网络潜伏定时炸弹 边界网关协议不可忽略

　　在今年的DefCon国际黑客|0">AS path prepending

　　卡佩拉山和皮里苏瓦通过利用AS path prepending绕过了这个问题。在前面，我们说过路径选择采用了AS_path的属性。在一次回旋操作中，将AS_path的属性调整为自治系统的路由器拒绝来自攻击者的路由器的欺骗性边界网关协议条目。攻击者将转发网络流量到具体的边界网关协议邻居。这样的话，在数据到达目的地之前，采用边界网关协议路由进程的互联网传输将保持正常。

　　这样意味着什么?

　　确认通过边界网关协议进行的窃听是很困难的事情。路由追踪可以用来分析，但很难确定是否存在异常行为。为了安全起见，我们必须考虑这是一个中间人类型的攻击并使用相同的优化技术，也就是现在经常说的虚拟专用网。

　　几种临时的解决方案正在试图消除设计中存在的缺陷。其中的一种解决方案是对边界网关协议的邻居进行验证，但它将耗费大量资源，并且只要有一家互联网服务提供商拒绝使用，整个网络就将崩溃。另一种解决方案是使用签名的证书，对边界网关协议的邻居进行验证，但这只适用于传输过程的第一步。

　　一种解决方案被称做安全边界网关协议(S-BGP)。下面是他们的网站上对其工作方式的介绍：

　　"采用安全边界网关协议的网络环境包含了三种安全机制：首先是采用了公钥基础设施(PKI)的网络地址认证机制，并且拥有自治系统(AS)号码，一个自治系统的身份，并且采用边界网关协议的路由器的身份验证和授权系统类似自治系统。

　　其次，一个新的、可选的传递路径用的边界网关协议属性可以用来进行数字签名以便进行边界网关协议的路由信息更新。这些证书的签名包含了地址的前缀和路径等信息以便进行验证。

　　第三， 互联网协议安全性系列(IPSec)可以为数据和部分序列的完整性提供保障，并且保证采用边界网关协议的路由器可以对来自其它部分的流量进行验证。"

　　安全边界网关协议听起来非常强大，但问题是现有的大多数路由器没有足够的内存或处理能力来处理额外的工作量。如果想了解安全边界网关协议的更多信息，请阅读Wired上一篇很不错的文章，"互联网最大安全漏洞的真相"。"

　　最后的思考

　　由于时代的变化，原来的网络开发者希望的信任机制变得不可靠，安全方面的漏洞凸显出来。不论是卡明斯基的错误还是边界网关协议导致的窃听都是证明。我不能肯定未来会怎么变化，但将仍然保持乐观态度。

　　除此之外，由于费用和开销的问题边界网关协议导致的窃听是很难修复的。我敢肯定，互联网服务供应商是不会主动加入这个潮流，除非用户不断地推动。