边界网关协议(BGP)的问题NIST终于搞定了！ (边界网关协议BGP的作用)

整理分享边界网关协议(BGP)的问题NIST终于搞定了！ (边界网关协议BGP的作用)，希望有所帮助，仅作参考，欢迎阅读内容。

内容相关其他词:边界网关协议bgp4是一种动态路由发现协议,边界网关协议BGP实验,边界网关协议BGP实验,边界网关协议采用什么选择协议,边界网关协议BGP是一种实现什么之间的路由可达,边界网关协议BGP实验,边界网关协议(BGP)目前使用最多的版本是,边界网关协议(BGP)目前使用最多的版本是,内容如对您有帮助，希望把内容链接给更多的朋友！

美国国家标准与技术局(N*T)发布了其新“安全互联网域名路由(SIDR)”标准的更新，该标准旨在提供现有边界*协议(BGP)所欠缺的互联网安全。

　　作为无法应对互联网规模快速扩张的老旧外部*协议(EGP)的短期搞定方案，BGP于年被规划出来。但该协议存在一个问题：尽管是互联网运作的基础，BGP却缺乏任何安全措施。　　BGP控制着数据从源到目的地的路由，通过保持路线上每一步可用中转的标签来实现。这些中转站的可用性由本地保存的路由表维护，路由表随时更新。问题在于，路由表上没有使用任何安全措施。事实上，整个互联网地图都建立在信任基础上，而信任在今天的互联网上是稀缺品。*流量可被*。　　N*T在月3号发布的文章中解释道：“BGP是黏合互联网的技术胶水；但由于历史原因，其安全机制的缺乏，也让它成为了黑客易于得手的目标。”

　　支撑BGP的信任模型很容易被滥用，也经常被滥用。总的说来，大多数滥用被认为是随机的，但有足够多的可疑事件表明，关于BGP安全的担忧，并非空穴来风。鉴于路由表是本地约定全球分发，某一个国家的电信公司便能够修改数据通往全球的路由。　　因此，N*T在另一份描述文档中警告道：对互联网路由功能的攻击，是对基于互联网的信息*的重大*性威胁。此类攻击可造成：互联网服务拒绝访问；旁路互联网流量以*，及对终端（网站）进行路径攻击；错误交付互联网网络流量到恶意终端；损害基于IP*的信誉和过滤*；导致互联网路由不稳定。　　最广为人知的路由*案例发生在年2月，巴基斯坦政府认定YouTube上一段关于*的*有损民族尊严后，一家巴基斯坦*P试图*YouTube。这家*P*YouTube到巴基斯坦流量的尝试，切切实实地*了整个世界的YouTube流量，让世界上任何地方都访问不了YouTube。虽然目的是达到了，但结果却未必如意——不过其他案例似乎更为恶意。　　今年4月，个大型网络被由俄罗斯政府控制的俄罗斯电信公司*。研究人员认为，BGP表被认为篡改了，可能是俄罗斯电信公司所为。让俄罗斯电信公司如此可疑的证据，是所涉技术及金融服务公司的高度集中：比如万事达卡、维萨卡、汇丰银行和赛门铁克。　　因为对BGP路由表的修改，流往受影响网络的流量被路由流经俄罗斯电信公司的路由器。当时，域名*提供商Dyn公司的互联网分析主管道格·马多里称：“我会将之视为非常可疑。通常，意外泄露更为庞大和随意。而这次，更像是专门针对金融机构。”　　其他的案例还包括：年进行了几个月之久的比特币基础设施内流量重定向，造成价值8.3万美元的比特币被盗；年的一次攻击，将银行、电话和政府数据绕道流经位于白俄罗斯和冰岛的路由器。　　虽然一直BGP滥用相对规模较小，连续时间较短，且有时候是意外，但漏洞却是真实存在的。N*T警告：“这些漏洞尚未被大幅利用的事实，不应让你觉得放松。想想我们的关键基础设施有多少依赖互联网技术——交通运输、通信、金融*等等。总有一天，有人会有那个动机。”　　N*T正与美国国土安所有(DHS)和网络工程任务组(IETF)合作开发一套新的BGP标准，旨在消除这些问题。　　SIDR由3个单独的部分组成：资源公钥基础设施(RPKI)、BGP源验证(BGP-OV)、和BGP路径验证(BGP-PV)。　　RPKI允许第三方加密验证互联网*块和互联网自治*的所有权声明。源验证提供协议扩展和攻击，让BGP路由器可以运用RPKI数据监测并过滤未经授权的BGP路由声明。路径验证提供进一步的协议扩展，让BGP路由器可以加密验证构成BGP路由的网络序列（自治*路径）。　　源验证将遏阻简单路由*攻击和错误配置(无意的)，而路径验证将阻止更复杂和隐秘的路由绕道攻击。二者结合，便可提供一套完整的搞定方案，搞定原始BGP中发现的路由漏洞。　　这3个组件中的规范如今已经完成。第3个组件——路径验证，也被称为BGPsec，于9月由IETF作为RFC发布。不过，协议的使用，又是另一回事了。　　第1个组件RPKI，于年2月在RFC中发布。到年，尽管所有5个区域互联网注册机构都支持RPKI，路由源授权(ROA)的采纳却迟缓又零散。仅不到7%的全球BGP声明是ROA覆盖之下的。RPKI在欧洲(ROA覆盖的*空间在%以下)和拉丁美洲(%)的采纳，要比在北美(3%)要快很多。　　随着最后一个SIDR组件规范的就位，N*T如今准备重定向其工作方向了。N*T声明中表示，　　作为技术转型工作的一部分，N*T国家卓越网络安全中心(NCCoE)，最近宣告了一项专注SIDR的新计划。　　随着SIDR的成型，BGP这个年的临时搞定方案终于有了安全性。该标准能否在大型BGP攻击搞摊整个互联网之前得以全球部署，我们尚拭目以待。反正，总有一天，总会有人有那个动机尝试一把的。