Saturs
- Kas ir BGP?
- Kāpēc man vajadzētu rūpēties?
- Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi
- BGP nākotne
Izņemšana:
Kad tika izstrādāta BGP, tīkla drošība nebija problēma. Tāpēc arī BGP problēma ir tās lielākā priekšrocība: tās vienkāršība.
Runājot par drošības ievainojamībām, daudz kas tika darīts ar buferu pārpildes uzbrukumiem, izplatītiem pakalpojumu atteikšanas uzbrukumiem un Wi-Fi uzlaušanas iespējām. Kaut arī šāda veida uzbrukumiem ir pievērsta liela uzmanība daudz populārākos IT žurnālos, emuāros un vietnēs, viņu seksa pievilcība bieži ir aizēnojusi IT nozares jomu, kas, iespējams, ir visu interneta komunikāciju mugurkauls: Border Gateway Protocol. (BGP). Kā izrādās, šo vienkāršo protokolu var izmantot - un mēģinājums to nodrošināt nebūtu mazs uzņēmums. (Lai uzzinātu vairāk par tehnoloģiskiem draudiem, skatiet nodaļu Ļaunprātīga programmatūra: tārpi, Trojas zirgi un boti, Ak, mans!)
Kas ir BGP?
Robežu vārtejas protokols ir ārējo vārteju protokols, kas pamatā novirza satiksmi no vienas autonomas sistēmas (AS) uz citu autonomu sistēmu. Šajā sakarā "autonomā sistēma" vienkārši norāda uz jebkuru jomu, kurā interneta pakalpojumu sniedzējam (ISP) ir autonomija. Tātad, ja gala lietotājs paļaujas uz AT&T kā savu ISP, viņš piederēs kādai no AT & T autonomām sistēmām. Dotā AS nosaukšanas kārtība, visticamāk, izskatīsies kā AS7018 vai AS7132.
BGP paļaujas uz TCP / IP, lai uzturētu savienojumus starp diviem vai vairākiem autonomiem sistēmas maršrutētājiem. Tā ieguva plašu popularitāti deviņdesmitajos gados, kad internets auga eksponenciālā ātrumā. ISP bija vajadzīgs vienkāršs veids, kā novirzīt satiksmi uz mezgliem citās autonomās sistēmās, un BGP vienkāršība ļāva tam ātri kļūt par starpdomēnu maršrutēšanas faktisko standartu. Tātad, kad galalietotājs sazinās ar kādu, kurš izmanto citu ISP, šie sakari būs šķērsojuši vismaz divus maršrutētājus, kas nodrošina BGP.
Kopējā BGP scenārija ilustrācija var nedaudz parādīt BGP faktisko mehāniku. Pieņemsim, ka divi interneta pakalpojumu sniedzēji noslēdz līgumu par satiksmes plūsmu uz un no attiecīgajām autonomajām sistēmām. Kad visi dokumenti ir parakstīti un līgumus ir apstiprinājuši to likumīgie bīgli, faktiskie sakari tiek nodoti tīkla administratoriem. B1 maršrutētājs, kas iespējots ar BGP, AS1 sāk komunikāciju ar maršrutētāju, kas iespējots ar BGP, AS2. Savienojums tiek uzsākts un uzturēts caur TCP / IP portu 179, un, tā kā tas ir sākotnējais savienojums, abi maršrutētāji apmainās ar maršrutēšanas tabulām savā starpā.
Maršrutēšanas tabulās tiek uzturēti ceļi uz katru esošu mezglu dotajā AS. Ja pilns ceļš nav pieejams, tiek uzturēts maršruts uz atbilstošo sub-autonomo sistēmu. Kad inicializācijas laikā ir notikusi apmaiņa ar visu būtisko informāciju, tiek uzskatīts, ka tīkls ir saplūdis, un turpmākā komunikācija ietvers atjauninājumus un saziņu, kas vēl joprojām ir spēkā.
