TWNIC推动RPKI建置三部曲 杜绝BGP路由劫持威胁

图1：BGP路由来源劫持示意图(数据来源：TWNIC提供)

现今企业已越来越仰赖网际网络来提供服务，尤其因疫情而采取的封城、居家隔离政策更使得在线流量暴增。这时有更多的诱因促使网络犯罪团体伺机而动，黑客不针对个别企业网站下手，而是看准网际网络通讯协定的漏洞，从利用BGP协定的信任机制对ISP宣告错误的路由，因而将流量导至黑客的服务器，也就造成所谓BGP劫持(BGP Hijacking)。

对此，网际网络工程任务组(IETF)透过制定资源公钥基础建设(Resource Public Key Infrastructure；RPKI)标准来强化路由安全。而台湾经过2年推广，目前超过98%的IPv4位址均已签署RPKI ROA，在全球IPv4位址数量前百大国家中排名第一。

人为疏失、恶意拦截 BGP劫持造成封包信息外泄

网络世界的路由是由Autonomous system(自治系统；AS)号码串接组成。在正常的网络世界，若AS4要传输封包到AS1有许多条路径可选择，经由AS2再到AS1是最快速的路径。然而若AS6未经授权却宣告拥有与AS1相同的网段并通知其他节点路由器更新路由信息，那麽AS4要传送到AS1的封包就会被导至AS6，这就是BGP路由劫持(如图1)。黑客拦截了这些流量可用来发送垃圾邮件、窃取加密货币，若AS6进一步伪造相似AS1 IP位址的网站就成为钓鱼网站，可窃取更多受害者机密个资。

BGP路由劫持除了上述黑客去更改路由来源的恶意劫持外，也包括伪造AS路径，让原本由AS4→AS2→AS1，绕道成为AS4→AS2→AS3→AS1，在AS3就可窃取封包信息发动中间人攻击。另外人为疏失也可能导致BGP路由劫持，例如在路由设定时有错别字或前置错误等。

根据维基百科，早在1997年就曾发生BGP劫持事件，而2008年巴基斯坦电信劫持YouTube流量更是造成当时YouTube全球服务因此中断，由于巴基斯坦电信迳行宣告拥有YouTube所属网段，而巴基斯坦的上游Tier 1 ISP电讯盈科(PCCW)基于信任BGP协定把此不正确路由信息转发至其他ISP，导致应传至YouTube的流量转向巴基斯坦电信。

近年BGP劫持更是有增多的趋势。2018年11月就发生尼日利亚一家名为MainOne的ISP劫持Google流量约74分钟，他们将路由路径绕道俄罗斯TransTelecom、国内电信、MainOne然后才流至Google，MainOne事后调查称此为人为设定错误所导致。而2020年4月又发生全球约200家CDN服务商遭BGP劫持事件，包括Facebook、Google、Amazon、Cloudflare、GoDaddy、Line等流量都被导向俄罗斯，历时约1小时。TWNIC台湾网络信息中心顾静恒组长表示，发动BGP劫持对黑客来说非常容易，不需高深技术都可向ISP宣告拥有AS，因此近年BGP劫持事件日益增多。透过RPKI标准与路由来源认验证机制，来侦测无论是恶意劫持或人为错误的BGP劫持也就势在必行。

三阶段RPKI建置计划 逐步推动路由整体安全

在IETF制定透过路由来源验证机制来确保路由的正确性后，TWNIC自2018年即开始制定RPKI推动计划，透过三阶段工作来达到强化路由安全的目标。经过2年的推广目前已有初步成果，目前超过98%的IPv4位址已签署RPKI ROA，第一阶段成果斐然，紧接着46家拥有IP位址且有对外宣告路由的业者已进入第二阶段，率先向其用户证明能提供安全的连线服务。

第1阶段 签署路由来源授权

在2018年9月TWNIC RPKI CA与APNIC CA签署授权后，TWNIC开始推动RPKI计划。第一阶段是签署路由来源授权(Route Origin Authorizations；ROA)，这是指所有曾到TWNIC注册的IP位址拥有者必须到TWNIC RPKI管理系统登记，设定某一段IP是由哪一个AS(自治系统)所宣告，以证明此路由来源是合法的。而这些设定好的ROA数据都会同步上传到全球ROA数据库，将来路由器收到路由便会与ROA数据库比对，若是不合法的路由便能阻挡。

目前台湾约有3,500万个IPv4位址，IP位址拥有者完成签署ROA的已有150家，一共签署2,485笔ROA，ROA签署比例达到98%，在全球IPv4位址数量前百大国家中名列第一。然而，目前全球签署ROA的比例仅23%，仍有待各组织大力推广才能确保网络世界整体路由安全。

第2阶段 连接路由来源验证服务器

而第二阶段便是TWNIC建置路由来源验证(Route Origin Validation；ROV)服务器，并连线到全球ROA数据库下载全球ROA数据。而后IP拥有者且有对外发放路由者(目前全台约180家企业组织)需设定其路由器，使之连线到TWNIC的ROV服务器，此后便能定期下载最新的ROA数据来验证其路由来源是否合法。但前提是这些组织的路由器必须支持RPKI功能，启用RPKI后再设定连线到ROV，Validator服务器。

顾静恒指出，目前全台已有46家企业组织完成第二阶段与ROV服务器的连线，已具备比对路由来源合法性的能力。除了五大ISP及宽频固网业者外，包括台湾银行、台湾集成电路及教育部等政府与知名企业都已率先做好连线准备，不仅能确保其对外路由不被劫持，也能避免成为BGP劫持事件的帮凶。

第3阶段 启动路由自动过滤功能

到了第三阶段，就是能依据路由来源验证的结果自动进行过滤。路由经过比对验证会产生三种结果：合法(valid)、不合法(invalid)以及不明(not found)。如果比对后是合法则予以连线，验证后是不合法者则直接阻挡错误路由，不论是恶意劫持或人为设定错误，而有宣告的路由但尚未签署ROA者则显示为不明。根据NIST的统计，目前全球IPv4的路由比对后为不明者仍高达76.14%。(如图2)

ISP、云端服务业者加速部署RPKI

目前包括NTT、Cloudflare、香港国际网际网络交换中心(HKIX)等电信公司都已完成三阶段的ROV验证及开启自动路由过滤功能，而中华电信也名列其中。在Cloudflare以及RIPE网站上都有提供RPKI检测功能，可检测全球各地ISP是否完成RPKI的部署设定。

顾静恒表示，预料不久将来也会要求与其连线的ISP业者陆续完成ROV及路由过滤工作。而目前台湾IP拥有者且有对外发放路由者仍有110多家尚未完成第二阶段的ROV连线设定，除了因路由器版本老旧不支持RPKI，需另升级更新路由器韧体或直接更换之外，有部分业者则是担心设定之后影响连线效能。顾静恒表示，目前已完成第二阶段ROV连线设定的46家组织，其路由器效能经测试后均无产生延迟等反应，一般效能的路由器在设定后不会导致延迟问题。

综上所述，网际网络的安全往往是环环相扣，以路由安全来说，唯有每一个节点都做好路由来源授权宣告，能让别人查询。接着IP拥有者需做好ROV连线以比对验证路由来源是否合法，最后则是启动路由过滤功能，三阶段都完成后才能达到整体路由安全的目的。否则，最脆弱的一环经常就是黑客容易下手的地方，随着越来越多机密隐私的封包信息在网络上传递，遭BGP劫持不仅使网络服务中断也将导致用户隐私外泄。因此不论是ISP或提供云端服务业者，都应加快脚步为整体网际网络安全努力。