互聯網由較小網路組成的網路組成,其中較小網路是由較小組織運行的大型路由器池。這些較小的網路稱為自治系統 (AS),可能是網路服務供應商 (ISP) 或其他大型組織;公司、政府機構、校園等
每個 AS 都會指定一個唯一的 ASN,這是識別 AS 的數字。 AS 可直接將用戶連接到網際網路,並在其他自動系統之間提供連接或路由。 當網路封包透過 Internet 路由時,它可能會利用 ASN 之間的不同連結遵循各種路徑。理想情況下,它將選擇最短的路線;但是,當有數千個 ASN,並且互聯網地圖不斷變化時,這是一項艱難的任務。
這就是為什麼 BGP 是互聯網運作方式的重要部分的原因。 通過 BGP,ASN 可以宣傳到各種 IP 位址或範圍的潛在路由,使路由器能夠識別封包要採用最有效的路由。
網際網路中的每個 AS 都直接連接到一組可能位於某個 IP 位址範圍內的端點。在 BGP 中,每個自治系統負責收集路由資訊並與其對等方(直接與其連接的 ASN)進行通信,作為網路前綴公告。例如,AS 會宣告它直接連接到某些 IP 地址,與其他地址遠離其他地址等等。 由於每個 AS 都會與其對等體傳遞收到的路由訊息,因此該訊息最終將滲透到整個網路。因此,即使對於未直接連接的 ASN,ASN 也會學習網路前綴。
利用網路前綴和躍點訊息,AS 可以確定透過 Internet 發送流量的最佳路由。雖然每個 IP 位址都存在多個潛在路由,但 AS 會根據其核心標準(例如速度、可靠性、成本和其他因素)做出最佳決定所需的資訊。
通常,BGP 的討論和應用程式是指外部 BGP (eBGP)。這涉及使用協議來識別通過公共互聯網在自主系統之間流量的潛在路線。
但是,基礎通訊協定的任何內容都無法使其僅適用於跨 AS 流量。 AS 可以選擇使用 BGP 在其網路內路由流量,這種做法稱為內部 BGP (iBGP)。內部和外部 BGP 的使用彼此獨立。 雖然網際網路上使用外部 BGP,但 AS 可以從多個通訊協定中進行內部路由選擇。
BGP 是使互聯網運作的基礎通訊協定之一。 但是,與許多這些協議一樣,它可能容易受到攻擊或濫用。
BGP 劫持
BGP 主要在榮譽系統上工作。 AS將其直連的網路前綴以及到Internet其他區域的路由發佈出去。但是,其他 ASE 有限的方法來驗證此信息的準確性。 過去,一些 AS 無意中發布了不正確的網路前綴,這可能會增加網路延遲或導致其他用戶無法存取部分 Internet。
這也可以故意完成,一種稱為 BGP 劫持的做法。 BGP 劫持者可以通過自己路由互聯網流量進行各種攻擊。 例如,BGP 劫持者可以通過路由其系統的流量並刪除連接來執行拒絕服務 (DoS) 攻擊。 另外,BGP 劫持也被用於DNS劫持攻擊,其中攻擊者重定向 DNS 查詢並發送虛假回應,將使用者引導至網路釣魚網站。
DDoS 攻擊
BGP works by having ASes publish routing information to their peers. These ASes process the information, update their internal tables, and pass the information on to their peers. This creates the opportunity for a Distributed DoS (DDoS) attack. The attackers create a fake advertisement that an AS is looking for updating routing information, causing a flood of traffic and data that can overwhelm the system.
BGP 是互聯網運作方式的基本部分。 組織可以使用 BGP 進行內部和外部路由。 Gaia是Check Point次世代防火牆(NGFW)的內建作業系統,整合了對BGP和其他動態路由協定的支援。BGP也是Check Point的分區分散式廣播服務的核心元件。透過 BGP,Check Point 可以將流量無縫路由到清理中心,以過濾 DDoS 流量並防止組織被對手淹沒。若要進一步了解如何選擇合適的 DDoS 防護解決方案,請參閱我們的 DDoS 買家指南。
反映意見