bgp劫持：bgp劫持的原理及防御详解

　　【小编提示】本文部分内容摘自网络,仅供参考!如需了解服务器租用\托管相关问题,请咨询YINGSOO专业客服,享受1V1贴心服务!免费热线400-630-3752

bgp劫持

　　什么是bgp劫持？

　　bgp劫持是指攻击者恶意改变互联网流量的路由。攻击者通过错误地宣布他们实际上并不拥有、控制或路由的ip地址组(称为ip前缀)的所有权来实现这一点。

　　bgp劫持很像是有人在高速公路上改变所有的标志，将汽车指向错误的出口。

　　整个互联网是由很多^{[日本独立服务器]}的网络组成，这些网络被称为是“自治系统(As)”，因为边界网关协议（bgp）是建立在假设互联网络真正告诉他们拥有哪些ip地址的基础上的，所以bgp劫持几乎是不可能停止的 - 想象一下，如果没有人在看高速公路标志，那么判断这些标志是否被恶意更改的唯一方法就是汽车最终会走到错误的地方才会知道是标志错误了。然而，要发生劫持事件，攻击者需要控制或破坏连接一个自治系统(As)和另一个自治系统(As)的启用bgp的路由器，这样就不是每个人都可以进行bgp劫持。

　　什么是bgp？

　　bgp代表边界网关协议，它是internet的路由协议。换句话说，它提供了方向，以便路由尽可能高效地从一个ip地址传输到另一个ip地址。ip地址是网站的实际web地址。当用户键入网站名称并且浏览器找到并加载它时，请求和响应在用户的ip地址和网站的ip地址之间来回传递。dns（域名系统）服务器提供ip地址，但bgp提供了最快的方式来访问该ip地址。粗略地说，如果dns是互联网的地址簿，那么bgp就是互联网的路线图。

　　每个bgp路由器存储一个路由表，其中包含自治系统之间的最佳路由。由于每个As （通常是internet服务提供商（isp））广播他们拥有的新ip前缀，因此几乎不断更新这些内容。bgp总是倾向于从As到As的最短和最直接的路径，以便通过网络中尽可能少的跳跃来到达ip地址。

　　自治系统（As）的定义

　　自治系统是由单个组织管理的大型网络或网络组。As可能有许多子网，但都共享相同的路由策略。通常，As是isp或具有自己的网络的非常大的组织，以及从该网络到isp的多个上游连接（这称为“多宿主网络”）。每个As都分配有自己的自治系统编号（Asn），以便轻松识别它们。

　　为什么bgp很重要？

　　bgp使得互联网的大规模增长成为可能。互联网由多个互连的大型网络组成。由于它是分散的，因此没有管理机构为数据包传送到其预期的ip地址目的地铺设最佳路由。bgp履行这一职责。如果不是bgp，由于路由效率低，网络流量可能需要花费大量时间才能到达目的地，或者根本不会到达预定目的地。

　　bgp如何被劫持？

　　当As宣布它实际上不控制的ip前缀的路由时，该公告（如果未被过滤）可以传播并被添加到因特网上的bgp路由器中的路由表。从那时起，直到有人注意到并纠正路由，这些ip的流量将被路由到该As。

　　bgp始终支持所需ip地址的最快最详细的的路径。为了使bgp劫持成功，路由公告必须：

　　1）提供一个更具体的路线，宣布一个较小的范围的ip地址比其他As先前宣布。

　　2）为某些ip地址块提供更短的路由。此外，不只是任何人都可以宣布到更大的互联网的bgp路由。为了发生bgp劫持，必须由As的运营商或已经破坏As的威胁行为者发布通知（第二种情况更为罕见）。

　　提供到特定ip地址段的较短路由。此外，不是所有人都可以宣布bgp路由到更大的互联网。为了使bgp劫持事件发生，必须由As的^{[香港云主机优惠]}运营商或或已经破坏As的威胁行为者发布通知(第二种情况比较少见)作出声明。

　　似乎令人惊讶的是，大型网络或网络组的运营商（其中许多是isp）会肆无忌惮地进行此类恶意活动。但考虑到现在全球有超过80,000个自治系统，有些人不值得信任也就不足为奇了。此外，bgp劫持并不总是显而易见或易于检测。不良行为者可能会伪装他们在其他As之后的活动，或者可能会宣布未使用的ip段，这些ip段不太可能被注意监控到。

　　bgp被劫持后会发生什么？

　　由于bgp劫持，互联网流量可能出错，被监控或拦截，被“黑洞”，或者作为中间人攻击的一部分被导向虚假网站。此外，垃圾邮件发送者可以使用bgp劫持或实施bgp劫持的As网络，以欺骗合法ip以进行垃圾邮件。从用户的角度来看，页面加载时间将会增加，因为请求和响应将不会遵循最有效的网络路由，甚至可能不必要地遍历全世界。

