我们之前已经讨论过BGP因特网路由协议。我们已经讨论了如何构建一个更具弹性的网络，以及如何通过BGP在国家一级看到停机。我们甚至谈到了对全球运营至关重要的网络社区互联网。今天我们需要谈谈，为什么BGP路由和过滤的现有操作实践必须得到显著改进，才能最终阻止路由泄漏和劫持；这在当今的互联网路由世界中是非常普遍的。事实上，运行BGP网络的微妙艺术和各种工具（在线和在您的a网络子系统内）对于使因特网路由世界成为一个安全可靠的操作场所至关重要改善互联网路由、BGP和安全性以及其操作专业知识必须得到改进全球.photo作者：Marco Verch到/2.0除了Cloudflare已经决定是时候发挥领导作用来最终保护BGP路由之外，没有什么具体的东西触发了今天的文章。我们相信，每一个网络都需要改变其对BGP安全的心态，无论是在日常还是在长期基础。它是时候通过部署操作性很好的RPKI来阻止BGP路由泄露和劫持了！Cloudflare提交给RPKIResource公钥基础设施（RPKI）是一种加密方法，用于签名将BGP路由公告与正确的起始AS号相关联的记录。RPKI在RFC6480（一种支持安全互联网路由的基础设施）中定义。Cloudflare承诺RPKI。因为任何路由都可以由任意一个随机网络发起和宣布，独立于其宣布该路由的权利，需要有一个带外方法来帮助BGP管理哪个网络可以宣布哪个路由。这个系统现在就存在。它是IRR（Internet路由注册）系统的一部分。有许多注册中心，有些是由网络运营的，有些是由区域互联网注册中心（RIRs）和IRRs（Merit的RADB服务）的鼻祖。此服务提供了一种集体方法，允许一个网络过滤另一个网络路线。这个有点用。由于一个网络是用来过滤另一个网络的（基于从IRR数据库创建的规则），当路由跨越ASN边界时，一个无效的通告通常会立即被压扁。当然，这并不是完美的——事实上，远远不是。路由泄露或路由劫持发生的频率比它们应该发生的要多。有据可查的事实。以下是亮点：1997年——AS7007错误地（重新）宣布了72000多条路线（成为路线过滤的典型代表）。2008年的今天，巴基斯坦的ISP无意中宣布了YouTube的IP路由，将视频服务屏蔽到了他们的网络中。2017年的今天，俄罗斯ISP泄露了万事达卡、维萨和主要银行拥有的支付服务的36个前缀。2018年-BGP劫持亚马逊域名系统窃取加密货币。这只是一个部分清单！每一个路由泄漏或劫持都暴露出对等或传输有问题的网络缺少路由过滤网络.RPKI这是因为现有的IRR系统缺少任何形式的加密签名。事实上，今天的IRR数据库包含大量无效数据（过时数据和错误数据）。对无效的创造几乎没有控制数据。实施RPKI只是提高BGP路由安全性的第一步，因为RPKI只保护路由源，而不保护路径。（可悲的是，内部收益率数据也是如此）。当我们想保护这条路的时候，我们需要一些别的东西，但那就来了待会儿。那个RPKI TL；DRBGP路由不安全。它的主要希望，RPKI，使用一个类似于安全网络浏览的证书系统（至少是早期）。虽然安全的web浏览已经向前发展，而且安全性要高得多，并且在一定程度上是默认的，但是BGP路由验证的状态并没有向前发展。为了保证BGP路由的安全，所有的网络都需要接受RPKI（以及更多）。Cloudflare计划通过树立榜样、实施最佳实践、安装运行良好的软件以及在全球范围内推广其RPKI工作，规划出一条改善全球BGP路由安全性的路线。RPKI是我们2018年及以后的重点之一！对bgppossiblebgpp最简单的介绍并不简单。BGP在全球互联网上的地位倍增。这一事实不应该阻止随便的读者或经验丰富的网络工程师。重要的是要限制在值得了解的范围内，摒弃所有构成BGP网络非常复杂世界的小项目。事实上，操作一个连接到电信公司或ISP的BGP网络并不复杂。事实证明，在BGP的世界里，安全是事后想想，让我们开始吧，我要选一个假设的例子。一个国家内单一大学的结构，该大学为其所有大学运营一个NREN（国家研究和教育网络）。这种情况并不少见。在这种情况下，大学是通过单一的电信链路连接的（使用BGP术语）有一个单一的上游。NREN为其国家的大学提供与本地和全球互联网的所有连接，以及与其他国家的其他NREN的连接国家。我们从一些基础知识开始。