1. Γιατί το BGP δεν έχει επικύρωση εγγενούς προέλευσης

Το BGP σχεδιάστηκε για ένα συνεργατικό Διαδίκτυο όπου όλοι οι συμμετέχοντες είχαν εμπιστοσύνη. Ένας δρομολογητής δέχεται ένα μήνυμα UPDATE και το διαδίδει χωρίς κρυπτογραφική επαλήθευση ότι το αρχικό AS είναι πράγματι εξουσιοδοτημένο να ανακοινώνει αυτά τα προθέματα IP. Αυτό σημαίνει ότι κάθε AS — μέσω εσφαλμένης διαμόρφωσης ή κακόβουλης λειτουργίας — μπορεί να ανακοινώσει τα προθέματα κάποιου άλλου και αυτή η ανακοίνωση μπορεί να διαδοθεί παγκοσμίως μέσα σε λίγα λεπτά.

Αξιοσημείωτα περιστατικά που επιτάχυναν την υιοθέτηση του RPKI:

  • 2008 — Pakistan Telecom:Η PTCL ανακοίνωσε κατά λάθος ένα πιο συγκεκριμένο πρόθεμα για τον χώρο διευθύνσεων του YouTube (208.65.153.0/24), κάνοντας blackholing το YouTube παγκοσμίως για ~2 ώρες προτού οι πάροχοι ανάντη αποσύρουν τη διαδρομή.
  • 2010 — China Telecom:Η China Telecom δημιούργησε περίπου 50.000 προθέματα που ανήκαν σε στρατιωτικά, κυβερνητικά και εμπορικά δίκτυα των ΗΠΑ για ~18 λεπτά. Το αν ήταν τυχαίο ή εσκεμμένο δεν επιβεβαιώθηκε ποτέ.
  • 2018 — Παραβίαση DNS Amazon Route 53:Ένας εισβολέας χρησιμοποίησε το BGP για να κλέψει το 205.251.196.0/24 (Amazon DNS), ανακατευθύνοντας την κίνηση πορτοφολιού κρυπτονομισμάτων για να κλέψει χρήματα. Η επίθεση χρησιμοποίησε μια ΕΝΗΜΕΡΩΣΗ BGP από την eNet (AS10297).
  • 2019 — Η ευρωπαϊκή κυκλοφορία αναδρομολογήθηκε μέσω της China Telecom:Η ευρωπαϊκή κίνηση κινητής τηλεφωνίας (συμπεριλαμβανομένης της Vodafone και της Swisscom της Ελβετίας) επαναδρομολογήθηκε μέσω της China Telecom για περίπου 2 ώρες λόγω διαρροής διαδρομής BGP.

2. Η RPKI Trust Hierarchy

RPKI (RFC 6480) δημιουργεί μια ιεραρχία πιστοποιητικών X.509 που αντικατοπτρίζει τον τρόπο ανάθεσης του χώρου διευθύνσεων IP:

  1. ΙΑΝΑκρατά την άγκυρα εμπιστοσύνης ρίζας. Εκδίδει πιστοποιητικά πόρων στα πέντε RIR (ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC), το καθένα καλύπτοντας το χώρο διευθύνσεών του.
  2. RIRεκδίδουν πιστοποιητικά στα μέλη τους (ISP, επιχειρήσεις) για τον χώρο διευθύνσεων που διαθέτουν αυτά τα μέλη.
  3. Μέληέκδοση πιστοποιητικών τελικής οντότητας (EE) και υπογραφήΕξουσιοδοτήσεις προέλευσης διαδρομής(ROAs) — υπογεγραμμένες βεβαιώσεις που εξουσιοδοτούν ένα συγκεκριμένο ASN να δημιουργεί συγκεκριμένα προθέματα.

Οι επαληθευτές πραγματοποιούν λήψη αυτής της ιεραρχίας υπογεγραμμένων αντικειμένων από πέντε αποθετήρια RIR (συν τυχόν εκχωρημένους χώρους αποθήκευσης), επικυρώνουν την αλυσίδα πιστοποιητικών και δημιουργούν έναν επικυρωμένο πίνακα ωφέλιμου φορτίου ROA (VRP). Στη συνέχεια, οι δρομολογητές ρωτούν μια τοπική κρυφή μνήμη RPKI μέσω τουΠρωτόκολλο RTR (RFC 8210) για να λάβετε αυτόν τον πίνακα και να εκτελέσετε επικύρωση προέλευσης στις εισερχόμενες ΕΝΗΜΕΡΩΣΕΙΣ BGP.

