BGP

资料

Type I - Hole Punching : more Specifics与origin有不同的出口

Type II - Traffic Engineering：more Specifics出口与origin相同，中间路径不同

Type III - Overlay：多个more Specifics与origin的路径完全相同

内容描述比较简单直接，重点在文章最后一句

internet地址分配：IANA -> RIR -> LIR

某个AS宣告一个未获授权的前缀，该前缀事实上属于其他AS或尚未分配。

运维：IGP到BGP的路由重分发配置出错，容易导致此类问题。

恶意：伪造BGP Update中的NLRI信息，某个AS向外宣告到<别的AS所拥有的IP段>的路由，其问题是同一个前缀被多个AS通告(MOAS, multiple origin as)

恶意：伪造NLRI信息和AS_PATH路径，某个恶意AS伪造前缀并声称自身是对端节点到该前缀的较优路径的一跳

路由通吿给了不合适的对象，导致流量重定向

通告信息本身是合法的，只不过一般是违反了通用处理策略。路由认证机制无法解决该问题。

尤其是从 customer -> peer -> provider 的链条来说，考虑经济利益，通用的出站策略

TCP攻击导致BGP消息update困难

RFC4272 : BGP Security Vulnerabilities Analysis

BGP问题可导致：流量被传到没法deliver it的节点，挂掉；网络拥塞；丢包，黑洞；延迟；循环；窃听；分区，自以为流量与其他分离，事实则否；分割，自以为不会被路由到某些网络，事实则否；churn，快速变化；不稳定，不保证能到；过载；资源耗尽；地址伪造。

BGP攻击：窃听，重放，插入，删除，篡改，中间人，拒绝服务。。。

BGP脆弱性：完整性、时效性，节点认证，NLRI源AS校验，path attributes的源AS认证

合法的BGP peer如果出错？

各种加签名。。。

BGP消息自身保护，可达性。。。