Cloudflare上周發布了Is BGP Safe Yet網站,可用來測試使用者的網路服務供應商(ISP),是否部署了資源公鑰基礎架構(Resource Public Key Infrastructure,RPKI),以預防BGP外洩或挾持。

全球網路是由不同的自治系統(Autonomous System)所組成,它們之間利用邊界閘道協定(Border Gateway Protocol,BGP)來互連,BGP負責打造網路地圖,規畫最快的路徑,但當AS錯誤宣告BGP時,就可能造成BGP外洩或挾持的狀況,將流量導至錯誤的目的地,而造成網路大塞車誤繞的結果。

為了改善BGP的安全性,業界提出了資源基礎架構(RPKI),它又被稱為資源認證,可被部署在AS上,用來驗證AS與BGP路由宣告之間的關聯,可擋下無效的路由宣告。

因此,Is BGP Safe Yet就是用來驗證各大ISP業者或其它大型網路,是否正確部署了RPKI,根據Cloudflare的觀察,目前大約有50%的網路部署RPKI。

Cloudflare所使用的驗證方法很簡單,它們讓Is BGP Safe Yet企圖載入兩個頁面,一個具備有效的前綴(prefix),另一個則採用無效前綴,倘若使用者的ISP業者實施了RPKI,那麼就只能載入第一個頁面,而無法載入第二個,若兩個都能載入,即代表ISP接納了無效路由,並未採用RPKI。

例如當測試中華電信的HiNet服務時,即出現HiNet並未安全導入BGP的訊息。Cloudflare也鼓勵使用者透過Twitter分享該訊息,以督促業者部署RPKI來保障全球網路的健全。


熱門新聞

Advertisement