譯者 | 范曉波

審校 | 孫淑娟

什么是 BGP？

邊界網(wǎng)關(guān)協(xié)議（BGP）是互聯(lián)網(wǎng)的主要路由協(xié)議。它被描述為“使互聯(lián)網(wǎng)工作”的協(xié)議，因為它在允許流量快速有效地傳輸方面發(fā)揮著重要的作用。

BGP的最初功能是在邊緣路由器之間傳送網(wǎng)絡(luò)可達性信息（有時被描述為可達性協(xié)議）。此后，它已擴展為還承載 VPN、IPv6、多播和一系列其他數(shù)據(jù)的路由信息。BGP 提供網(wǎng)絡(luò)穩(wěn)定性，因為它保證路由器可以在一條Internet路徑出現(xiàn)故障時快速適應(yīng)通過不同的連接發(fā)送數(shù)據(jù)包。 它通過BGP-speaking路由器和路由表在Internet上交換路由信息來實現(xiàn)這一點。

互聯(lián)網(wǎng)路由由兩種不同的類型組成:：

1. 內(nèi)部網(wǎng)關(guān)協(xié)議 （IGP）：用于自治系統(tǒng)（AS）內(nèi)的路由，例如 EIGRP、OSPFF 和        RIP；
2. 外部網(wǎng)關(guān)協(xié)議 （EGP）：邊界網(wǎng)關(guān)協(xié)議目前是事實上的標(biāo)準(zhǔn) EGP 路由協(xié)議，用于域間路。

BGP最初是作為取代現(xiàn)有EGP的權(quán)宜之計而提出的。快進30年，它仍然是互聯(lián)網(wǎng)的核心支柱之一。我們目前使用的是版本4（BGP4 或 BGP-4）。

BGP 如何工作？

BGP指定了一種基于TCP的通信方法，以幫助自治系統(tǒng)通過互聯(lián)網(wǎng)交換路由信息。AS是由公共管理機構(gòu)（如大型企業(yè)或大學(xué)）運行的路由器的集合，它們控制著IP地址范圍。每個AS都分配有一個自治系統(tǒng)編號（ASN）。

BGP 根據(jù)網(wǎng)絡(luò)管理員設(shè)置的路徑、規(guī)則和/或網(wǎng)絡(luò)策略確定路由決策。每個 AS 管理一個路由表，其中包含到其他網(wǎng)絡(luò)的所有已知路由，然后與相鄰網(wǎng)絡(luò)共享，也稱為對等網(wǎng)絡(luò)。 BGP 決策過程使 AS 能夠通過分析每個候選者的路徑屬性，應(yīng)用一組標(biāo)準(zhǔn)（包括權(quán)重、本地偏好、最短 AS 路徑等）來選擇最有效的可用路由。這意味著 BGP 可能會沿著一條路徑引導(dǎo)流量到達其目的地，并在其回程中沿著另一條路徑引導(dǎo)流量，從而導(dǎo)致非對稱路由。

BGP設(shè)計和實現(xiàn)的重點一直是安全性和可擴展性，這使得它比其他路由協(xié)議更難配置；它也更復(fù)雜，使其成為最慢的收斂路由協(xié)議之一。

一點點歷史

需要一些背景知識才能更好地了解BGP在互聯(lián)網(wǎng)歷史上所扮演的關(guān)鍵作用。1989年，我們今天所認為的互聯(lián)網(wǎng)剛剛邁出了第一步?；ヂ?lián)網(wǎng)的商用仍然被禁止，但商業(yè)ISP正在萌芽，并向最終用戶提供網(wǎng)絡(luò)訪問，互聯(lián)網(wǎng)的商用不再是一個禁忌話題。

當(dāng)BGP于1989年6月首次標(biāo)準(zhǔn)化時，長期運行的ARPANET被停用（1989年2月28日），TCP / IP被用于互連來自偏遠國家的不同網(wǎng)絡(luò)，互聯(lián)網(wǎng)即將從其中心架構(gòu)轉(zhuǎn)向分布式的架構(gòu)，沒有明確定義的主干。

在此之前，所謂的互聯(lián)網(wǎng)網(wǎng)關(guān)通過外部網(wǎng)關(guān)協(xié)議（EGP）交換網(wǎng)絡(luò)可達信息。EGP是為一個由核心AS和直接連接到該核心的多個其他較小AS組成的互聯(lián)網(wǎng)而設(shè)計的，它完全依賴于AS的樹狀結(jié)構(gòu)拓撲，不支持循環(huán)拓撲。

