Làm cách nào để lọc các tiền tố không có bogon nhận được thông qua BGP từ Internet Exchange (IXP)?

Khi được kết nối với một trao đổi tiên phong trên Internet (IXP), cách tốt nhất để đảm bảo rằng mọi người không gửi cho bạn tiền tố mà họ không nên thông báo là gì?

Liên quan đến các bogons Tôi biết về dự án Tham khảo Đội Cymru Bogon nhưng khi nói đến việc lọc bất cứ thứ gì khác từ các đồng nghiệp, tôi không biết bắt đầu từ đâu. Sự hiểu biết của tôi là đây là những gì RPKI và tương tự là để làm gì?

Như những người khác đã nói, RPKI sẽ là con đường để đi, nhưng nó chưa ở đó. Tại các điểm trao đổi, chúng tôi thường đặt giới hạn tiền tố tối đa cho mỗi phiên.

Ngoài ra, chúng tôi sử dụng các quy tắc sau:

1. Không có tuyến đường mặc định

2. Không có bogons, chính xác hơn là danh sách này:

   route-filter 0.0.0.0/8 orlonger reject;
   route-filter 127.0.0.0/8 orlonger reject;
   route-filter 10.0.0.0/8 orlonger reject;
   route-filter 172.16.0.0/12 orlonger reject;
   route-filter 192.168.0.0/16 orlonger reject;
   route-filter 224.0.0.0/4 orlonger reject;
   route-filter 240.0.0.0/4 orlonger reject;
   route-filter 169.254.0.0/16 orlonger reject;
   route-filter 192.0.2.0/24 orlonger reject;
   route-filter 198.51.100.0/24 orlonger reject;
   route-filter 203.0.113.0/24 orlonger reject;
   route-filter 100.64.0.0/10 orlonger reject;
   

3. Không có tiền tố dài hơn / 24

4. Không có số AS riêng trong đường dẫn

5. Không có tiền tố riêng của chúng tôi

Đối với IPv6, chúng tôi cũng làm như vậy, chỉ có các bogons là khác nhau. Tôi dán bộ lọc của chúng tôi dưới đây. Xin lưu ý rằng cú pháp có thể hơi kỳ lạ nhưng đó là do cách kết hợp tiền tố của Juniper. Đối với cú pháp của Cisco, bạn có thể truy cập tại đây: Đề xuất bộ lọc BGP IPv6 (Ví dụ về Juniper trên trang bị lỗi, vui lòng sử dụng cách dưới đây nếu bạn muốn.)

hạn ebgp-thư giãn {
    từ {
        gia đình inet6;
        bộ lọc tuyến đường 3ffe :: / 16 orlonger;
        bộ lọc tuyến đường 0000 :: / 8 orlonger;
        bộ lọc tuyến đường 2001: db8 :: / 32 orlonger;
        bộ lọc tuyến đường 2001 :: / 32 chính sách tiếp theo chính xác;
        bộ lọc tuyến đường 2001 :: / 32 dài hơn;
        bộ lọc tuyến đường 2002 :: / 16 chính sách tiếp theo chính xác;
        bộ lọc tuyến đường 2002 :: / 16 dài hơn;
        bộ lọc tuyến đường fe00 :: / 9 orlonger;
        bộ lọc tuyến đường ff00 :: / 8 orlonger;
        bộ lọc tuyến đường 2000 :: / 3 tiền tố-độ dài phạm vi / 49- / 128;
        bộ lọc tuyến đường 0 :: / 0 orlonger;
    }
    rồi từ chối;
}

Hiện tại (cho đến khi RPKI phổ biến hơn), chúng tôi thường chỉ lọc các bogon thông thường và áp dụng bộ lọc tiền tố tối đa để trao đổi các đồng nghiệp. Chúng tôi cũng lọc một số ASN nhất định, những ASN mà chúng tôi chắc chắn sẽ không bao giờ xuất hiện trong hầu hết các phiên tiên phong, chẳng hạn như Cấp độ 3 hoặc Cogent hoặc không được chuyển qua trao đổi.

Chúng ta thường thấy rằng hầu hết các rò rỉ tuyến đường phổ biến không nằm trong phạm vi 1-2 chữ số. Dù sao thì rất khó để bắt, trừ khi bạn lọc tất cả các đồng nghiệp của mình bằng cách xây dựng danh sách tiền tố / ASN hoặc bộ lọc bằng radb, v.v. ) bộ lọc tiền tố tối đa. Sau đó, bạn có thể điều chỉnh mỗi phiên khi cần thiết.

