Resumen— El protocolo de puerta de enlace fronteriza (BGP) toma la papel fundamental en la transmisión de

información de enrutamiento entre mil números de AS en la red de internet hoy.

Por lo tanto, este protocolo de enrutamiento es altamente vulnerable a problemas de seguridad que pueden

devastar la propia Internet.

En este documento, hay dos estudios de caso de BGP sobre Internet para ser analizado. . Estos estudios de caso

ilustran cómo el problema ocurre usando topología de laboratorio a pequeña escala y

entonces c. El primer caso es el secuestro de prefijos realizado por un ISP hacia los prefijos de red de Google.

Para prevenir esto problema, se propone una solución práctica que es implementar el filtrado de prefijos tanto

en la entrada como en la salida filtración. Estos filtros pueden asegurar el prefijo que debe

ser recibido y debe ser anunciado a los pares BGP.

Sin embargo, esta solución aún necesita mejoras adicionales para superar el problema de la escalabilidad.

El segundo caso es el problema de BGP en tránsito AS. Este el problema es causado por el cliente multihoming.

El cliente volvió a anunciar el tráfico de Internet recibido del principal

aguas arriba a su secundaria aguas arriba para que su secundaria El emparejamiento BGP de upstream se

desconecta debido a recibir demasiados prefijos de Internet. el multihoming el cliente utiliza su AS como AS de

tránsito. Este problema puede ser superado mediante el uso de la comunidad BGP NO_EXPORT

rasgo.

Como BGP es un protocolo de enrutamiento basado en la confianza, ha habido

varios problemas que pueden perturbar el servicio central de Internet

hace poco. Se describirán y analizarán algunos de los problemas.

aquí en estos siguientes casos de estudio. Después de eso, una alternativa

Se propone una solución para superar estos problemas con el uso de

Enrutadores Huawei serie AR-2921 en escenario de red a escala de laboratorio.

Hay dos estudios de casos principales de problemas de BGP, como el prefijo

problema de secuestro y AS de tránsito.

A. Secuestro de prefijos

El primer problema es el secuestro de prefijos. Este caso ha sido

surgido varias veces en la red mundial de Internet. Sobre

Febrero 2008, acceso a Youtube, el video más grande

servicios de aplicaciones, había sido bloqueado por Pakistan Telecom.

Recientemente, en noviembre de 2012, los servicios de Google se cerraron

descendido de varios países en 27 minutos como indonesio

La ingeniería de redes de Moratel realizó un “deslizamiento” de BGP

configuración incorrecta que resultó en el secuestro de prefijos de Google.

En el problema de Google, el secuestro vino por mal

anuncio de prefijo realizado por Moratel (AS23947) hacia

Google (AS15169). La topología de red de este caso es

descrito en la figura 1.
Basado en la Figura 1 anterior, este escenario a escala de laboratorio

describen caso de secuestro de prefijos realizado por Moratel hacia

Prefijos de Google. Cada AS está representado por un solo enrutador.

En realidad, hay muchos enrutadores en un solo AS, pero para

simplicidad, un enrutador es suficiente, y generalmente hay un solo

enrutador en el borde de Internet de cada AS. Entonces cada AS

anunciar su prefijo a internet a través de BGP. Aquí está la lista de

anuncios de prefijo de cada AS en la

La Tabla 1 muestra que el ISP Moratel (AS23947) anuncia su

prefijo propio 202.43.176.0/24, Google (AS15169) tiene prefijo

216.239.32.0/24 que es la red principal del servidor DNS de Google

como para ns1.google.com (216.239.32.10) y

ns2.google.com (216.239.34.10). Google también anuncia su

servidor DNS público que son 8.8.8.0/24 y 8.8.4.0/24.

En condiciones normales antes del secuestro, conectividad total

entre cualquier AS hacia Google se muestran en la figura a continuación.

La conectividad completa se verifica mediante la tabla de enrutamiento de convergencia

de PCCW, que es el upstream de Moratel hacia internet, y también

prueba de ping de varios AS (PCCW Global, SingTel IX y

B. Tránsito AS

A fines de febrero de 2012, hubo un problema en BGP emparejamiento que puede dificultar

que los usuarios de ISP australianos lleguen a Internet acceso. Este caso involucra a uno de

los grandes ISP en Australia que es Telstra. El problema proviene de una mala configuración
de multihoming en Dodo, un cliente ISP de Telstra. Multiubicación podría lograrse

conectando su red a dos diferentes ISP. Multihoming proporciona redundancia y

optimización de la red. Selecciona el ISP que ofrece la mejor camino a un recurso. Cuando

está ejecutando BGP con más de un proveedor de servicios, corre el riesgo de que su

autónomo (AS) se convertirá en un AS de tránsito. Esto hace que Internet tráfico para pasar a

través de su AS y potencialmente consumir todo el ancho de banda y los recursos en la CPU

de su enrutador.

Este caso problemático ocurre en Telstra. El seguimiento topología describirá el escenario del

caso como se muestra en la figura 9.

Figura 9. Topología de escenario del problema AS de tránsito y multihoming de BGP

Basado en la topología de red anterior en la figura 9, cada AS es representado por un solo

enrutador y una red global de Internet es representada por GBLX Global Crossing (AS3549)

y TeliaNet Global (AS1299). Multihoming y AS de tránsito ocurrir en ISP Dodo (AS38285).

