BGP 路由協定深度解析
網際網路的封包傳輸仰賴 BGP(Border Gateway Protocol) 在全球數萬個自治系統間協調路徑。然而,BGP 設計之初預設信任所有鄰居,這個致命弱點至今仍是網際網路基礎設施最大的安全隱患。
自治系統與路徑決策機制
每個自治系統(AS)擁有唯一的 ASN(Autonomous System Number),透過 BGP 向鄰居宣告自己可達的 IP 前綴(Prefix)。BGP 使用 路徑向量(Path Vector) 演算法,在 UPDATE 訊息中攜帶完整的 AS_PATH,避免路由迴圈。路徑選擇依序評估 Local Preference、AS_PATH 長度、MED 等屬性,最終選出最佳路徑寫入路由表。BGP 分為 iBGP(同一 AS 內部)與 eBGP(跨 AS 間),前者通常需要 Full Mesh 或 Route Reflector 架構來確保路由同步。
路由劫持與路由洩漏的資安風險
BGP Hijacking(路由劫持) 發生於惡意 AS 宣告不屬於自己的 IP 前綴,導致流量被錯誤引導至攻擊者節點,可用於竊聽、中間人攻擊或流量黑洞。2018 年 Amazon Route 53 的 DNS 劫持事件即為典型案例。Route Leak(路由洩漏) 則是 AS 將收到的路由不當地再宣告給第三方,造成非預期的流量繞道。由於 BGP 本身缺乏原生驗證機制,偽造路由宣告幾乎無法即時偵測,影響範圍可達全球規模。目前業界推動以 RPKI(Resource Public Key Infrastructure) 簽署路由來源,作為主要防禦手段。
# 使用 RPKI 驗證工具檢查 BGP 路由來源合法性
# Cloudflare 提供的公開 RPKI 驗證 API
curl https://rpki.cloudflare.com/api/v1/validity/13335/1.1.1.0/24
# 回應示意:{"status": "valid", "origin_asn": "AS13335"}💡 重點整理
- BGP 信任機制薄弱:協定預設信任鄰居宣告,無內建驗證。
- 路由劫持可攔截全球流量:偽造前綴宣告即可重導任意 IP 段的封包。
- RPKI 是目前最有效的防禦手段:透過數位簽章綁定 AS 與其合法宣告的前綴。
- 監控工具輔助偵測:BGPmon、RIPE RIS 可即時偵測異常路由事件。
BGP 是驅動網際網路運作的隱形引擎,其安全性直接影響全球通訊可靠度。部署 RPKI、落實路由過濾政策(ROA + BGP Origin Validation),是每個網路營運商不可迴避的基礎責任。