BGP 路由泄漏
BGP 路由泄漏 是什么?
BGP 路由泄漏BGP 中意外的传播行为:某自治系统将路由通告到本不该到达的商业关系范围之外,往往使全球流量被错误地引向另一 AS。
路由泄漏在 RFC 7908 中被正式分类,指 AS 把从一个邻居学习到的路由通告给另一个邻居,从而违反本地路由策略(通常是 Gao-Rexford 模型:客户、提供商、对等)。与故意的劫持不同,路由泄漏通常源于 route-map、prefix-list 或 BGP confederation/community 处理的配置错误。其后果与劫持类似:这些前缀的流量被汇聚到泄漏 AS,而后者往往容量不足,导致拥塞、丢包以及流量被截获的风险。著名案例包括 2017 年日本的 Google/NTT 事件与 2019 年的 Verizon/DQE 泄漏。常见缓解措施包括 RFC 9234 的 BGP Roles、RPKI ASPA、Peer-Locking 与出向前缀过滤。
● 示例
- 01
某 ISP 误将从一家上游学到的全量过境路由再通告给另一家上游。
- 02
区域性 AS 把客户前缀泄漏给某个 peer,违反了仅限客户的合同。
● 常见问题
BGP 路由泄漏 是什么?
BGP 中意外的传播行为:某自治系统将路由通告到本不该到达的商业关系范围之外,往往使全球流量被错误地引向另一 AS。 它属于网络安全的 网络安全 分类。
BGP 路由泄漏 是什么意思?
BGP 中意外的传播行为:某自治系统将路由通告到本不该到达的商业关系范围之外,往往使全球流量被错误地引向另一 AS。
BGP 路由泄漏 是如何工作的?
路由泄漏在 RFC 7908 中被正式分类,指 AS 把从一个邻居学习到的路由通告给另一个邻居,从而违反本地路由策略(通常是 Gao-Rexford 模型:客户、提供商、对等)。与故意的劫持不同,路由泄漏通常源于 route-map、prefix-list 或 BGP confederation/community 处理的配置错误。其后果与劫持类似:这些前缀的流量被汇聚到泄漏 AS,而后者往往容量不足,导致拥塞、丢包以及流量被截获的风险。著名案例包括 2017 年日本的 Google/NTT 事件与 2019 年的 Verizon/DQE 泄漏。常见缓解措施包括 RFC 9234 的 BGP Roles、RPKI ASPA、Peer-Locking 与出向前缀过滤。
如何防御 BGP 路由泄漏?
针对 BGP 路由泄漏 的防御通常结合技术控制与运营实践,详见上方完整定义。
BGP 路由泄漏 还有哪些其他名称?
常见的别称包括: 路由策略违例。
● 相关术语
- network-security№ 092
BGP 劫持
攻击者所在的自治系统通告并不真正拥有的 IP 前缀,从而吸引并可能拦截全球互联网流量的攻击。
- network-security№ 168
CIDR 表示法
无类域间路由(CIDR)表示法用地址加斜杠和有效位数来表示一个 IP 前缀,例如 10.0.0.0/8。
- network-security№ 553
IP 地址
分配给网络接口、用于在 IP 网络中进行路由的数字标识符:IPv4(RFC 791)为 32 位,IPv6(RFC 8200)为 128 位。
- network-security№ 1136
TCP/IP
由四层组成的互联网协议族,规定了如何在互联的网络中对数据包进行寻址、路由、分片并可靠交付。
- network-security№ 1113
子网
共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。
- attacks№ 338
DNS 劫持
通过修改客户端设置、路由器配置、解析器响应或权威 DNS 记录,将 DNS 解析重定向到攻击者控制结果的攻击。