్న తలెత్తుతుంది: అటువంటి పరిస్థితిలో ఇంటర్నెట్ ఇప్పటికీ ఎందుకు పని చేస్తుంది? అవును, ఇది ఎక్కువ సమయం పని చేస్తుంది, కానీ అదే సమయంలో అది క్రమానుగతంగా పేలుతుంది, మొత్తం జాతీయ విభాగాలను యాక్సెస్ చేయలేనిదిగా చేస్తుంది. BGPలో హ్యాకర్ కార్యకలాపాలు కూడా పెరుగుతున్నప్పటికీ, చాలా క్రమరాహిత్యాలు ఇప్పటికీ బగ్ల వల్ల సంభవిస్తాయి. ఈ సంవత్సరం ఉదాహరణ బెలారస్లో, ఇది ఇంటర్నెట్లో గణనీయమైన భాగాన్ని మెగాఫోన్ వినియోగదారులకు అరగంట పాటు అందుబాటులో లేకుండా చేసింది. మరొక ఉదాహరణ - ప్రపంచంలోని అతిపెద్ద CDN నెట్వర్క్లలో ఒకదానిని విచ్ఛిన్నం చేసింది.
అన్నం. 2. క్లౌడ్ఫ్లేర్ ట్రాఫిక్ అంతరాయం
కానీ ఇప్పటికీ, ఇటువంటి క్రమరాహిత్యాలు ప్రతి ఆరు నెలలకు ఒకసారి ఎందుకు జరుగుతాయి, మరియు ప్రతిరోజూ కాదు? ఎందుకంటే క్యారియర్లు BGP పొరుగువారి నుండి ఏమి పొందుతారో ధృవీకరించడానికి రూటింగ్ సమాచారం యొక్క బాహ్య డేటాబేస్లను ఉపయోగిస్తాయి. ఇటువంటి అనేక డేటాబేస్లు ఉన్నాయి, వాటిలో కొన్ని రిజిస్ట్రార్లచే నిర్వహించబడతాయి (RIPE, APNIC, ARIN, AFRINIC), కొన్ని స్వతంత్ర ప్లేయర్లు (అత్యంత ప్రసిద్ధమైనది RADB), మరియు పెద్ద కంపెనీల యాజమాన్యంలోని మొత్తం రిజిస్ట్రార్లు కూడా ఉన్నాయి (Level3 , NTT, మొదలైనవి). ఇంటర్-డొమైన్ రూటింగ్ దాని ఆపరేషన్ యొక్క సాపేక్ష స్థిరత్వాన్ని నిర్వహించడానికి ఈ డేటాబేస్లకు ధన్యవాదాలు.
అయితే, సూక్ష్మ నైపుణ్యాలు ఉన్నాయి. రూటింగ్ సమాచారం ROUTE-OBJECTS మరియు AS-SET ఆబ్జెక్ట్ల ఆధారంగా తనిఖీ చేయబడుతుంది. మరియు మొదటిది IRRDBలో భాగానికి అధికారాన్ని సూచిస్తే, రెండవ తరగతికి తరగతిగా అధికారం ఉండదు. అంటే, ఎవరైనా ఎవరినైనా తమ సెట్లకు జోడించవచ్చు మరియు తద్వారా అప్స్ట్రీమ్ ప్రొవైడర్ల ఫిల్టర్లను దాటవేయవచ్చు. అంతేకాకుండా, వివిధ IRR స్థావరాల మధ్య AS-SET నామకరణం యొక్క ప్రత్యేకత హామీ ఇవ్వబడదు, ఇది టెలికాం ఆపరేటర్కు ఆకస్మిక కనెక్టివిటీని కోల్పోవడంతో ఆశ్చర్యకరమైన ప్రభావాలకు దారి తీస్తుంది, అతను తన వంతుగా, దేనినీ మార్చలేదు.
AS-SET వినియోగ విధానం అదనపు సవాలు. ఇక్కడ రెండు పాయింట్లు ఉన్నాయి:
- ఒక ఆపరేటర్ కొత్త క్లయింట్ని పొందినప్పుడు, అది దానిని తన AS-SETకి జోడిస్తుంది, కానీ దాదాపుగా దాన్ని తీసివేయదు;
- ఫిల్టర్లు క్లయింట్లతో ఇంటర్ఫేస్ల వద్ద మాత్రమే కాన్ఫిగర్ చేయబడతాయి.
