मुख्य विषयवस्तु में जाएं

RPKI and BGP Route Origin Validation

उपलब्ध भाषाएँ:

العربيّة

Azərbaycan dili

Български

Català

Čeština

Dansk

Deutsch

Ελληνικά

English

Esperante

Español

Eesti

Euskara

فارسی

Suomi

Français

Galego

עברית

Magyarul

Bahasa Indonesia

Italiano

日本語

한국어

Lietuvių

norsk

Nederlands

Polski

Português

Русский

Slovenčina

Slovenščina

Shqip

Svenska

ภาษาไทย

Türkçe

Українська

اردو

Tiếng Việt

简体中文

繁體中文

.. शीर्षक: आरपीकेआई और बीजीपी रूट ओरिजिन वैलिडेशन .. स्लग: आरपीकी-बीजीपी-मार्ग-उत्पत्ति-सत्यापन .. दिनांक: 2026-04-07 12:00:00 यूटीसी .. टैग: आरपीकी, बीजीपी, सुरक्षा, रूटिंग, रूट-हाईजैकिंग, आरओए .. श्रेणी: लेख .. लिंक: .. विवरण: आरपीकेआई और रूट ओरिजिन वैलिडेशन बीजीपी को हाईजैक और रूट लीक से कैसे बचाते हैं - आरओए, सत्यापन स्थिति, आरटीआर प्रोटोकॉल और तैनाती आंकड़ों को कवर करते हुए। .. प्रकार: पाठ

आरपीकेआई और बीजीपी मार्ग उत्पत्ति सत्यापन

रिसोर्स पब्लिक की इंफ्रास्ट्रक्चर रूट हाईजैक को कैसे रोकता है - आरओए ट्रस्ट श्रृंखला, सत्यापन स्थिति, आरटीआर प्रोटोकॉल और जहां आज तैनाती है, को कवर करता है।

1. बीजीपी के पास मूल मूल का कोई सत्यापन क्यों नहीं है

बीजीपी को एक सहकारी इंटरनेट के लिए डिज़ाइन किया गया था जहां सभी प्रतिभागियों पर भरोसा किया जाता था। एक राउटर एक अद्यतन संदेश स्वीकार करता है और इसे बिना किसी क्रिप्टोग्राफ़िक सत्यापन के प्रचारित करता है कि मूल एएस वास्तव में उन आईपी उपसर्गों की घोषणा करने के लिए अधिकृत है। इसका मतलब यह है कि कोई भी एएस - गलत कॉन्फ़िगरेशन या दुर्भावना के माध्यम से - किसी और के उपसर्गों की घोषणा कर सकता है, और वह घोषणा मिनटों के भीतर विश्व स्तर पर प्रचारित हो सकती है।

उल्लेखनीय घटनाएं जिन्होंने आरपीकेआई को अपनाने में तेजी लाई:

  • 2008 - पाकिस्तान टेलीकॉम:पीटीसीएल ने गलती से यूट्यूब के एड्रेस स्पेस (208.65.153.0/24) के लिए एक अधिक विशिष्ट उपसर्ग की घोषणा कर दी, जिससे अपस्ट्रीम प्रदाताओं द्वारा मार्ग वापस लेने से पहले वैश्विक स्तर पर यूट्यूब को ~2 घंटे के लिए ब्लैकहोल कर दिया गया।
  • 2010 - चाइना टेलीकॉम:चाइना टेलीकॉम ने ~18 मिनट के लिए अमेरिकी सेना, सरकार और वाणिज्यिक नेटवर्क से संबंधित ~50,000 उपसर्गों की उत्पत्ति की। चाहे आकस्मिक हो या जानबूझकर इसकी पुष्टि कभी नहीं की गई।
  • 2018 - अमेज़न रूट 53 डीएनएस हाईजैक:एक हमलावर ने 205.251.196.0/24 (अमेज़ॅन डीएनएस) को हाईजैक करने के लिए बीजीपी का उपयोग किया, धन चुराने के लिए क्रिप्टोकरेंसी वॉलेट ट्रैफ़िक को पुनर्निर्देशित किया। हमले में ईनेट (एएस10297) से बीजीपी अपडेट का उपयोग किया गया।
  • 2019 - चाइना टेलीकॉम के माध्यम से यूरोपीय यातायात को फिर से रूट किया गया:बीजीपी रूट लीक के कारण यूरोपीय मोबाइल ट्रैफिक (वोडाफोन और स्विट्जरलैंड के स्विसकॉम सहित) को लगभग 2 घंटे के लिए चाइना टेलीकॉम के माध्यम से फिर से रूट किया गया था।

