本文将讨论我们的网络安全方法，使用诸如RPKI这样的技术来签署互联网路由，保护我们的用户和客户免受路由劫持和错误配置的影响。我们很荣幸地宣布，我们已经开始部署主动过滤，使用RPKI进行路由决策并签署路线。后退今年4月，新闻报道了包括我们在BGP上的博客文章和路由泄露的文章，强调了IP地址是如何被恶意或错误地重定向的。虽然庞大，但作为互联网基石的底层路由基础设施，基本上仍然保留了下来无担保。在Cloudflare，我们决定通过保护我们的客户和所有使用我们的服务（包括递归解析器1.1.1.1）来保护我们的部分互联网。从BGP到RPKI，我们如何进行互联网？前缀是IP地址的范围，例如10.0.0.0/24，第一个地址是10.0.0.0，最后一个地址是10.0.0.255。计算机或服务器通常有一台。路由器创建一个称为路由表的可访问前缀列表，并使用该路由表将数据包从源传输到目的地。在因特网上，网络设备通过称为BGP（边界网关协议）的协议交换路由。BGP使互联网上的互连映射成为可能，这样数据包就可以通过不同的网络发送到它们的最终目的地。BGP将单独的网络绑定到互联网。这个动态协议也是使因特网如此有弹性的原因，它提供了多个路径，以防途中的路由器出现故障。BGP公告通常由一个前缀组成，前缀可以在目的地到达，并由一个自治系统号（ASN）发起。IP地址和自治系统号由五个区域互联网注册中心（RIR）分配：非洲的Afrinic，亚太地区的APNIC，北美的ARIN，拉丁美洲产于中美洲和南美洲，成熟于欧洲、中东和俄罗斯。每一个都在运作独立的所有互联网参与者公布的70多万条IPv4路由和4万条IPv6路由，很难知道谁拥有哪条资源。那里不是指定了前缀的实体之间的简单关系，用一个ASN宣布它的那个，以及接收或发送带有这些IP地址的包的那个。拥有10.0.0.0/8的实体可以将该空间的子集10.1.0.0/24委托给另一个运营商，同时通过另一个运营商宣布实体。因此路由泄漏或路由劫持被定义为非法发布IP空间。"路由劫持"一词意味着恶意目的，而路由泄漏通常是由于配置错误而发生的。路由的更改将导致流量通过其他网络重定向。可以读取和修改未加密的流量。没有DNSSEC的HTTP网页和DNS对这些敏感功劳。你可以在我们的学习中了解更多关于BGP劫持的信息中心。什么时候一个不合法的通告被一个对等点检测到，他们通常会通知来源并重新配置他们的网络来拒绝无效的路线。很不幸, 检测和采取行动的时间可能从几分钟到几天，这足以窃取加密货币，毒害DNS缓存或使网站不可用。有一些系统可以记录和防止非法的BGP公告。TheInternet路由注册（IRR）是网络运营商用来注册其分配的Internet资源的半公共数据库。一些数据库维护人员不检查条目是否确实由所有者创建，也不检查前缀是否已转移给其他人。这使得它们容易出错，而不是完全错误可靠。资源公钥基础设施（RPKI）类似于IRR"route"对象，但是添加了密码学。这里它的工作原理是：每个RIR都有一个根证书。他们可以为本地Internet注册中心（LIR，又称网络运营商）生成一个签名证书，其中包含分配给他们的所有资源（IP和ASN）。然后，LIR对包含源代码的前缀进行签名，正如他们打算使用的那样：创建一个ROA（路由对象授权）。ROAs只是简单的X.509证书。如果你已经习惯了浏览器用来认证网站持有者的SSL/TLS证书，那么roa在互联网路由中是等价的世界。签名预选拥有和管理互联网资源（IP地址，自治系统号码）可以访问其区域互联网注册门户。通过门户或RIR的API对前缀进行签名是最简单的方法RPKI。因为在我们的全球业务中，Cloudflare在5个RIR区域都有资源。在不同的ASN上有800多个前缀通知，第一步是确保我们要签名的前缀是正确的宣布了。我们从签署我们较少使用的前缀开始，检查流量水平是否保持不变，然后签署更多的前缀。