ఫలితంగా, BGP ఫిల్టర్ల యొక్క ఆధునిక ఆకృతి క్లయింట్లతో ఇంటర్ఫేస్లలో క్రమంగా దిగజారుతున్న ఫిల్టర్లను కలిగి ఉంటుంది మరియు పీరింగ్ భాగస్వాములు మరియు IP ట్రాన్సిట్ ప్రొవైడర్ల నుండి వచ్చే వాటిపై ముందస్తు నమ్మకాన్ని కలిగి ఉంటుంది.
AS-SET ఆధారంగా ప్రిఫిక్స్ ఫిల్టర్లను భర్తీ చేయడం అంటే ఏమిటి? అత్యంత ఆసక్తికరమైన విషయం ఏమిటంటే, స్వల్పకాలంలో - ఏమీ లేదు. కానీ IRRDB-ఆధారిత ఫిల్టర్ల పనిని పూర్తి చేసే అదనపు మెకానిజమ్లు వెలువడుతున్నాయి మరియు అన్నింటిలో మొదటిది, ఇది RPKI.
RPKI
సరళీకృత మార్గంలో, RPKI ఆర్కిటెక్చర్ను పంపిణీ చేయబడిన డేటాబేస్గా భావించవచ్చు, దీని రికార్డులను క్రిప్టోగ్రాఫికల్గా ధృవీకరించవచ్చు. ROA (రూట్ ఆబ్జెక్ట్ ఆథరైజేషన్) విషయంలో, సంతకం చేసిన వ్యక్తి చిరునామా స్థలం యొక్క యజమాని, మరియు రికార్డ్ కూడా ట్రిపుల్ (ఉపసర్గ, asn, max_length). ముఖ్యంగా, ఈ ఎంట్రీ కింది వాటిని సూచిస్తుంది: $max_length కంటే ఎక్కువ పొడవు లేని ప్రిఫిక్స్లను ప్రచారం చేయడానికి $ ఉపసర్గ చిరునామా స్థలం యజమాని AS నంబర్ $asnకి అధికారం ఇచ్చారు. మరియు రూటర్లు, RPKI కాష్ని ఉపయోగించి, జత సమ్మతి కోసం తనిఖీ చేయగలవు ఉపసర్గ - మార్గంలో మొదటి స్పీకర్.
మూర్తి 3. RPKI ఆర్కిటెక్చర్
ROA వస్తువులు చాలా కాలంగా ప్రమాణీకరించబడ్డాయి, అయితే ఇటీవలి వరకు అవి IETF జర్నల్లో కాగితంపై మాత్రమే ఉన్నాయి. నా అభిప్రాయం ప్రకారం, దీనికి కారణం భయానకంగా అనిపిస్తుంది - చెడు మార్కెటింగ్. ప్రామాణీకరణ పూర్తయిన తర్వాత, BGP హైజాకింగ్ నుండి ROA రక్షించబడిందనే ప్రోత్సాహకం - ఇది నిజం కాదు. దాడి చేసేవారు మార్గం ప్రారంభంలో సరైన AC నంబర్ను చొప్పించడం ద్వారా ROA-ఆధారిత ఫిల్టర్లను సులభంగా దాటవేయవచ్చు. మరియు ఈ అవగాహన వచ్చిన వెంటనే, తదుపరి తార్కిక దశ ROA వాడకాన్ని వదిలివేయడం. మరియు నిజంగా, సాంకేతికత పని చేయకపోతే మనకు ఎందుకు అవసరం?
మీ మనసు మార్చుకోవడానికి ఇది ఎందుకు సమయం? ఎందుకంటే ఇది పూర్తి నిజం కాదు. BGPలో హ్యాకర్ కార్యకలాపాల నుండి ROA రక్షించదు, కానీ ప్రమాదవశాత్తు ట్రాఫిక్ హైజాకింగ్ల నుండి రక్షిస్తుంది, ఉదాహరణకు BGPలో స్టాటిక్ లీక్ల నుండి, ఇది సర్వసాధారణంగా మారింది. అలాగే, IRR-ఆధారిత ఫిల్టర్ల వలె కాకుండా, ROVని క్లయింట్లతో ఇంటర్ఫేస్ల వద్ద మాత్రమే కాకుండా, పీర్లు మరియు అప్స్ట్రీమ్ ప్రొవైడర్లతో ఇంటర్ఫేస్ల వద్ద కూడా ఉపయోగించవచ్చు. అంటే, RPKI పరిచయంతో పాటు, BGP నుండి ఒక ప్రయోరి ట్రస్ట్ క్రమంగా కనుమరుగవుతోంది.
