新的Cloudflare工具可以告诉您您的ISP是否已经部署了BGP补丁

科技 2020-04-20 09:49:15

在4月初的一个多小时里,谷歌和Facebook等主要网站为大量用户提供服务。罪魁祸首既不是黑客也不是漏洞。问题出在名为“边境网关协议”(Border Gateway Protocol)的互联网数据路由标准上,该标准允许大量网络流量通过一家俄罗斯电信公司进行意外的迂回。对于Cloudflare首席执行官马修•普林斯来说,这是压垮他的最后一根稻草。

BGP中断经常发生,通常是意外。但BGP也可能被劫持用于大规模的间谍活动、数据拦截或某种形式的拒绝服务攻击。就在上周,美国行政机构采取行动,阻止中国电信在美国提供服务,因为据称存在包括BGP攻击在内的恶意活动。Cloudflare等公司处于BGP反弹的前沿。虽然公司不能直接解决问题,但它可以召集那些行动缓慢的人进行防御。

Cloudflare首席执行官马修•普林斯(Matthew Prince)表示:“几个星期前,最后一条从俄罗斯泄露出去的大管道发生泄漏,这是我们的工程团队说‘受够了’的时候了。现在是我们开始点名批评那些没有做好这件事的公司的时候了。”“在互联网上任何地方出了问题,我们都会为此受到指责,这是对的!”我们的客户付钱给我们是为了确保他们的互联网连接快速、安全、可靠。因此,BGP是我们无法自己解决的真正令人沮丧的领域之一。”

BGP类似于互联网的GPS地图服务,使互联网服务提供商能够自动选择在互联网广阔的网络景观中应该使用的路由数据。但实际上,BGP就像你固执己见的亲戚使用GPS地图服务一样。你堂兄的继父说:“哦,走这条路。这样又快又安全,而且你还可以带着漂亮的万圣节装饰品从房子旁边经过。”你只要相信他就行了。如果他不知道自己在说些什么——就像一个ISP在宣传一条糟糕的BGP路由一样——你可能会被困在无止境的商场交通中。

Cloudflare和其他组织一直在推广的加密工具、路由过滤器和最佳实践就像一种第六感,可以检测到你何时收到了糟糕的建议。他们对其他ip“宣布”或提供的BGP路由进行实际检查,以确保它们是合法的,没有人在为有问题的路由做广告。

BGP是安全的,但将测试您的ISP提供一个合法的路由和一个无效的一个来加载两个页面。如果您的ISP捕获了无效的路由,并且只在真正的路由上加载页面,那么它就通过了测试。但如果它接受这两条路由都是有效的,你的ISP就会失败,这意味着它还没有实现BGP保护来检查坏路由并过滤它们。

即使许多服务仍然不提供BGP保护,您仍然可以从提供BGP保护的服务中获益。Prince解释说,在像俄罗斯电信事件这样的中断期间,使用BGP最佳实践的isp将识别这个问题,通常称为“路由泄漏”,并拒绝它而选择合法的路由。因此,如果你家里的Wi-Fi来自康卡斯特(Comcast),而该公司尚未实施上述改进措施,而你的移动数据来自美国电话电报公司(AT&T),那么在BGP事件期间,你可能无法在笔记本电脑上加载某些网站和服务,但可以从智能手机上访问它们。

你可能无法直接与ISP的首席执行官联系,抱怨他们在BGP保护方面不够积极。不过,Cloudflare希望,该工具将提高消费者的意识,同时为行业参与者提供一种简便的方式,让他们看到和被看到。

“BGP是一个有40多年历史的协议,互联网能在一个真正基于信任的系统上运行这么久,真是一个奇迹,”普林斯说。“显然,进行更多的验证是有意义的,因为其他任何事情都是疯狂的。然而,!这需要很长时间才能实现。希望我们能给公众施加一点压力。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