如何缓解BGP劫持攻击？

Question

BGP 劫持攻击（即，攻击者错误地宣布不属于攻击者所有的网络前缀）看起来非常简单且易于启动。

那么，有没有办法缓解这种攻击呢？ 检测错误的BGP公告是阻止它的唯一方法吗？

另外，只有拥有检测虚假公告数据的大 AS 才能完成这项工作吗？

Answer 1

是的，这是一个比这里可以回答的更大的问题。

当然，这是 BGPSec 和 BGP 源验证旨在缓解的问题。

IETF SIDR工作组已经结束其工作， SIDROPS正在研究部署和运行的实际问题。

为什么保护 Internet 路由需要这么长时间？ 很有趣。 还有BGP 和 BGPsec：攻击和对策。

如果 AS 可以“检测到虚假公告”，那么很明显他们会压制它们。 但是要检测虚假公告，您需要可靠的真实公告来源。 这已被证明是一个大问题。 但情况比这更糟。 在“稳定状态”下，几乎可以想象一个合理大小的 True Routes 数据库。 但是为了应对大大小小的网络问题，BGP 的全部意义在于可以宣布新路由（包括新的更具体的路由），以保持流量畅通。 所以你的 True Routes 数据库需要一个单独的协议（有它自己的延迟和信任问题）来保持最新:-(

从 ISP 的角度来看，确实大多数客户和同行公布了有限且稳定数量的知名路由。 因此，精确的路由过滤看起来像是减轻威胁的方法。 但它繁琐、耗时、容易出错并增加了复杂性，而且对 ISP 的好处微乎其微（如果有的话）……而且不灵活（为什么不只配置静态路由！）。

当然，即使给定的 AS“有权”宣布给定的路由，也不能保证它们会“正确”处理流量:-(

[我不知道NetworkEngineering民间有高达BGPSec和原产地验证等？实际部署的日期视窗]