ఇప్పుడు, ROA ఆధారంగా మార్గాలను తనిఖీ చేయడం క్రమంగా కీలక ఆటగాళ్లచే అమలు చేయబడుతోంది: అతిపెద్ద యూరోపియన్ IX ఇప్పటికే టైర్-1 ఆపరేటర్లలో తప్పు మార్గాలను విస్మరిస్తోంది, ఇది AT&Tని హైలైట్ చేయడం విలువైనది, ఇది దాని పీరింగ్ భాగస్వాములతో ఇంటర్ఫేస్లలో ఫిల్టర్లను ప్రారంభించింది. అతిపెద్ద కంటెంట్ ప్రొవైడర్లు కూడా ప్రాజెక్ట్ను సంప్రదిస్తున్నారు. మరియు డజన్ల కొద్దీ మధ్యస్థ-పరిమాణ ట్రాన్సిట్ ఆపరేటర్లు దీని గురించి ఎవరికీ చెప్పకుండా ఇప్పటికే నిశ్శబ్దంగా అమలు చేశారు. ఈ ఆపరేటర్లందరూ RPKIని ఎందుకు అమలు చేస్తున్నారు? సమాధానం చాలా సులభం: ఇతర వ్యక్తుల తప్పుల నుండి మీ అవుట్గోయింగ్ ట్రాఫిక్ను రక్షించడానికి. అందుకే యాండెక్స్ తన నెట్వర్క్ అంచున ROVని చేర్చిన రష్యన్ ఫెడరేషన్లో మొదటిది.
తర్వాత ఏం జరుగుతుంది?
మేము ఇప్పుడు ట్రాఫిక్ ఎక్స్ఛేంజ్ పాయింట్లు మరియు ప్రైవేట్ పీరింగ్లతో ఇంటర్ఫేస్ల వద్ద రూటింగ్ సమాచారాన్ని తనిఖీ చేయడాన్ని ప్రారంభించాము. సమీప భవిష్యత్తులో, అప్స్ట్రీమ్ ట్రాఫిక్ ప్రొవైడర్లతో ధృవీకరణ కూడా ప్రారంభించబడుతుంది.
ఇది మీకు ఎలాంటి తేడాను కలిగిస్తుంది? మీరు మీ నెట్వర్క్ మరియు Yandex మధ్య ట్రాఫిక్ రౌటింగ్ భద్రతను పెంచాలనుకుంటే, మేము సిఫార్సు చేస్తున్నాము:
- మీ చిరునామా స్థలంలో సంతకం చేయండి - ఇది చాలా సులభం, సగటున 5-10 నిమిషాలు పడుతుంది. ఎవరైనా తెలియకుండానే మీ అడ్రస్ స్పేస్ను దొంగిలించిన సందర్భంలో ఇది మా కనెక్టివిటీని రక్షిస్తుంది (మరియు ఇది ఖచ్చితంగా ముందుగానే లేదా తర్వాత జరుగుతుంది);
- ఓపెన్ సోర్స్ RPKI కాష్లలో ఒకదాన్ని ఇన్స్టాల్ చేయండి (, ) మరియు నెట్వర్క్ సరిహద్దు వద్ద మార్గ తనిఖీని ప్రారంభించండి - దీనికి ఎక్కువ సమయం పడుతుంది, కానీ మళ్ళీ, ఇది ఎటువంటి సాంకేతిక ఇబ్బందులను కలిగించదు.
Yandex కొత్త RPKI ఆబ్జెక్ట్ ఆధారంగా ఫిల్టరింగ్ సిస్టమ్ అభివృద్ధికి కూడా మద్దతు ఇస్తుంది - (అటానమస్ సిస్టమ్ ప్రొవైడర్ ఆథరైజేషన్). ASPA మరియు ROA ఆబ్జెక్ట్లపై ఆధారపడిన ఫిల్టర్లు "లీకీ" AS-SETలను భర్తీ చేయడమే కాకుండా, BGPని ఉపయోగించి MiTM దాడుల సమస్యలను కూడా మూసివేయగలవు.
నెక్స్ట్ హాప్ కాన్ఫరెన్స్లో నేను ఒక నెలలో ASPA గురించి వివరంగా మాట్లాడతాను. నెట్ఫ్లిక్స్, ఫేస్బుక్, డ్రాప్బాక్స్, జునిపెర్, మెల్లనాక్స్ మరియు యాండెక్స్ సహోద్యోగులు కూడా అక్కడ మాట్లాడతారు. మీరు నెట్వర్క్ స్టాక్ మరియు భవిష్యత్తులో దాని అభివృద్ధిపై ఆసక్తి కలిగి ఉంటే, రండి .
మూలం: www.habr.com