Компанія Cloudflare сайт , покликаний привернути увагу до проблеми з витоком некоректних BGP-маршрутів та можливості здійснення атак по перенаправленню трафіку за допомогою протоколу BGP. Сайт дозволяє перевірити застосування провайдерами технології фільтрації некоректних маршрутів та оцінити запровадження підтримки RPKI.
Багато операторів залишаються незахищеними від надходження BGP-анонсів підмереж з фіктивними відомостями про довжину маршруту, що направляють транзитний трафік через сторонніх провайдерів. Все частіше спливають випадки використання BGP для атак, під час яких зловмисники шляхом компрометації інфраструктури провайдерів організують перенаправлення та перехоплення трафіку для заміни конкретних сайтів через організацію MiTM-атаки для заміни відповідей DNS.
Вирішенням проблеми є впровадження системи авторизації BGP-анонсів на основі RPKI (Resource Public Key Infrastructure), що дозволяє визначити, чи виходить BGP-анонс від власника мережі чи ні. При використанні RPKI для автономних систем та IP-адрес будується ланцюжок довіри від IANA до регіональних реєстраторів (RIRs), а потім до провайдерів (LIR) і кінцевих споживачів, яка дозволяє третім особам переконатися, що операція з ресурсом була зроблена його власником. На жаль, незважаючи на проблеми, RPKI поки не застосовується переважно провайдерів. Новий сервіс Cloudflare дозволяє відстежити проблемних операторів та привернути до них громадську увагу.
Джерело: opennet.ru