BGP 安全里程碑:大多数主要互联网提供商现已实现路由签名
# BGP 安全里程碑:大多数主要互联网提供商现已实现路由签名 Cloudflare 的"BGP 安全了吗?"追踪器报告了互联网基础设施安全的重大里程碑:大多数主要传输提供商和 ISP 现已实施**路由源验证(ROV)**和**基于 RPKI 的过滤**,大幅降低了 BGP 劫持攻击的风险。 ## 什么是 BGP 劫持? BGP(边界网关协议)是维系互联网的路由协议。它也以不安全著称——任何
Cloudflare 的"BGP 安全了吗?"追踪器报告了互联网基础设施安全的重大里程碑:大多数主要传输提供商和 ISP 现已实施路由源验证(ROV)和基于 RPKI 的过滤,大幅降低了 BGP 劫持攻击的风险。
什么是 BGP 劫持?
BGP(边界网关协议)是维系互联网的路由协议。它也以不安全著称——任何网络运营商都可以为不属于他们的 IP 地址宣告路由,潜在地重定向大量流量。BGP 劫持已被用于:
- 国家级监控(如 2016 年中国电信劫持西方流量事件)
- 加密货币盗窃(如 2018 年 MyEtherWallet DNS 劫持事件)
- 数据拦截和中间人攻击
当前状态
根据追踪器数据,以下主要提供商现已标记为安全:
| 提供商 | 类型 | 状态 |
|---|---|---|
| Lumen | 传输 | ✅ 签名 + 过滤 |
| Arelion (Telia) | 传输 | ✅ 签名 + 过滤 |
| Cogent | 传输 | ✅ 签名 + 过滤 |
| NTT | 传输 | ✅ 签名 + 过滤 |
| Hurricane Electric | 传输 | ✅ 签名 + 过滤 |
| GTT | 传输 | ✅ 签名 + 过滤 |
| AT&T | ISP | ✅ 签名 + 过滤 |
| Verizon | ISP | ✅ 签名 + 过滤 |
| 德国电信 | ISP | ✅ 签名 + 过滤 |
| Comcast | ISP | ✅ 签名 + 过滤 |
是什么推动了变化?
这一转变由几个因素驱动:
- 意识增强——高调事件后的反思
- 强制过滤要求——来自部分政府和监管机构
- 资源公钥基础设施(RPKI)作为实际部署选项日趋成熟
- 同行压力——来自 Cloudflare 和 Google 等主要内容提供商
仍存在的缺口
虽然进展令人鼓舞,但并非所有网络都受到保护。部分提供商仍缺乏完整的 RPKI 部署,而该系统依赖于最薄弱的环节——未受保护的网络仍可向其对等节点传播被劫持的路由。
为何重要
BGP 安全不仅是技术问题——它是互联网信任的基础。随着更多关键基础设施上线,BGP 劫持的风险呈指数级增长。这一里程碑代表了网络运营商、标准制定机构和安全研究人员多年的协调努力。
来源:Cloudflare isbgpsafeyet.com
← Previous: BGP Security Milestone: Most Major Internet Providers Now Signing RoutesNext: Intuiting Pratt Parsing: A New Perspective on an Elegant Algorithm →
0