iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 10
2
Security

網路安全概述系列 第 10

BGP Hijacking: 何謂 BGP? EGP? AS?

  • 分享至 

  • xImage
  •  

相信對「網路安全」相關消息有在關注的朋友,會聽過 BGP狹持 (BGP Hijacking) 這個詞。比較有名的事件,像是:

  • 2017/12,Facebook/Google/Apple/Twitch/NTT/MS/Riot 等等公司的路由被狹持,導向一個俄羅斯的節點。這個消息在台灣是沒有報導的。
  • 2017/04,Visa/Mastercard 的路由一樣被俄羅斯人狹持
  • 2017/01,伊朗人用這招來擋色情網站,不過同時也擋到印度、香港和俄羅斯的用戶

首先,按照慣例,要講 BGP 狹持之前,我們必須講些基礎。

BGP,Border Gateway Protocol

查 wikipedia,他的敘述是這樣的

Border Gateway Protocol (BGP) is a standardized exterior gateway protocol designed to exchange routing and reachability information among autonomous systems (AS) on the Internet.[1] The protocol is often classified as a path vector protocol but is sometimes also classed as a distance-vector routing protocol[citation needed]. The Border Gateway Protocol makes routing decisions based on paths, network policies, or rule-sets configured by a network administrator and is involved in making core routing decisions.

不過這太長了,所以我來解釋。

BGP 的祖先,EGP

在很久以前,網路這東西才剛發明。其實最早的時候,只是一堆電腦用電纜線等等方式串起來,而且開貨車載硬碟搞不好還比網路快。(雖然現在也是

由於當時網路上的機器數量少,所以,都是用人工的方式,來手動指定每台電腦之間的連線路徑該怎麼走。不過,隨著網際網路的成長,人工處理的方式越來越不可行。

於是有人發明了 EGP (External Gateway Protocol)。更早之前還有一個叫做 GGP 的協定。

EGP 是一個讓兩個閘道(路由器)之間溝通的協定,通過 EGP 協定,兩台閘道可以互相告訴對方說,目前已知哪條路可以走,哪條不行,哪條走得快。

過了一陣子之後,人們又發現,光是有 EGP 還不夠用,而且閘道以內(內網)的路由還是亂七八糟。於是又發明了 AS (Autonomous System) 的概念,

首先,先將以下會講到的東西,做個整理。

  • 網路: 由很多 AS 組成
  • AS: 由很多網段組成
  • 網段: 由很多 IP 位置組成
  • IP 位置: 一台機器一個
  • 封包: 在不同的 IP 位置之間移動

AS (Autonomous System)

autonomous,依據新牛津美語字典的解釋:

autonomous | ôˈtänəməs |
adjective
(of a country or region) having self-government, at least to a significant degree: the federation included sixteen autonomous republics.
• acting independently or having the freedom to do so: an autonomous committee of the school board | autonomous underwater vehicles.
• (in Kantian moral philosophy) acting in accordance with one's moral duty rather than one's desires.

由於一開始是讓每台機器都各自直接接上網路,隨著機器數量一多,就越來越難管理。於是就有人發明了 AS 的概念,將網路改變成兩層的結構。以閘道做區隔,最外層是外網,使用 EGP 來做聯繫。閘道內是以 AS 來做管理。
每個 AS 當中,會有很多個網段。
一個 AS 會有一個 ASN (AS number),而 AS 通常是由一個單位管理,例如 ISP、超級大學校、大公司等等,什麼都大的組織。每個 AS 裡面的路由表都自己管,只要事先宣告自己持有什麼網段就行了,故名 autonomous

因此,又暫時把太雜亂的問題往後拋了。

EGP 是以樹狀結構的方式來處理閘道與閘道之間的關係。所以又隨著網路的成長,開始遇到能力匹配不了的問題。於是又有人提出了 BGP。

BGP (Border Gateway Protocol)

BGP 基本上,就是讓每個封包,知道可以從哪裡去到他想要去的位置。BGP 也能夠決定封包從哪條路過去最好。
由於每個使用 BGP 的 AS,都會跟彼此交換資訊,說因此兩個 AS 之間不一定有直接的連線。BGP 會自動決定各種狀態下的路由,決定東西從哪邊走,該在哪邊停。

由於 AS 會互相交換資訊,所以可以收集資訊,也可以「傳錯資訊」。
這就是下一篇要講的:BGP Hijacking。


上一篇
DNSSEC: RRSIG 的補充解說、NSEC 的問題、DNSSEC 目前的困難
下一篇
BGP Hijacking: BGP Hijacking/BGP Leak
系列文
網路安全概述31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言