IXP Filter Check 使互聯(lián)網(wǎng)交換中心能夠驗(yàn)證是否恰當(dāng)濾出錯(cuò)誤及惡意路由。
甲骨文發(fā)布一款免費(fèi)工具,可以顯示互聯(lián)網(wǎng)交換中心 (IXP) 過濾錯(cuò)誤或惡意流量路由信息的優(yōu)劣,防止造成重大互聯(lián)網(wǎng)中斷。
該工具旨在幫助 IXP 識(shí)別并修復(fù)路由過濾功能中的漏洞,同時(shí)向公眾揭示 IXP 在保持互聯(lián)網(wǎng)安全中的作用。IXP 在不同 ISP 網(wǎng)絡(luò)間路由流量。這是布置有大量網(wǎng)絡(luò)交換機(jī)的實(shí)體位置,無縫連接不同服務(wù)提供商的網(wǎng)絡(luò)。
甲骨文的新工具 IXP Filter Check 是其路由安全共識(shí)規(guī)范 (MANRS) 倡議的一部分,該倡議旨在加強(qiáng)互聯(lián)網(wǎng)路由安全。
近些年來,互聯(lián)網(wǎng)路由錯(cuò)誤,無論是意外還是惡意的,頻頻導(dǎo)致重大問題。比如說,去年谷歌的流量就被誤導(dǎo)向了中國(guó)的一家 ISP,導(dǎo)致該公司的搜索及其他服務(wù)在一個(gè)多小時(shí)里出現(xiàn)間歇性中斷。今年早些時(shí)候,Cloudflare 重要客戶的流量被路由流經(jīng)賓夕法尼亞一家小公司的網(wǎng)絡(luò)。該錯(cuò)誤導(dǎo)向引發(fā) Cloudflare 及很多其他服務(wù)提供商托管的網(wǎng)站不可用,持續(xù)時(shí)間約兩小時(shí),影響波及互聯(lián)網(wǎng)一大部分用戶。
此類中斷的形成原因常是相對(duì)較小的配置錯(cuò)誤。例如,谷歌的流量被誤導(dǎo)是因?yàn)橐患夷崛绽麃喰」疽馔?ldquo;聲明”了幾個(gè)谷歌 IP 的錯(cuò)誤路由信息。作為該尼日利亞 ISP 的網(wǎng)絡(luò)“對(duì)等節(jié)點(diǎn)”之一,中國(guó)電信接受了這些錯(cuò)誤路由信息,并在互聯(lián)網(wǎng)上廣播了出去。
Cloudflare 的案例則是那家賓夕法尼亞 ISP 犯了類似的路由信息聲明錯(cuò)誤,然后威瑞森將該錯(cuò)誤路由信息廣播到了互聯(lián)網(wǎng)其他地方。正如 Cloudflare 當(dāng)時(shí)所述:這就好像導(dǎo)航地圖軟件把整條高速公路給導(dǎo)到鄉(xiāng)間小路上一樣。
不是所有的路由錯(cuò)誤都是無心之失。最近幾年,攻擊者采用重定向攻擊來轉(zhuǎn)移流量以作惡意用途,比如監(jiān)視、分布式拒絕服務(wù)攻擊和加密貨幣挖礦。
MANRS 倡議旨在解決互聯(lián)網(wǎng)核心路由基礎(chǔ)設(shè)施中的根本性弱點(diǎn),讓此類流量誤導(dǎo)沒那么容易發(fā)生或故意制造。在較高層面上,該倡議想要確保 ISP 和 IXP 有辦法能夠快速識(shí)別和過濾錯(cuò)誤路由信息,并且防止錯(cuò)誤路由在互聯(lián)網(wǎng)上傳播。
若要加入 MANRS 計(jì)劃,IXP 需以特定標(biāo)準(zhǔn)過濾自己收到的所有路由聲明,保障路由消息的合法性。其目的是確保無法恰當(dāng)驗(yàn)證的任何路由信息都被濾掉,比如源頭無法驗(yàn)證的路由信息。
甲骨文的 IXP Filter Check 是個(gè)監(jiān)視服務(wù),目前部署在約 200 個(gè) IXP 位置,基本上是檢查 IXP 過濾錯(cuò)誤及惡意路由的有效程度。甲骨文互聯(lián)網(wǎng)分析總監(jiān) Doug Madory 表示:這是個(gè)免費(fèi)服務(wù),提供對(duì) IXP 路由服務(wù)器上路由的第三方審查。其目標(biāo)是公開報(bào)告流過的無效信息以便幫助 IXP 改進(jìn),并向公眾報(bào)告 IXP 的表現(xiàn)。
該甲骨文工具并非是要幫助 IXP 過濾路由消息,而是要幫助 IXP 管理員監(jiān)視和分析其現(xiàn)有路由過濾的有效性。
IXP Filter Check 采用的過濾機(jī)制與 MANRS 倡議參與 IXP 所用的類似。該工具檢查路由信息的方法與 IXP 的過濾機(jī)制相同,比如確保路由消息帶有恰當(dāng)?shù)脑葱畔⒑颓熬Y長(zhǎng)度。
據(jù) Madory 透露,IXP Filter Check 是提供全球 IXP 路由服務(wù)器行為獨(dú)立實(shí)時(shí)分析的首款工具。他預(yù)計(jì),目前約有 1,000 個(gè)實(shí)體自稱為 IXP,盡管其中很多都相對(duì)較小或僅由一家電信公司運(yùn)營(yíng)。
單一技術(shù)贏不下不安全路由對(duì)抗戰(zhàn)。但在路由過濾等措施的幫助下,隨著時(shí)間流逝,情況會(huì)逐漸變好。
