互聯網實驗出了問題 取下了一堆Linux路由器

本月早些時候，一項研究新發布的安全功能對邊界網關協議(BGP)的影響的學術實驗出現了可怕的錯誤，并導致一堆基于Linux的互聯網路由器崩潰。

該實驗由來自世界各地的學者組織，于去年12月中旬首次公布，被描述為“評估加速采用BGP路由起源驗證的替代方案的實驗”。

BGP路由源驗證(ROV)是BGP標準的三管齊下的安全包的新發布的標準部分，以及BGP資源公鑰基礎結構(RPKI)和BGP路徑驗證(也稱為BGPsec)。

BGP BOV允許路由器使用BGP RPKI信息過濾掉未經授權的BGP路由通告，并關閉BGP劫持，旨在將互聯網流量從合法服務器重新路由到壞網絡。

本月的實驗是研究采用BGP安全功能的研究論文的延續，該研究將于1月8日至1月23日期間進行。

最初的計劃是讓研究團隊從研究人員控制的網絡中宣布“具有符合有效標準的未分配BGP屬性”的BGP路由，然后研究路由定義如何通過互聯網在其他互聯網服務提供商的網絡上傳播。

我們的想法是遵循BGP屬性如何移動并了解易受攻擊的點或哪些ISP網絡易受互聯網流量操縱的影響。

但是在實驗的第一天，情況并沒有像預期的那樣發生。

“我們昨天在這個實驗中發布了第一個公告，盡管公告符合BGP標準，但FRR路由器在收到會議后會重置會話。一旦發現問題，我們停止了實驗，”Italo Cunha說，巴西米納斯吉拉斯聯邦大學研究員。

根據研究人員的說法，問題在于他們使用的BGP屬性導致運行FRRouting(FRR)的路由器發生軟件崩潰，FRR是Linux和Unix平臺的IP路由協議套件。

FRR開發人員于1月9日發布了修正案，經過一些關于繼續實驗的道德規范的討論后，研究人員決定在1月23日的本周三進行另一輪測試。

FRR路由器此次沒有采取行動，但其他問題出現在世界其他地方。主要原因是該實驗僅在北美網絡運營商集團NANOG的郵件列表上公布。

“你再次造成一個巨大的前綴尖峰/襟翼，因為互聯網不以[北美]為中心(震驚恐怖!)亞洲和澳大利亞的一些運營商[你]被你的'exp [e]所感染] R [I]包換”，不知道發生了什么事，或者為什么，” 說了PacketGG，即只要實驗的第二輪開始了提供多種互聯網流量的支持服務，公司網絡管理員。

這次，問題是由無法處理研究人員使用的BGP屬性的BGP軟件引起的。原因是一些ISP未能將其BGP軟件更新到最新版本，因此無法處理自定義BGP屬性。

雖然沒有關于受第二次事件影響的網絡數量的公開統計數據，但研究人員并沒有等待很長時間才能關閉他們的BGP ROV實驗。

“我們永久取消了這項實驗，”Cunha 在Cooper投訴后20分鐘說道。

但是，盡管測試引起了問題，但在Cunha取消后的所有后續回復都促使研究團隊繼續深入研究BGP安全功能的采用。

原因在于，二十多年來，BGP劫持一直是互聯網的Achille的腳跟，并且保護BGP(一種將互聯網捆綁在一起的協議)作為整個網絡和信息安全社區的首要任務。

“停止實驗只是治療癥狀，必須解決根本原因：破壞軟件，” NTT Communications的Job Snijders 說。

這個實驗也不是第一次學術界在測試BGP功能時崩潰部分互聯網。類似的事情發生在2010年8月，當時另一項實驗在全球范圍內破壞了思科路由器。