3. Εξουσιοδοτήσεις προέλευσης διαδρομής (ROA)

Α ROA (RFC 6482) είναι ένα υπογεγραμμένο αντικείμενο που περιέχει τρία πεδία:

  • ASN: Το Αυτόνομο Σύστημα εξουσιοδοτημένο να δημιουργεί το πρόθεμα.
  • Πρόθεμα: Το πρόθεμα IP (IPv4 ή IPv6) είναι εξουσιοδοτημένο.
  • μέγιστο μήκος: Το μέγιστο μήκος προθέματος που είναι εξουσιοδοτημένο να ανακοινώνει το ASN. Εάν δεν προσδιορίζεται, επιτρέπεται μόνο το ακριβές πρόθεμα. Εάν οριστεί σε, ας πούμε, 24 για ένα πρόθεμα /20, το ASN μπορεί επίσης να ανακοινώσει οποιοδήποτε πιο συγκεκριμένο μεταξύ /20 και /24.
Το maxLength είναι ένα κοινό διάνυσμα εσφαλμένης διαμόρφωσης.Η ρύθμιση maxLength = 32 (IPv4) ή maxLength = 128 (IPv6) σε ένα ROA επιτρέπει στο ASN να ανακοινώνει οποιοδήποτε πιο συγκεκριμένο υποδίκτυο, συμπεριλαμβανομένων των διαδρομών κεντρικού υπολογιστή /32 που θα μπορούσαν να χρησιμοποιηθούν σε μια πειρατεία. Βέλτιστη πρακτική: ορίστε το maxLength στο μεγαλύτερο πρόθεμα που πραγματικά ανακοινώνετε (συχνά το ίδιο με το μήκος του προθέματος).

Ένα μόνο ROA μπορεί να εξουσιοδοτήσει πολλά προθέματα για το ίδιο ASN, αλλά ένα ROA δεν μπορεί να εξουσιοδοτήσει πολλά ASN για ένα μόνο πρόθεμα. Για να επιτρέψετε σε ένα δευτερεύον ASN (π.χ. έναν πάροχο δημόσιας συγκοινωνίας ή CDN) να δημιουργήσει το πρόθεμά σας, δημιουργήστε ένα ξεχωριστό ROA για αυτό το ASN.

4. Κράτη επικύρωσης

Όταν ένας δρομολογητής λαμβάνει μια ΕΝΗΜΕΡΩΣΗ BGP, εκτελεί επικύρωση προέλευσης (RFC 6811) σε σχέση με τον τοπικό πίνακα VRP:

ΚατάστασηΚατάστασηΤυπική θεραπεία τοπικής προτίμησης
ΕγκυροςΤουλάχιστον μία ROA καλύπτει το πρόθεμα (πρόθεμα ⊆ πρόθεμα ROA AND prefix-length ≤ maxLength) ΚΑΙ το ASN του ROA ταιριάζει με το ASN προέλευσης του BGP UPDATE+20 ή προτιμώμενο (κοινό)
ΑκυροςΤουλάχιστον μία ROA καλύπτει το πρόθεμα, αλλά καμία κάλυψη ROA δεν έχει αντίστοιχο ASN και μέγιστο μήκος ≥ το ανακοινωμένο μήκος προθέματοςΡύθμιση τοπικής προτίμησης 0 ή πτώση (επιλογή χειριστή, RFC 6811 συνιστά να επιτρέπεται αλλά να επισημαίνεται)
Δεν βρέθηκεΔεν υπάρχει ROA που να καλύπτει το ανακοινωθέν πρόθεμαΑμετάβλητο (μεταχείριση όπως πριν από την ύπαρξη του RPKI)

Η βασική γνώση:Ακυροςείναι ισχυρότερη απόδειξη ενός προβλήματος απόΔεν βρέθηκε. Το NotFound σημαίνει απλώς ότι ο κάτοχος του προθέματος δεν έχει δημιουργήσει ακόμη ROA. Μη έγκυρο σημαίνει ότι υπάρχει ROA λέγοντας ότι αυτό το ASN είναιδενεξουσιοδοτημένο — ένα ισχυρό σήμα είτε εσφαλμένης διαμόρφωσης είτε αεροπειρατείας.

5. Το Πρωτόκολλο RTR

Οι δρομολογητές δεν επικυρώνουν οι ίδιοι τις αλυσίδες πιστοποιητικών X.509 — αυτό θα ήταν υπολογιστικά ακριβό και θα απαιτούσε τη διατήρηση μιας πλήρους κρυφής μνήμης RPKI. Αντίθετα, ένα αφιερωμένοΕπαληθευτής RPKI(Routinator, OctoRPKI, Fort, rpki-client) κατεβάζει και επικυρώνει το πλήρες αποθετήριο RPKI και εξάγει μόνο τα επικυρωμένα ωφέλιμα φορτία ROA (VRPs) που προκύπτουν σε δρομολογητές μέσω του πρωτοκόλλου RTR (RFC 8210).