Diezgan vienkārši, vai ne? Tas ir. Un tieši tā ir problēma, jo tieši šī vienkāršība ir radījusi dažas ļoti satraucošas ievainojamības.
Kāpēc man vajadzētu rūpēties?
Tas viss ir labi un labi, bet kā tas ietekmē kādu, kurš savu datoru izmanto videospēļu spēlēšanai un Netflix skatīšanai? Viena lieta, kas jāpatur prātā katram galalietotājam, ir tā, ka internets ir ļoti jutīgs pret domino efektu, un BGP tajā spēlē lielu lomu. Ja tas tiek izdarīts pareizi, viena BGP maršrutētāja uzlauzšana var izraisīt atteikumu sniegt pakalpojumus visai autonomai sistēmai.
Pieņemsim, ka dotās autonomās sistēmas IP adreses prefikss ir 10.0.x.x. BGP iespējots maršrutētājs šajā AS reklamē šo prefiksu citiem BGP iespējotiem maršrutētājiem citās autonomās sistēmās. Parasti tas ir caurspīdīgs tūkstošiem tiešo lietotāju konkrētajā AS, jo vairums mājas lietotāju ISP līmenī bieži ir izolēti no notiekošās. Saule spīd, putni dzied, un interneta satiksme līdz ar to mēms. Netflix, YouTube un Hulu attēla kvalitāte ir pozitīva, un digitālā dzīve nekad nav bijusi labāka.
Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi
Jūs nevarat uzlabot savas programmēšanas prasmes, kad nevienam nerūp programmatūras kvalitāte.
Tagad, pieņemsim, ka nožēlojams indivīds citā autonomā sistēmā sāk reklamēt savu tīklu kā IP adreses prefiksa 10.0.x.x īpašnieks. Vēl sliktāk, šis tīkla nelietis reklamē, ka viņa 10.0.x.x adreses vietai ir zemākas izmaksas nekā minētā prefiksa likumīgajam īpašniekam. (Ar izmaksām es domāju mazāk apiņu, lielāku caurlaidspēju, mazāk sastrēgumu utt.) Šajā scenārijā finansēm nav nozīmes). Pēkšņi visa satiksme, kas bija saistīta ar gala lietotāju tīklu, pēkšņi tiek novirzīta uz citu tīklu, un ISP var darīt tikai daudz, lai to novērstu.
Scenārijs, kas ir ļoti līdzīgs nupat pieminētajam, notika 2010. gada 8. aprīlī, kad interneta pakalpojumu sniedzējs Ķīnā reklamēja kaut ko līdzīgu 40 000 viltus maršrutu. Uz 18 minūtēm nezināms daudzums interneta trafika tika novirzīts uz Ķīnas autonomo sistēmu AS23724. Ideālā pasaulē visa šī nepareizi novirzītā satiksme būtu notikusi šifrētā VPN tunelī, tādējādi pārtraucošajai pusei padarot lielu daļu satiksmes nederīgu, taču var droši teikt, ka šī nav ideāla pasaule. (Uzziniet vairāk par VPN virtuālajā privātajā tīklā: filiāles risinājums.)
BGP nākotne
BGP problēma ir arī tās lielākā priekšrocība: tās vienkāršība. Kad BGP sāka patiesi ieņemt vietu starp dažādiem ISP visā pasaulē, daudz netika padomāts par tādiem jēdzieniem kā konfidencialitāte, autentiskums vai vispārējā drošība. Tīkla administratori vienkārši vēlējās sazināties savā starpā. Interneta inženierijas darba grupa turpina veikt pētījumus par risinājumiem daudzajām BGP ievainojamībām, taču mēģinājums nodrošināt tādu decentralizētu vienību kā internets nav mazs uzņēmums, un miljoniem cilvēku, kas patlaban izmanto internetu, iespējams, nāksies vienkārši paciest neregulāra BGP izmantošana.