Se suscribe a dos aguas arriba ISP para redundancia que son Telstra (AS1221) y SingTel
Opto (AS7474). Dodo ha recibido el enrutamiento completo de Internet información de

SingTel Optus. En ese momento, había más de 390.000 prefijos de internet recibidos en el

enrutamiento de Dodo mesa. Desafortunadamente, esa gran cantidad de prefijos vuelto a

anunciar a Dodo's upstream, Telstra. Mientras tanto Telstra en realidad no necesitaba recibir

todos esos prefijos de su cliente, Telstra tiene su propio prefijo de internet recibido de su ISP

upstream que es Telstra Global. Por lo tanto, Dodo se convierte en el upstream de Telstra y

luego Telstra vuelve a anunciar el gran cantidad de prefijos de Internet de Dodo a Telstra

Global.

El problema surge ya que Telstra Global tiene una protección característica de seguridad en

su emparejamiento con Telstra. Esta característica podría limitar el prefijo máximo que

pueden recibir Par BGP para que pueda proteger la memoria del enrutador y Uso de CPU.

Dado que Telstra ha reenviado prefijos de Internet a Telstra Global superando el límite, por lo

que la conexión de emparejamiento entre ellos se derribaría como se muestra en la figura 10

abajo. En ese momento, este problema sucedió hace más de treinta minutos debido a que

Dodo se utilizó como AS de tránsito. Como resultado,Telstra no tiene una conexión

ascendente correcta hacia Internet, que debe ser Telstra Global normalmente. Todo Telstra

los clientes no podrían acceder a Internet.

Figura 10. Desde el problema del AS de tránsito, se eliminó el emparejamiento BGP de

Telstra

Este estudio de caso describirá cómo sucedió este tránsito COMO en topología de pequeña

escala y cómo prevenir este multihoming problema. La siguiente tabla 3 muestra la lista de

prefijos que se anuncian en cada problema de AS en tránsito AS.

En condiciones normales, Dodo que es el cliente de dos ISP upstream, SingTel Optus y

Telstra, recibe una completa completó la información de enrutamiento BGP de Internet de sus
dos colegas. Los prefijos de internet recibidos en estado de convergencia son trece prefijos.

Por otro lado, ha habido un configuración en Telstra Global para limitar el número de

recibidos prefijos de Telstra. Esta es la función de prefijo máximo.

El límite se establece en 10 prefijos. los detalles de

La configuración se muestra en la siguiente figura 11.

Si Telstra Global ha recibido más de diez prefijos, automáticamente la conexión de

emparejamiento se romperá. Este se muestra una notificación de corte de la conexión entre

pares en la figura 12. Cuando el número de prefijos entrantes alcanza once, entonces la

conexión de emparejamiento se cambiará de ESTABLECIDO a IDLE como se ve en la

figura. Estado inactivo significa que el intercambio de tráfico BGP está desactivado. Esto se

debe a sobrelimitando el máximo de prefijos recibidos que han sido configurado para diez.

Este caso el Telstra Global ya recibe 13 prefijos.

Otro problema ocurre, la ruta para el tráfico de SingTel Optus (AS7474) a Telstra (AS1221)

pasa por Dodo (AS38285) que en realidad es su cliente. Esto sería afectan y consumen los

recursos de Dodo debido a su temporal papel como un AS de tránsito. Esta situación se

muestra en la siguiente figura 13. El tráfico desde SingTel Optus hacia Telstra es vía Dodo

como indicó que hay un número AS de Dodo que es 38285 en el prefijo de Telstra

139.163.83.0/24
IV.CONCLUSIONES

En este documento, hay dos estudios de caso de BGP en Internet para

ser analizados que son prefijo secuestro y tránsito AS. Estos Los estudios de casos ilustran

cómo ocurre el problema utilizando una topología de laboratorio a pequeña escala y luego

implementan la solución para superar los problemas. El primer caso es el secuestro de

prefijos realizado por un ISP hacia el prefijo de red de Google. Para prevenir esto

problema, cada ingeniero de red ISP debe implementar prefijo Filtrado de entrada y filtrado

de salida. Estos filtros pueden asegurar el prefijo que debe ser recibido y debe ser

anunciado a los pares BGP. Sin embargo, esta solución todavía necesita

mejora adicional para superar el problema de escalabilidad porque

de su implementación en cada enrutador que ejecuta BGP.

El segundo caso es el problema de BGP en tránsito AS. este problema es

causado por el cliente multihoming. El cliente volvió a anunciar el

recibió prefijos de Internet desde el upstream primario hasta su

upstream secundario para que su BGP upstream secundario

el emparejamiento se desconecta debido a que recibe demasiados

prefijos de Internet por lo que la máxima protección de prefijo es violado El cliente de

alojamiento múltiple utiliza su AS como AS de tránsito.

Este problema se puede superar mediante el uso de la comunidad BGP

Función NO_EXPORTAR. BGP no volverá a anunciar el receptor

tráfico de Internet a su AS exterior para que no haya tránsito

AS en el lado del cliente nunca más.