BGP劫持
邊界網關協議(BGP)劫持是講通過一个自治系統錯誤宣稱 IP 為其所有,使用邊界網關協議維護的網際網路由表示的路由器錯誤地將用戶發送的數據傳送予非數據傳送目的地。
背景
任何連接著網際網路的主機,通過其實家己的 IP 位址,會當佮世界啥物所在連接網路頂懸網路的主機通批。主機欲數據傳送予路由器,逐个路由器閣將數據包予另外一个路由器,到數據被傳遞予目的主機。為著順利共數據傳達到目的主機,逐家路由器著愛定期提供上新的路由表。有仝款的 IP 位址綴著的 IP 為仝一家自治系統(AS)有擁有,自治系統之間的路由器的路由表通過邊界網關協議進行維護。邊界網關協議能予路由表內保存最佳路由路線。
每一个自治系統攏通過邊界網關協議來表明伊會當向佗一寡 IP 前綴發送數據。譬如講若是 IP 前綴一百九十二爿曝空 . 二 . 二十四分之空位佇咧 AS 六陵四千四百九十六內,遐爾該自治系統就會共向其供應商表示伊會當向一百九十二孵空 . 二 . 二十四分之空發送任何數據。
劫持
會當通過後一下幾種方式進行劫持:
- 一个自治系統宣稱一寡 IP 前綴著歸其所有的,但實際上並毋是
- 一个自治系統的聲稱擁有某个 IP 頭前綴著範圍比實際聲明擁有某一个 IP 前綴的自治系統欲較細
- 一个自治系統的聲稱伊會當通過一條比已經知的閣較短的路徑將數據傳達到被劫持的自治系統,毋管這个路草敢有影存在遮的方式共同點是𪜶破壞去矣網路正常路由,自治系統宣稱的內容予人添加至使用邊界網關協議的路由器的路由表中,彼路由器則會根據路由表將數據包傳輸予錯誤的自治系統,數據包最終無法度予人轉發到目的地。
用例
防火長城使用 BGP 劫持阻止到某一寡網站的連接抑是執行中央人攻擊。