نظام التوجيه على الإنترنت يحصل أخيرًا على حماية — بعد عقدين من أولى عمليات الاختطاف الكبرى

في 24 فبراير 2008، أوقفت باكستان تيليكوم YouTube عن العالم بأسره. ليس بهجوم DDoS، ولا بأمر قضائي — بل ببث غير مقصود لمسار أكثر تحديدًا لمساحة عناوين YouTube. في دقائق، أصبحت حركة المرور المتجهة إلى YouTube.com تتدفق إلى شبكة باكستان تيليكوم وتختفي في فراغ. استمر الانقطاع ساعتين.

لم تكن الحادثة فريدة. كانت مثالًا كلاسيكيًا على سبب كون بروتوكول BGP — نظام التوجيه الذي يشكل أساس الإنترنت بأكمله — غير آمن جوهريًا. بعد خمسة عشر عامًا، بدأ المهندسون أخيرًا في فعل شيء جاد تجاهه.

مشكلة BGP

BGP هو البروتوكول الذي تستخدمه الأنظمة المستقلة (AS) — الشبكات التي تديرها مزودو الإنترنت وموفرو السحابة والجامعات والشركات — للإعلان عن قابلية الوصول. عندما ينتقل حركة المرور الخاصة بك من جزء من الإنترنت إلى آخر، تنتقل بين هذه الأنظمة المستقلة وفقًا لجداول توجيه BGP. المشكلة أن BGP صُمم عام 1989 بافتراض بسيط: أن جميع المشاركين صادقون.

أي شبكة يمكنها الإعلان عن امتلاكها لمساحة عناوين IP لا تملكها فعليًا. أجهزة التوجيه الأخرى لا تملك طريقة للتحقق من ذلك دون بنية تحقق خارجية. النتيجة هي اختطاف المسار — إما عن طريق الخطأ (أخطاء في التكوين، أخطاء بشرية) أو عن قصد (اعتراض حركة المرور، المراقبة، حرمان الخدمة).

تتراكم الحوادث سنة بعد سنة. في 2010، أعلنت تشاينا تيليكوم لفترة وجيزة عن مسارات تشمل 15% من مساحة عناوين الإنترنت، معيدة توجيه حركة المرور عبر شبكات صينية لمدة 18 دقيقة. في 2018، تم اختطاف حركة مرور خدمات Google عبر نيجيريا. في 2020، اختطفت روستيليكوم أكثر من 8,800 بادئة تابعة لأمازون وجوجل وكلودفلير وأكاماي — مما أثر على حوالي 200 منظمة.

RPKI: نقاط ارتكاز تعمية للتوجيه

Resource Public Key Infrastructure (RPKI) هو الحل الأكثر نضجًا في الصناعة للتحقق من أصل مسار BGP. المفهوم بسيط: حاملو عناوين IP ينشئون سجلات موقعة رقميًا — تسمى Route Origin Authorizations (ROAs) — تشهد بشكل تعمية على رقم النظام المستقل المخول بالإعلان عن بادئة IP معينة.

عندما يتلقى جهاز توجيه تحديث BGP، يمكنه التحقق منه مقابل مستودع RPKI. إذا أعلنت شبكة عن بادئة غير مخولة لها، يتم وضع علامة "RPKI Invalid" على المسار ويمكن إسقاطه. السلسلة التعموية تعود إلى سجلات الإنترنت الإقليمية (ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC) — قواعد البيانات الموثوقة لتوزيع عناوين IP.

التقنية نفسها تم توحيدها منذ 2012 عبر سلسلة من RFC من IETF. ما تغير مؤخرًا هو النشر على نطاق واسع. مع بداية 2026، أكثر من 50% من جدول التوجيه العالمي مغطى بـ ROA صالح — وهي عتبة كانت طموحة قبل ثلاث سنوات فقط. نقاط تبادل إنترنت كبرى مثل AMS-IX وDE-CIX وLINX تفرض الآن تصفية RPKI. كلودفلير وAWS وأزور وجوجل ومزودو الطبقة الأولى الكبار نشروا جميعًا التحقق من الأصل.

