Компанія Cloudflare
Багато операторів залишаються незахищеними від надходження BGP-анонсів підмереж з фіктивними відомостями про довжину маршруту, що направляють транзитний трафік через сторонніх провайдерів. Все частіше спливають випадки використання BGP для атак, під час яких зловмисники шляхом компрометації інфраструктури провайдерів організують перенаправлення та перехоплення трафіку для заміни конкретних сайтів через організацію MiTM-атаки для заміни відповідей DNS.
Вирішенням проблеми є впровадження системи авторизації BGP-анонсів на основі RPKI (Resource Public Key Infrastructure), що дозволяє визначити, чи виходить BGP-анонс від власника мережі чи ні. При використанні RPKI для автономних систем та IP-адрес будується ланцюжок довіри від IANA до регіональних реєстраторів (RIRs), а потім до провайдерів (LIR) і кінцевих споживачів, яка дозволяє третім особам переконатися, що операція з ресурсом була зроблена його власником. На жаль, незважаючи на проблеми, RPKI поки не застосовується переважно провайдерів. Новий сервіс Cloudflare дозволяє відстежити проблемних операторів та привернути до них громадську увагу.
Джерело: opennet.ru