如今，大约25%的Cloudflare前缀是签名的。这包括我们的关键DNS服务器和我们的公共1.1.1.1解决方案。强制执行验证前缀指定前缀是一回事。但是，确保我们从对等方接收到的前缀与他们的证书匹配另一个。那个第一部分是验证证书链。这是通过rsync同步ROA的RIR数据库来完成的（尽管有一些关于通过HTTPS分发的新建议），然后根据RIR的证书公钥检查每个ROA的签名。一旦知道有效记录，此信息将发送到路由器。少校供应商支持称为RPKI到路由器协议（缩写为RTR）的协议。这是一个简单的协议，用于传递一个有效前缀的列表以及它们的来源ASN和预期的掩码长度。然而，虽然RFC定义了4种不同的安全传输方法，但供应商只实现了不安全的传输方法。以明文形式通过TCP发送的路由可能被篡改有。有在全球150多个路由器上，依靠这些明文TCP会话通过不安全和有损的互联网到我们的验证器是不安全的。我们需要在一个我们知道安全和可靠。一个我们考虑的选择是在150多个数据中心中安装一个RPKI RTR服务器和一个验证器，但这样做会大大增加操作成本并减少调试能力。介绍GoRTRWe需要一种更简单的方法来安全地传递RPKI缓存。在一些系统设计会议之后，我们决定从一个中央验证器安全地分发有效路由列表，通过我们自己的内容交付网络分发它，并使用一个轻量级的本地RTR服务器。此服务器通过HTTPS获取缓存文件并传递路由RTR.轧制在我们所有的POP上使用自动化的这个系统是很简单的，我们正逐步向强制执行RPKI签名路由的验证迈进到处都是鼓励在互联网上采用路线来源验证，我们也希望提供这一点免费为大家服务。您已经可以下载我们的RTR服务器了，它有Cloudflare后面的缓存。只需配置您的Juniper或Cisco路由器。如果您不想使用我们的前缀文件，它与成熟的RPKI验证器导出兼容格式。我们我们也在努力提供一个公共的RTR服务器使用我们自己的频谱服务，这样你就不必安装任何东西，只要确保你与我们同行！Cloudflare存在于许多Internet交换点上，因此我们距离大多数路由器。证书透明几个月前，Nick Sullivan介绍了我们新的Nimbus证书透明性登录。登录为了跟踪RPKI中发出的证书，我们的加密团队创建了一个名为Cirrus的新证书透明日志，其中包括作为信任锚的五个RIRs根证书。证书透明性是检测RPKI中不良行为的一个很好的工具，因为它将提交给它的所有有效证书的永久记录保存在一个仅附加的数据库中，该数据库在没有检测的情况下无法修改。它还允许用户通过HTTP下载整个证书集API.正在注意到路由泄露，我们广泛使用BGPmon等服务和其他公共观察服务，以确保在我们的一些前缀被泄露时能够迅速采取行动。我们也有内部的BGP和BMP收集器，聚集了超过6000万条路由并进行实时处理更新。我们的过滤器利用这个实时的feed来确保我们在可疑的路由时得到警告出现了未来最新统计数据显示，约有8.7%的IPv4互联网路由是与RPKI签署的，但只有0.5%的网络应用了严格的RPKI验证。甚至在实施RPKI验证的情况下，BGP参与者仍然可以冒充您的源站，并通过恶意路由器公布您的BGP路由配置。但是通过更密集的互连可以部分解决这一问题，Cloudflare已经通过一个广泛的私有和公共互联网络。为了充分发挥作用，RPKI必须由多个主要网络部署操作员。As来自NTT通讯公司的Job Snijders说，他一直在努力保护互联网安全布线：如果互联网的主要内容提供商使用RPKI和验证路由，由于受保护的路径前后形成的。只需要一小群紧密联系的组织就能对数十亿人的互联网体验产生积极的影响用户.RPKI并不是一个防弹的解决方案来保护互联网上的所有路由，但是它代表了从基于信任的路由到基于身份验证的路由的第一个里程碑。我们的目的是证明它可以简单而经济高效地完成。我们正在邀请关键互联网基础设施的运营商大规模跟进我们部署。订阅更新我们的公告。