Əsas mövzuya keç

RPKI and BGP Route Origin Validation

Həmçinin mövcuddur:

العربيّة

Български

Català

Čeština

Dansk

Deutsch

Ελληνικά

English

Esperante

Español

Eesti

Euskara

فارسی

Suomi

Français

Galego

עברית

हिन्दी

Magyarul

Bahasa Indonesia

Italiano

日本語

한국어

Lietuvių

norsk

Nederlands

Polski

Português

Русский

Slovenčina

Slovenščina

Shqip

Svenska

ภาษาไทย

Türkçe

Українська

اردو

Tiếng Việt

简体中文

繁體中文

.. başlıq: RPKI və BGP Route Origin Validation .. şlak: rpki-bgp-route-origin-validation .. tarix: 2026-04-07 12:00:00 UTC .. teqlər: rpki, bgp, təhlükəsizlik, marşrutlaşdırma, marşrut qaçırma, roa .. kateqoriya: Məqalələr .. keçid: .. təsviri: RPKI və Route Origin Validation BGP-ni qaçırmalardan və marşrut sızmalarından necə qoruyur – ROA-ları, doğrulama vəziyyətlərini, RTR protokolunu və yerləşdirmə statistikasını əhatə edir. .. növü: mətn

RPKI və BGP Route Origin Validation

Resurs Açıq Açar İnfrastrukturunun marşrut qaçırmalarının qarşısını necə alır – ROA etibar zəncirini, doğrulama vəziyyətlərini, RTR protokolunu və yerləşdirmənin bu gün harada olduğunu əhatə edir.

1. Niyə BGP-də Doğma Mənşə Doğrulaması yoxdur

BGP, bütün iştirakçıların etibarlı olduğu kooperativ internet üçün nəzərdə tutulmuşdur. Router YENİLƏNMƏ mesajını qəbul edir və onu heç bir kriptoqrafik yoxlama olmadan yayır ki, mənşəli AS həqiqətən həmin IP prefikslərini elan etmək səlahiyyətinə malikdir. Bu o deməkdir ki, hər hansı AS – səhv konfiqurasiya və ya pis niyyətlə – başqasının prefikslərini elan edə bilər və bu elan bir neçə dəqiqə ərzində qlobal şəkildə yayıla bilər.

RPKI-nin qəbulunu sürətləndirən diqqətəlayiq hadisələr:

  • 2008 — Pakistan Telecom:PTCL təsadüfən YouTube-un ünvan məkanı (208.65.153.0/24) üçün daha spesifik prefiks elan etdi və yuxarı axın provayderləri marşrutu geri çəkməzdən əvvəl ~2 saat ərzində YouTube-u qlobal miqyasda saxladı.
  • 2010 — China Telecom:China Telecom, ~18 dəqiqə ərzində ABŞ ordusuna, hökumətinə və kommersiya şəbəkələrinə aid ~50.000 prefiks yaratdı. Təsadüfi və ya qəsdən olub-olmaması heç vaxt təsdiqlənmədi.
  • 2018 — Amazon Route 53 DNS oğurluğu:Təcavüzkar 205.251.196.0/24 (Amazon DNS) oğurlamaq üçün BGP-dən istifadə edərək, kriptovalyuta pul kisəsi trafikini vəsaitləri oğurlamaq üçün yönləndirdi. Hücumda eNet-dən (AS10297) BGP YENİLƏMƏSİ istifadə olunub.
  • 2019 - Avropa trafiki China Telecom vasitəsilə yenidən istiqamətləndirildi:Avropa mobil trafiki (Vodafone və İsveçrənin Swisscom da daxil olmaqla) BGP marşrutunun sızması səbəbindən təxminən 2 saat ərzində China Telecom vasitəsilə yenidən istiqamətləndirildi.

2. RPKI Güvən İerarxiyası

RPKI (RFC 6480) IP ünvan sahəsinin necə həvalə edildiyini əks etdirən X.509 sertifikatlarının iyerarxiyasını qurur:

  1. IANAkök etibar lövbərini saxlayır. O, hər biri öz ünvan məkanını əhatə edən beş RIR-ə (ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC) resurs sertifikatları verir.
  2. RIR-lərüzvlərinə (İSP-lər, müəssisələr) həmin üzvlərin sahib olduğu ünvan sahəsinə görə sertifikatlar verir.
  3. ÜzvlərSon Müəssisə (EE) sertifikatlarını verin və imzalayınMarşrut Mənşə İcazələri(ROAs) — xüsusi prefikslər yaratmaq üçün xüsusi ASN-ə icazə verən imzalanmış sertifikatlar.

