國際互聯(lián)網(wǎng)協(xié)會(huì)(Internet Society)是一個(gè)非政府�、非盈利的國際性組織,成立于1992年,在推動(dòng)互聯(lián)網(wǎng)全球化,加快網(wǎng)絡(luò)互連技術(shù)�����、應(yīng)用軟件發(fā)展��,提高互聯(lián)網(wǎng)普及率等方面發(fā)揮重要的作用��。
2014年���,國際互聯(lián)網(wǎng)協(xié)會(huì)推出了一項(xiàng)名為“MANRS”的倡議(即路由安全性的相互商定規(guī)范,Mutually Agreed Norms for Routing Security)���?�;贛ANRS的倡議���,網(wǎng)絡(luò)運(yùn)營商會(huì)員——主要的互聯(lián)網(wǎng)服務(wù)提供商(ISP)們將致力于實(shí)現(xiàn)互聯(lián)網(wǎng)安全控制�,以確保不正確的路由器信息不會(huì)通過其網(wǎng)絡(luò)進(jìn)行傳播�����。
如今����,國際互聯(lián)網(wǎng)協(xié)會(huì)進(jìn)一步擴(kuò)大了其“MANRS”倡議,從只包含自治系統(tǒng)網(wǎng)絡(luò)到包含互聯(lián)網(wǎng)交換中心(IXPs)�。
一個(gè)自治系統(tǒng)(AS)即一個(gè)有權(quán)自主地決定在本系統(tǒng)中應(yīng)采用何種路由協(xié)議的小型單位。這個(gè)網(wǎng)絡(luò)單位可以是一個(gè)簡單的網(wǎng)絡(luò)�����,也可以是一個(gè)由一個(gè)或多個(gè)普通的網(wǎng)絡(luò)管理員來控制的網(wǎng)絡(luò)群體��,它是一個(gè)單獨(dú)的可管理的網(wǎng)絡(luò)單元(例如一所大學(xué)��,一個(gè)企業(yè)或者一個(gè)公司個(gè)體)。
而所謂“互聯(lián)網(wǎng)交換中心”(IXP)�����,亦稱為IX��,它是不同電信運(yùn)營商之間為連通各自網(wǎng)絡(luò)而建立的集中交換平臺(tái)����,一般由第三方中立運(yùn)營,是互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施�,國外知名IX有AMS-IX、HKIX����、Equnix IX等��,國內(nèi)知名的第三方IX有位于上海的We IX(馳聯(lián)網(wǎng)絡(luò))�����、位于北京的CNISP等��。
為了實(shí)現(xiàn)網(wǎng)絡(luò)路由最基本的安全性�,國際互聯(lián)網(wǎng)協(xié)會(huì)于2014年正式推出這項(xiàng)MANRS倡議,最開始只有9家網(wǎng)絡(luò)運(yùn)營商(ISP)自愿參與該倡議計(jì)劃�,而到了現(xiàn)在�,其會(huì)員數(shù)量已經(jīng)發(fā)展到了56家����,互聯(lián)網(wǎng)上的AS也有大約60,000個(gè)。國家互聯(lián)網(wǎng)協(xié)會(huì)技術(shù)項(xiàng)目經(jīng)理Andrei Robachevsky介紹稱�����,我們目前設(shè)定的目標(biāo)是發(fā)展700-800名積極合規(guī)的成員����。由于大約80%的網(wǎng)絡(luò)都是末梢網(wǎng)絡(luò)(stub networks),其沒有必要知道整個(gè)網(wǎng)絡(luò)的具體拓?fù)?,只是?fù)責(zé)將所有流向外部的流量轉(zhuǎn)發(fā)到下一跳(next-hop)路由器上去即可。Robachevsky 認(rèn)為���,700-800個(gè)ISP成員足以提供必要的臨界點(diǎn)���,以便大幅改善網(wǎng)絡(luò)路由的安全性。