2. आरपीकेआई ट्रस्ट पदानुक्रम

आरपीकेआई (आरएफसी 6480) X.509 प्रमाणपत्रों का एक पदानुक्रम बनाता है जो दर्शाता है कि आईपी एड्रेस स्पेस कैसे सौंपा गया है:

  1. आईएएनएरूट ट्रस्ट एंकर रखता है। यह पाँच RIR (ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC) को संसाधन प्रमाणपत्र जारी करता है, जिनमें से प्रत्येक अपने पते के स्थान को कवर करता है।
  2. आरआईआरअपने सदस्यों (आईएसपी, उद्यमों) को उन सदस्यों के पते के स्थान के लिए प्रमाणपत्र जारी करें।
  3. सदस्योंअंतिम इकाई (ईई) प्रमाणपत्र जारी करें और हस्ताक्षर करेंमार्ग मूल प्राधिकरण(आरओए) - विशिष्ट उपसर्गों की उत्पत्ति के लिए एक विशिष्ट एएसएन को अधिकृत करने वाले हस्ताक्षरित सत्यापन।

सत्यापनकर्ता इस हस्ताक्षरित ऑब्जेक्ट पदानुक्रम को पांच आरआईआर रिपॉजिटरी (साथ ही किसी भी प्रत्यायोजित रिपॉजिटरी) से डाउनलोड करते हैं, प्रमाणपत्र श्रृंखला को मान्य करते हैं, और एक मान्य आरओए पेलोड (वीआरपी) तालिका बनाते हैं। इसके बाद राउटर्स स्थानीय आरपीकेआई कैश को क्वेरी करते हैंआरटीआर प्रोटोकॉल (आरएफसी 8210) इस तालिका को प्राप्त करने और आने वाले बीजीपी अपडेट पर मूल सत्यापन करने के लिए।

3. मार्ग उत्पत्ति प्राधिकरण (आरओए)

एक आरओए (आरएफसी 6482) एक हस्ताक्षरित वस्तु है जिसमें तीन फ़ील्ड हैं:

  • एएसएन: स्वायत्त प्रणाली उपसर्ग उत्पन्न करने के लिए अधिकृत है।
  • उपसर्ग: आईपी उपसर्ग (आईपीवी4 या आईपीवी6) अधिकृत किया जा रहा है।
  • अधिकतम लंबाई: अधिकतम उपसर्ग लंबाई जिसकी घोषणा करने के लिए एएसएन अधिकृत है। यदि निर्दिष्ट नहीं है, तो केवल सटीक उपसर्ग ही अधिकृत है। यदि /20 उपसर्ग के लिए, मान लीजिए, 24 पर सेट किया जाता है, तो एएसएन /20 और /24 के बीच किसी और विशिष्ट की घोषणा भी कर सकता है।
maxLength एक सामान्य गलत कॉन्फ़िगरेशन वेक्टर है।ROA पर maxLength = 32 (IPv4) या maxLength = 128 (IPv6) सेट करने से ASN को /32 होस्ट रूट सहित किसी भी अधिक विशिष्ट सबनेट की घोषणा करने की अनुमति मिलती है, जिसका उपयोग हाईजैक में किया जा सकता है। सर्वोत्तम अभ्यास: maxLength को आपके द्वारा वास्तव में घोषित सबसे लंबे उपसर्ग पर सेट करें (अक्सर उपसर्ग की लंबाई के समान)।

