Да, это более серьезный вопрос, чем здесь можно ответить.
Это, конечно, проблема, которую BGPSe c и BGP Origin Validation намерены смягчить.
Рабочая группа IETF SIDR завершила свою работу, а SIDROPS занимается практическими проблемами развертывания и эксплуатации.
Почему требуется так много времени для защиты Inte rnet Routing? интересно. Также BGP с BGPse c: Атаки и контрмеры .
Если AS могут «обнаружить ложное объявление», то кажется очевидным, что они будут их подавлять. Но чтобы обнаружить ложное объявление, вам нужен надежный источник истинных объявлений. Это оказалось большой проблемой. Но это еще хуже. В «устойчивом состоянии» можно почти представить себе базу данных True Routes разумного размера. Но в ответ на проблемы сети, большие и малые, весь смысл BGP заключается в том, что новые маршруты могут быть объявлены (в том числе новые более точные c), чтобы поддерживать трафик c. Таким образом, вашей базе данных True Routes требуется отдельный протокол (с его собственной задержкой и проблемами доверия), чтобы поддерживать его в актуальном состоянии :-(
С точки зрения интернет-провайдера, правда, что большинство клиентов и партнеров объявляют об ограниченном и стабильное количество хорошо известных маршрутов. Таким образом, точная фильтрация маршрутов выглядит как способ смягчить угрозу. Но это требует и трудоемких и склонных к ошибкам и добавляет Сложность и только незначительно (если вообще) приносит пользу ISP ... и негибки (почему бы просто не настроить stati c маршрутов!).
Of Конечно, даже если данная AS «имеет право» объявить данный маршрут, это не гарантирует, что они будут обрабатывать трафик c «правильно»: - (
[Интересно, если NetworkEngineering люди имеют современное представление фактического развертывания BGPSe c и Origin Validation et c.?]