這在目前是一個(gè)關(guān)鍵問題���。每個(gè)自治系統(tǒng)(AS)都會(huì)“通知”其客戶到其他網(wǎng)絡(luò)���,以便流量能夠到達(dá)其預(yù)定的目的地�����。其使用的協(xié)議是邊界網(wǎng)關(guān)協(xié)議(BGP)——它是唯一一個(gè)用來處理像因特網(wǎng)大小的網(wǎng)絡(luò)的協(xié)議����,也是唯一能夠妥善處理好不相關(guān)路由域間的多路連接的協(xié)議�����。其開發(fā)于20世紀(jì)90年代中期�����,具有適應(yīng)性��、簡單性和已于部署的特點(diǎn)��。BGP系統(tǒng)的主要功能是和其他的 BGP 系統(tǒng)交換網(wǎng)絡(luò)可達(dá)信息�。網(wǎng)絡(luò)可達(dá)信息包括列出的自治系統(tǒng)(AS)的信息���。這些信息有效地構(gòu)造了AS互聯(lián)的拓樸圖并由此清除了路由環(huán)路�����,同時(shí)在AS級(jí)別上可實(shí)施策略決策�。
但是該協(xié)議并不具備內(nèi)置的安全性,雖然有可以驗(yàn)證信息的帶外數(shù)據(jù)(out-of-band�����,簡稱OOB)權(quán)威數(shù)據(jù)庫�,但是由于這些數(shù)據(jù)并不完整,所以也并非經(jīng)常使用�。
不同自治系統(tǒng)(AS)之間路由驗(yàn)證的基本缺失是導(dǎo)致意外和惡意網(wǎng)絡(luò)路由問題的根本原因。針對網(wǎng)絡(luò)路由主要有以下三個(gè)主要問題:路由劫持��;IP地址欺騙以及路由泄漏——值得注意的是�,僅2017年就發(fā)生了14,000起網(wǎng)路路由相關(guān)事件。
關(guān)于“路由劫持”最經(jīng)典的案例發(fā)生在2008年�����,當(dāng)時(shí)造成YouTube宕機(jī)了大約2個(gè)小時(shí)���。當(dāng)時(shí)安全研究人員普遍認(rèn)為���,這是一起有意為之的安全事故:由于當(dāng)時(shí)YouTube上出現(xiàn)了反伊斯蘭教的視頻�����,巴基斯坦政府要求本國ISP“封殺”這一網(wǎng)站����,業(yè)內(nèi)人士認(rèn)為�����,正是為了阻止本國人訪問YouTube�,巴基斯坦電信“劫持”了YouTube網(wǎng)絡(luò)服務(wù)器的IP地址。這些信息隨后被傳遞至巴基斯坦的ISP����,當(dāng)巴基斯坦人訪問YouTube時(shí),會(huì)被重定向到另一個(gè)地址�����。隨后����,有關(guān)IP地址劫持的信息泄漏給了服務(wù)范圍更廣的電訊盈科(PCCW)�,受此影響�,YouTube被全球多家ISP錯(cuò)誤地封殺����,所有用于YouTube的流量都被發(fā)送到了巴基斯坦電信。
2017年4月��,Robachevsky在國際互聯(lián)網(wǎng)協(xié)會(huì)的博客中寫道��,“大量屬于萬事達(dá)卡����、Visa以及20多家金融服務(wù)公司的網(wǎng)絡(luò)流量被俄羅斯電信劫持。幾分鐘后���,俄羅斯最大的電信運(yùn)營商Rostelecom為許多其他自治系統(tǒng)(AS)發(fā)起50個(gè)前綴����,劫持它們的網(wǎng)絡(luò)流量�����。”
IP地址欺騙可以用于不同的惡意目的�����。其中最具戲劇性的是反射/放大DDoS攻擊。攻擊者通過欺騙目標(biāo)地址�,然后使用放大和反射將大量數(shù)據(jù)導(dǎo)向受害者。今年�����,memcached就已被用于放大DDoS攻擊��,并造成足以刷新記錄的“戰(zhàn)績”——開始的峰值為1.3Tbps����,沒過幾天峰值達(dá)到了1.7Tbps。
如果有足夠多數(shù)量的自治系統(tǒng)(AS)采用了MANRS原則��,則反射/放大DDoS攻擊將不再是一個(gè)問題�����,因?yàn)榈刂菲垓_將能夠被識(shí)別和拒絕�。
當(dāng)網(wǎng)絡(luò)意外地發(fā)布錯(cuò)誤信息時(shí),就可能會(huì)發(fā)生路由泄露�����。2014年����,發(fā)生在網(wǎng)絡(luò)監(jiān)測服務(wù)中心Dyn身上的事故就證明了這一點(diǎn)。而在此之前�,印尼衛(wèi)星(Indosat)泄露事件影響了全球的路由表;VolumeDrive也幾乎泄露了整個(gè)BGP的路由表����。這些安全事件讓事情變得更為糟糕,其產(chǎn)生的影響甚至要比災(zāi)難性事件持續(xù)的時(shí)間還要更久�����。
