导语:研究人员在流行的互联网路由协议软件中发现了多个新的BGP漏洞。
Forescout Vedere Labs在其新的漏洞研究报告中讨论了边界网关协议(BGP)安全一个经常被忽视的问题:软件实现方面的漏洞。更具体地说,流行的FRRouting实现中发现了BGP消息解析漏洞,攻击者可以利用这些漏洞针对脆弱的BGP对等体(peer)发动拒绝服务(DoS)攻击。
一些实现BGP的软件套件现在被知名的网络供应商所使用,并被互联网的大部分所依赖。最近的一起BGP事件表明,可能只需要一个畸形数据包就能造成可能重大的破坏。
如今,BGP出现在ISP之外的意想不到的地方。比如说,BGP经常用于大型数据中心内部的BGP流量路由,MP-BGP等BGP扩展被广泛部署于MPLS L3 VPN。因此,组织不应该只依赖ISP来处理BGP安全问题。
我们分析了BGP的七种实现,结果在一种领先的开源实现FRRouting中发现了三个新的漏洞,攻击者可以利用这些漏洞针对易受攻击的BGP对等体发动DoS攻击,从而丢弃所有BGP会话和路由表,导致对等体没有响应。
我们的研究表明,现代BGP实现仍然容易被攻击者滥用。作为这项研究的一部分,我们发布了一个开源工具,供组织用来测试内部使用的BGP套件的安全性,并供研究人员用来发现BGP实现中的新漏洞。
BGP是什么?为什么要继续分析它?
BGP是互联网的主要路由协议。它允许单独的自治系统(AS)交换路由和可达性信息,而自治系统是注册机构在一段时间内租给一家组织使用的IP地址段。
当BGP失效时,AS可能变得不可达&