سرانجام سیستم مسیریابی اینترنت در حال امن‌تر شدن است — دو دهه پس از اولین ربودن‌های بزرگ

در ۲۴ فوریه ۲۰۰۸، پاکستان تلکام توانست یوتیوب را برای تمام دنیا قطع کند. نه با یک حمله DDoS، نه با حکم دادگاه — بلکه با پخش تصادفی یک مسیر خاص‌تر برای فضای IP یوتیوب. ظرف چند دقیقه، ترافیکی که مقصدش YouTube.com بود به سمت شبکه پاکستان تلکام هدایت شد و در خلأ ناپدید گشت. این قطعی دو ساعت طول کشید.

این اتفاق منحصربه‌فرد نبود. یک نمایش کلاسیک از این بود که چرا پروتکل Border Gateway — سیستم مسیریابی که زیربنای کل اینترنت است — ذاتاً ناامن است. پانزده سال بعد، مهندسان بالاخره تصمیم جدی برای رفع آن گرفته‌اند.

مشکل BGP چیست

BGP پروتکلی است که سیستم‌های خودمختار (AS) — شبکه‌هایی که توسط ISPها، ارائه‌دهندگان ابر، دانشگاه‌ها و شرکت‌ها اداره می‌شوند — برای اعلام دسترس‌پذیری استفاده می‌کنند. وقتی ترافیک شما از یک بخش اینترنت به بخش دیگر می‌رود، بر اساس جداول مسیریابی BGP بین این سیستم‌های خودمختار جابه‌جا می‌شود. مشکل اینجاست که BGP در سال ۱۹۸۹ با یک فرض ساده طراحی شد: اینکه همه شرکت‌کنندگان صادق هستند.

هر شبکه‌ای می‌تواند اعلام کند که مالک فضای IPای است که در واقع مالک آن نیست. سایر روترها بدون زیرساخت اعتبارسنجی خارجی راهی برای تأیید این موضوع ندارند. نتیجه، ربودن مسیر (route hijacking) است — یا تصادفی (تنظیمات اشتباه، اشتباه تایپی) یا عمدی (رهگیری ترافیک، نظارت، اختلال در سرویس).

این اتفاقات سال به سال انباشته می‌شوند. در سال ۲۰۱۰، چین تلکام برای مدت کوتاهی مسیرهای ۱۵ درصد از فضای آدرس اینترنت را اعلام کرد و ترافیک را به مدت ۱۸ دقیقه از طریق شبکه‌های چینی هدایت نمود. در سال ۲۰۱۸، ترافیک سرویس‌های گوگل از طریق نیجریه ربوده شد. در سال ۲۰۲۰، روستلکام بیش از ۸۸۰۰ prefix متعلق به آمازون، گوگل، Cloudflare و Akamai را ربود — که حدود ۲۰۰ سازمان را تحت تأثیر قرار داد.

RPKI: لنگرهای رمزنگاری برای مسیریابی

Resource Public Key Infrastructure (RPKI) بالغ‌ترین راه‌حل صنعت برای اعتبارسنجی مبدأ مسیر BGP است. مفهوم آن ساده است: دارندگان آدرس IP رکوردهای امضا شده دیجیتالی — به نام Route Origin Authorization (ROA) — ایجاد می‌کنند که به صورت رمزنگاری تأیید می‌کند کدام شماره سیستم خودمختار مجاز به اعلام یک prefix IP مشخص است.

وقتی یک روتر به‌روزرسانی BGP دریافت می‌کند، می‌تواند آن را با مخزن RPKI چک کند. اگر شبکه‌ای یک prefix را اعلام کند که مجاز به آن نیست، مسیر به عنوان «RPKI Invalid» علامت‌گذاری شده و می‌توان آن را کنار گذاشت. زنجیره رمزنگاری به ثبت‌کنندگان منطقه‌ای اینترنت (ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC) — پایگاه‌های داده معتبر تخصیص آدرس IP — برمی‌گردد.

خود فناوری از سال ۲۰۱۲ از طریق یک سری RFCهای IETF استاندارد شده است. چیزی که اخیراً تغییر کرده، پیاده‌سازی در مقیاس بزرگ است. از اوایل ۲۰۲۶، بیش از ۵۰٪ از جدول مسیریابی جهانی تحت پوشش ROA معتبر قرار دارد — آستانه‌ای که تا سه سال پیش آرمانی به نظر می‌رسید. IXPهای بزرگ از جمله AMS-IX، DE-CIX و LINX هم اکنون فیلتر RPKI را اعمال می‌کنند. Cloudflare، AWS، Azure، Google و carrierهای بزرگ رده یک همگی اعتبارسنجی مبدأ را پیاده‌سازی کرده‌اند.

