当连接到Internet对等交换中心(IXP)时,有什么好方法来确保人们不会向您发送不应发布的前缀?

知道Team Cymru Bogon参考项目,但是当涉及到过滤来自同行的任何其他信息时,我不知道从哪里开始。我的理解是这就是RPKI和类似产品的用途吗?

评论

为什么不只是eBGP与它们对等并在其路由表中添加黑洞前缀?

#1 楼

正如其他人所言,RPKI将是要走的路,但还不存在。在交换点,我们通常对每个会话都设置一个最大前缀限制。

此外,我们使用以下规则:


无默认路由

没有逗号,更确切地说,此列表:

route-filter 0.0.0.0/8 orlonger reject;
route-filter 127.0.0.0/8 orlonger reject;
route-filter 10.0.0.0/8 orlonger reject;
route-filter 172.16.0.0/12 orlonger reject;
route-filter 192.168.0.0/16 orlonger reject;
route-filter 224.0.0.0/4 orlonger reject;
route-filter 240.0.0.0/4 orlonger reject;
route-filter 169.254.0.0/16 orlonger reject;
route-filter 192.0.2.0/24 orlonger reject;
route-filter 198.51.100.0/24 orlonger reject;
route-filter 203.0.113.0/24 orlonger reject;
route-filter 100.64.0.0/10 orlonger reject;


前缀不超过/ 24
路径中没有私有AS号
无我们自己的前缀

对于IPv6,我们做同样的事情,只是双引号不同。我在下面粘贴了我们的过滤器。请注意,语法可能有点奇怪,但这是由于Juniper匹配前缀的方式所致。对于Cisco语法,您可以转到此处:IPv6 BGP过滤器建议(该页面上的Juniper示例有问题,请根据需要使用以下示例。)

#2 楼

目前(直到RPKI更加普及为止),我们通常只过滤常见的bogon,然后应用max-prefix过滤器来交换对等体。我们还会过滤某些ASN,我们确定这些ASN不会在大多数对等会话中(例如Level3或Cogent)出现,或者不应该在交易所中转移。

我们通常会发现大多数常见的路由泄漏不在1-2位数字范围内。无论如何,这很难捕获,除非您通过构建前缀/ ASN列表来过滤所有对等节点或通过radb进行过滤,等等。大多数泄漏最终会接近10k-100k +,这很容易被相当低的(100-500)捕获)最大前缀过滤器。然后,您可以根据需要调整每个会话的时间。

#3 楼

根据您使用对等交换的方式,您有几种不同的选择:

首先,我将介绍RPKI,并说尽管这是您一定要继续进行部署的工作,自己的路线并验证其他路线,但不幸的是,它的使用率非常低,以至于您现在不能指望它能做那么多事情。真正的解决方案是WHOIS-Merit的RaDB可以说是最好的,因为它可以让您立即返回所有RIR的结果。但是,如果您希望直接查询每个RIR,请继续进行。

现在,如果您正在交换中,并且只是从IXP的路由服务器中获得了一堆前缀,具体取决于您可以使用的工具和路由器的功能,您有两种可能:

1.按来源AS过滤

本质上,这包括验证前缀的原始AS相对于WHOIS中的一个-如果起源AS与WHOIS中的前缀不匹配,则删除该前缀以及可能还要宣布的更多特定信息。通常,这是防止意外劫持的良好保护。

绝大多数前缀都应具有此数据。2。按运输AS进行过滤

,这将更进一步,并过滤路径为“在WHOIS中获得授权-您不能对每个前缀都执行此操作,因为并非每个人都会创建对象来指定其授权的传输AS提供商是谁。您使用对等交换直接与他人进行对等,那么您的生活就会变得更加简单;您可以查询WHOIS中的前缀,并允许使用这些前缀。我认为良好的做法是允许对等方宣布最大长度为/ 24的更多详细信息,同时还为对等方设置合理的最大前缀值(即与他们拥有的子网数成比例),以便他们可以不会向您发送路由,但可以响应前缀劫持。

如果您正在寻找工具,请查看IRRToolSet和IRR PowerTools

#4 楼

您基本上已经回答了自己的问题。您认为使用RPKI是可行的方法是绝对正确的。更具体地说,使用路由发起授权来验证AS的前缀。显然,由于没有将其分配给任何人,因此将是无效的,因此该问题将自行解决。 RPKI Wikipedia页面上提供了很多此类信息。另一个好的资源是ARIN的RPKI页面。

如果您需要配置帮助,建议您创建另一个问题,以寻求特定的配置帮助。为所有事情工作,因为不是每个人都在使用它。在某些时候,您只需要信任您要接收的路线即可。

#5 楼

询问您的同行他们将宣布哪个AS宏,并使用IRRToolSet或rpsltool或irrpt为他们构建过滤器。鼓励他们在IRRdb中发布正确的信息。不要忘记在距离您最近的友好IRRdb中更新自己的aut-num对象以反映邻接关系。