.. عنوان: RPKI اور BGP روٹ اوریجن کی توثیق
.. slug: rpki-bgp-route-origin-validation
.. تاریخ: 2026-04-07 12:00:00 UTC
.. ٹیگز: rpki, bgp, سیکورٹی, روٹنگ, روٹ ہائی جیکنگ, roa
.. زمرہ: مضامین
.. لنک:
.. تفصیل: RPKI اور روٹ اوریجن کی توثیق کیسے BGP کو ہائی جیک اور روٹ لیکس سے بچاتی ہے — جس میں ROAs، توثیق کی ریاستیں، RTR پروٹوکول، اور تعیناتی کے اعداد و شمار شامل ہیں۔
.. قسم: متن
<style>
.calc-container { max-width: 860px; margin: 20px auto; padding: 20px; }
.calc-header { margin-bottom: 30px; padding: 25px; background: linear-gradient(135deg, #667eea 0%, #764ba2 100%); border-radius: 12px; box-shadow: 0 4px 6px rgba(0,0,0,0.1); color: white; }
.calc-header h2 { margin-top: 0; color: white; font-size: 28px; margin-bottom: 10px; }
.calc-header p  { margin: 10px 0; opacity: 0.95; font-size: 15px; }
.result-section { background: white; border: 1px solid #e0e0e0; border-radius: 8px; margin-top: 20px; overflow: hidden; box-shadow: 0 2px 4px rgba(0,0,0,0.05); }
.section-content { padding: 20px; background: #fafafa; }
@media (max-width: 768px) { .calc-header h2 { font-size: 22px; } .calc-container { padding: 10px; } }
.article-body { padding: 24px; background: white; line-height: 1.8; font-size: 15px; color: #333; }
.article-body h3 { color: #2d6a2d; border-bottom: 2px solid #4CAF50; padding-bottom: 6px; }
.article-body a { color: #2d6a2d; }
.article-body a:hover { color: #4CAF50; }
.callout { background: #e8f5e9; border-left: 4px solid #4CAF50; padding: 12px 16px; border-radius: 6px; margin: 16px 0; font-size: 14px; }
.callout.warn { background: #fff8e0; border-color: #f0a500; }
pre, .code-block { background: #1e1e2e; color: #cdd6f4; padding: 14px 18px; border-radius: 8px; font-family: 'Courier New', monospace; font-size: 13px; overflow-x: auto; line-height: 1.5; margin: 12px 0; white-space: pre; }
table { width: 100%; border-collapse: collapse; margin: 16px 0; font-size: 14px; }
th { background: #2d6a2d; color: white; padding: 10px 12px; text-align: left; }
td { padding: 8px 12px; border-bottom: 1px solid #e0e0e0; vertical-align: top; }
tr:nth-child(even) td { background: #f5f5f5; }
.state-valid   { color: #276227; font-weight: 600; }
.state-invalid { color: #b91c1c; font-weight: 600; }
.state-unknown { color: #92400e; font-weight: 600; }
</style>
<div class="calc-container">
<div class="calc-header">
<h2>RPKI اور BGP روٹ اوریجن کی توثیق</h2>