MANRS: الطبقة الاجتماعية لأمان التوجيه

RPKI يحل المشكلة التقنية لإثبات من يملك ماذا. MANRS — Mutually Agreed Norms for Routing Security — يعالج مشكلة التنسيق لحمل الشبكات على تطبيقه فعليًا.

أطلقته جمعية الإنترنت عام 2014، MANRS هو إطار من أربعة إجراءات: التصفية (قبول المسارات المشروعة فقط)، مكافحة الانتحال (منع عناوين IP المصدر المزورة)، التنسيق (الحفاظ على معلومات اتصال دقيقة للاستجابة للحوادث)، والتحقق العالمي (تنفيذ RPKI). بحلول 2026، انضم أكثر من 1,000 شبكة إلى MANRS، بما في ذلك أكبر مزودي السحابة ومزودي الإنترنت.

الحافز التجاري يأخذ في التوجه تدريجيًا. مزودو السحابة الكبار والمؤسسات يطلبون بشكل متزايد مشاركة MANRS من مزودي الإنترنت كمعيار شراء. الاهتمام التنظيمي ينمو أيضًا — استفسار FCC لعام 2024 حول أمان BGP وضع مزودي الإنترنت في حالة تأهب بأن التبني الطوعي قد لا يبقى طوعيًا إلى أجل غير مسمى.

ما لا يحله RPKI

RPKI يتحقق من أصل المسار — أن AS64496 تعلن بشكل شرعي عن 192.0.2.0/24. ما لا يستطيع التحقق منه هو المسار الذي يسلكه حركة المرور للوصول إلى هناك. BGPsec، امتداد أكثر طموحًا يوقع تعميًا مسار AS بأكمله، تم توحيده لكنه يواجه مشكلة نشر تشبه الدجاجة والبيضة: يعمل فقط إذا كانت معظم المسارات تدعمه، لذا لا يرى المتبنون الأوائل فائدة. النشر التدريجي شبه مستحيل.

عمليات اختطاف المسار التي تشمل AS الأصلي الشرعي (لكن تتلاعب بالمسار النهائي) تظل غير مرئية لـ RPKI. وحتى مع RPKI، جهاز توجيه مكّون لقبول مسارات "RPKI Invalid" — ربما لأسباب توافقية قديمة — لا يوفر أي حماية على الإطلاق. التقنية قوية بقدر تنفيذها المتسق.

ما يعنيه هذا للمؤسسات

المنظمات التي تملك مساحة عناوين IP خاصة — عادة مؤسسات كبيرة تكفي لامتلاك ASN — يجب أن تنشئ ROA لكل بادئة تصدرها. العملية تستغرق ساعات وليس أسابيع، وتتضمن إنشاء سجلات عبر بوابة سجل الإنترنت الإقليمي الخاص بك. عدم القيام بذلك يعني أن خطأ في التكوين من أي مزود إنترنت منبع قد يجعل مساحة IP الخاصة بك تبدو كمسار أكثر تحديدًا، مختطفًا حركة المرور الخاصة بك دون أساس تعمي للتحدي.

للشركات التي لا تملك ASN خاصًا، السؤال هو ما إذا كان مزود الإنترنت الخاص بك قد نشر تصفية RPKI نيابة عنك. معظم مزودي الطبقة الأولى يفعلون ذلك الآن؛ مزودو العبور يختلفون. أداة التحقق من RPKI من كلودفلير ومراقب RPKI من RIPE يقدمان لوحات معلومات عامة للتحقق مما إذا كانت البادئات الخاصة بك مغطاة بشكل صحيح.

نظام توجيه الإنترنت لن يكون آمنًا بالكامل بواسطة RPKI وحده — BGPsec والتحقق من المسار يظلان مشكلتين مفتوحتين. لكن بعد عقدين من حوادث اختطاف المسار والتقاعس الطوعي، الأساس التعمي يُوضع أخيرًا. حادثة باكستان تيليكوم عام 2008 كانت ستكون أصعب بكثير لتنفيذها اليوم. التقدم حقيقي، حتى لو لم يكتمل العمل بعد.