已完本玄幻小说排行榜,如何发布网络小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

面向非網(wǎng)絡(luò)工程師的BGP指南

譯者 | 范曉波

審校 | 孫淑娟

什么是 BGP？

邊界網(wǎng)關(guān)協(xié)議（BGP）是互聯(lián)網(wǎng)的主要路由協(xié)議。它被描述為“使互聯(lián)網(wǎng)工作”的協(xié)議，因?yàn)樗谠试S流量快速有效地傳輸方面發(fā)揮著重要的作用。

BGP的最初功能是在邊緣路由器之間傳送網(wǎng)絡(luò)可達(dá)性信息（有時(shí)被描述為可達(dá)性協(xié)議）。此后，它已擴(kuò)展為還承載 VPN、IPv6、多播和一系列其他數(shù)據(jù)的路由信息。BGP 提供網(wǎng)絡(luò)穩(wěn)定性，因?yàn)樗ＷC路由器可以在一條Internet路徑出現(xiàn)故障時(shí)快速適應(yīng)通過(guò)不同的連接發(fā)送數(shù)據(jù)包。它通過(guò)BGP-speaking路由器和路由表在Internet上交換路由信息來(lái)實(shí)現(xiàn)這一點(diǎn)。

互聯(lián)網(wǎng)路由由兩種不同的類型組成:：

內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）：用于自治系統(tǒng)（AS）內(nèi)的路由，例如 EIGRP、OSPFF 和 RIP；
外部網(wǎng)關(guān)協(xié)議（EGP）：邊界網(wǎng)關(guān)協(xié)議目前是事實(shí)上的標(biāo)準(zhǔn) EGP 路由協(xié)議，用于域間路。

BGP最初是作為取代現(xiàn)有EGP的權(quán)宜之計(jì)而提出的?？爝M(jìn)30年，它仍然是互聯(lián)網(wǎng)的核心支柱之一。我們目前使用的是版本4（BGP4 或 BGP-4）。

BGP 如何工作？

BGP指定了一種基于TCP的通信方法，以幫助自治系統(tǒng)通過(guò)互聯(lián)網(wǎng)交換路由信息。AS是由公共管理機(jī)構(gòu)（如大型企業(yè)或大學(xué)）運(yùn)行的路由器的集合，它們控制著IP地址范圍。每個(gè)AS都分配有一個(gè)自治系統(tǒng)編號(hào)（ASN）。

BGP 根據(jù)網(wǎng)絡(luò)管理員設(shè)置的路徑、規(guī)則和/或網(wǎng)絡(luò)策略確定路由決策。每個(gè) AS 管理一個(gè)路由表，其中包含到其他網(wǎng)絡(luò)的所有已知路由，然后與相鄰網(wǎng)絡(luò)共享，也稱為對(duì)等網(wǎng)絡(luò)。 BGP 決策過(guò)程使 AS 能夠通過(guò)分析每個(gè)候選者的路徑屬性，應(yīng)用一組標(biāo)準(zhǔn)（包括權(quán)重、本地偏好、最短 AS 路徑等）來(lái)選擇最有效的可用路由。這意味著 BGP 可能會(huì)沿著一條路徑引導(dǎo)流量到達(dá)其目的地，并在其回程中沿著另一條路徑引導(dǎo)流量，從而導(dǎo)致非對(duì)稱路由。

BGP設(shè)計(jì)和實(shí)現(xiàn)的重點(diǎn)一直是安全性和可擴(kuò)展性，這使得它比其他路由協(xié)議更難配置；它也更復(fù)雜，使其成為最慢的收斂路由協(xié)議之一。

一點(diǎn)點(diǎn)歷史

需要一些背景知識(shí)才能更好地了解BGP在互聯(lián)網(wǎng)歷史上所扮演的關(guān)鍵作用。1989年，我們今天所認(rèn)為的互聯(lián)網(wǎng)剛剛邁出了第一步。互聯(lián)網(wǎng)的商用仍然被禁止，但商業(yè)ISP正在萌芽，并向最終用戶提供網(wǎng)絡(luò)訪問(wèn)，互聯(lián)網(wǎng)的商用不再是一個(gè)禁忌話題。

當(dāng)BGP于1989年6月首次標(biāo)準(zhǔn)化時(shí)，長(zhǎng)期運(yùn)行的ARPANET被停用（1989年2月28日），TCP / IP被用于互連來(lái)自偏遠(yuǎn)國(guó)家的不同網(wǎng)絡(luò)，互聯(lián)網(wǎng)即將從其中心架構(gòu)轉(zhuǎn)向分布式的架構(gòu)，沒(méi)有明確定義的主干。

在此之前，所謂的互聯(lián)網(wǎng)網(wǎng)關(guān)通過(guò)外部網(wǎng)關(guān)協(xié)議（EGP）交換網(wǎng)絡(luò)可達(dá)信息。EGP是為一個(gè)由核心AS和直接連接到該核心的多個(gè)其他較小AS組成的互聯(lián)網(wǎng)而設(shè)計(jì)的，它完全依賴于AS的樹(shù)狀結(jié)構(gòu)拓?fù)?，不支持循環(huán)拓?fù)洹?/p>