<p>ریسورس پبلک کلیدی انفراسٹرکچر روٹ ہائی جیک کو کیسے روکتا ہے — جس میں ROA ٹرسٹ چین، توثیق کی ریاستیں، RTR پروٹوکول، اور جہاں تعیناتی آج کھڑی ہے۔</p>
</div>
<div class="result-section">
<div class="section-content article-body">
<h3 id="problem">1. کیوں بی جی پی کی مقامی اصل کی توثیق نہیں ہے۔</h3>
<p>BGP کو آپریٹو انٹرنیٹ کے لیے ڈیزائن کیا گیا تھا جہاں تمام شرکاء پر بھروسہ کیا گیا تھا۔ ایک روٹر اپ ڈیٹ پیغام کو قبول کرتا ہے اور بغیر کسی خفیہ تصدیق کے اس کا پرچار کرتا ہے کہ اصل میں AS ان IP سابقوں کا اعلان کرنے کا مجاز ہے۔ اس کا مطلب ہے کہ کوئی بھی AS — غلط کنفیگریشن یا بددیانتی کے ذریعے — کسی اور کے سابقے کا اعلان کر سکتا ہے، اور یہ اعلان چند منٹوں میں عالمی سطح پر پھیل سکتا ہے۔</p>
<p>قابل ذکر واقعات جنہوں نے RPKI کو اپنانے کو تیز کیا:</p>
<ul>
<li><strong>2008 - پاکستان ٹیلی کام:</strong>پی ٹی سی ایل نے غلطی سے یوٹیوب کے ایڈریس اسپیس (208.65.153.0/24) کے لیے ایک زیادہ مخصوص سابقہ ​​کا اعلان کیا، جس سے اپ اسٹریم فراہم کنندگان کا راستہ واپس لینے سے پہلے ~2 گھنٹے تک عالمی سطح پر یوٹیوب کو بلیک ہول کیا گیا۔</li>
<li><strong>2010 - چائنا ٹیلی کام:</strong>چائنا ٹیلی کام نے ~18 منٹ کے لیے امریکی فوج، حکومت اور تجارتی نیٹ ورکس سے تعلق رکھنے والے ~50,000 سابقے بنائے۔ حادثاتی یا جان بوجھ کر کبھی تصدیق نہیں کی گئی۔</li>
<li><strong>2018 - ایمیزون روٹ 53 DNS ہائی جیک:</strong>ایک حملہ آور نے 205.251.196.0/24 (Amazon DNS) کو ہائی جیک کرنے کے لیے BGP کا استعمال کیا، کرپٹو کرنسی والیٹ ٹریفک کو فنڈز چرانے کے لیے ری ڈائریکٹ کیا۔ حملے میں eNet (AS10297) سے BGP اپ ڈیٹ کا استعمال کیا گیا۔</li>
<li><strong>2019 - چائنا ٹیلی کام کے ذریعے یورپی ٹریفک کو دوبارہ روٹ کیا گیا:</strong>یورپی موبائل ٹریفک (بشمول ووڈافون اور سوئٹزرلینڈ کے سوئس کام) کو چائنا ٹیلی کام کے ذریعے BGP روٹ لیک ہونے کی وجہ سے تقریباً 2 گھنٹے کے لیے دوبارہ روٹ کیا گیا۔</li>
</ul>
<h3 id="rpki-trust">2. RPKI ٹرسٹ کا درجہ بندی</h3>
<p>RPKI (<a href="https://www.rfc-editor.org/rfc/rfc6480" target="_blank">آر ایف سی 6480</a>) X.509 سرٹیفکیٹس کا ایک درجہ بندی بناتا ہے جس میں آئی پی ایڈریس کی جگہ کو کس طرح تفویض کیا جاتا ہے:</p>
<ol>
<li><strong>آئی اے این اے</strong>روٹ ٹرسٹ اینکر رکھتا ہے۔ یہ پانچ RIRs (ARIN، RIPE NCC، APNIC، LACNIC، AFRINIC) کو وسائل کے سرٹیفکیٹ جاری کرتا ہے، ہر ایک اپنے پتے کی جگہ کا احاطہ کرتا ہے۔</li>
<li><strong>RIRs</strong>ان کے ممبران (ISPs، انٹرپرائزز) کو ایڈریس اسپیس کے لیے سرٹیفکیٹ جاری کریں جو ان کے ممبران کے پاس ہے۔</li>
<li><strong>ممبران</strong>End Entity (EE) سرٹیفکیٹ جاری کریں اور دستخط کریں۔<em>راستے کی اصلیت کی اجازت</em>(ROAs) - مخصوص ASN کو مخصوص سابقے شروع کرنے کی اجازت دینے والی دستخط شدہ تصدیقیں۔</li>