Təsdiqləyicilər bu imzalanmış obyekt iyerarxiyasını beş RIR deposundan (üstəlik hər hansı həvalə edilmiş depolardan) yükləyir, sertifikat zəncirini təsdiqləyir və təsdiqlənmiş ROA yükü (VRP) cədvəlini qurur. Daha sonra marşrutlaşdırıcılar vasitəsilə yerli RPKI keşini sorğulayırlarRTR protokolu (RFC 8210) bu cədvəli əldə etmək və daxil olan BGP YENİLƏMƏLƏRİ üzrə mənşə doğrulamasını yerinə yetirmək üçün.

3. Marşrut Mənşə İcazələri (ROA)

ROA (RFC 6482) üç sahəni ehtiva edən imzalanmış obyektdir:

  • ASN: Prefiksi yaratmaq səlahiyyətinə malik olan Avtonom Sistem.
  • Prefiks: İP prefiksi (IPv4 və ya IPv6) icazə verilir.
  • maksimum uzunluq: ASN-nin elan etməyə icazə verdiyi maksimum prefiksin uzunluğu. Göstərilməyibsə, yalnız dəqiq prefiksə icazə verilir. /20 prefiksi üçün məsələn, 24 olaraq təyin olunarsa, ASN /20 və /24 arasında daha spesifik olanı da elan edə bilər.
maxLength ümumi yanlış konfiqurasiya vektorudur.ROA-da maxLength = 32 (IPv4) və ya maxLength = 128 (IPv6) təyin edilməsi ASN-ə qaçırma zamanı istifadə oluna bilən /32 host marşrutu da daxil olmaqla, hər hansı daha spesifik alt şəbəkəni elan etməyə imkan verir. Ən yaxşı təcrübə: maxLength-i əslində elan etdiyiniz ən uzun prefiksə təyin edin (çox vaxt prefiksin uzunluğu ilə eynidir).

Tək ROA eyni ASN üçün birdən çox prefiksə icazə verə bilər, lakin bir ROA bir prefiks üçün birdən çox ASN-ə icazə verə bilməz. İkinci dərəcəli ASN-nin (məsələn, tranzit provayderi və ya CDN) prefiksinizi yaratmasına icazə vermək üçün həmin ASN üçün ayrıca ROA yaradın.

4. Qiymətləndirmə dövlətləri

Router BGP YENİLƏMƏSİ qəbul etdikdə mənşənin doğrulanmasını həyata keçirir (RFC 6811) yerli VRP cədvəlinə qarşı:

dövlət Vəziyyət Tipik Yerli Üstünlük müalicəsi
Etibarlıdır Ən azı bir ROA prefiksi əhatə edir (prefiks ⊆ ROA prefiksi VƏ prefiks uzunluğu ≤ maxLength) VƏ ROA-nın ASN-i BGP YENİLƏMƏsinin mənşəyi ASN ilə uyğun gəlir +20 və ya üstünlük verilir (ümumi)
Etibarsızdır Ən azı bir ROA prefiksi əhatə edir, lakin heç bir əhatə edən ROA-da uyğun ASN və elan edilmiş prefiksin uzunluğundan ≥ maxLength yoxdur Yerli-pref 0 və ya buraxın (operator seçimi; RFC 6811 icazə verməyi, lakin işarələməyi tövsiyə edir)
Tapılmadı Elan edilmiş prefiksi əhatə edən ROA yoxdur Dəyişməmiş (RPKI mövcud olmamışdan əvvəl olduğu kimi qəbul edilir)

Əsas fikir:Etibarsızdırproblemin daha güclü sübutudurTapılmadı. NotFound sadəcə o deməkdir ki, prefiks sahibi hələ ROA yaratmayıb. Yanlış, bu ASN-nin olduğunu söyləyən ROA-nın mövcud olduğunu bildiriryoxsəlahiyyətli — səhv konfiqurasiyanın və ya qaçırmanın güclü siqnalı.

