Fuite de routes BGP
Qu'est-ce que Fuite de routes BGP ?
Fuite de routes BGPPropagation BGP non intentionnelle ou un systeme autonome annonce des routes en dehors de la relation commerciale prevue, derivant souvent du trafic mondial vers le mauvais AS.
Une fuite de routes, formellement classee dans la RFC 7908, survient lorsqu'un AS annonce des routes apprises d'un voisin a un autre voisin en violation de la politique locale de routage (typiquement le modele Gao-Rexford : client, fournisseur, peer). Contrairement a un hijack deliberation, les fuites sont en general des erreurs de configuration de route-maps, prefix-lists ou de gestion des confederations/communautes BGP. L'effet ressemble a un hijack : le trafic des prefixes est canalise vers l'AS fuiteur, souvent sous-dimensionne, provoquant congestion, pertes et exposition a l'interception. Incidents notables : Google/NTT au Japon en 2017 et Verizon/DQE en 2019. Les mitigations incluent les BGP Roles de la RFC 9234, RPKI ASPA, le peer-locking et des filtres de prefixes sortants.
● Exemples
- 01
Un FAI re-annonce par erreur des routes de transit complet recues d'un upstream vers un autre upstream.
- 02
Un AS regional propage des prefixes clients vers un peer, brisant les contrats customer-only.
● Questions fréquentes
Qu'est-ce que Fuite de routes BGP ?
Propagation BGP non intentionnelle ou un systeme autonome annonce des routes en dehors de la relation commerciale prevue, derivant souvent du trafic mondial vers le mauvais AS. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie Fuite de routes BGP ?
Propagation BGP non intentionnelle ou un systeme autonome annonce des routes en dehors de la relation commerciale prevue, derivant souvent du trafic mondial vers le mauvais AS.
Comment fonctionne Fuite de routes BGP ?
Une fuite de routes, formellement classee dans la RFC 7908, survient lorsqu'un AS annonce des routes apprises d'un voisin a un autre voisin en violation de la politique locale de routage (typiquement le modele Gao-Rexford : client, fournisseur, peer). Contrairement a un hijack deliberation, les fuites sont en general des erreurs de configuration de route-maps, prefix-lists ou de gestion des confederations/communautes BGP. L'effet ressemble a un hijack : le trafic des prefixes est canalise vers l'AS fuiteur, souvent sous-dimensionne, provoquant congestion, pertes et exposition a l'interception. Incidents notables : Google/NTT au Japon en 2017 et Verizon/DQE en 2019. Les mitigations incluent les BGP Roles de la RFC 9234, RPKI ASPA, le peer-locking et des filtres de prefixes sortants.
Comment se défendre contre Fuite de routes BGP ?
Les défenses contre Fuite de routes BGP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Fuite de routes BGP ?
Noms alternatifs courants : Fuite BGP, Violation de politique de routage.
● Termes liés
- network-security№ 092
Detournement BGP
Attaque dans laquelle un systeme autonome annonce des prefixes IP qu'il ne possede pas legitimement, attirant et potentiellement interceptant du trafic Internet mondial.
- network-security№ 168
Notation CIDR
La notation Classless Inter-Domain Routing exprime un prefixe IP comme une adresse suivie d'un slash et du nombre de bits significatifs, ex. 10.0.0.0/8.
- network-security№ 553
Adresse IP
Identifiant numerique attribue a une interface reseau pour le routage sur les reseaux IP : 32 bits en IPv4 (RFC 791) ou 128 bits en IPv6 (RFC 8200).
- network-security№ 1136
TCP/IP
Suite de protocoles Internet en quatre couches qui definit comment les paquets sont adresses, routes, fragmentes et delivres de maniere fiable entre hotes sur des reseaux interconnectes.
- network-security№ 1113
Sous-reseau
Plage contigue d'adresses IP partageant un prefixe commun, definissant un unique domaine de diffusion et une frontiere de routage sur le reseau.
- attacks№ 338
Détournement DNS
Attaque qui redirige la résolution DNS vers des réponses contrôlées par l'attaquant en modifiant les paramètres clients, la configuration du routeur, les réponses du résolveur ou les enregistrements DNS autoritaires.