--°--∫—Ä--Æ--∑—Å --ª—È—Å—Ã —Ñ —Ç—É--º--∞--Ω—Ã
IT工程师正在研究如何解决互联网路由系统中长期存在的弱点,这种弱点可能导致重大服务中断并允许黑客窥探数据。
问题涉及拥有一个IP地址块的每个组织和公司使用的路由器。这些路由器与其他路由器不断地进行通信,更新其内部信息 - 通常超过400,000个条目 - 使用称为边界网关协议(BGP)的协议到达其他网络的最佳途径。
BGP使路由器能够找到最好的例如,用于从韩国获取网页的网络无法正常工作。只需五分钟,路由信息的变化就可以迅速分发给世界各地的路由器。
[更多阅读:如何从Windows PC删除恶意软件]但路由器不会验证路由“通告,“因为他们被称为,是正确的。输入信息的错误 - 或者更糟糕的是,恶意攻击 - 可能导致网络变得不可用。
例如,它也可能导致公司的互联网流量通过另一个不需要的网络通过,打开交通可能被拦截的可能性。这种攻击被称为“路由劫持”,并且不能被任何安全产品阻止。
当路由问题爆发时,“很难判断这是在路由器上的胖手指还是恶意的,”Joe Gersch说。 ,Secure64的首席运营官,这是一家制作域名系统(DNS)服务器软件的公司。 “这可能是一场针对网络战的试运行。”
数据显示,由于路由问题,世界上多达三分之一的人无法同时接触互联网的某些部分,Gersch说。 ,路由错误导致澳大利亚运营商Telstra的国际业务流经其竞争对手的网络Dodo,后者无法应对流量激增。在一个众所周知的事件中,巴基斯坦电信在巴基斯坦政府于2008年下令禁止YouTube后,与BGP签订了一项错误协议,最终导致谷歌的服务脱机。2011年3月,一位研究人员注意到,在AT&T公司网络奇怪地经历了中国一段时间。虽然这些请求通常会直接发送到Facebook的网络提供商,但流量首先经过中国电信,然后再到韩国的SK宽带,然后再发送到Facebook。尽管事件被认为是一个错误,但未加密的Facebook流量仍有可能被窥探。“
更广泛的问题是,这个关键的基础设施很大程度上依赖于玩家的行为正确,”Dan Massey说。 ,科罗拉多州立大学计算机科学副教授。 “在像互联网这样一个真正的全球化系统中,你必须假定组织偶尔会犯下无意的错误。”但是“想象一下,一个坚定的对手可能能做什么,”梅西说。这可能包括对越来越依赖互联网的关键基础设施(如发电厂)的攻击。<
解决方案是让路由器验证其他路由器宣布的IP地址块是否属于他们的网络。一种方法是资源公钥基础设施(RPKI),它使用一个加密证书系统来验证IP地址块确实属于某个网络。
RPKI非常复杂,部署速度很慢。专家们最近提出了另一个系统,称为ROVER,用于路由起源验证,它可能更容易。
ROVER将合法的路由信息存储在DNS中,这是一个庞大的分布式数据库,可将域名转换为IP地址称为浏览器。该路由信息可以使用DNSSEC进行签名,DNSSEC是允许DNS记录以加密方式签名的安全协议,正在被广泛采用。
ROVER的优势在于不需要对现有路由器进行任何更改,并且可以与RPKI一起使用。 “确保路线是合法的答案的整个基础设施已经存在,”Gersch说,他已经撰写了两篇关于如何命名路线的规范以及可以插入DNS的记录类型。
目前这些规范在互联网工程任务组之前处于“互联网瘫痪”状态。 Gersch表示,成为一个标准的下一步就是让一个工作组采用这些文件。
发送新闻提示和评论到[email protected]
