面向非网络工程师的BGP指南

　　什么是 BGP?

　　边界网关协议(BGP)是互联网的主要路由协议。它被描述为“使互联网工作”的协议，因为它在允许流量快速有效地传输方面发挥着重要的作用。

　　BGP的最初功能是在边缘路由器之间传送网络可达性信息(有时被描述为可达性协议)。此后，它已扩展为还承载 VPN、IPv6、多播和一系列其他数据的路由信息。BGP 提供网络稳定性，因为它保证路由器可以在一条Internet路径出现故障时快速适应通过不同的连接发送数据包。 它通过BGP-speaking路由器和路由表在Internet上交换路由信息来实现这一点。

　　互联网路由由两种不同的类型组成:：

　　内部网关协议 (IGP)：用于自治系统(AS)内的路由，例如 EIGRP、OSPFF 和        RIP;

　　外部网关协议 (EGP)：边界网关协议目前是事实上的标准 EGP 路由协议，用于域间路。

　　BGP最初是作为取代现有EGP的权宜之计而提出的。快进30年，它仍然是互联网的核心支柱之一。我们目前使用的是版本4(BGP4 或 BGP-4)。

　　BGP 如何工作?

　　BGP指定了一种基于TCP的通信方法，以帮助自治系统通过互联网交换路由信息。AS是由公共管理机构(如大型企业或大学)运行的路由器的集合，它们控制着IP地址范围。每个AS都分配有一个自治系统编号(ASN)。

　　BGP 根据网络管理员设置的路径、规则和/或网络策略确定路由决策。每个 AS 管理一个路由表，其中包含到其他网络的所有已知路由，然后与相邻网络共享，也称为对等网络。 BGP 决策过程使 AS 能够通过分析每个候选者的路径属性，应用一组标准(包括权重、本地偏好、最短 AS 路径等)来选择最有效的可用路由。这意味着 BGP 可能会沿着一条路径引导流量到达其目的地，并在其回程中沿着另一条路径引导流量，从而导致非对称路由。

　　BGP设计和实现的重点一直是安全性和可扩展性，这使得它比其他路由协议更难配置;它也更复杂，使其成为最慢的收敛路由协议之一。

　　一点点历史

　　需要一些背景知识才能更好地了解BGP在互联网历史上所扮演的关键作用。1989年，我们今天所认为的互联网刚刚迈出了第一步。互联网的商用仍然被禁止，但商业ISP正在萌芽，并向最终用户提供网络访问，互联网的商用不再是一个禁忌话题。

　　当BGP于1989年6月首次标准化时，长期运行的ARPANET被停用(1989年2月28日)，TCP / IP被用于互连来自偏远国家的不同网络，互联网即将从其中心架构转向分布式的架构，没有明确定义的主干。

　　在此之前，所谓的互联网网关通过外部网关协议(EGP)交换网络可达信息。EGP是为一个由核心AS和直接连接到该核心的多个其他较小AS组成的互联网而设计的，它完全依赖于AS的树状结构拓扑，不支持循环拓扑。

　　尽管这些限制在早期阶段的互联网中是可以忍受的，在早期存根网关通过其ARPANET骨干相互通信，但随着商业实体和多个骨干网(如NSFNET)的出现，其不足之处变得越来越明显，更不用说无法创建基于策略的路由，这是BGP成功的关键。

　　BGP 中固有的漏洞

　　使 BGP 如此成功的特性也使其极易受到人为错误和恶意攻击的影响。

　　对构成现代互联网的大量AS几乎没有监管，对每个AS邻居网络过滤器应如何配置几乎没有监管。这使得它是一个高度灵活的协议。但是，如果通告了一条新的虚假路由，无论是偶然的还是故意的，流量都将被发送到错误的网络，正如我们最近所看到的，这个问题可以迅速传播到全网。

　　有两种主要类型的漏洞：

　　BGP 泄漏

　　路由泄漏涉及无意创建虚假的路由信息，从而误导流量并使其容易被滥用。路由泄漏通常是由于人为的错误配置过滤器导致的，导致前缀和IP地址块的非法通告，这些异常在网络上传播会导致产生非最优路由和不正确的路由。

　　BGP 劫持

　　路由劫持涉及通过损坏互联网路由表故意接管IP地址的集合。如果注入的路由通告比真实的路由通告更有效，则流量将重新路由到注入的通告的路由器。BGP劫持并不总是容易检测到，因为活动可能隐藏在其他AS的后面，或者可能涉及通告未使用的IP前缀块，这些不太可能被注意到。因此，互联网流量可能会以错误的方式发送，秘密监控或拦截。垃圾邮件发送者还可以使用BGP劫持来欺骗合法IP并将用户发送到伪造网站。

　　对最终用户和业务的影响

　　这两种类型的漏洞都会使最终用户遭受问题。这些范围从不方便(例如由于流量采用不必要的长路径而导致页面加载时间变慢)到非常严重的情况(例如流量拦截或整个网络的黑洞)。这种攻击可能和我们在DDoS攻击中看到的那样导致那种大面积的网络中断。攻击者还可以仅通过特定网络黑洞来审查特定的信息来源。

　　这两种类型的漏洞都会使最终用户遭受问题。这些范围从不方便，例如由于流量采取不必要的长路由而导致的页面加载时间慢到高度严重，例如整个网络的流量拦截或黑洞。这种攻击可能导致我们在DDoS攻击中遭遇全面中断。攻击者还可以通过仅黑洞特定网络来审查特定信息源。

　　重新路由的中间人性质还允许攻击者窃听通信的某些部分，甚至改变流量本身。他们可以将流量从你的合法网站流量重定向到伪装成你网络的一部分的恶意网站。这可能导致敏感信息或证书被盗，甚至向你发送恶意软件。我们从去年劫持者攻击AWS的DNS服务来窃取比特币就可以看到这一点。垃圾邮件发送者还可能通过滥用你的ASN来发送垃圾邮件，从而损害你的企业声誉。

　　虽然企业无法完全防止BGP配置错误或故意滥用BGP，但他们可以监控正在发生的事情。通过监控与AS相关的BGP路由，你可以了解可能正在发生的任何类型的BGP漏洞，并可以执行事件响应计划。

　　译者介绍

　　范晓波，51CTO社区编辑，资深网络安全工程师。精通SDN、SD-WAN、VPN、NFV等网络相关技术。精通二三层网络转发。熟悉DPDK、VPP、OVS高性能网络开源框架。