5. RTR Protokolu

Routerlər X.509 sertifikat zəncirlərini özləri təsdiq etmirlər – bu, hesablama baxımından baha olardı və tam RPKI keşinin saxlanmasını tələb edir. Bunun əvəzinə, həsr olunmuşRPKI təsdiqləyicisi(Routinator, OctoRPKI, Fort, rpki-client) tam RPKI repozitoriyasını endirir və təsdiqləyir və RTR protokolu vasitəsilə (RFC 8210).

RTR artan sinxronizasiya mexanizmi ilə TCP-dən (IANA tərəfindən təyin edilmiş 323 port; Routinator kimi təsdiqləyicilərdən kök imtiyazları tələb etməmək üçün 3323-cü porta) istifadə edir: validator seriya nömrələri göndərir və marşrutlaşdırıcılar sonuncu sinxronizasiyadan sonra yalnız delta tələb edir. Bu, hətta böyük VRP cədvəlləri (hazırda qlobal miqyasda ~400,000+ IPv4 girişləri) üçün bant genişliyini aşağı saxlayır.

6. Yerləşdirmə və Statistika

2026-cı ilin əvvəlindən etibarən RPKI-nin yerləşdirilməsi əhəmiyyətli miqyas aldı:

  • Qlobal yönləndirilmiş IPv4 prefikslərinin 50%-dən çoxunda ən azı bir ROA əhatə edir (2019-cu ildə ~10%-dən çox).
  • Tier-1 və Tier-2 ISP-lərin əksəriyyəti indi Marşrutun Mənşəyinin Təsdiqlənməsini həyata keçirir və Etibarsız marşrutları ləğv edir və ya prioritetləşdirir.
  • MANRS (Marşrutlaşdırma Təhlükəsizliyi üçün Qarşılıqlı Razılaşdırılmış Normlar) üzvlük üçün ilkin şərt kimi RPKI ROA yaradılmasını tələb edir və hər AS uyğunluq tablosunu dərc edir.

Canlı statistika:NIST RPKI Monitor, ROV++, APNIC RPKI Statistikası.

7. ROV-dən kənar: ASPA və BGPsec

RPKI Route Origin Validation yalnız bunu yoxlayırmənşəli ASNprefiksi elan etmək səlahiyyətinə malikdir. O, AS_PATH-i təsdiq etmir – təcavüzkar hələ də sonunda qanuni mənşəli AS olan saxta AS_PATH yarada bilər. İki IETF standartı bunu həll edir:

  • BGPsec (RFC 8205): Yoldakı hər bir AS qırılmaz nəzarət zənciri yaradaraq YENİLƏMƏni kriptoqrafik olaraq imzalayır. BGPsec-i dəstəkləmək üçün bütün tranzit AS-ləri tələb edir – bu, əhəmiyyətli yerləşdirmə maneəsidir. 2026-cı ildən etibarən nadir hallarda yerləşdirilir.
  • ASPA(Avtonom Sistem Provayderinin İcazəsi,layihə-ietf-sidrops-aspa-profili): AS səlahiyyətli upstream təminatçılarını siyahıya alan obyekti imzalayır. Doğrulayıcılar etibarsız vadisiz yolları aşkar edə bilər (məsələn, müştəri provayder kimi marşrutları elan edir). BGPsec-dən daha sadə yerləşdirmə və 2025-2026-cı illərdə cəlbedicilik əldə etmək.

İstinadlar

  • RFC 6480- Təhlükəsiz İnternet Marşrutlaşdırmasını Dəstəkləyən İnfrastruktur (RPKI icmalı)
  • RFC 6482— Marşrut Mənşə İcazələri (ROA) üçün Profil
  • RFC 6811— BGP Prefiks Mənşə Doğrulaması
  • RFC 8210— RPKI-dən Router Protokoluna, Versiya 1 (RTR)
  • RFC 8416— RPKI ilə Sadələşdirilmiş Yerli İnternet Nömrə Resursunun İdarə Edilməsi (SLURM — yerli ləğvetmələr)
  • RFC 9286— Resurs Açıq Açar İnfrastrukturunun Manifestləri (RPKI)
  • RFC 8205— BGPsec Protokol Spesifikasiyası
  • MANRS— Marşrut Təhlükəsizliyi üzrə Qarşılıqlı Razılaşdırılmış Normlar
  • Cloudflare RPKI Portalı- canlı ROA axtarışı