IXP Filter Check 使互联网交换中心能够验证是否恰当滤出错误及恶意路由。
甲骨文发布一款免费工具,可以显示互联网交换中心 (IXP) 过滤错误或恶意流量路由信息的优劣,防止造成重大互联网中断。
该工具旨在帮助 IXP 识别并修复路由过滤功能中的漏洞,同时向公众揭示 IXP 在保持互联网安全中的作用。IXP 在不同 ISP 网络间路由流量。这是布置有大量网络交换机的实体位置,无缝连接不同服务提供商的网络。
甲骨文的新工具 IXP Filter Check 是其路由安全共识规范 (MANRS) 倡议的一部分,该倡议旨在加强互联网路由安全。
近些年来,互联网路由错误,无论是意外还是恶意的,频频导致重大问题。比如说,去年谷歌的流量就被误导向了中国的一家 ISP,导致该公司的搜索及其他服务在一个多小时里出现间歇性中断。今年早些时候,Cloudflare 重要客户的流量被路由流经宾夕法尼亚一家小公司的网络。该错误导向引发 Cloudflare 及很多其他服务提供商托管的网站不可用,持续时间约两小时,影响波及互联网一大部分用户。
此类中断的形成原因常是相对较小的配置错误。例如,谷歌的流量被误导是因为一家尼日利亚小公司意外“声明”了几个谷歌 IP 的错误路由信息。作为该尼日利亚 ISP 的网络“对等节点”之一,中国电信接受了这些错误路由信息,并在互联网上广播了出去。
Cloudflare 的案例则是那家宾夕法尼亚 ISP 犯了类似的路由信息声明错误,然后威瑞森将该错误路由信息广播到了互联网其他地方。正如 Cloudflare 当时所述:这就好像导航地图软件把整条高速公路给导到乡间小路上一样。
不是所有的路由错误都是无心之失。最近几年,攻击者采用重定向攻击来转移流量以作恶意用途,比如监视、分布式拒绝服务攻击和加密货币挖矿。
MANRS 倡议旨在解决互联网核心路由基础设施中的根本性弱点,让此类流量误导没那么容易发生或故意制造。在较高层面上,该倡议想要确保 ISP 和 IXP 有办法能够快速识别和过滤错误路由信息,并且防止错误路由在互联网上传播。
若要加入 MANRS 计划,IXP 需以特定标准过滤自己收到的所有路由声明,保障路由消息的合法性。其目的是确保无法恰当验证的任何路由信息都被滤掉,比如源头无法验证的路由信息。
甲骨文的 IXP Filter Check 是个监视服务,目前部署在约 200 个 IXP 位置,基本上是检查 IXP 过滤错误及恶意路由的有效程度。甲骨文互联网分析总监 Doug Madory 表示:这是个免费服务,提供对 IXP 路由服务器上路由的第三方审查。其目标是公开报告流过的无效信息以便帮助 IXP 改进,并向公众报告 IXP 的表现。
该甲骨文工具并非是要帮助 IXP 过滤路由消息,而是要帮助 IXP 管理员监视和分析其现有路由过滤的有效性。
IXP Filter Check 采用的过滤机制与 MANRS 倡议参与 IXP 所用的类似。该工具检查路由信息的方法与 IXP 的过滤机制相同,比如确保路由消息带有恰当的源信息和前缀长度。
据 Madory 透露,IXP Filter Check 是提供全球 IXP 路由服务器行为独立实时分析的首款工具。他预计,目前约有 1,000 个实体自称为 IXP,尽管其中很多都相对较小或仅由一家电信公司运营。
单一技术赢不下不安全路由对抗战。但在路由过滤等措施的帮助下,随着时间流逝,情况会逐渐变好。