　　在最佳情况下，流量只会占用不必要的长路径，从而增加延迟。在最糟糕的情况下，攻击者可能正在进行中间人攻击，或者将用户重定向到虚假网站以窃取数据。

　　bgp在现实网络劫持案例

　　有许多关于故意bgp劫持的真实例子。例如，在2018年4月，俄罗斯提供商宣布了一些实际属于Route53 Amazon dns服务器的ip前缀（ip地址组）。简而言之，最终结果是尝试登录加密货币站点的用户被重定向到由黑客控制的虚假版本的网站。因此，黑客能够窃取大约152,000美元的加密货币。（为了更具体：通过bgp劫持，黑客劫持了亚马逊dns查询，以便dns查询进入他们控制的服务器，返回错误的ip地址，并将Http请求定向到虚假网站。

　　无意中发生bgp劫持事件也很普遍，它们可能对整个全球互联网产生负面影响。2008年，巴基斯坦政府所有的巴基斯坦电信试图通过更新其网站的bgp路线来审查巴基斯坦境内的Youtube。看似意外，新航线被宣布给巴基斯坦电信的上游供应商，并从那里播出到整个互联网。突然之间，Youtube的所有网络请求都被导向了巴基斯坦电信，导致几乎整个互联网网站长达数小时的中断，并使isp服务商无法接受。yingsoo.com

　　用户和网络如何防御bgp劫持？

　　除了持续监控互联网流量如何路由之外，用户和网络可以做很少的事情来防止bgp劫持。

　　ip段前缀过滤

　　大多数网络应该只在必要时接受ip段前缀声明，并且只应将其ip前缀声明到某些网络，而不是整个internet。这样做有助于防止意外的路由劫持，并可能使As不接受伪造的ip前缀声明; 但是，在实践中，这很难实施。

　　bgp劫持检测

　　增加的延迟，降低的网络性能和错误的互联网流量都是bgp劫持的可能迹象。许多大型网络将监控bgp更新，以确保其客户不会遇到延迟问题，并且一些安全研究人员实际上会监控互联网流量并发布他们的发现。

　　使bgp更安全

　　bgp旨在使internet工作，它肯定会这样做。但bgp的设计并未考虑安全性。整个互联网（如bgpsec）的安全路由解决方案正在开发中，但尚未采用它们。目前，bgp具有内在的脆弱性，并将继续存在。（来源网络，如有侵权请联系删除）

　　香港机柜租用托管注意事项详细分析

　　现如今香港机柜租用不再新鮮，全国各地各种各样的托管服务项目蓬勃发展，那麼百里挑一挑到合适自身的呢?

　　本公司网编再此以香港机柜租用为例，给大伙儿解析下香港机柜租用托管所必须留意的一些地区：

　　1、场所保障

　　香港机柜租用托管机房必须给客户出示充足的室内空间置放网络服务器及其计算机设备等，应用电信网级规范网络服务器声卡机架出示服务项目。其机房的木地板载重需合乎电信网机房载重设计方案的规定，总体抗地震级别超过8级左右，而且能够出示客户置放一些特型机器设备。机房要尽量避免客户进到托管区，每日必须专职人员承担环境卫生，以防尘土对网络服务器导致危害。

　　2、互联网保障

　　一个好的香港机柜租用托管机房需确保客户的网络服务器能髙速平稳地连接互联网技术，能够参照本公司香港新天地机房选用优秀的高档无线路由。采用髙速光纤线安全通道联接ChinaNet技术骨干节点，能合理地保障了互联网的髙速和可靠性。

　　3、电力工程保障

　　香港机柜租用托管机房能够设定专用型的配电站，开关电源分二步从发电站传至这儿，并各自连接不同的变电器，让各路变电器得以担负全部IDC的负荷。那样的话就能够确保能不断供电系统。

　　4、自然环境保障

　　香港机柜租用托管机房的全部窗门都需密封性，以避免尘土和噪声等外地人影响。门户网和过道的尺寸可以满足系统软件在安裝时的运送必须。木地板选用抗静电、抗压强度高的。机房内的装修吊顶合乎安全消防规定的原材料，采用隔音降噪好、便于安裝、维护保养便捷、不起尘的吸音材料。主机房的光照强度也是一定的规定。为保障机房的溫度、环境湿度，能够安裝控温专用型空调通风设备。

　　5、安全性保^{[清洗DDOS服务器]}障

　　一台香港网络服务器存载着客户诸多的统计资料，因此机房一定要出示安全性的保障。机房能够装电视监控器及进^{[网络游戏行业该如何选择免备案国外服务器]}出机房自动控制系统，确保全部楼房都找不到一处监控盲点。电视机监控器等还得务必有专职人员7*24钟头地值班。

　　YINGSOO官网：WWW.YINGSOO.COM