盡管這些限制在早期階段的互聯(lián)網(wǎng)中是可以忍受的，在早期存根網(wǎng)關(guān)通過(guò)其ARPANET骨干相互通信，但隨著商業(yè)實(shí)體和多個(gè)骨干網(wǎng)（如NSFNET）的出現(xiàn)，其不足之處變得越來(lái)越明顯，更不用說(shuō)無(wú)法創(chuàng)建基于策略的路由，這是BGP成功的關(guān)鍵。

BGP 中固有的漏洞

使 BGP 如此成功的特性也使其極易受到人為錯(cuò)誤和惡意攻擊的影響。

對(duì)構(gòu)成現(xiàn)代互聯(lián)網(wǎng)的大量AS幾乎沒(méi)有監(jiān)管，對(duì)每個(gè)AS鄰居網(wǎng)絡(luò)過(guò)濾器應(yīng)如何配置幾乎沒(méi)有監(jiān)管。這使得它是一個(gè)高度靈活的協(xié)議。但是，如果通告了一條新的虛假路由，無(wú)論是偶然的還是故意的，流量都將被發(fā)送到錯(cuò)誤的網(wǎng)絡(luò)，正如我們最近所看到的，這個(gè)問(wèn)題可以迅速傳播到全網(wǎng)。

有兩種主要類型的漏洞：

BGP 泄漏

路由泄漏涉及無(wú)意創(chuàng)建虛假的路由信息，從而誤導(dǎo)流量并使其容易被濫用。路由泄漏通常是由于人為的錯(cuò)誤配置過(guò)濾器導(dǎo)致的，導(dǎo)致前綴和IP地址塊的非法通告，這些異常在網(wǎng)絡(luò)上傳播會(huì)導(dǎo)致產(chǎn)生非最優(yōu)路由和不正確的路由。

BGP 劫持

路由劫持涉及通過(guò)損壞互聯(lián)網(wǎng)路由表故意接管IP地址的集合。如果注入的路由通告比真實(shí)的路由通告更有效，則流量將重新路由到注入的通告的路由器。BGP劫持并不總是容易檢測(cè)到，因?yàn)榛顒?dòng)可能隱藏在其他AS的后面，或者可能涉及通告未使用的IP前綴塊，這些不太可能被注意到。因此，互聯(lián)網(wǎng)流量可能會(huì)以錯(cuò)誤的方式發(fā)送，秘密監(jiān)控或攔截。垃圾郵件發(fā)送者還可以使用BGP劫持來(lái)欺騙合法IP并將用戶發(fā)送到偽造網(wǎng)站。

對(duì)最終用戶和業(yè)務(wù)的影響

這兩種類型的漏洞都會(huì)使最終用戶遭受問(wèn)題。這些范圍從不方便（例如由于流量采用不必要的長(zhǎng)路徑而導(dǎo)致頁(yè)面加載時(shí)間變慢）到非常嚴(yán)重的情況（例如流量攔截或整個(gè)網(wǎng)絡(luò)的黑洞）。這種攻擊可能和我們?cè)贒DoS攻擊中看到的那樣導(dǎo)致那種大面積的網(wǎng)絡(luò)中斷。攻擊者還可以僅通過(guò)特定網(wǎng)絡(luò)黑洞來(lái)審查特定的信息來(lái)源。

這兩種類型的漏洞都會(huì)使最終用戶遭受問(wèn)題。這些范圍從不方便，例如由于流量采取不必要的長(zhǎng)路由而導(dǎo)致的頁(yè)面加載時(shí)間慢到高度嚴(yán)重，例如整個(gè)網(wǎng)絡(luò)的流量攔截或黑洞。這種攻擊可能導(dǎo)致我們?cè)贒DoS攻擊中遭遇全面中斷。攻擊者還可以通過(guò)僅黑洞特定網(wǎng)絡(luò)來(lái)審查特定信息源。

重新路由的中間人性質(zhì)還允許攻擊者竊聽(tīng)通信的某些部分，甚至改變流量本身。他們可以將流量從你的合法網(wǎng)站流量重定向到偽裝成你網(wǎng)絡(luò)的一部分的惡意網(wǎng)站。這可能導(dǎo)致敏感信息或證書被盜，甚至向你發(fā)送惡意軟件。我們從去年劫持者攻擊AWS的DNS服務(wù)來(lái)竊取比特幣就可以看到這一點(diǎn)。垃圾郵件發(fā)送者還可能通過(guò)濫用你的ASN來(lái)發(fā)送垃圾郵件，從而損害你的企業(yè)聲譽(yù)。

雖然企業(yè)無(wú)法完全防止BGP配置錯(cuò)誤或故意濫用BGP，但他們可以監(jiān)控正在發(fā)生的事情。通過(guò)監(jiān)控與AS相關(guān)的BGP路由，你可以了解可能正在發(fā)生的任何類型的BGP漏洞，并可以執(zhí)行事件響應(yīng)計(jì)劃。

網(wǎng)站名稱：面向非網(wǎng)絡(luò)工程師的BGP指南
文章網(wǎng)址：http://fisionsoft.com.cn/article/djheeip.html