BGP是关于数字的。首先是一个唯一的编号，称为自治系统编号或ASN。这个号码来自由区域互联网注册中心（RIRs）管理的一系列号码。例如，Cloudflare为其网络分配了AS编号13335。ASN只是16位数字，但现在是32位数字（因为互联网发展到了耗尽65536或2^16初始分配的地步）。对于我们的大学，我们将使用65099作为我们的ASN示例。这是来自ASN的保留块，出于文档原因在这里使用只有。那个第二个数字是分配给大学的IP地址。大多数读者都熟悉IP地址；但是在BGP世界中，我们使用称为CIDR（无类域间路由）的IP块。这是一系列按顺序排列并绑定在二进制边界上的IP地址。在Cloudflare中，我们有很多由rir分配的IP块。在我们的例子中，我们假设大学分配了两个区块。10.0.0.0/8和2001:db8:：/32。这两个地址都是私有地址或文档地址，稍后您将看到这些地址以不同的方式再次出现在我们讨论的时候过滤。这个足够我们让这所大学准备好连接到NREN。或者也许不，准备好了吗马上接通-还有文件要填。不是真正的纸，但很接近。虽然互联网是建立在无许可创新的概念上的，但仍有一些好的做法需要遵守也是。以前你可以通过你的BGP语音路由器宣布一条路线，您需要设置IRR路由对象或RPKI ROA（或两者都设置）。Internet路由注册IRR（Internet路由注册）用于记录将在Internet上宣布的路由，并将其与将要宣布该路由的ASN相关联。在本例中，我们将使用private或documentation范围10.0.0.0/8和2001:db8:：/32以及asn65099。最简单的IRR路由记录看起来像这个：路线：10.0.0.0/8产地：AS65099事实上，我们需要更多的东西来让它完全发挥作用，我们需要一个地方来上传这个路由记录。你可以使用你的RIR来托管你的IRR数据，或者你可以使用像RADB或ALTDB这样的全球服务。在某些情况下，您也可以使用您的交通服务提供商。一旦你在其中一个服务上建立了帐户，你就可以上传这些路由记录了（上传的方式与所选的IRR有很大关系）。路由：10.0.0.0/8博客大学描述：美国Anytown产地：AS65099管理人：mnt-大学通知：person@example.com已更改：person@example.com20180101来源：RADB最后一行反映了IRR路由的存储位置记录.IRR对于你的ASN就像你的IP网络块一样，在IRR中为你的ASN建立一个记录也是很好的。当你的网络变得更加复杂时，这将是非常需要的。加起来也没什么坏处现在，奥特-编号：AS65099学名：博格大学博客大学描述：美国Anytown管理人：mnt-大学通知：person@example.com改变：person@example.com20180101来源：RADB您可以使用经典命令行whois命令（或RADB网站）来检查它们是否存在你。你的ASN需要放在上游ISP（或服务提供商）的as集合中。其中的条目将向全球互联网的其他部分提供一个指示，表明您的ASN可以通过您的上游路由（在本例中是NREN）。如果一切顺利，类似这样的事情会出现在内部收益率-设置：AS-NRN说明：XX国的NREN成员：。。。成员：AS65099成员：。。。管理人：mnt-NREN通知：person@example.edu改变：person@example.edu20180101来源：RADB此as集合的成员区域提供了由上游（ASN）宣布的ASN的列表。我们还没有定义上游的ASN，所以假设它们是asn65001（这个ASN仍然来自文档范围）。此配置将存在于网络边缘的网络路由器上，或任何用于将本地网络连接到上游（NREN）的设备上。我们在这里使用一个非常简单的路由器配置来显示所需的最低配置。您的配置语言可以是不同的路由器bgp 65099邻居192.168.0.2远程as 65001邻居192.168.0.2前缀列表as65001侦听邻居192.168.0.2路由图as65001监听这是一个非常简单的例子（它缺少一个通常需要的完整的过滤器配置）。关键是路由器不包含任何与上面显示的IRR条目相关的代码或语言。那是因为IRR条目是带外的。它们存在于BGP协议之外。换句话说，这不仅仅需要c