</ol>
<p>تصدیق کنندگان اس دستخط شدہ آبجیکٹ کے درجہ بندی کو پانچ RIR ریپوزٹریوں (علاوہ کسی بھی ڈیلیگیٹ ریپوزٹریز) سے ڈاؤن لوڈ کرتے ہیں، سرٹیفکیٹ چین کی توثیق کرتے ہیں، اور ایک توثیق شدہ ROA پے لوڈ (VRP) ٹیبل بناتے ہیں۔ راؤٹرز اس کے بعد مقامی RPKI کیشے سے استفسار کرتے ہیں۔<em>آر ٹی آر پروٹوکول</em> (<a href="https://www.rfc-editor.org/rfc/rfc8210" target="_blank">آر ایف سی 8210</a>) اس ٹیبل کو حاصل کرنے اور آنے والی BGP اپڈیٹس پر اصل کی توثیق کرنے کے لیے۔</p>
<h3 id="roa">3. روٹ اوریجن اتھارٹیز (ROAs)</h3>
<p>ایک ROA (<a href="https://www.rfc-editor.org/rfc/rfc6482" target="_blank">آر ایف سی 6482</a>) تین شعبوں پر مشتمل ایک دستخط شدہ آبجیکٹ ہے:</p>
<ul>
<li><strong>ASN</strong>: خود مختار نظام سابقہ ​​کو شروع کرنے کا مجاز ہے۔</li>
<li><strong>سابقہ</strong>: IP سابقہ ​​(IPv4 یا IPv6) مجاز کیا جا رہا ہے۔</li>
<li><strong>زیادہ سے زیادہ لمبائی</strong>: زیادہ سے زیادہ سابقہ ​​لمبائی جس کا اعلان کرنے کے لیے ASN مجاز ہے۔ اگر متعین نہ کیا گیا ہو تو صرف عین سابقہ ​​کی اجازت ہے۔ اگر /20 کے سابقہ ​​کے لیے، 24 پر سیٹ کیا گیا ہے، تو ASN /20 اور /24 کے درمیان کسی اور مخصوص کا اعلان بھی کر سکتا ہے۔</li>
</ul>
<div class="callout warn">
<strong>maxLength ایک عام غلط کنفیگریشن ویکٹر ہے۔</strong>ROA پر maxLength = 32 (IPv4) یا maxLength = 128 (IPv6) سیٹ کرنا ASN کو مزید مخصوص ذیلی نیٹ کا اعلان کرنے کی اجازت دیتا ہے، بشمول /32 میزبان راستے جو ہائی جیک میں استعمال کیے جا سکتے ہیں۔ بہترین عمل: maxLength کو اس طویل ترین سابقہ ​​پر سیٹ کریں جس کا آپ اصل میں اعلان کرتے ہیں (اکثر سابقہ ​​کی لمبائی کے برابر)۔</div>
<p>ایک ہی ROA ایک ہی ASN کے لیے متعدد سابقوں کی اجازت دے سکتا ہے، لیکن ایک ROA ایک ہی سابقے کے لیے متعدد ASNs کی اجازت نہیں دے سکتا۔ ثانوی ASN (مثال کے طور پر، ٹرانزٹ فراہم کنندہ یا CDN) کو اپنا سابقہ ​​شروع کرنے کی اجازت دینے کے لیے، اس ASN کے لیے علیحدہ ROA بنائیں۔</p>
<h3 id="validation-states">4. توثیق ریاستیں۔</h3>
<p>جب ایک راؤٹر BGP اپ ڈیٹ حاصل کرتا ہے، تو یہ اصل کی توثیق کرتا ہے (<a href="https://www.rfc-editor.org/rfc/rfc6811" target="_blank">آر ایف سی 6811</a>) اس کے مقامی VRP ٹیبل کے خلاف:</p>
<table>
<tr><th>ریاست</th><th>حالت</th><th>عام مقامی ترجیحی علاج</th></tr>
<tr><td><span class="state-valid">درست</span></td><td>کم از کم ایک ROA سابقہ ​​کا احاطہ کرتا ہے (سابقہ ​​⊆ ROA سابقہ ​​اور سابقہ ​​لمبائی ≤ maxLength) اور ROA کا ASN BGP اپ ڈیٹ کی اصل ASN سے میل کھاتا ہے۔</td><td>+20 یا ترجیحی (عام)</td></tr>