एक एकल आरओए एक ही एएसएन के लिए कई उपसर्गों को अधिकृत कर सकता है, लेकिन एक आरओए एक ही उपसर्ग के लिए कई एएसएन को अधिकृत नहीं कर सकता है। एक द्वितीयक एएसएन (जैसे, एक ट्रांज़िट प्रदाता या सीडीएन) को अपना उपसर्ग उत्पन्न करने की अनुमति देने के लिए, उस एएसएन के लिए एक अलग आरओए बनाएं।

4. सत्यापन स्थितियाँ

जब एक राउटर को बीजीपी अपडेट प्राप्त होता है, तो यह मूल सत्यापन करता है (आरएफसी 6811) इसकी स्थानीय वीआरपी तालिका के विरुद्ध:

राज्य स्थिति विशिष्ट स्थानीय-वरीयता उपचार
वैध कम से कम एक ROA उपसर्ग को कवर करता है (उपसर्ग ⊆ ROA उपसर्ग और उपसर्ग-लंबाई ≤ अधिकतम लंबाई) और ROA का ASN BGP अद्यतन के मूल ASN से मेल खाता है +20 या पसंदीदा (सामान्य)
अमान्य कम से कम एक आरओए उपसर्ग को कवर करता है, लेकिन किसी भी कवरिंग आरओए में मिलान एएसएन और अधिकतम लंबाई ≥ घोषित उपसर्ग लंबाई नहीं होती है लोकल-प्रीफ़ 0 सेट करें या ड्रॉप करें (ऑपरेटर की पसंद; RFC 6811 अनुमति देने की अनुशंसा करता है लेकिन अंकन करने का)
नहीं मिला कोई ROA मौजूद नहीं है जो घोषित उपसर्ग को कवर करता हो अपरिवर्तित (आरपीकेआई के अस्तित्व में आने से पहले जैसा व्यवहार किया गया)

मुख्य अंतर्दृष्टि:अमान्यकी तुलना में किसी समस्या का अधिक मजबूत प्रमाण हैनहीं मिला. NotFound का सीधा सा अर्थ है कि उपसर्ग स्वामी ने अभी तक ROA नहीं बनाया है। अमान्य का अर्थ है कि एक ROA मौजूद है जो कहता है कि यह ASN हैनहींअधिकृत - गलत कॉन्फ़िगरेशन या अपहरण का एक मजबूत संकेत।

5. आरटीआर प्रोटोकॉल

राउटर स्वयं X.509 प्रमाणपत्र श्रृंखलाओं को मान्य नहीं करते हैं - यह कम्प्यूटेशनल रूप से महंगा होगा और पूर्ण RPKI कैश रखने की आवश्यकता होगी। इसके बजाय, एक समर्पितआरपीकेआई सत्यापनकर्ता(रूटिनेटर, ऑक्टोआरपीकेआई, फोर्ट, आरपीकी-क्लाइंट) पूर्ण आरपीकेआई रिपॉजिटरी को डाउनलोड और मान्य करता है और परिणामी मान्य आरओए पेलोड (वीआरपी) को आरटीआर प्रोटोकॉल के माध्यम से राउटर्स को निर्यात करता है (आरएफसी 8210).

आरटीआर एक वृद्धिशील सिंक तंत्र के साथ टीसीपी (आईएएनए-असाइन किए गए पोर्ट 323; रूट विशेषाधिकारों की आवश्यकता से बचने के लिए रूटिनेटर जैसे सत्यापनकर्ता पोर्ट 3323 पर डिफ़ॉल्ट) का उपयोग करता है: सत्यापनकर्ता सीरियल नंबर भेजता है, और राउटर अपने अंतिम सिंक के बाद से केवल डेल्टा का अनुरोध करते हैं। यह बड़ी वीआरपी तालिकाओं (वर्तमान में वैश्विक स्तर पर ~400,000+ आईपीवी4 प्रविष्टियाँ) के लिए भी बैंडविड्थ कम रखता है।

6. परिनियोजन और सांख्यिकी

2026 की शुरुआत तक, आरपीकेआई की तैनाती महत्वपूर्ण पैमाने पर पहुंच गई है:

  • विश्व स्तर पर रूट किए गए 50% से अधिक आईपीवी4 उपसर्गों में कम से कम एक आरओए को कवर करता है (2019 में ~10% से अधिक)।
  • अधिकांश टियर-1 और टियर-2 आईएसपी अब रूट ओरिजिन वैलिडेशन करते हैं और अमान्य मार्गों को हटा देते हैं या प्राथमिकता से हटा देते हैं।
  • MANRS (रूटिंग सुरक्षा के लिए पारस्परिक रूप से सहमत मानदंड) को सदस्यता के लिए एक शर्त के रूप में RPKI ROA निर्माण की आवश्यकता होती है और एक प्रति-एएस अनुरूपता डैशबोर्ड प्रकाशित करता है।

लाइव आँकड़े:एनआईएसटी आरपीकेआई मॉनिटर, आरओवी++, एपीएनआईसी आरपीकेआई आँकड़े.

7. आरओवी से परे: एएसपीए और बीजीपीसेक

आरपीकेआई रूट ओरिजिन वैलिडेशन केवल यह सत्यापित करता है किमूल ASNउपसर्ग की घोषणा करने के लिए अधिकृत है। यह AS_PATH को मान्य नहीं करता है - एक हमलावर अभी भी अंत में वैध मूल AS के साथ एक गलत AS_PATH का निर्माण कर सकता है। दो IETF मानक इसे संबोधित करते हैं:

  • बीजीपीसेक (आरएफसी 8205): पथ में प्रत्येक एएस क्रिप्टोग्राफ़िक रूप से अद्यतन पर हस्ताक्षर करता है, जिससे हिरासत की एक अटूट श्रृंखला बनती है। सभी ट्रांज़िट ASes को BGPsec का समर्थन करने की आवश्यकता है - एक महत्वपूर्ण परिनियोजन बाधा। 2026 तक शायद ही कभी तैनात किया गया हो।
  • स्पा(स्वायत्त सिस्टम प्रदाता प्राधिकरण,ड्राफ्ट-आईईटीएफ-सिड्रॉप्स-एस्पा-प्रोफाइल): एक एएस अपने अधिकृत अपस्ट्रीम प्रदाताओं को सूचीबद्ध करते हुए एक ऑब्जेक्ट पर हस्ताक्षर करता है। सत्यापनकर्ता अमान्य घाटी-मुक्त पथों का पता लगा सकते हैं (उदाहरण के लिए, एक ग्राहक मार्गों की घोषणा करता है जैसे कि वह एक प्रदाता था)। BGPsec की तुलना में तैनात करना आसान है और 2025-2026 तक कर्षण प्राप्त कर रहा है।

संदर्भ

  • आरएफसी 6480- सुरक्षित इंटरनेट रूटिंग का समर्थन करने के लिए एक बुनियादी ढांचा (आरपीकेआई सिंहावलोकन)
  • आरएफसी 6482- मार्ग उत्पत्ति प्राधिकरण (आरओए) के लिए एक प्रोफ़ाइल
  • आरएफसी 6811- बीजीपी उपसर्ग उत्पत्ति सत्यापन
  • आरएफसी 8210- आरपीकेआई से राउटर प्रोटोकॉल, संस्करण 1 (आरटीआर)
  • आरएफसी 8416- आरपीकेआई (एसएलयूआरएम - स्थानीय ओवरराइड्स) के साथ सरलीकृत स्थानीय इंटरनेट नंबर संसाधन प्रबंधन
  • आरएफसी 9286- संसाधन सार्वजनिक कुंजी अवसंरचना (आरपीकेआई) के लिए घोषणापत्र
  • आरएफसी 8205- बीजीपीसेक प्रोटोकॉल विशिष्टता
  • मैनर्स- रूटिंग सुरक्षा के लिए पारस्परिक रूप से सहमत मानदंड
  • क्लाउडफ्लेयर आरपीकेआई पोर्टल- लाइव आरओए लुकअप