盡管這些限制在早期階段的互聯(lián)網(wǎng)中是可以忍受的，在早期存根網(wǎng)關(guān)通過其ARPANET骨干相互通信，但隨著商業(yè)實體和多個骨干網(wǎng)（如NSFNET）的出現(xiàn)，其不足之處變得越來越明顯，更不用說無法創(chuàng)建基于策略的路由，這是BGP成功的關(guān)鍵。

BGP 中固有的漏洞

使 BGP 如此成功的特性也使其極易受到人為錯誤和惡意攻擊的影響。

對構(gòu)成現(xiàn)代互聯(lián)網(wǎng)的大量AS幾乎沒有監(jiān)管，對每個AS鄰居網(wǎng)絡(luò)過濾器應(yīng)如何配置幾乎沒有監(jiān)管。這使得它是一個高度靈活的協(xié)議。但是，如果通告了一條新的虛假路由，無論是偶然的還是故意的，流量都將被發(fā)送到錯誤的網(wǎng)絡(luò)，正如我們最近所看到的，這個問題可以迅速傳播到全網(wǎng)。

有兩種主要類型的漏洞：

BGP 泄漏 

路由泄漏涉及無意創(chuàng)建虛假的路由信息，從而誤導(dǎo)流量并使其容易被濫用。路由泄漏通常是由于人為的錯誤配置過濾器導(dǎo)致的，導(dǎo)致前綴和IP地址塊的非法通告，這些異常在網(wǎng)絡(luò)上傳播會導(dǎo)致產(chǎn)生非最優(yōu)路由和不正確的路由。

BGP 劫持 

路由劫持涉及通過損壞互聯(lián)網(wǎng)路由表故意接管IP地址的集合。如果注入的路由通告比真實的路由通告更有效，則流量將重新路由到注入的通告的路由器。BGP劫持并不總是容易檢測到，因為活動可能隱藏在其他AS的后面，或者可能涉及通告未使用的IP前綴塊，這些不太可能被注意到。因此，互聯(lián)網(wǎng)流量可能會以錯誤的方式發(fā)送，秘密監(jiān)控或攔截。垃圾郵件發(fā)送者還可以使用BGP劫持來欺騙合法IP并將用戶發(fā)送到偽造網(wǎng)站。

對最終用戶和業(yè)務(wù)的影響

這兩種類型的漏洞都會使最終用戶遭受問題。這些范圍從不方便（例如由于流量采用不必要的長路徑而導(dǎo)致頁面加載時間變慢）到非常嚴(yán)重的情況（例如流量攔截或整個網(wǎng)絡(luò)的黑洞）。這種攻擊可能和我們在DDoS攻擊中看到的那樣導(dǎo)致那種大面積的網(wǎng)絡(luò)中斷。攻擊者還可以僅通過特定網(wǎng)絡(luò)黑洞來審查特定的信息來源。

這兩種類型的漏洞都會使最終用戶遭受問題。這些范圍從不方便，例如由于流量采取不必要的長路由而導(dǎo)致的頁面加載時間慢到高度嚴(yán)重，例如整個網(wǎng)絡(luò)的流量攔截或黑洞。這種攻擊可能導(dǎo)致我們在DDoS攻擊中遭遇全面中斷。攻擊者還可以通過僅黑洞特定網(wǎng)絡(luò)來審查特定信息源。

重新路由的中間人性質(zhì)還允許攻擊者竊聽通信的某些部分，甚至改變流量本身。他們可以將流量從你的合法網(wǎng)站流量重定向到偽裝成你網(wǎng)絡(luò)的一部分的惡意網(wǎng)站。這可能導(dǎo)致敏感信息或證書被盜，甚至向你發(fā)送惡意軟件。我們從去年劫持者攻擊AWS的DNS服務(wù)來竊取比特幣就可以看到這一點。垃圾郵件發(fā)送者還可能通過濫用你的ASN來發(fā)送垃圾郵件，從而損害你的企業(yè)聲譽。

雖然企業(yè)無法完全防止BGP配置錯誤或故意濫用BGP，但他們可以監(jiān)控正在發(fā)生的事情。通過監(jiān)控與AS相關(guān)的BGP路由，你可以了解可能正在發(fā)生的任何類型的BGP漏洞，并可以執(zhí)行事件響應(yīng)計劃。

譯者介紹

范曉波，51CTO社區(qū)編輯，資深網(wǎng)絡(luò)安全工程師。精通SDN、SD-WAN、VPN、NFV等網(wǎng)絡(luò)相關(guān)技術(shù)。精通二三層網(wǎng)絡(luò)轉(zhuǎn)發(fā)。熟悉DPDK、VPP、OVS高性能網(wǎng)絡(luò)開源框架。

原文標(biāo)題：??A BGP Guide for the Non-Network Engineer??，作者：Mehdi Daoudi