|
BGP控制着数据从源到目的地的路由,通过保持路线上每一步可用中转的标签来实现。这些中转站的可用性由本地保存的路由表维护,路由表随时更新。问题在于,路由表上没有使用任何安全措施。事实上,整个互联网地图都建立在信任基础上,而信任在今天的互联网上是稀缺品。大片流量可被劫持。 NIST在10月3号发布的文章中解释道:“BGP是黏合互联网的技术胶水;但由于历史原因,其安全机制的缺乏,也让它成为了黑客易于得手的目标。”
因此,NIST在另一份描述文档中警告道:对互联网路由功能的攻击,是对基于互联网的信息系统的重大系统性威胁。此类攻击可造成:
最广为人知的路由劫持案例发生在2008年2月,巴基斯坦政府认定YouTube上一段关于穆罕默德的视频有损民族尊严后,一家巴基斯坦ISP试图封锁YouTube。这家ISP劫持YouTube到巴基斯坦流量的尝试,切切实实地劫持了整个世界的YouTube流量,让世界上任何地方都访问不了YouTube。虽然目的是达到了,但结果却未必如意——不过其他案例似乎更为恶意。 今年4月,36个大型网络被由俄罗斯政府控制的俄罗斯电信公司劫持。研究人员认为,BGP表被认为篡改了,可能是俄罗斯电信公司所为。让俄罗斯电信公司如此可疑的证据,是所涉技术及金融服务公司的高度集中:比如万事达卡、维萨卡、汇丰银行和赛门铁克。 因为对BGP路由表的修改,流往受影响网络的流量被路由流经俄罗斯电信公司的路由器。当时,域名系统提供商Dyn公司的互联网分析主管道格·马多里称:“我会将之视为非常可疑。通常,意外泄露更为庞大和随意。而这次,更像是专门针对金融机构。” 其他的案例还包括:2014年进行了几个月之久的比特币基础设施内流量重定向,造成价值8.3万美元的比特币被盗;2013年的一次攻击,将银行、电话和政府数据绕道流经位于白俄罗斯和冰岛的路由器。 虽然一直BGP滥用相对规模较小,连续时间较短,且有时候是意外,但漏洞却是真实存在的。NIST警告:“这些漏洞尚未被大幅利用的事实,不应让你觉得放松。想想我们的关键基础设施有多少依赖互联网技术——交通运输、通信、金融系统等等。总有一天,有人会有那个动机。” NIST正与美国国土安所有(DHS)和网络工程任务组(IETF)合作开发一套新的BGP标准,旨在消除这些问题。 SIDR由3个单独的部分组成:资源公钥基础设施(RPKI)、BGP源验证(BGP-OV)、和BGP路径验证(BGP-PV)。 RPKI允许第三方加密验证互联网地址块和互联网自治系统的所有权声明。源验证提供协议扩展和攻击,让BGP路由器可以运用RPKI数据监测并过滤未经授权的BGP路由声明。路径验证提供进一步的协议扩展,让BGP路由器可以加密验证构成BGP路由的网络序列(自治系统路径)。 源验证将遏阻简单路由劫持攻击和错误配置(无意的),而路径验证将阻止更复杂和隐秘的路由绕道攻击。二者结合,便可提供一套完整的搞定方案,搞定原始BGP中发现的路由漏洞。 这3个组件中的规范如今已经完成。第3个组件——路径验证,也被称为BGPsec,于9月由IETF作为 RFC 8205 发布。不过,协议的使用,又是另一回事了。 第1个组件RPKI,于2012年2月在 RFC 6480 中发布。到2016年,尽管所有5个区域互联网注册机构都支持RPKI,路由源授权(ROA)的采纳却迟缓又零散。仅不到7%的全球BGP声明是ROA覆盖之下的。RPKI在欧洲(ROA覆盖的地址空间在30%以下)和拉丁美洲(13%)的采纳,要比在北美(3%)要快很多。 随着最后一个SIDR组件规范的就位,NIST如今准备重定向其工作方向了。NIST声明中表示, 作为技术转型工作的一部分,NIST国家卓越网络安全中心(NCCoE),最近宣告了一项专注SIDR的新计划。 随着SIDR的成型,BGP这个1989年的临时搞定方案终于有了安全性。该标准能否在大型BGP攻击搞摊整个互联网之前得以全球部署,我们尚拭目以待。反正,总有一天,总会有人有那个动机尝试一把的。 |