MANRS倡議試圖讓網(wǎng)絡(luò)提供商只遵守四項(xiàng)基本原則:過濾公告以確保其準(zhǔn)確性��;防止IP地址欺騙���;改善網(wǎng)絡(luò)之間的協(xié)調(diào)��;對每個(gè)網(wǎng)絡(luò)而言要確保自己的全球驗(yàn)證網(wǎng)絡(luò)部分是準(zhǔn)確無誤的?���,F(xiàn)在的問題是��,國際互聯(lián)網(wǎng)協(xié)會(huì)將其MANRS社區(qū)成員從目前的56個(gè)擴(kuò)大到700-800個(gè)(也就是Robachevsky所謂的“臨界點(diǎn)”)��,真正地為保障網(wǎng)絡(luò)路由安全性發(fā)揮作用。
為了實(shí)現(xiàn)這一目標(biāo)����,近日,國際互聯(lián)網(wǎng)協(xié)會(huì)與10位IXP創(chuàng)始成員共同推出了一項(xiàng)“MANRS IXP”計(jì)劃����。該計(jì)劃的宗旨是希望IXP(其中一些擁有多達(dá)600個(gè)與之相連的自治系統(tǒng))能夠協(xié)助提升網(wǎng)絡(luò)路由的安全性,同時(shí)�,IXP也將擔(dān)任該計(jì)劃的推廣大使。
Robachevsky評論稱��,“如果我們能夠讓他們擔(dān)任大使����,并在其社區(qū)中推廣MANRS倡議,這將不失為一種擴(kuò)大MANRS規(guī)模的好方法�����。當(dāng)然�,它們也可以大力地促進(jìn)路由安全,它們運(yùn)行所謂的“路由服務(wù)器”�����,每個(gè)成員都可以連接到IXP的代理網(wǎng)絡(luò)以獲取路由信息,而不需要每個(gè)人都連接到每個(gè)人����。這也就意味著��,路由服務(wù)器本身可以進(jìn)行驗(yàn)證�����,因?yàn)槊總€(gè)路由服務(wù)器都已經(jīng)知道它的用戶網(wǎng)絡(luò)�。此外,安裝其中的過濾器可以識(shí)別配置錯(cuò)誤或錯(cuò)誤的公告��,并且可以阻止錯(cuò)誤�、無效的公告?����?梢哉f��,我們正在創(chuàng)建一個(gè)非常安全的對等環(huán)境����,這是整個(gè)互聯(lián)網(wǎng)路由安全性邁出的重要一步���。”
對于國際互聯(lián)網(wǎng)協(xié)會(huì)而言,目前的挑戰(zhàn)在于簽署MANRS——無論是作為單獨(dú)的自治系統(tǒng)(AS)還是作為IXP——都沒有制定任何措施來直接地保護(hù)其會(huì)員��。它有助于保護(hù)其他網(wǎng)絡(luò)�,并且每個(gè)網(wǎng)絡(luò)都非常依賴保護(hù)它們的其他網(wǎng)絡(luò)。為了使IXP盡可能簡單地加入該計(jì)劃�,只有三個(gè)要求:兩個(gè)基本要求以及從三個(gè)可選要求中至少選擇一個(gè)。
其中�,兩個(gè)基本要求是有效地阻止錯(cuò)誤路由信息的傳播,以及將MANRS推廣到IXP自己的會(huì)員中�����。三個(gè)可選要求(每個(gè)IXP必須至少從中選擇一項(xiàng))包括保護(hù)對等平臺(tái)��;促進(jìn)網(wǎng)絡(luò)運(yùn)營商之間的全球運(yùn)營溝通和協(xié)調(diào)��;以及為會(huì)員提供監(jiān)控和調(diào)試工具�。
“
MANRS IXP計(jì)劃的創(chuàng)始參與者能偶?jí)蚶斫鈸碛懈邚椥院桶踩幕ヂ?lián)網(wǎng)路由系統(tǒng)的重要性。IXP社區(qū)是互聯(lián)網(wǎng)生態(tài)系統(tǒng)的組成部分���,而且通過參與MANRS計(jì)劃���,他們正在逐步發(fā)展成為一個(gè)致力于使全球路由基礎(chǔ)設(shè)施更加安全的安全思維網(wǎng)絡(luò)運(yùn)營商社區(qū)���。
如果電訊盈科(PCCW)已經(jīng)實(shí)施了MANRS,那么巴基斯坦電信對YouTube的劫持是不可能發(fā)生的���。而如果電訊盈科沒有實(shí)施MANRS����,但I(xiàn)XP已經(jīng)這樣做了��,那么劫持就會(huì)在對等連接點(diǎn)(peering points)停止��。
在線咨詢
在線咨詢
0371-63319761