MANRS: لایه اجتماعی امنیت مسیریابی

RPKI مشکل فنی اثبات مالکیت را حل می‌کند. MANRS — Mutually Agreed Norms for Routing Security — به مسئله هماهنگی برای وادار کردن شبکه‌ها به پیاده‌سازی آن می‌پردازد.

MANRS که در سال ۲۰۱۴ توسط Internet Society راه‌اندازی شد، یک چارچوب با چهار اقدام است: فیلتر کردن (پذیرش فقط مسیرهای قانونی)، ضد جعل (جلوگیری از آدرس‌های IP مبدأ جعلی)، هماهنگی (حفظ اطلاعات تماس دقیق برای پاسخ به حوادث)، و اعتبارسنجی جهانی (پیاده‌سازی RPKI). تا سال ۲۰۲۶، بیش از ۱۰۰۰ شبکه به MANRS پیوسته‌اند، از جمله بزرگترین ارائه‌دهندگان ابر و ISPها.

انگیزه تجاری به تدریج در حال هماهنگ شدن است. ارائه‌دهندگان بزرگ ابر و شرکت‌ها به طور فزاینده‌ای مشارکت در MANRS را به عنوان یک معیار خرید از ISPهای خود الزامی می‌کنند. علاقه نظارتی نیز در حال رشد است — تحقیق FCC در سال ۲۰۲۴ درباره امنیت BGP به ISPها هشدار داد که پذیرش داوطلبانه ممکن است برای همیشه داوطلبانه باقی نماند.

RPKI چه چیزی را حل نمی‌کند

RPKI مبدأ مسیر را اعتبارسنجی می‌کند — اینکه AS64496 به طور قانونی 192.0.2.0/24 را اعلام می‌کند. چیزی که نمی‌تواند اعتبارسنجی کند، مسیری است که ترافیک برای رسیدن به آنجا طی می‌کند. BGPsec، یک توسعه بلندپروازانه‌تر که کل مسیر AS را به صورت رمزنگاری امضا می‌کند، استاندارد شده اما با مشکل مرغ و تخم‌مرغ در پیاده‌سازی روبرو است: فقط زمانی کار می‌کند که بیشتر مسیر از آن پشتیبانی کند، بنابراین پذیرندگان اولیه هیچ سودی نمی‌بینند. پیاده‌سازی تدریجی تقریباً غیرممکن است.

ربودن مسیرهایی که شامل AS مبدأ قانونی هستند (اما مسیر پایین‌دست را دستکاری می‌کنند) همچنان برای RPKI نامرئی می‌مانند. و حتی با RPKI، اگر روتری برای پذیرش مسیرهای «RPKI Invalid» پیکربندی شده باشد — شاید به دلایل سازگاری legacy — هیچ محافظتی ارائه نمی‌دهد. فناوری فقط به اندازه اجرای مداوم قوی است.

این برای شرکت‌ها چه معنایی دارد

سازمان‌هایی که فضای IP مخصوص خود را دارند — معمولاً شرکت‌های بزرگ که یک ASN دارند — باید برای هر prefix که مبدأ آن هستند ROA ایجاد کنند. این فرآیند ساعت‌ها طول می‌کشد، نه هفته‌ها، و شامل ایجاد رکوردها از طریق پورتال ثبت‌کننده منطقه‌ای اینترنت شماست. عدم انجام این کار به این معنی است که یک تنظیم اشتباه توسط هر ISP بالادستی می‌تواند به طور تصادفی فضای IP شما را به صورت یک مسیر خاص‌تر نشان دهد و ترافیک شما را بدون هیچ مبنای رمزنگاری برای اعتراض، برباید.

برای شرکت‌هایی که ASN مخصوص خود را ندارند، سؤال این است که آیا ISP شما فیلتر RPKI را از طرف شما پیاده‌سازی کرده است؟ بیشتر ارائه‌دهندگان رده یک اکنون این کار را انجام می‌دهند؛ ISPهای ترانزیت متفاوت هستند. اعتبارسنج RPKI کلودفلر و مانیتور RPKI RIPE داشبوردهای عمومی برای بررسی اینکه آیا prefixهای شما به درستی پوشش داده شده‌اند، ارائه می‌دهند.

سیستم مسیریابی اینترنت تنها با RPKI به طور کامل ایمن نخواهد شد — BGPsec و اعتبارسنجی مسیر همچنان مسائل باز هستند. اما پس از دو دهه ربودن مسیر و بی‌عملی داوطلبانه، پایه رمزنگاری سرانجام در حال گذاشته شدن است. حادثه پاکستان تلکام در سال ۲۰۰۸ امروز بسیار سخت‌تر قابل انجام خواهد بود. پیشرفت واقعی است، حتی اگر کار تمام نشده باشد.