인터넷은 하나의 동질적인 네트워크가 아닙니다. 서로 연결된 다양한 독립 네트워크로 구성됩니다. 트래픽이 인터넷을 통해 흐르는 경우 여러 독립 네트워크를 통과해야 할 수 있습니다. BGP(Border Gateway Protocol)의 역할은 해당 트래픽이 소스에서 대상으로 효율적으로 이동할 수 있는 경로를 식별하는 데 도움이 되는 것입니다.
인터넷은 소규모 네트워크의 네트워크로 구성되며, 소규모 네트워크는 소규모 조직에서 운영하는 대규모 라우터 풀입니다. AS(Autonomous Systems)라고 하는 이러한 소규모 네트워크는 ISP(Internet Service Provider) 또는 기타 대규모 조직일 수 있습니다. 기업, 정부기관, 캠퍼스 등
각 AS에는 AS를 식별하는 번호인 고유한 ASN이 할당됩니다. AS는 사용자를 인터넷에 직접 연결하고 다른 자율 시스템 간의 연결 또는 경로를 제공합니다. 네트워크 패킷이 인터넷을 통해 라우팅되는 경우 ASN 간의 서로 다른 링크를 활용하여 다양한 경로를 따를 수 있습니다. 이상적으로는 최단 경로를 선택합니다. 그러나 수천 개의 ASN이 있고 인터넷 지도가 끊임없이 바뀌는 경우 이는 어려운 작업입니다.
이것이 BGP가 인터넷 작동 방식의 중요한 부분인 이유입니다. ASN은 BGP를 통해 다양한 IP 주소 또는 범위에 대한 잠재적 경로를 광고할 수 있으므로 라우터는 패킷이 취할 가장 효율적인 경로를 식별할 수 있습니다.
인터넷의 각 AS는 특정 IP 주소 범위 내에 있을 가능성이 있는 엔드포인트 집합에 직접 연결됩니다. BGP에서 각 자율 시스템은 라우팅 정보를 수집하고 네트워크 접두사 알림으로 피어(직접 연결된 ASN)와 통신하는 역할을 합니다. 예를 들어, AS는 특정 IP 주소에 직접 연결되어 있고, 다른 IP 주소에서 한 홉 떨어져 있음을 알립니다. 모든 AS는 수신한 라우팅 정보를 피어와 통신하기 때문에 이 정보는 결국 전체 네트워크를 통해 침투하게 됩니다. 따라서 ASN은 직접 연결되지 않은 ASN에 대해서도 네트워크 접두사를 학습합니다.
네트워크 접두사 및 홉 정보를 통해 AS는 인터넷을 통해 트래픽을 전송하는 최상의 경로를 결정할 수 있습니다. 각 IP 주소에 대해 여러 잠재적 경로가 존재하지만 AS에는 속도, 안정성, 비용 및 기타 요인과 같은 핵심 기준에 따라 최상의 결정을 내리는 데 필요한 정보가 있습니다.
BGP에 대한 논의 및 애플리케이션은 외부 BGP(eBGP)를 참조하는 경우가 많습니다. 여기에는 프로토콜을 사용하여 공용 인터넷을 통해 자율 시스템 간에 트래픽이 이동할 수 있는 잠재적 경로를 식별하는 작업이 포함됩니다.
그러나 기본 프로토콜에 대한 어떤 것도 교차 AS 트래픽에만 사용할 수 있도록 합니다. AS는 BGP를 사용하여 네트워크 내에서 트래픽을 라우팅하도록 선택할 수 있으며, 이를 내부 BGP(iBGP)라고 합니다. 내부 및 외부 BGP의 사용은 서로 독립적입니다. 외부 BGP가 인터넷에서 사용되는 동안 AS는 내부 라우팅을 위해 여러 프로토콜 중에서 선택할 수 있습니다.
BGP는 인터넷이 작동하도록 하는 기본 프로토콜 중 하나입니다. 그러나 이러한 많은 프로토콜과 마찬가지로 공격이나 남용에 취약할 수 있습니다.
BGP 하이재킹
BGP는 주로 명예 시스템에서 작동합니다. AS는 직접 연결된 네트워크 접두사와 인터넷의 다른 영역으로의 경로를 광고합니다. 그러나 다른 AS는 이 정보의 정확성을 확인할 수 있는 수단이 제한적입니다. 과거에는 일부 AS가 실수로 잘못된 네트워크 접두사를 게시하여 네트워크 대기 시간이 길어지거나 다른 사용자가 인터넷의 일부에 액세스할 수 없게 만들 수 있었습니다.
이 작업은 BGP 하이재킹이라고 하는 의도적으로 수행할 수도 있습니다. BGP 하이재커는 인터넷 트래픽을 자체적으로 라우팅하여 다양한 공격을 수행할 수 있습니다. 예를 들어, BGP 하이재커는 시스템을 통해 트래픽을 라우팅하고 연결을 삭제하여 DoS(서비스 거부 ) 공격을 수행할 수 있습니다. 또는 BGP 하이재킹은 공격자가 DNS 쿼리를 리디렉션하고 사용자를 피싱 사이트로 안내하는 가짜 응답을 보내는 DNS 하이재킹 공격에도 사용되었습니다.
디도스(DDoS) 공격
BGP works by having ASes publish routing information to their peers. These ASes process the information, update their internal tables, and pass the information on to their peers. This creates the opportunity for a Distributed DoS (DDoS) attack. The attackers create a fake advertisement that an AS is looking for updating routing information, causing a flood of traffic and data that can overwhelm the system.
BGP는 인터넷 작동 방식의 근본적인 부분입니다. 조직은 BGP를 사용하여 내부 및 외부 라우팅을 수행할 수 있습니다. 체크 포인트 차세대 방화벽 (NGFW)을 위한 기본 제공 운영 체제인 Gaia는 BGP 및 기타 동적 라우팅 프로토콜에 대한 지원을 통합했습니다. BGP는 체크포인트의 디도스 프로텍터(DDoS Protector)의 핵심 구성 요소이기도 합니다. BGP를 통해 체크 포인트는 트래픽을 스크러빙 센터로 원활하게 라우팅하여 DDoS 트래픽을 필터링하고 조직이 공격자에게 압도당하는 것을 방지할 수 있습니다. 올바른 DDoS 방어 솔루션을 선택하는 방법에 대해 자세히 알아보려면 DDoS 구매자 가이드를 읽어보세요.