由于边界网关协议(BGP)路由安全问题，在中国大量的互联网流量被错误地路由到中国的服务器之后发现......并不是很好。想要阻止这种情况发生吗?艰难的一个。这是一个古老的 - 或者更确切地说，是互联网老问题 - 没有任何一家企业可以自行阻止这种情况。

你如何解决集体行动问题?通过集体行动。

这就是共同商定的路由安全规范(MANRS)项目背后的理念。由互联网协会(ISOC)开发，到目前为止已列出204个网络运营商(ISP)和35个互联网交换点(IXP)，加上新手谷歌和微软，这个愿意的联盟试图防止影响域间的BGP安全问题自治系统之间的路由。

路由攻击可能会产生区域甚至全球影响。

企业可以选择与实施更强大的BGP安全控制(如MANRS推荐的控制)的ISP和IXP合作，以适中的成本提高路由安全性。

“通过选择符合MANRS的提供商，企业安全管理人员知道他们的提供商正在遵循保护其网络的最佳实践，”运行MANRS的ISOC高级技术项目经理Andrei Robachevsky告诉CSO。“企业可以通过加入自己或与MANRS成员服务提供商合作来利用MANRS ......参与的提供商向他们的客户发送明确的信息 - 他们关心安全问题。”

无论如何，这个路由安全混乱有多大?

测量路由安全性

假设使用它的每个人都值得信赖是一个非常糟糕的主意，结果建立互联网。你想知道他们在70年代的想法。

为了更好地量化路由安全问题的严重程度，上周MANRS启动了其MANRS天文台，“一种新的在线工具，用于衡量网络对MANRS的合规程度，这是网络安全和互联网弹性状态的关键指标。 “

据ISOC称，路由安全问题继续困扰着互联网。他们在2018年写道： “没有一天没有事故就过去了。” “虽然没有任何事件是灾难性的，但所有这些事件都继续表明缺乏路线控制，就像MANRS所要求的那样可能阻止它们发生。”

这是一个大问题。NIST SP 1800-14，发布于2019年6月，锤击了这一点。“对互联网路由功能的攻击可能是当今互联网面临的最大威胁之一。路由攻击可能会产生区域性甚至全球影响。”

NIST的作者写道，“BGP的设计并没有考虑到安全性”，这是十年来的轻描淡写。“流量通常遍历多个网络以从其源到达其目的地。网络隐含地信任它们彼此接收的BGP信息，使得BGP容易受到路由劫持。路由劫持攻击可以拒绝访问互联网服务，错误传递恶意流量端点，并导致路由不稳定。“

MANRS希望说服世界各地的互联网服务供应商同意BGP安全路由标准符合他们的最佳利益。MANRS还希望通过其时髦的新型MANRS天文台来推动这一点，从视觉上展示BGP路由安全故障的日常影响 - 并保持其成员的诚实。

MANRS有什么好看的?

符合MANRS标准的ISP同意共同努力防止传播错误的路由信息​​，包括意外和故意欺骗。具体行动网络运营商同意包括“检查客户公告的正确性，特别是客户合法持有ASN及其宣布的地址空间”，并实施“反欺骗过滤以防止源IP地址不正确的数据包进入和离开网络。“

这些努力都没有特别耗费时间或资源，并且当像MANRS天文台这样的中立观察者集体商定和监督时，这些努力可以显着提高路由安全性。

想要快速轻松获得安全性的企业可以询问他们的ISP是否部署了这些类型的BGP路由安全功能。随着互联网服务供应商争夺财富2000强企业的业务，可靠的更好的安全性成为一种可销售的功能，附加的附加费很少。

到目前为止，良好的MANRS在路由安全性方面已经有了很小的优势，足以让ISOC对未来抱有希望。根据MANRS研究，2018年有12,600起路由事件，与2017年相比可观测量下降。

解决集体行动问题，特别是解决方案中几乎没有利润的问题，必须从某个地方开始。路由安全是互联网的许多致命弱点之一。(在这个比喻中互联网有多少英尺?我们不确定)。希望保护自己和客户的企业不仅需要考虑自己的利益，还需要考虑每个人现在生活和经营的数字环境的安全性。