在上一篇文章中,我們了解了BGP協議及路由表的運作原理
本篇將要來分享RPKI安全驗證
RPKI原名Resource Public Key Infrastructure,意思也就是 資源 公鑰 基礎建設
那他是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在BGP協定上
全球目前大約有24%部署了RPKI,有76%沒有部署
那麼,RPKI的原理是什麼呢?
其原理就是 用戶啟用ROA授權指定ASN,接著路由伺服器檢查進入的路由RPKI是否正確
像有些網站提供了RPKI驗證查詢 https://rpki.cloudflare.com/
那麼,RPKI要怎麼去過濾呢?他的數據來源?
首先,RPKI是需要從RIR(互聯網管理機構)去抓取數據的,擁有者也需要到RIR去進行部署
以RIPE(歐洲互聯網管理機構)為例,用戶可以自行選擇是否架設一個RPKI伺服器或是交給RIR託管
RPKI可以做什麼
可以保護IP不被盜播,舉個例子
我擁有兩個AS號碼(自治號碼),有一天我將我第一個號碼的prefix分給第二個號碼來廣播
不過我只有新增IRR紀錄,也就是 route6 object.
但是,我的RPKI分配的AS是我第一個號碼的,這就導致有些地方收不到我的路由(因為RPKI invalid)
可能有些人會想問,疑 如果沒有部署RPKI呢?
我們在上面有說到RPKI部署率不高,所以目前並不是每個ISP都有部署RPKI unknow不通行
如果通行了... 全球可能很多地方的使用者將無法訪問網際網路
(打開 Cloudflare 的RPKI網站... 嗯,一堆ISP都沒有部署RPKI呢)