Vazamento de rotas BGP
O que é Vazamento de rotas BGP?
Vazamento de rotas BGPPropagacao BGP nao intencional em que um sistema autonomo anuncia rotas fora da relacao comercial prevista, frequentemente desviando trafego global para o AS errado.
Um vazamento de rotas, formalmente classificado na RFC 7908, ocorre quando um AS anuncia rotas aprendidas de um vizinho para outro vizinho violando a politica local de roteamento (tipicamente o modelo Gao-Rexford: cliente, provedor, peer). Diferente do hijack proposital, vazamentos costumam ser erros de configuracao em route-maps, prefix-lists ou tratamento de confederacoes/comunidades BGP. O efeito e semelhante a um hijack: o trafego dos prefixos passa pelo AS que vazou, geralmente subdimensionado, causando congestionamento, perda de pacotes e exposicao a interceptacao. Casos notorios incluem o incidente Google/NTT no Japao em 2017 e o vazamento Verizon/DQE em 2019. As mitigacoes envolvem os BGP Roles da RFC 9234, RPKI ASPA, peer-locking e filtros de prefixo de saida.
● Exemplos
- 01
Um ISP re-anuncia por engano rotas completas de transito recebidas de um upstream para outro upstream.
- 02
Um AS regional vaza prefixos de clientes para um peer, quebrando contratos customer-only.
● Perguntas frequentes
O que é Vazamento de rotas BGP?
Propagacao BGP nao intencional em que um sistema autonomo anuncia rotas fora da relacao comercial prevista, frequentemente desviando trafego global para o AS errado. Pertence à categoria Segurança de rede da cibersegurança.
O que significa Vazamento de rotas BGP?
Propagacao BGP nao intencional em que um sistema autonomo anuncia rotas fora da relacao comercial prevista, frequentemente desviando trafego global para o AS errado.
Como funciona Vazamento de rotas BGP?
Um vazamento de rotas, formalmente classificado na RFC 7908, ocorre quando um AS anuncia rotas aprendidas de um vizinho para outro vizinho violando a politica local de roteamento (tipicamente o modelo Gao-Rexford: cliente, provedor, peer). Diferente do hijack proposital, vazamentos costumam ser erros de configuracao em route-maps, prefix-lists ou tratamento de confederacoes/comunidades BGP. O efeito e semelhante a um hijack: o trafego dos prefixos passa pelo AS que vazou, geralmente subdimensionado, causando congestionamento, perda de pacotes e exposicao a interceptacao. Casos notorios incluem o incidente Google/NTT no Japao em 2017 e o vazamento Verizon/DQE em 2019. As mitigacoes envolvem os BGP Roles da RFC 9234, RPKI ASPA, peer-locking e filtros de prefixo de saida.
Como se defender contra Vazamento de rotas BGP?
As defesas contra Vazamento de rotas BGP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Vazamento de rotas BGP?
Nomes alternativos comuns: Vazamento BGP, Violacao de politica de roteamento.
● Termos relacionados
- network-security№ 092
Sequestro BGP
Ataque em que um sistema autonomo anuncia prefixos IP que nao sao legitimamente seus, atraindo e podendo interceptar trafego da Internet global.
- network-security№ 168
Notacao CIDR
A notacao Classless Inter-Domain Routing expressa um prefixo IP como um endereco seguido de barra e do numero de bits significativos, por exemplo 10.0.0.0/8.
- network-security№ 553
Endereco IP
Identificador numerico atribuido a uma interface de rede para roteamento em redes IP: 32 bits em IPv4 (RFC 791) ou 128 bits em IPv6 (RFC 8200).
- network-security№ 1136
TCP/IP
Conjunto de protocolos da Internet em quatro camadas que define como pacotes sao enderecados, roteados, fragmentados e entregues de forma confiavel entre hosts em redes interligadas.
- network-security№ 1113
Sub-rede
Intervalo contiguo de enderecos IP que compartilham um prefixo comum, definindo um unico dominio de broadcast e uma fronteira de roteamento na rede.
- attacks№ 338
Sequestro de DNS
Ataque que redireciona a resolução de DNS para respostas controladas pelo atacante, alterando definições do cliente, configurações do router, respostas do resolver ou registos DNS autoritativos.