如何緩解BGP劫持攻擊？

Question

BGP 劫持攻擊（即，攻擊者錯誤地宣布不屬於攻擊者所有的網絡前綴）看起來非常簡單且易於啟動。

那么，有沒有辦法緩解這種攻擊呢？ 檢測錯誤的BGP公告是阻止它的唯一方法嗎？

另外，只有擁有檢測虛假公告數據的大 AS 才能完成這項工作嗎？

Answer 1

是的，這是一個比這里可以回答的更大的問題。

當然，這是 BGPSec 和 BGP 源驗證旨在緩解的問題。

IETF SIDR工作組已經結束其工作， SIDROPS正在研究部署和運行的實際問題。

為什么保護 Internet 路由需要這么長時間？ 很有趣。 還有BGP 和 BGPsec：攻擊和對策。

如果 AS 可以“檢測到虛假公告”，那么很明顯他們會壓制它們。 但是要檢測虛假公告，您需要可靠的真實公告來源。 這已被證明是一個大問題。 但情況比這更糟。 在“穩定狀態”下，幾乎可以想象一個合理大小的 True Routes 數據庫。 但是為了應對大大小小的網絡問題，BGP 的全部意義在於可以宣布新路由（包括新的更具體的路由），以保持流量暢通。 所以你的 True Routes 數據庫需要一個單獨的協議（有它自己的延遲和信任問題）來保持最新:-(

從 ISP 的角度來看，確實大多數客戶和同行公布了有限且穩定數量的知名路由。 因此，精確的路由過濾看起來像是減輕威脅的方法。 但它繁瑣、耗時、容易出錯並增加了復雜性，而且對 ISP 的好處微乎其微（如果有的話）……而且不靈活（為什么不只配置靜態路由！）。

當然，即使給定的 AS“有權”宣布給定的路由，也不能保證它們會“正確”處理流量:-(

[我不知道NetworkEngineering民間有高達BGPSec和原產地驗證等？實際部署的日期視窗]