首页博学的轮船Y网络运营商修复网络 (运营商网络异常请联系运营商修复)

网络运营商修复网络 (运营商网络异常请联系运营商修复)

🏷️ 博学的轮船Y ✍️ 致力于为网友们提供最优质的服务,一同分享最新资讯 📅 2026-03-15T04:11:43+00:00

如果网络运营商实施已经写入技术标准的协议,并且供应商提供了更好的安全修复工具,则互联网的安全性和稳定性将得到显着改善。

互联网路由很可能是一场 惨叫,但亚太网络信息中心(APNIC)的部署马拉松表明,短短而专注的努力可以发挥作用。

路由器使用边界网关协议(BGP)相互告知当前路由Internet流量的最佳方法,但是系统依赖于每个人说实话。

BGP标准包括所谓的资源公钥基础结构(RPKI)路由起源授权(ROA),用于证明路由消息的真实性,但是它们的部署范围并不广。

正如APNIC的首席科学家Geoff Huston所说,因此,互联网路由是“一个依赖谣言传播的系统”。

错误的谣言可能是导致路由失败的错误,有时甚至是大规模的错误。它们也可能是蓄意设计恶意流量劫持的尝试。

本月在清迈举行的APNIC会议包括一整天的高级BGP研讨会。26位参与者使用虚拟环境来学习如何在各种路由器上部署RPKI,签署ROA以及设置路由对象验证(ROV)。

APNIC顾问Philip Smith博士说:“他们中的一些人已经为其组织注册了ROA,他们将在回家时进行部署。”

有些没有等那么久。在会议的晚些时候,一些热情的与会者聚集在一起,签署了RPKI ROA并将其发布。

在接下来的十个小时中,APNIC RPKI存储库中的经过验证的ROA有效负载总数从25,844跃升至25,897。

网络运营商修复网络,运营商网络异常请联系运营商修复

在本月初的会议之后,APNIC RPKI存储库中经过验证的ROA有效负载的增长

NLnet Labs产品开发负责人Alexander Band说,在路由器上签署ROA并在路由器上设置ROV的APNIC会议“具有不可思议的价值”,该公司为域名系统(DNS)和路由基础设施提供免费的开源软件。

他告诉ZDNet:“它为网络提供了针对最常见形式的BGP劫持的即时保护。”

伦敦的系统工程师Ben Cartwright-Cox进行的最新 研究表明,全球超过600个网络丢弃了RPKI无效路由。这些包括较小的网络,以及 诸如AT&T [PDF]之类的大型1级运营商。

瑞典网络提供商Telia Carrier是该列表的最新成员之一,该公司在瑞典,芬兰,挪威,丹麦,立陶宛,拉脱维亚和爱沙尼亚均设有业务。

Telia 周一宣布已在其整个全球互联网主干网中实施RPKI。

根据Dyn Research的全球骨干网排名,Telia的自治系统编号为AS1299 的网络 目前排名世界第一。其直接连接的客户群占全球互联网路由的近60%。

Telia负责人Jorg Dekker表示:“作为全球领先的互联网骨干网,路由稳定性至关重要,我们通常鼓励网络客户,同行和互联网社区通过在自己的网络中实施RPKI计划来支持RPKI计划。互联网服务。

更好的工具将导致更好的布线

APNIC研讨会还强调了一个不幸的事实,即许多用于设置RPKI的工具并不是最好的。

NLnet Labs的路由验证器Routinator开箱即用,但是史密斯认为,RIPE NCC验证器和Cloudflare的OktoRPKI确实存在问题,而糟糕的文档可能使问题变得更糟。

史密斯说:“ Routinator是唯一适合此目的的验证器。”

“许多netop都没有Linux经验,另外两个需要做很多事情才能使安装工作。如果您还没有使用Linux,那么您就没有希望了。因此,所有这些都需要整理。”

Telia的AS1299只是组成Internet的65,000多个自治网络之一。不良的工具可能会在至少其中一些系统中产生配置不当的验证器,这可能会带来问题。

史密斯说:“如果每个人都打开它,那么它什么都不会起作用,因此需要对它进行整理,然后再继续。”

我们还要修复DNS,电子邮件身份验证和网站加密

诱使您指责网络运营商未能部署RPKI。但是,对于提供伪劣文档的软件供应商来说,还需要指出另外一点。

路由安全并不是部署现有工具可以发挥重要作用的唯一系统。

休斯顿在2017年表示,无法通过DNSSEC保护DNS是 野蛮的愚昧。网络运营商应该在手指对准他们之前先掌握它们。

网络运营商还应通过部署DMARC消息身份验证来避免成为指责收件人,以防止垃圾邮件发送者欺骗其域的电子邮件。

英国国家网络安全中心(NCSC)已使用DMARC大大降低了政府领域的风险。

NCSC技术总监伊恩·利维(Ian Levy)博士说:“这样一来,人们就不会再点击链接了,因为他们一开始就不会胡扯。大规模的简单事情可能会有所不同。”

尽管澳大利亚政府的努力落后于英国,但澳大利亚政府也一直在其领土上部署DMARC 。

然后是网站加密。

休斯顿说,每个网站都应运行TLS加密,强制所有用户通过HTTPS连接。

他告诉ZDNet:“他们应该。如果没有,那就傻瓜。”

“当我要去某个地方时,即使路由系统处于撒谎状态,那个地方也必须证明他们是我想要参加的聚会。这确实很重要。”

但是,许多网络托管提供商仍将TLS加密作为一项优质服务定价。SSL证书是有利可图的追加销售。他们没有安装使网站运营商能够使用免费的Let's Encrypt证书的简单工具。

在您的作家看来,加大安全地做事的难度是不负责任的,甚至是鲁re的。

至于保护诸如路由,DNS和电子邮件身份验证之类的事情,这可能并不是一项新的工作,但实际上是需要完成的工作。