非网络工程师的 BGP 指南

大家好，欢迎来到IT知识分享网。

本文重点介绍非网络工程师的 BGP（边界网关协议）基础知识。

边界网关协议 (BGP) 是 Internet 的主要路由协议。它被描述为“使互联网工作”的协议，因为它在允许流量快速有效地移动方面发挥着如此重要的作用。

BGP的最初功能是在边缘路由器之间传送互联网可达性信息（有时被描述为可达性协议）。此后，它已扩展为还承载 VPN、IPv6、多播和一系列其他数据的路由。BGP 提供网络稳定性，因为它保证路由器可以在一条 Internet 路径出现故障时快速适应通过不同的连接发送数据包。它通过使用讲 BGP 的路由器和路由表在 Internet 上交换路由信息来做到这一点。

Internet 路由由两种不同的类型组成：

1. 内部网关协议 (IGP)：用于自治系统 (AS) 内的路由，例如 EIGRP、OSPFF 和 RIP
2. 外部网关协议 (EGP)：边界网关协议是当前用于域间路由的事实上的标准 EGP 路由协议。

BGP 最初是作为替代现有 EGP 的权宜之计而提出的。快进 30 年，它仍然是互联网的核心支柱之一。我们目前使用的是版本 4（BGP4 或 BGP-4）。

BGP如何工作？

BGP 指定了一种基于 TCP 的通信方法，以帮助自治系统通过 Internet 交换路由信息。AS 是由公共管理部门（例如大型企业或大学）运行的路由器集合，它们控制着 IP 地址范围。每个 AS 都分配有一个自治系统编号 (ASN)。

BGP 根据网络管理员设置的路径、规则和/或网络策略确定路由决策。每个 AS 管理一个路由表，其中包含到其他网络的所有已知路由，然后与相邻网络（也称为对等网络）共享。BGP 决策过程使 AS 能够通过分析每个候选者的路径属性，应用一组标准（包括权重、本地偏好、最短 AS 路径等）来选择最有效的可用路由。这意味着 BGP 可能会沿着一条路径引导流量到达其目的地，并在其回程中沿着另一条路径引导流量，从而导致非对称路由。

BGP设计和实现的重点一直是安全性和可扩展性，使其比其他路由协议更难配置；它也更复杂，使其成为最慢的收敛路由协议之一。

一点点历史

需要一些背景知识才能更好地理解 BGP 在互联网历史中发挥的关键作用。1989 年，我们今天所认为的互联网刚刚迈出了第一步。互联网的商业用途仍然被禁止，但商业 ISP 正在萌芽并为最终用户提供网络接入，互联网的商业用途不再是一个禁忌话题。

当BGP 于 1989 年 6 月首次标准化时，长期运行的 ARPANET 刚刚退役（1989 年 2 月 28 日），TCP/IP 被用于互连来自偏远国家的不同网络，互联网即将脱离其中心架构到更分布式的架构，没有明确定义的主干。

在那之前，所谓的互联网网关一直在通过外部网关协议 (EGP)交换网络可达性信息。EGP 是为由一个核心 AS 和多个其他较小的 AS 直接连接到该核心组成的互联网而构想的，它完全依赖于 AS 的树状结构拓扑，没有循环。

尽管这些限制在早期互联网中是可以忍受的，在早期阶段，存根网关通过其 ARPANET 骨干网相互通信，但随着商业实体和多个骨干网（如 NSFNET）的出现，其不足之处变得越来越明显——更不用说无法创建基于策略的路由，这是 BGP 成功的关键。

BGP固有的漏洞

使 BGP 如此成功的特质也使其极易受到人为错误和恶意攻击的影响。

对构成现代互联网的大量 AS 几乎没有监督，几乎没有监督每个 AS 对等过滤器的每个配置应该如何发生。这使得它是一个高度灵活的协议；但是，如果宣布了一条新的虚假路由，无论是偶然的还是故意的，流量都会被发送到错误的网络，并且正如我们最近所看到的，问题会迅速传播到网络的其余部分。

有两种主要类型的漏洞：

BGP 泄漏

路由泄漏涉及无意创建虚假路由信息，从而误导流量并使其容易被滥用。路由泄漏通常是由于过滤器配置错误导致的人为错误的结果，导致前缀和 IP 地址块的非法广告，它们在网络中传播并导致次优或不正确的路由。

BGP劫持

路由劫持涉及通过破坏 Internet 路由表来故意接管 IP 地址的集合。如果注入的公告比真实公告更有效，则流量将重新路由到注入的公告。BGP 劫持并不总是很容易检测到，因为活动可能隐藏在其他 AS 后面，或者可能涉及公布未使用的 IP 前缀块，这不太可能被注意到。因此，互联网流量可能会以错误的方式发送、秘密监控或拦截。垃圾邮件发送者还可以使用 BGP 劫持来欺骗合法 IP 并将用户发送到虚假网站。

对最终用户和业务的影响

这两种类型的漏洞都会使最终用户遇到问题。这些范围从不方便（例如由于流量采用不必要的长路径而导致页面加载时间变慢）到非常严重的情况（例如流量拦截或整个网络的黑洞）。这种攻击可能导致我们在 DDoS 攻击中看到的那种全面中断。攻击者还可以仅通过黑洞特定网络来审查特定的信息来源。

重新路由的中间人性质还允许攻击者窃听通信的某些部分，甚至改变流量本身。他们可以将流量从您的合法站点重定向到伪装成您网络一部分的恶意站点。这可能会导致敏感信息或凭据被盗，甚至会导致恶意软件被破坏。去年，当劫机者攻击 AWS 的 DNS 服务以窃取比特币时，我们就看到了这一点。垃圾邮件发送者还可能通过滥用您的 ASN 的声誉来进行垃圾邮件运行，从而损害企业的声誉。

虽然企业无法完全防止 BGP 错误配置或故意滥用 BGP，但他们可以监控正在发生的事情。通过监控与您的 AS 相关的 BGP 路由，您可以了解可能正在发生的任何类型的 BGP 漏洞，并可以执行事件响应计划。