美國國家標準與技術局(NIST)發布了其新“安全互聯網域名路由(SIDR)”標準的更新，該標準旨在提供現有邊界網關協議(BGP)所欠缺的互聯網安全。

作為無法應對互聯網規模快速擴張的老舊外部網關協議(EGP)的短期解決方案，BGP于1989年被設計出來。但該協議存在一個問題：盡管是互聯網運作的基礎，BGP卻缺乏任何安全措施。

BGP控制著數據從源到目的地的路由，通過保持路線上每一步可用中轉的標簽來實現。這些中轉站的可用性由本地保存的路由表維護，路由表隨時更新。問題在于，路由表上沒有應用任何安全措施。事實上，整個互聯網地圖都建立在信任基礎上，而信任在今天的互聯網上是稀缺品。大片流量可被劫持。

NIST在10月3號發布的文章中解釋道：“BGP是黏合互聯網的技術膠水；但由于歷史原因，其安全機制的缺乏，也讓它成為了黑客易于得手的目標。”

支撐BGP的信任模型很容易被濫用，也經常被濫用。總的說來，大多數濫用被認為是隨機的，但有足夠多的可疑事件表明，關于BGP安全的擔憂，并非空穴來風。鑒于路由表是本地約定全球分發，某一個國家的電信公司便能夠修改數據通往全球的路由。

因此，NIST在另一份描述文檔中警告道：對互聯網路由功能的攻擊，是對基于互聯網的信息系統的重大系統性威脅。此類攻擊可造成：

互聯網服務拒絕訪問；

旁路互聯網流量以竊聽，及對終端（網站）進行路徑攻擊；

錯誤交付互聯網網絡流量到惡意終端；

損害基于IP地址的信譽和過濾系統；

導致互聯網路由不穩定。

最廣為人知的路由劫持案例發生在2008年2月，巴基斯坦政府認定YouTube上一段關于穆罕默德的視頻有損民族尊嚴后，一家巴基斯坦ISP試圖封鎖YouTube。這家ISP劫持YouTube到巴基斯坦流量的嘗試，切切實實地劫持了整個世界的YouTube流量，讓世界上任何地方都訪問不了YouTube。雖然目的是達到了，但結果卻未必如意——不過其他案例似乎更為惡意。

今年4月，36個大型網絡被由俄羅斯政府控制的俄羅斯電信公司劫持。研究人員認為，BGP表被認為篡改了，可能是俄羅斯電信公司所為。讓俄羅斯電信公司如此可疑的證據，是所涉技術及金融服務公司的高度集中：比如萬事達卡、維薩卡、匯豐銀行和賽門鐵克。

因為對BGP路由表的修改，流往受影響網絡的流量被路由流經俄羅斯電信公司的路由器。當時，域名系統提供商Dyn公司的互聯網分析主管道格·馬多里稱：“我會將之視為非常可疑。通常，意外泄露更為龐大和隨意。而這次，更像是專門針對金融機構。”

其他的案例還包括：2014年進行了幾個月之久的比特幣基礎設施內流量重定向，造成價值8.3萬美元的比特幣被盜；2013年的一次攻擊，將銀行、電話和政府數據繞道流經位于白俄羅斯和冰島的路由器。

雖然一直BGP濫用相對規模較小，持續時間較短，且有時候是意外，但漏洞卻是真實存在的。NIST警告：“這些漏洞尚未被大幅利用的事實，不應讓你覺得放松。想想我們的關鍵基礎設施有多少依賴互聯網技術——交通運輸、通信、金融系統等等。總有一天，有人會有那個動機。”

NIST正與美國國土安全部(DHS)和網絡工程任務組(IETF)合作開發一套新的BGP標準，旨在消除這些問題。

名為“安全域名間路由(SIDR)”的這套標準，已由IETF發布，代表著防御互聯網路由系統免受攻擊的首次全面努力。

SIDR由3個單獨的部分組成：資源公鑰基礎設施(RPKI)、BGP源驗證(BGP-OV)、和BGP路徑驗證(BGP-PV)。

RPKI允許第三方加密驗證互聯網地址塊和互聯網自治系統的所有權聲明。源驗證提供協議擴展和攻擊，讓BGP路由器可以使用RPKI數據監測并過濾未經授權的BGP路由聲明。路徑驗證提供進一步的協議擴展，讓BGP路由器可以加密驗證構成BGP路由的網絡序列（自治系統路徑）。

源驗證將遏阻簡單路由劫持攻擊和錯誤配置(無意的)，而路徑驗證將阻止更復雜和隱秘的路由繞道攻擊。二者結合，便可提供一套完整的解決方案，解決原始BGP中發現的路由漏洞。

這3個組件中的規范如今已經完成。第3個組件——路徑驗證，也被稱為BGPsec，于9月由IETF作為 RFC 8205 發布。不過，協議的應用，又是另一回事了。

第1個組件RPKI，于2012年2月在 RFC 6480 中發布。到2016年，盡管全部5個區域互聯網注冊機構都支持RPKI，路由源授權(ROA)的采納卻遲緩又零散。僅不到7%的全球BGP聲明是ROA覆蓋之下的。RPKI在歐洲(ROA覆蓋的地址空間在30%以下)和拉丁美洲(13%)的采納，要比在北美(3%)要快很多。

隨著最后一個SIDR組件規范的就位，NIST如今準備重定向其工作方向了。NIST聲明中表示，隨著標準的發布，NIST的工作將轉向幫助業界采納該標準，包括發行技術部署指南，改善實現的性能和可擴展性。

作為技術轉型工作的一部分，NIST國家卓越網絡安全中心(NCCoE)，最近宣布了一項專注SIDR的新計劃。

隨著SIDR的成型，BGP這個1989年的臨時解決方案終于有了安全性。該標準能否在大型BGP攻擊搞攤整個互聯網之前得以全球部署，我們尚拭目以待。反正，總有一天，總會有人有那個動機嘗試一把的。

SIDR標準集：

https://datatracker.ietf.org/wg/sidr/documents/