Chuyển đến nội dung chính

RPKI and BGP Route Origin Validation

Cũng có sẵn trong:

العربيّة

Azərbaycan dili

Български

Català

Čeština

Dansk

Deutsch

Ελληνικά

English

Esperante

Español

Eesti

Euskara

فارسی

Suomi

Français

Galego

עברית

हिन्दी

Magyarul

Bahasa Indonesia

Italiano

日本語

한국어

Lietuvių

norsk

Nederlands

Polski

Português

Русский

Slovenčina

Slovenščina

Shqip

Svenska

ภาษาไทย

Türkçe

Українська

اردو

简体中文

繁體中文

Comment

Cơ sở dữ liệu Công cộng Key Infra ngăn chặn các vụ cướp lộ trình — bao gồm chuỗi tín nhiệm RA, các bang hợp lệ, giao thức RTR và nơi triển khai hiện nay.

1. Tại sao BGP không có kiểm tra nguồn gốc bản địa

BGP được thiết kế cho một internet hợp tác nơi mà tất cả những người tham gia đều được tin tưởng. Một người đi đường chấp nhận một thông điệp UPDATE và truyền bá thông điệp đó mà không có lời giải mã nào cho thấy rằng sự xuất phát từ AS thực sự có quyền thông báo những tiền tố IP đó. Điều này có nghĩa là bất kỳ dạng nào - thông qua sự kết hợp sai hoặc ác ý - có thể thông báo đầu tiên của người khác, và thông báo đó có thể lan truyền trên toàn cầu trong vòng vài phút.

Những sự kiện đáng chú ý đã tăng cường việc nhận dạng RPKI:

  • 2008 — Pakistan Telecom:
  • 2010 — China Telecom:
  • 2018 — Phố Amazon 53 DNS bị cướp:
  • 2019 - giao thông châu Âu tái định tuyến qua Trung Quốc.

2.

Name) Xây dựng một cấp bậc của chứng nhận X.509 phản ánh cách không gian địa chỉ IP được ủy thác:

  1. IANA
  2. RIRs
  3. Thành viênComment

Các Verifier tải về cấp bậc đã ký từ năm bộ phận phục hồi đối tượng (hơn bất kỳ kho đã được ủy thác lại), xác nhận chuỗi chứng nhận, và xây dựng một bảng mã ROA có hiệu lực. Các tuyến đường sau đó truy vấn bộ nhớ tạm RPKI cục bộ thông qua (Tiếng cười)Để có được bảng này và thực hiện hợp lệ gốc trên BGP UP.

3. Người dùng xuất bản lộ trình (ROA)

A ROA (A ROA)) là một vật được ký tên gồm ba cánh đồng:

  • ASN
  • Tiền tố
  • cực đại
MaxLingth là một véc tơ cấu hình sai phổ biến.

Một ROA có thể cho phép nhiều tiền tố cho cùng một nguyên tố ASN, nhưng một ROA không thể cho phép nhiều ASN cho một tiền tố. Để cho phép một ASN thứ hai (v.g., một nhà cung cấp giao thông hoặc CDN) khởi động tiền tố của bạn, tạo một ROA riêng biệt cho ASN đó.

4 Hợp đồng

Khi một bộ định tuyến nhận một BGP UP, nó thực hiện hợp lệ gốc () chống lại bảng VRP của địa phương:

Tình trạng Điều kiện Phương pháp tương thích kiểu mẫu
Hợp lệ Ít nhất một ROA bao phủ tiền tố (tiền tố RRA và tiền tố-chiếm khuyết tối đa) và ASA của ROA khớp với nguồn gốc của BGP UPDATE + 20 hay được ưa thích (common)
Không hợp lệ Ít nhất một ROA bao phủ tiền tố, nhưng không bao gồm ROA có một khớp ASN và tối đa Langth chiều dài đầu tiên được công bố Đặt & trước
Không có Không có ROA tồn tại mà bao gồm tiền tố được thông báo Chưa thay đổi (được xử lý như trước khi RPKI tồn tại)

Sự hiểu biết then chốt: là bằng chứng mạnh mẽ của một vấn đề hơn Không có nghĩa đơn giản là chủ sở hữu tiền tố chưa tạo ra ROA. Không hợp lệ có nghĩa là một ROA tồn tại nói này ASN là Có thẩm quyền — một dấu hiệu mạnh mẽ cho thấy một là sự kết hợp sai lầm hoặc một vụ cướp.

Giao thức RTR 5.

Các tuyến đường không tự xác nhận chứng nhận bằng chứng nhận X.509 — điều này sẽ rất tốn kém và cần giữ một bộ nhớ tạm RPKI đầy đủ. Thay vào đó, một người tận tụy (Routinator, OctoRPKI, Fort, rpki- students) tải về và xác thực kho và xuất khẩu đầy đủ mã RPRI chỉ kết quả kiểm tra lại ROA Payloads (VRPs) cho rpki thông qua giao thức RTR).

RTR sử dụng cổng TCP (IANA- ủy nhiệm 323; hợp lệ hoá như thiết bị điều khiển cho cổng 3323 để tránh yêu cầu quyền của người chủ) với một cơ chế đồng bộ tăng dần: bộ tạo chứng nhận gửi số sê-ri, và bộ đánh dấu chỉ yêu cầu đồng bộ từ khi họ đồng bộ lần cuối. Điều này giữ băng thông thấp ngay cả cho bảng VRP lớn (hiện nay ~400.000+ IP4 mục trên toàn cầu).

6 Triển khai và thống kê

Đầu năm 2026, việc triển khai RPKI đã đạt đến mức đáng kể:

  • Hơn 50% các tiền tố IPv4 trên toàn cầu có ít nhất một trang bìa của ROA (từ ~10% vào năm 2019).
  • Phần lớn các máy chủ Tier-1 và Tier-2 hiện đang thực hiện kiểm tra nguồn gốc lộ trình và giảm hoặc làm giảm các tuyến đường không hợp lệ.
  • MANRS (thường đồng ý với Norms for Routing Security) đòi hỏi sự sáng tạo RPKI ROA là điều kiện tiên quyết cho thành viên và xuất bản một bảng điều khiển tùy theo ý.

Thống kê sống: . . .

7 Hơn ROV: AsPA and BGPsec

Bộ kiểm tra nguồn gốc đường RPKI chỉ xác nhận rằng được ủy quyền công bố tiền tố. Nó không xác nhận AS PATH — một kẻ tấn công vẫn có thể xây dựng một công ty sai với nguồn gốc hợp pháp như vào cuối. Hai tiêu chuẩn IETF cho biết:

Tham khảo