1. Чому BGP не має значення походження

BGP був розроблений для кооперативного інтернету, де всі учасники довірилися. маршрутизатор приймає повідомлення UPDATE і пропагує його без криптографічної перевірки, що походження AS фактично уповноважений повідомити ці IP- префікси. Це означає, що будь-який AS — через неправильне налаштування або malice — може повідомити про те, що хтось інший префіксує, і це оголошення може пропагувати протягом декількох хвилин.

Нестабільні інциденти, які прискорили прийняття РПКІ:

  • 2008 — Пакистан Телеком:
  • 2010 — Китай Телеком:
  • 2018 — Amazon Route 53 DNS джек:
  • 2019 — Європейський трафік, що переходить через Китай Telecom:

2. Ієрархія RPKI Trust

РПКІ (РПКІ)) побудує ієрархію сертифікатів X.509, що дзеркалує простір IP-адреси:

  1. Яна
  2. РРИ
  3. УчасникиАвторизація маршруту

Завантажити цей підписаний об'єкт ієрархії від п'яти репозиторіїв RIR (плюсувати будь-які делеговані репозиторії), валідувати ланцюжок сертифіката, а також побудувати валідовану таблицю ROA. Маршрутизатори, потім перемістили локальний кеш РПКІ через (Українська)) отримати цей стіл і здійснити затвердження походження на вхідних БГП.

3. Авторизація маршруту (ROAs)

РОА) підписаний об'єкт, що містить три поля:

  • АСН
  • Префікс
  • Макс
maxLength є загальним вектором конфігурації.

Один ROA може авторизації декількох префіксів для того ж ASN, але одна ROA не може авторизації декількох ASN для одного префікса. Для забезпечення вторинної ASN (наприклад, постачальника або CDN) для походження вашого префіксу, створення окремої ROA для цього ASN.

4. Дійсні США

Коли маршрутизатор отримує BGP UPDATE, він виконує перевірку походження () проти місцевого VRP таблиці:

СтанСтанТипове локальне лікування
ДійсноПринаймні один ROA покриває префікс (перевірка ROA префікса і довжини префікса ≤ maxLength) і ASN ROA відповідає походженням BGP UPDATE ASN+20 або кращий (компонентний)
ІнвалідПринаймні один ROA покриває префікс, але ніякого покриття ROA має відповідність ASN і макс.Length ≥ оголошеної довжини префіксаRFC 6811 рекомендує, але маркування)
НеФундНемає ROA існує, що охоплює оголошену префіксНезмінено (опрацьовано як до RPKI існував)

Ключове розуміння: є сильні докази проблеми, ніж . NotFound просто означає, що власник префіксу ще не створив ROA. Invalid означає ROA, що говорить про це ASN Уповноважений — сильний сигнал будь-якої конфігурації або hijack.

5. Протокол РТР

Маршрутизатори не валідують саму систему сертифікатів X.509 — що буде обчислюватися дорогою і вимагає утримання повного кешу РПКІ. Замість, виділеного (Routinator, OctoRPKI, Fort, rpki-client) завантажує та валідує повну репозиторію РПКІ та вивозить лише отриману перевірку ROA Payloads (VRPs) до маршрутизаторів через протокол РТР (RTR)).

RTR використовує TCP (IANA-призначений порт 323; активатори, такі як Routinator за замовчуванням до порту 3323, щоб уникнути необхідності кореневих привілеїв) з непідготовленим механізмом синхронізації: арбітр відправляє серійні номери, і маршрутизатори вимагають тільки delta, так як їх остання синхронізація. Це зберігає пропускну здатність низькою навіть для великих VRP таблиць (поточно ~ 400,000+ IPv4 записи по всьому світу.

6. Розгортання та статистика

На початку 2026 р. розгортання РПКІ досягла значних масштабів:

  • Понад 50% глобально переправлених префіксів IPv4 мають щонайменше одне покриття ROA (до 10% у 2019 році).
  • Більшість Tier-1 і Tier-2 ISPs тепер виконують перевірку походження маршруту і падіння або депріоритезування Неточних маршрутів.
  • MANRS (Муттєво привітний Норми для безпеки маршрутизації) вимагає створення RPKI ROA в якості передумови для членства і опублікування інформаційної панелі.

Статистика й й й

7. За ROV: ASPA і BGPsec

RPKI Route Походження дійсності тільки верифікує, що Оголошено префікс. Невірно, що AS PATH - атакуючий може ще будувати помилковий AS PATH з законним походженням AS в кінці. Дворівневі стандарти IETF:

Посилання