Tùy thuộc vào cách bạn đang sử dụng trao đổi tiên phong, bạn có một vài tùy chọn khác nhau:

Đầu tiên tôi sẽ bảo vệ RPKI và nói rằng trong khi đó là thứ gì đó bạn chắc chắn nên tiếp tục và triển khai, cả cho các tuyến đường của riêng bạn và xác thực các tuyến đường khác, thật không may là tại thời điểm này bạn không thể làm được điều đó. Giải pháp thực sự ở đây là WHOIS - RaDB của Merit được cho là tốt nhất vì nó sẽ cho phép bạn trả lại kết quả cho tất cả các RIR cùng một lúc. Nhưng, nếu bạn muốn truy vấn trực tiếp từng RIR, hãy tìm nó.

Bây giờ, nếu bạn đang trao đổi và bạn chỉ nhận được một đống tiền tố từ máy chủ tuyến đường của IXP, tùy thuộc vào các công cụ bạn có sẵn cho bạn và khả năng của bộ định tuyến, bạn có hai khả năng:

   1. Lọc theo nguồn gốc AS

Về cơ bản, điều này bao gồm xác nhận AS gốc của tiền tố so với tiền tố trong WHOIS - nếu AS gốc không khớp với tiền tố trong WHOIS, bạn bỏ tiền tố và bất kỳ chi tiết cụ thể nào khác cũng có thể được công bố. Đây thường là một sự bảo vệ tốt chống lại các vụ không tặc vô ý. Phần lớn các tiền tố nên có dữ liệu này.

   2. Lọc theo quá cảnh AS

Điều này sẽ tiến thêm một bước và lọc các tuyến đường với bất kỳ AS nào trong đường dẫn không được ủy quyền trong WHOIS - tuy nhiên, bạn không thể thực hiện điều này cho mọi tiền tố, vì không phải ai cũng sẽ tạo ra các đối tượng chỉ định nhà cung cấp dịch vụ AS được ủy quyền của họ là ai.

Mặt khác, nếu bạn đang sử dụng trao đổi tiên phong để trực tiếp ngang hàng với người khác, thì cuộc sống của bạn sẽ đơn giản hơn rất nhiều; bạn có thể tra cứu những tiền tố họ có trong WHOIS và cho phép những tiền tố đó. Theo tôi, thực hành tốt là cho phép các đồng nghiệp thông báo các chi tiết cụ thể hơn với độ dài tối đa là / 24 trong khi cũng đặt giá trị tiền tố tối đa hợp lý (nghĩa là tỷ lệ với số lượng mạng con họ có) trên trang web của bạn để họ có thể ' T tràn ngập bạn với các tuyến đường nhưng có thể đáp ứng với một vụ cướp tiền tố.

Nếu bạn đang tìm kiếm các công cụ, hãy xem IRRToolset và IRR PowerTools

Về cơ bản bạn đã trả lời câu hỏi của riêng bạn. Giả định của bạn rằng sử dụng RPKI là cách hoàn toàn chính xác. Cụ thể hơn Ủy quyền khởi tạo tuyến đường được sử dụng để xác thực tiền tố thành AS. Rõ ràng các bogon sẽ không có giá trị vì chúng không được gán cho bất kỳ ai, vì vậy vấn đề đó sẽ tự giải quyết. Rất nhiều thông tin này có sẵn trên trang Wikipedia RPKI . Một tài nguyên tốt khác là trang RPKI của ARIN .

Nếu bạn cần trợ giúp về cấu hình, tôi khuyên bạn nên tạo một câu hỏi khác để yêu cầu trợ giúp cấu hình cụ thể.

Cũng đáng lưu ý rằng RPKI sẽ không hoạt động cho tất cả mọi thứ, bởi vì không phải ai cũng sử dụng nó. Tại một số điểm bạn chỉ cần tin tưởng vào các tuyến đường bạn nhận được.

Hỏi đồng nghiệp của bạn những gì AS macro mà họ sẽ thông báo và xây dựng các bộ lọc cho họ bằng IRRToolset hoặc rpsltool hoặc irpt. Khuyến khích họ có thông tin chính xác được công bố trong IRRdb. Đừng quên cập nhật aut-numđối tượng của riêng bạn trong IRRdb thân thiện gần nhất để phản ánh sự phụ thuộc.

RPKI không phải là con đường phía trước vì nó không bảo vệ chống rò rỉ tuyến đường.