บริษัทคลาวด์แฟลร์
ผู้ให้บริการหลายรายยังคงเห็นโฆษณาซับเน็ต BGP ที่มีข้อมูลความยาวเส้นทางสมมติ ซึ่งกำหนดเส้นทางการรับส่งข้อมูลการขนส่งสาธารณะผ่านผู้ให้บริการบุคคลที่สาม กรณีของการใช้ BGP สำหรับการโจมตีเกิดขึ้นมากขึ้นเรื่อยๆ ในระหว่างที่ผู้โจมตีได้จัดการเปลี่ยนเส้นทางและการสกัดกั้นการรับส่งข้อมูลเพื่อปลอมแปลงไซต์เฉพาะโดยจัดการโจมตี MiTM เพื่อแทนที่การตอบสนอง DNS โดยกระทบต่อโครงสร้างพื้นฐานของผู้ให้บริการ
วิธีแก้ปัญหาคือการแนะนำระบบการอนุญาตสำหรับการประกาศ BGP ตาม RPKI (โครงสร้างพื้นฐานคีย์สาธารณะทรัพยากร) ซึ่งช่วยให้คุณระบุได้ว่าการประกาศ BGP มาจากเจ้าของเครือข่ายหรือไม่ เมื่อใช้ RPKI สำหรับระบบอัตโนมัติและที่อยู่ IP สายโซ่แห่งความไว้วางใจจะถูกสร้างขึ้นจาก IANA ไปยังผู้รับจดทะเบียนระดับภูมิภาค (RIR) จากนั้นต่อไปยังผู้ให้บริการ (LIR) และผู้ใช้ปลายทาง ซึ่งช่วยให้บุคคลที่สามสามารถตรวจสอบได้ว่าการทำงานของทรัพยากรนั้น ดำเนินการโดยเจ้าของ น่าเสียดายที่แม้จะมีปัญหา RPKI ก็ยังไม่ได้ถูกใช้งานโดยผู้ให้บริการส่วนใหญ่ บริการ Cloudflare ใหม่ช่วยให้คุณติดตามผู้ปฏิบัติงานที่มีปัญหาและแจ้งให้สาธารณชนทราบ
ที่มา: opennet.ru