BGP-Route-Leak
Was ist BGP-Route-Leak?
BGP-Route-LeakUnbeabsichtigte BGP-Propagation, bei der ein autonomes System Routen ausserhalb der vorgesehenen Geschaftsbeziehung ankundigt und damit oft globalen Verkehr in das falsche AS lenkt.
Ein Route-Leak ist formal in RFC 7908 klassifiziert und tritt auf, wenn ein AS Routen, die es von einem Nachbarn gelernt hat, an einen anderen Nachbarn ankundigt und damit die lokale Routing-Policy verletzt (meist nach dem Gao-Rexford-Modell: Kunde, Provider, Peer). Anders als beim absichtlichen Hijack sind Leaks meist Fehlkonfigurationen von Route-Maps, Prefix-Lists oder BGP-Confederations/-Communities. Die Wirkung ahnelt einem Hijack: Verkehr fur die Prafixe stromt durch das leakende AS, das oft unterdimensioniert ist - es kommt zu Stau, Paketverlust und Abhormoglichkeiten. Bekannte Beispiele sind der Google/NTT-Vorfall 2017 in Japan und das Verizon/DQE-Leak 2019. Schutz liefert RFC 9234 (BGP Roles), RPKI ASPA, Peer-Locking und Outbound-Prafix-Filter.
● Beispiele
- 01
Ein ISP gibt versehentlich Vollroutings eines Upstream-Providers an einen anderen Upstream weiter.
- 02
Ein regionales AS leakt Kunden-Prafixe an einen Peer und bricht damit Customer-only-Vertrage.
● Häufige Fragen
Was ist BGP-Route-Leak?
Unbeabsichtigte BGP-Propagation, bei der ein autonomes System Routen ausserhalb der vorgesehenen Geschaftsbeziehung ankundigt und damit oft globalen Verkehr in das falsche AS lenkt. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet BGP-Route-Leak?
Unbeabsichtigte BGP-Propagation, bei der ein autonomes System Routen ausserhalb der vorgesehenen Geschaftsbeziehung ankundigt und damit oft globalen Verkehr in das falsche AS lenkt.
Wie funktioniert BGP-Route-Leak?
Ein Route-Leak ist formal in RFC 7908 klassifiziert und tritt auf, wenn ein AS Routen, die es von einem Nachbarn gelernt hat, an einen anderen Nachbarn ankundigt und damit die lokale Routing-Policy verletzt (meist nach dem Gao-Rexford-Modell: Kunde, Provider, Peer). Anders als beim absichtlichen Hijack sind Leaks meist Fehlkonfigurationen von Route-Maps, Prefix-Lists oder BGP-Confederations/-Communities. Die Wirkung ahnelt einem Hijack: Verkehr fur die Prafixe stromt durch das leakende AS, das oft unterdimensioniert ist - es kommt zu Stau, Paketverlust und Abhormoglichkeiten. Bekannte Beispiele sind der Google/NTT-Vorfall 2017 in Japan und das Verizon/DQE-Leak 2019. Schutz liefert RFC 9234 (BGP Roles), RPKI ASPA, Peer-Locking und Outbound-Prafix-Filter.
Wie schützt man sich gegen BGP-Route-Leak?
Schutzmaßnahmen gegen BGP-Route-Leak kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für BGP-Route-Leak?
Übliche alternative Bezeichnungen: BGP-Leak, Routing-Policy-Verletzung.
● Verwandte Begriffe
- network-security№ 092
BGP-Hijacking
Angriff, bei dem ein autonomes System IP-Prafixe ankundigt, die ihm nicht legitim gehoren, und so weltweiten Internetverkehr anzieht und moglicherweise abfangt.
- network-security№ 168
CIDR-Notation
Die Classless-Inter-Domain-Routing-Notation drueckt ein IP-Prafix als Adresse plus Schragstrich und Bitanzahl aus, z. B. 10.0.0.0/8.
- network-security№ 553
IP-Adresse
Numerische Kennung einer Netzwerkschnittstelle fur das Routing in IP-Netzen: 32 Bit bei IPv4 (RFC 791) oder 128 Bit bei IPv6 (RFC 8200).
- network-security№ 1136
TCP/IP
Die vierschichtige Internet-Protokollsuite, die definiert, wie Pakete in verbundenen Netzen adressiert, geroutet, fragmentiert und zuverlassig zugestellt werden.
- network-security№ 1113
Subnetz
Zusammenhangender IP-Adressbereich mit gemeinsamem Prafix, der eine einzelne Broadcast-Domane und Routing-Grenze im Netz definiert.
- attacks№ 338
DNS Hijacking
Angriff, der die DNS-Auflösung auf vom Angreifer kontrollierte Antworten umlenkt, indem Client-Einstellungen, Router-Konfigurationen, Resolver-Antworten oder autoritative DNS-Records geändert werden.