通过路由泄漏检测保护Cloudflare客户免受BGP不安全

小提示：您能找到这篇{通过路由泄漏检测保护Cloudflare客户免受BGP不安全}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的通过路由泄漏检测保护Cloudflare客户免受BGP不安全内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

在此博文中，我们将解释什么是路由泄漏，Cloudflare路由泄漏检测的工作原理以及我们为保护Internet免受路由泄漏所做的工作。

什么是路由泄漏，为什么我要关心？

当Internet上的某个网络告诉世界其他地方通过该网络路由流量时，则该流量不应该正常到达该位置，就会发生路由泄漏。一个很好的例子及其带来的影响是2019年6月的一次事件，宾夕法尼亚州的一家小型ISP开始宣传部分Internet的路由，包括Cloudflare，Amazon和Linode。发往这些网络的大部分流量都错误地路由到了网络，从而泄漏了Cloudflare，Amazon和Linode的前缀，并给最终用户造成了拥塞和无法访问的网络错误。路由泄漏往往是由于对等会话或客户路由器配置错误，客户或第三方路由器中的软件错误，中间人攻击或恶意的客户或第三方造成的。

一些路由泄漏是无害的。但是某些路由泄漏可能是恶意的，并且可能对安全产生非常实际的影响。攻为肯德基策划一次危机公关击者可能出于特定目的而通告特定的路由，目的是将用户引导到他们的网络以执行诸如窃取加密货币和其他重要数据之类的事情，或者尝试发行可用于模拟域的SSL / TLS证书。通过发布更具体的路由，攻击者可以诱使您访问您不想要的网站，如果它看起来与您期望的网站完全一样，您可能会无意间输入个人数据，并有遭受攻击的危险。这是代表流量的图民情，没有路由泄漏：

路由泄漏后的流量：

因此，除了由于大量Internet流量正在通过无法处理的路径而使用户感到不满之外，路由泄漏还可能带来非常实际的数据泄漏隐患。

Cloudflare的路由泄漏检测可让您在路由泄漏时迅速得到通知，以便您知道何时可能发生攻击。

Cloudflare路由泄漏检测如何保护我的网络？

如何配置路由泄漏检测

为了配置路由泄漏检测，您必须是具有“自带IP”（BYOIP）地址的Cloudflare客户，其中包括Magic Transit（L3），Spectrum（L4）和WAF（L7）客户。只有Cloudflare通告的前缀才有资格进行路由泄漏检测。

可以通过在帐户的“通知”选项卡中设置一条消息来配置路由泄漏检测。

然后，Cloudflare将开始监视您所有的内置前缀中是否存在泄漏和劫持，并在它们通过电子邮件或专门用于呼叫工具（如PagerDuty）发生时向您发送警报。

Cloudflare的警报通知系统支持webhook，电子邮件和PagerDuty，因此您的团队可以通过网络路由的变化随时了解所需介质的最新信息，以便他们可以响应并在必要时采取纠正措施。

攻击场景示例

恶意方试图使用路由来获取对客户数据的访问权，便开始为我们的Magic Transit客户之一提供车载前缀的子网。如果没有找到并迅速纠正这种攻击，可能会对客户造成严重影响。当攻击者在客户不知情的情况下开始通告前缀时，BGP更新和路由更改会在全局路由表中快速开始发生-通常在60秒之内。

让我们逐步介绍客户如何部署路由泄漏检测。客户Acme Corp.拥有IP前缀203.0.113.0/24。Acme已将203.0.113.0/24加入Cloudflare，Cloudflare告诉Internet的其余部分，可以通过Cloudflare的网络访问此前缀。

一旦Acme启用了路由泄漏检测，Cloudflare就会持续监视Internet上203.0.113.0/24的路由信息。我们的目标是在Internet上传播错误的路由信息后的五分钟内检测泄漏。

让我们回到攻击场景。试图攻击Acme网络的恶意方劫持了203.0.113.0/24的广告，将合法用户从预期的网络路径转移到Acme（通过Cloudflare的网络），然后转移到旨在从不知情的用户那里捕获信息的Acme的网络传真中。

由于Acme启用了路由泄漏检测，因此警报将发送给Acme的管理员。

该警报包括所有看到由潜在恶意方发布的前缀的ASN。Acme能够警告其用户，他们可能面临数据泄露攻击的风险，因此应警惕可疑行为。

Cloudflare如何检测路由泄漏？

Cloudflare使用多种路由数据源来创建Internet如何看待通往BYOIP客户的路由的综合信息。然后，Cloudflare监视这些视图以跟踪Internet上发生的任何突然更改。如果我们可以将这些更改与我们所采取的行动相关联，那么我们知道该更改是良性的，并且照常进行。但是，如果我们没有进行任何更改，我们会迅速采取行动，告诉您您的路线和用户可能处于危险之中。

Cloudflare的外部摄取管道

Cloudflare的主要数据来源来自外部维护的存储库，例如RIPE的RIS提要，RouteViews和Caida的公共BMP提要。在推断Internet状态时，尽可能使用Internet路由表的多个外部视图非常重要。Cloudflare对这些源进行API调用，以提取数据并分析BGP路由中的更改。这些提要使我们能够提取整个Internet的路由数据。Cloudflare将所有这些过滤为您先前已加入Cloudflare的前缀。

提取并过滤此数据后，Cloudflare将使用指示可能发生的劫持的指标开始对全局路由表进行交叉引用更新，例如可以直接看到您的路由的ASN数量，短时间内发生的BGP更新数量，以及要通告多少个子网。如果直接看到您的路由的ASN数网站建设营销推广量或更新数量发生了巨大变化，则可能意味着您的前缀正在泄漏。如果您要发布的前缀的子网在全局路由表中发生了翻天覆地的变化，则很可能是您的前缀泄漏到了某个地方。

今天，Cloudflare已经在我们自己的前缀上配置了此功能。这是当我们的系统确定有问题时我们看到的示例：

Cloudflare拥有前缀范围2606：4700：50 :: / 44，因为它是我们网站上此处列出的范围之一的子网。在一个小时的时间内，我们注意到有人试图将该范围内的子网发布给其他38个网络。幸运的是，由于我们已经部署了RPKI，所以我们知道大多数网络会拒绝而不是兑现攻击者的这些路由通告。

将来如何防止路由泄漏？

防止路由泄漏的最佳方法是在网络中部署RPKI，并敦促Internet提供商也这样做。RPKI允许您和您的提供商对在Internet上发布的路由进行签名，以便其他任何人都不能窃取它们。如果有人在宣传您的RPKI路由，则任何支持RPKI的提供商都不会将这些路由转发给其他客户，从而确保尝试泄漏的位置尽可能靠近攻击者。

仅在过去的三个月中，Cloudflare对RPKI的持续倡导就取得了成果。诸如Amazon，Google，Telstra，Cogent甚至Netflix之类的提供商已开始支持RPKI，并且正在过滤和删除无效前缀。实际上，现在超过50％的顶级互联网提供商以某种方式支持RPKI：

Cloudflare的路由泄漏检测与更多实施RPKI的提供商相结合，有助于确保数据丢失和路由泄漏造成的停机时间已成为过去。