Who's running all those tiny RPKI servers?
4 hours ago
- #BGP
- #RPKI
- #Internet Security
- BGP缺乏信任,易受前缀劫持攻击。
- RPKI利用加密ROA(路由起源授权)为自治系统对前缀的宣告提供授权,从而提升安全性。
- 除RIR(区域互联网注册管理机构)服务器外,还存在由不同运营商管理的小型独立RPKI发布服务器。
- RPKI通过签名记录验证路由起源,防止BGP劫持。
- 小型服务器定义为拥有少于1,300个ROA的服务器。
- 运行独立服务器的原因包括RPKI即服务、跨RIR操作简便性、研究、控制和学习。
- 数据集分析显示其IP空间覆盖范围有限,但涵盖了政府域名等关键服务。
- 多数ROA(91%)状态有效,但7.6%状态未知,且maxLength的使用可能带来风险。
- 许多ROA使用了maxLength,若未覆盖BGP宣告则存在子前缀劫持风险。
- BGPsec尚未部署,限制了额外的安全保障。
- 运营商提及跨RIR操作的简便性和教育目的是运行服务器的主要动机。
- 小型服务器故障可能影响特定前缀及互联网的可验证性。