Fuga de rutas BGP
¿Qué es Fuga de rutas BGP?
Fuga de rutas BGPPropagación no intencionada de BGP en la que un sistema autónomo anuncia rutas fuera de la relación comercial prevista, desviando a menudo tráfico global hacia el AS equivocado.
Una fuga de rutas, catalogada formalmente en la RFC 7908, ocurre cuando un AS anuncia rutas aprendidas de un vecino hacia otro vecino violando la política de enrutamiento local (típicamente el modelo Gao-Rexford: cliente, proveedor, peer). A diferencia de un secuestro deliberado, las fugas suelen ser errores en route-maps, prefix-lists o el manejo de confederaciones/comunidades BGP. El efecto se parece al hijack: el tráfico de los prefijos se canaliza por el AS que filtra, que suele estar infradimensionado, provocando congestión, pérdida de paquetes y exposición de tráfico a interceptación. Ejemplos notorios son el incidente Google/NTT de 2017 en Japón y la fuga Verizon/DQE de 2019. Las mitigaciones incluyen los BGP Roles de la RFC 9234, RPKI ASPA, peer-locking y filtros de prefijo de salida.
● Ejemplos
- 01
Un ISP reanuncia por error rutas de tránsito completas recibidas de un upstream hacia otro upstream.
- 02
Un AS regional filtra prefijos de cliente hacia un peer, rompiendo los contratos customer-only.
● Preguntas frecuentes
¿Qué es Fuga de rutas BGP?
Propagación no intencionada de BGP en la que un sistema autónomo anuncia rutas fuera de la relación comercial prevista, desviando a menudo tráfico global hacia el AS equivocado. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa Fuga de rutas BGP?
Propagación no intencionada de BGP en la que un sistema autónomo anuncia rutas fuera de la relación comercial prevista, desviando a menudo tráfico global hacia el AS equivocado.
¿Cómo funciona Fuga de rutas BGP?
Una fuga de rutas, catalogada formalmente en la RFC 7908, ocurre cuando un AS anuncia rutas aprendidas de un vecino hacia otro vecino violando la política de enrutamiento local (típicamente el modelo Gao-Rexford: cliente, proveedor, peer). A diferencia de un secuestro deliberado, las fugas suelen ser errores en route-maps, prefix-lists o el manejo de confederaciones/comunidades BGP. El efecto se parece al hijack: el tráfico de los prefijos se canaliza por el AS que filtra, que suele estar infradimensionado, provocando congestión, pérdida de paquetes y exposición de tráfico a interceptación. Ejemplos notorios son el incidente Google/NTT de 2017 en Japón y la fuga Verizon/DQE de 2019. Las mitigaciones incluyen los BGP Roles de la RFC 9234, RPKI ASPA, peer-locking y filtros de prefijo de salida.
¿Cómo defenderse de Fuga de rutas BGP?
Las defensas contra Fuga de rutas BGP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Fuga de rutas BGP?
Nombres alternativos comunes: Fuga de rutas BGP, Violación de política de enrutamiento.
● Términos relacionados
- network-security№ 092
Secuestro BGP
Ataque en el que un sistema autónomo anuncia prefijos IP que no le pertenecen legítimamente, atrayendo y, potencialmente, interceptando tráfico global de Internet.
- network-security№ 168
Notación CIDR
La notación Classless Inter-Domain Routing expresa un prefijo IP como una dirección seguida de una barra y el número de bits significativos, p. ej., 10.0.0.0/8.
- network-security№ 553
Dirección IP
Identificador numérico asignado a una interfaz de red para el enrutamiento en redes IP: 32 bits en IPv4 (RFC 791) o 128 bits en IPv6 (RFC 8200).
- network-security№ 1136
TCP/IP
Conjunto de protocolos de Internet en cuatro capas que define cómo se direccionan, enrutan, fragmentan y entregan los paquetes entre hosts de redes interconectadas.
- network-security№ 1113
Subred
Rango contiguo de direcciones IP que comparten un prefijo común y definen un único dominio de difusión y un límite de enrutamiento en la red.
- attacks№ 338
Secuestro de DNS
Ataque que redirige la resolución DNS a respuestas controladas por el atacante alterando ajustes del cliente, configuración del router, respuestas del resolutor o registros DNS autoritativos.