Το RTR χρησιμοποιεί το TCP (θύρα 323 που έχει εκχωρηθεί από το IANA· επικυρωτές όπως ο Routinator προεπιλογή στη θύρα 3323 για να αποφευχθεί η απαίτηση δικαιωμάτων ρίζας) με μηχανισμό αυξητικού συγχρονισμού: το πρόγραμμα επικύρωσης στέλνει σειριακούς αριθμούς και οι δρομολογητές ζητούν μόνο το δέλτα από τον τελευταίο συγχρονισμό τους. Αυτό διατηρεί το εύρος ζώνης χαμηλό ακόμη και για μεγάλους πίνακες VRP (επί του παρόντος ~400.000+ καταχωρήσεις IPv4 παγκοσμίως).

6. Ανάπτυξη και στατιστικές

Από τις αρχές του 2026, η ανάπτυξη του RPKI έχει φτάσει σε σημαντική κλίμακα:

  • Πάνω από το 50% των προθεμάτων IPv4 που δρομολογούνται παγκοσμίως έχουν τουλάχιστον ένα που καλύπτει το ROA (από ~10% το 2019).
  • Η πλειονότητα των ISP Tier-1 και Tier-2 εκτελούν πλέον Επικύρωση προέλευσης διαδρομής και απορρίπτουν ή καταργούν τις μη έγκυρες διαδρομές.
  • Το MANRS (Αμοιβαία συμφωνημένα πρότυπα για την ασφάλεια δρομολόγησης) απαιτεί τη δημιουργία RPKI ROA ως προϋπόθεση για τη συμμετοχή και δημοσιεύει έναν πίνακα ελέγχου συμμόρφωσης ανά AS.

Ζωντανά στατιστικά:Οθόνη NIST RPKI, ROV++, Στατιστικά APNIC RPKI.

7. Πέρα από ROV: ASPA και BGPsec

Το RPKI Route Origin Validation επαληθεύει μόνο ότι τοπροέλευσης ASNεξουσιοδοτείται να ανακοινώνει το πρόθεμα. Δεν επικυρώνει το AS_PATH — ένας εισβολέας μπορεί ακόμα να κατασκευάσει ένα ψευδές AS_PATH με νόμιμη προέλευση AS στο τέλος. Δύο πρότυπα IETF αντιμετωπίζουν αυτό:

  • BGPsec (RFC 8205): Κάθε AS στη διαδρομή υπογράφει κρυπτογραφικά την ΕΝΗΜΕΡΩΣΗ, δημιουργώντας μια άθραυστη αλυσίδα φύλαξης. Απαιτεί όλα τα AS διέλευσης να υποστηρίζουν το BGPsec — ένα σημαντικό εμπόδιο ανάπτυξης. Σπάνια αναπτύχθηκε από το 2026.
  • ΑΣΠΑ(Αυτόνομη Εξουσιοδότηση Παρόχου Συστήματος,draft-ietf-sidrops-aspa-profile): Ένα AS υπογράφει ένα αντικείμενο που περιλαμβάνει τους εξουσιοδοτημένους παρόχους του upstream. Οι επαληθευτές μπορούν να εντοπίσουν μη έγκυρες διαδρομές χωρίς κοιλάδες (π.χ. ένας πελάτης που ανακοινώνει διαδρομές σαν να ήταν πάροχος). Πιο απλό στην ανάπτυξη από το BGPsec και κερδίζοντας έλξη από το 2025–2026.

Αναφορές

  • RFC 6480— Μια υποδομή για την υποστήριξη ασφαλούς δρομολόγησης στο Διαδίκτυο (επισκόπηση RPKI)
  • RFC 6482— Προφίλ για εξουσιοδοτήσεις προέλευσης διαδρομής (ROA)
  • RFC 6811— Επικύρωση προέλευσης προθέματος BGP
  • RFC 8210— Το πρωτόκολλο RPKI προς δρομολογητή, έκδοση 1 (RTR)
  • RFC 8416— Απλοποιημένη διαχείριση πόρων τοπικών αριθμών Διαδικτύου με το RPKI (SLURM — τοπικές παρακάμψεις)
  • RFC 9286— Manifests for the Resource Public Key Infrastructure (RPKI)
  • RFC 8205— Προδιαγραφή πρωτοκόλλου BGPsec
  • MANRS— Αμοιβαία αποδεκτά πρότυπα για την ασφάλεια δρομολόγησης
  • Πύλη Cloudflare RPKI— Ζωντανή αναζήτηση ROA