<tr><td><span class="state-invalid">غلط</span></td><td>کم از کم ایک ROA سابقہ ​​کا احاطہ کرتا ہے، لیکن کسی کورنگ ROA میں مماثل ASN اور ایک maxLength ≥ اعلان کردہ سابقہ ​​کی لمبائی نہیں ہے</td><td>لوکل-پریف 0 یا ڈراپ سیٹ کریں (آپریٹر کا انتخاب؛ RFC 6811 اجازت دینے لیکن نشان لگانے کی تجویز کرتا ہے)</td></tr>
<tr><td><span class="state-unknown">نہیں ملا</span></td><td>کوئی ROA موجود نہیں ہے جو اعلان کردہ سابقہ ​​کا احاطہ کرتا ہو۔</td><td>غیر تبدیل شدہ (RPKI کے موجود ہونے سے پہلے جیسا سلوک کیا جاتا ہے)</td></tr>
</table>
<p>کلیدی بصیرت:<em>غلط</em>کے مقابلے میں ایک مسئلہ کا مضبوط ثبوت ہے<em>نہیں ملا</em>. NotFound کا سیدھا مطلب ہے کہ سابقہ ​​کے مالک نے ابھی تک ROA نہیں بنایا ہے۔ غلط کا مطلب ہے کہ ایک ROA موجود ہے کہ یہ ASN ہے۔<em>نہیں</em>مجاز - یا تو غلط کنفیگریشن یا ہائی جیک کا ایک مضبوط اشارہ۔</p>
<h3 id="rtr">5. RTR پروٹوکول</h3>
<p>راؤٹرز خود X.509 سرٹیفکیٹ چینز کی توثیق نہیں کرتے ہیں - جو کہ کمپیوٹیشنل طور پر مہنگا ہوگا اور مکمل RPKI کیش رکھنے کی ضرورت ہوگی۔ اس کے بجائے، ایک سرشار<em>RPKI تصدیق کنندہ</em>(Rutinator, OctoRPKI, Fort, rpki-client) مکمل RPKI ریپوزٹری کو ڈاؤن لوڈ اور توثیق کرتا ہے اور RTR پروٹوکول کے ذریعے راؤٹرز کو صرف نتیجے میں تصدیق شدہ ROA پے لوڈز (VRPs) برآمد کرتا ہے۔<a href="https://www.rfc-editor.org/rfc/rfc8210" target="_blank">آر ایف سی 8210</a>)۔</p>
<p>RTR TCP استعمال کرتا ہے (IANA- تفویض کردہ پورٹ 323؛ توثیق کار جیسے کہ روٹینیٹر ڈیفالٹ پورٹ 3323 پر روٹ مراعات کی ضرورت سے بچنے کے لیے) ایک اضافی مطابقت پذیری کے طریقہ کار کے ساتھ: تصدیق کنندہ سیریل نمبر بھیجتا ہے، اور روٹرز اپنی آخری مطابقت پذیری کے بعد سے صرف ڈیلٹا کی درخواست کرتے ہیں۔ یہ بڑی VRP ٹیبلز کے لیے بھی بینڈوڈتھ کو کم رکھتا ہے (فی الحال عالمی سطح پر ~400,000+ IPv4 اندراجات)۔</p>
<h3 id="deployment">6. تعیناتی اور شماریات</h3>
<p>2026 کے اوائل تک، RPKI کی تعیناتی نمایاں پیمانے پر پہنچ چکی ہے:</p>
<ul>
<li>عالمی سطح پر روٹ کیے گئے IPv4 کے 50% سے زیادہ سابقوں میں کم از کم ایک کورنگ ROA ہے (2019 میں ~10% سے زیادہ)۔</li>
<li>Tier-1 اور Tier-2 ISPs کی اکثریت اب روٹ اوریجن کی توثیق کرتی ہے اور غلط راستوں کو چھوڑ دیتی ہے یا محروم کرتی ہے۔</li>
<li>MANRS (Mutually Agreed Norms for Routing Security) RPKI ROA کی تشکیل کو رکنیت کے لیے ایک شرط کے طور پر درکار ہے اور فی AS موافق ڈیش بورڈ شائع کرتا ہے۔</li>
</ul>
<p>لائیو اعداد و شمار:<a href="https://rpki-monitor.antd.nist.gov/" target="_blank">NIST RPKI مانیٹر</a>, <a href="https://www.rov.rpki.net/" target="_blank">ROV++</a>, <a href="https://stats.labs.apnic.net/rpki" target="_blank">APNIC RPKI کے اعدادوشمار</a>.</p>
<h3 id="beyond-rov">7. ROV سے آگے: ASPA اور BGPsec</h3>
