Утечка маршрутов BGP
Что такое Утечка маршрутов BGP?
Утечка маршрутов BGPНепреднамеренное распространение BGP-маршрутов автономной системой за пределами ожидаемых коммерческих отношений, нередко уводящее глобальный трафик не в ту AS.
Утечка маршрутов формально классифицирована в RFC 7908: AS анонсирует соседу маршруты, полученные от другого соседа, нарушая локальную политику маршрутизации (обычно модель Gao-Rexford: клиент, провайдер, пир). В отличие от умышленного хайджека, утечки обычно возникают из-за ошибок в route-map, prefix-list или обработке BGP-конфедераций и community. Эффект схож с хайджеком: трафик префиксов проходит через утекшую AS, часто недостаточной ёмкости, что приводит к перегрузке, потерям и риску перехвата. Известные случаи — инцидент Google/NTT в Японии в 2017 году и утечка Verizon/DQE в 2019 году. Защита включает BGP Roles из RFC 9234, RPKI ASPA, peer-locking и исходящие фильтры префиксов.
● Примеры
- 01
Провайдер по ошибке переанонсирует полный транзит, полученный от одного upstream, другому upstream.
- 02
Региональная AS утекает клиентские префиксы на пира, нарушая контракты customer-only.
● Частые вопросы
Что такое Утечка маршрутов BGP?
Непреднамеренное распространение BGP-маршрутов автономной системой за пределами ожидаемых коммерческих отношений, нередко уводящее глобальный трафик не в ту AS. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Утечка маршрутов BGP?
Непреднамеренное распространение BGP-маршрутов автономной системой за пределами ожидаемых коммерческих отношений, нередко уводящее глобальный трафик не в ту AS.
Как работает Утечка маршрутов BGP?
Утечка маршрутов формально классифицирована в RFC 7908: AS анонсирует соседу маршруты, полученные от другого соседа, нарушая локальную политику маршрутизации (обычно модель Gao-Rexford: клиент, провайдер, пир). В отличие от умышленного хайджека, утечки обычно возникают из-за ошибок в route-map, prefix-list или обработке BGP-конфедераций и community. Эффект схож с хайджеком: трафик префиксов проходит через утекшую AS, часто недостаточной ёмкости, что приводит к перегрузке, потерям и риску перехвата. Известные случаи — инцидент Google/NTT в Японии в 2017 году и утечка Verizon/DQE в 2019 году. Защита включает BGP Roles из RFC 9234, RPKI ASPA, peer-locking и исходящие фильтры префиксов.
Как защититься от Утечка маршрутов BGP?
Защита от Утечка маршрутов BGP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Утечка маршрутов BGP?
Распространённые альтернативные названия: Утечка BGP, Нарушение политики маршрутизации.
● Связанные термины
- network-security№ 092
BGP-хайджекинг
Атака, при которой автономная система анонсирует IP-префиксы, не принадлежащие ей легитимно, и тем самым притягивает и потенциально перехватывает глобальный интернет-трафик.
- network-security№ 168
CIDR-нотация
Нотация Classless Inter-Domain Routing задаёт IP-префикс адресом с косой чертой и количеством значащих битов, например 10.0.0.0/8.
- network-security№ 553
IP-адрес
Числовой идентификатор, назначаемый сетевому интерфейсу для маршрутизации в IP-сетях: 32 бита в IPv4 (RFC 791) или 128 бит в IPv6 (RFC 8200).
- network-security№ 1136
TCP/IP
Четырёхуровневый набор интернет-протоколов, определяющий, как пакеты адресуются, маршрутизируются, фрагментируются и надёжно доставляются между узлами связанных сетей.
- network-security№ 1113
Подсеть
Непрерывный диапазон IP-адресов с общим префиксом, образующий единый широковещательный домен и границу маршрутизации в сети.
- attacks№ 338
Захват DNS
Атака, при которой DNS-разрешение перенаправляется на ответы под контролем злоумышленника через изменение настроек клиента, маршрутизатора, ответов резолвера или авторитативных DNS-записей.