Утечки маршрутов и BGP-перехваты — это два типа инцидентов BGP, которые часто путают даже специалисты по кибербезопасности. Путаница возникает потому, что последствия этих инцидентов во многом схожи: как в случае утечек маршрутов, так и в случае BGP-перехватов трафик начинает идти по непредусмотренному маршруту.

Итогом обоих типов инцидентов может быть рост сетевой задержки (RTT), потеря пакетов, перехват, анализ или подмена данных, перенаправление трафика на вредоносные сайты, а также отказ в обслуживании (DoS). При всем этом сходстве, в основе утечек маршрутов и BGP-перехватов лежат разные механизмы, а для борьбы с ними необходимы разные средства.

Это похоже на сходство и различия между прорывом плотины и цунами. В обоих случаях речь идет о резком перенаправлении большого количества воды по непредназначенному маршруту, результатом которого являются многочисленные разрушения и наводнения. Однако даже не специалисту понятно, что эти два типа катастроф имеют совершенно разную природу и требуют применения совсем не одинаковых мер безопасности.

Утечка маршрутов (BGP route leak) — это тип инцидентов BGP, при котором объявления маршрутов распространяются за пределы своей допустимой области, что приводит к перенаправлению трафика через автономную систему (AS), ответственную за инцидент. Такие ситуации могут возникать как умышленно, так и непреднамеренно, однако в большинстве случаев их причиной становятся ошибки конфигурации.

Чаще всего утечка происходит, когда небольшая AS передает одному провайдеру маршруты, полученные от другого провайдера, нарушая принятую политику маршрутизации. В результате трафик, который не должен проходить через данного оператора, начинает следовать через его инфраструктуру. Это может привести к перехвату трафика, перегрузке сети и отказу в обслуживании.

Ключевой причиной утечек маршрутов является то, что BGP не проверяет, кому и какие маршруты разрешено передавать дальше. Если автономная система по ошибке распространяет полученные маршруты за пределы допустимой области, протокол не препятствует их дальнейшему распространению.

BGP-перехват (BGP hijack) — это тип инцидентов BGP, при котором автономная система (AS) объявляет IP-префикс, на который не имеет прав, в результате чего трафик, предназначенный легитимной сети, перенаправляется в неавторизованную AS. Такое объявление может быть как преднамеренным, так и вызванным ошибкой конфигурации, однако в обоих случаях оно приводит к некорректному изменению маршрута доставки трафика.

Фактически AS, ответственная за инцидент, начинает принимать трафик, предназначенный другим сетям, что создает существенные риски для безопасности и устойчивости сервисов. BGP-перехваты могут приводить к утечке конфиденциальных данных, перенаправлению пользователей на вредоносные ресурсы и сбоям в работе онлайн-сервисов.

Ключевой причиной таких инцидентов является доверительная модель протокола BGP: участники маршрутизации по умолчанию принимают объявления друг друга без встроенной проверки их легитимности.

Несмотря на схожие последствия, механизмы возникновения этих двух типов инцидентов BGP принципиально различаются.

В случае утечки маршрутов автономная система распространяет полученные маршруты дальше, чем это допускает политика маршрутизации — как правило, из-за ошибок в настройке фильтров. Она не объявляет чужое адресное пространство своим, а лишь неправомерно передает легитимные маршруты другим AS. В результате трафик направляется через автономную систему, ответственную за инцидент.

BGP-перехват устроен иначе. В этом случае AS объявляет IP-префикс, на который не имеет прав, фактически заявляя о себе как о его источнике. В результате трафик направляется в автономную систему, ответственную за инцидент, поскольку другие участники сети воспринимают ее как легитимного владельца префикса.

Таким образом, при утечке маршрутов проблема заключается в нарушении правил распространения маршрутов, а при BGP-перехвате — в неправомерном объявлении самого адресного пространства. Различается и характер перенаправления трафика: в первом случае он проходит через AS, делая ее транзитной, во втором — поступает в нее как в пункт назначения.

Для защиты от BGP-перехватов был разработан и уже достаточно широко применяется механизм ROA (Route Origin Authorization), использующий RPKI (Resource Public Key Infrastructure). Записи ROA представляют собой цифровые подписи, которые позволяют проверить, авторизована ли AS анонсировать конкретный IP-префикс. Благодаря внедрению RPKI и ROA телеком-индустрии удалось добиться заметного успеха в борьбе с BGP-перехватами.

Однако ROA не решает проблему утечек маршрутов. Для предотвращения таких инцидентов требуются другие механизмы. В первую очередь это роли BGP (BGP Roles) и записи OTC (Only To Customer), описанные в стандарте RFC 9234. Данный стандарт позволяет явно указывать тип отношений между соседними AS (например, провайдер-клиент) и на этой основе фильтровать маршруты, поступающие в неправильном направлении. 

Механизм BGP-ролей позволяет бороться с непреднамеренными утечками маршрутов, вызванными ошибками конфигурации. При этом для противодействия умышленно созданным утечкам его недостаточно. Для этого необходимо внедрение ASPA (Autonomous System Provider Authorization) — механизма криптографической верификации отношений между автономными системами на базе RPKI.

Если распространение RPKI и ROA продвинулось уже достаточно далеко, то механизмы BGP-ролей и ASPA пока находятся на ранних стадиях внедрения. В таких условиях необходимыми мерами остаются постоянное наблюдение за маршрутизацией и оперативная реакция на возникающие инциденты.

Эту задачу решает CURATOR.BGP — инструмент мониторинга BGP, предназначенный для выявления сетевых аномалий, включая утечки маршрутов и BGP-перехваты. Благодаря детальному анализу и системе уведомлений CURATOR.BGP помогает своевременно обнаруживать инциденты, затрагивающие сеть заказчика, и минимизировать потенциальный ущерб.