<p>RPKI روٹ اوریجن کی توثیق صرف اس بات کی تصدیق کرتی ہے۔<em>اصل ASN</em>سابقہ ​​کا اعلان کرنے کا مجاز ہے۔ یہ AS_PATH کی توثیق نہیں کرتا ہے - ایک حملہ آور اب بھی آخر میں ایک جائز اصل AS کے ساتھ غلط AS_PATH بنا سکتا ہے۔ دو IETF معیارات اس پر توجہ دیتے ہیں:</p>
<ul>
<li><strong>BGPsec</strong> (<a href="https://www.rfc-editor.org/rfc/rfc8205" target="_blank">آر ایف سی 8205</a>): راستے میں موجود ہر AS خفیہ طور پر اپ ڈیٹ پر دستخط کرتا ہے، جس سے حراست کا ایک اٹوٹ سلسلہ پیدا ہوتا ہے۔ BGPsec کو سپورٹ کرنے کے لیے تمام ٹرانزٹ AS کی ضرورت ہوتی ہے - ایک اہم تعیناتی رکاوٹ۔ 2026 تک شاذ و نادر ہی تعینات۔</li>
<li><strong>اے ایس پی اے</strong>(خود مختار نظام فراہم کنندہ کی اجازت،<a href="https://datatracker.ietf.org/doc/draft-ietf-sidrops-aspa-profile/" target="_blank">ڈرافٹ-ietf-sidrops-aspa-profile</a>): ایک AS کسی چیز پر دستخط کرتا ہے جس میں اس کے مجاز اپ اسٹریم فراہم کنندگان کی فہرست ہوتی ہے۔ توثیق کرنے والے غلط وادی سے پاک راستوں کا پتہ لگا سکتے ہیں (مثال کے طور پر، ایک گاہک راستوں کا اعلان کرتا ہے گویا وہ فراہم کنندہ ہے)۔ BGPsec کے مقابلے میں تعینات کرنا آسان ہے اور 2025–2026 تک کرشن حاصل کرنا۔</li>
</ul>
<h3 id="references">حوالہ جات</h3>
<ul>
<li><a href="https://www.rfc-editor.org/rfc/rfc6480" target="_blank">آر ایف سی 6480</a>- محفوظ انٹرنیٹ روٹنگ کو سپورٹ کرنے کے لیے ایک بنیادی ڈھانچہ (RPKI جائزہ)</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc6482" target="_blank">آر ایف سی 6482</a>- روٹ اوریجن اتھارٹیز (ROAs) کے لیے ایک پروفائل</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc6811" target="_blank">آر ایف سی 6811</a>- بی جی پی پریفکس اوریجن کی توثیق</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc8210" target="_blank">آر ایف سی 8210</a>- RPKI سے راؤٹر پروٹوکول، ورژن 1 (RTR)</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc8416" target="_blank">آر ایف سی 8416</a>- RPKI (SLURM - مقامی اوور رائیڈز) کے ساتھ آسان مقامی انٹرنیٹ نمبر ریسورس مینجمنٹ</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc9286" target="_blank">آر ایف سی 9286</a>- ریسورس پبلک کلیدی انفراسٹرکچر (RPKI) کے لیے منشور</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc8205" target="_blank">آر ایف سی 8205</a>- BGPsec پروٹوکول کی تفصیلات</li>
<li><a href="https://www.manrs.org/" target="_blank">MANRS</a>- روٹنگ سیکیورٹی کے لیے باہمی طور پر متفقہ اصول</li>
<li><a href="https://rpki.cloudflare.com/" target="_blank">Cloudflare RPKI پورٹل</a>- لائیو ROA تلاش</li>
</ul>
</div>
</div>
</div>