1.Основные понятия
Прежде чем начинать разбирать протокол BGP, нужно вспомнить основные сетевые понятия, которые связанны с ним.
Internet Protocol (IP, досл. «Межсетевой протокол») — маршрутизируемый протокол сетевого уровня стека TCP/IP. Именно IP стал тем протоколом, который объединил отдельные компьютерные сети во всемирную сеть Интернет. Неотъемлемой частью протокола является адресация сети, а за передачу адресов (маршрутов) между сетями отвечает протокол BGP.
Маршрутизация (англ. Routing) — процесс определения маршрута следования информации в сетях связи.
Маршруты могут задаваться административно (статические маршруты), либо вычисляться с помощью алгоритмов маршрутизации, базируясь на информации о топологии и состоянии сети, полученной с помощью протоколов маршрутизации (динамические маршруты).
Маршрутизация в компьютерных сетях выполняется специальными программно-аппаратными средствами — маршрутизаторами; в простых конфигурациях может выполняться и компьютерами общего назначения, соответственно настроенными (так же всё актуальнее становиться виртуализация, виртуальные маршрутизаторы, коммутаторы и многое другое...)
Кадр (жарг. фрейм, от англ. frame — кадр) — фрагмент данных протокола канального уровня модели OSI, передаваемый по линии связи. Ethernet фрейм 802.3 показан на рисунке 1.1.
Рисунок 1.1
Чтобы маршрутизатор передал пакет, он должен найти маршрут в своей таблице маршрутизации. Если он не находит маршрут, то пакет отбрасывается (дропается).
2. Протоколы маршрутизации
Протокол маршрутизации — набор алгоритмов, используемый маршрутизаторами для определения возможных маршрутов следования данных в составной компьютерной сети. Применение протокола маршрутизации позволяет избежать ручного ввода всех допустимых маршрутов, что, в свою очередь, снижает количество ошибок, обеспечивает согласованность действий всех маршрутизаторов в сети и облегчает труд администраторов.
В зависимости от алгоритма маршрутизации протоколы делятся на два вида:
дистанционно-векторные протоколы (основаны на алгоритме DVA — англ. distance vector algorithm);
протоколы состояния каналов связи (основаны на алгоритме LSA — англ. link state algorithm).
По области применения выделяют протоколы:
для междоменной маршрутизации;
для внутридоменной маршрутизации.
Дистанционно-векторные протоколы:
RIP — англ. routing information protocol;
IGRP — англ. interior gateway routing protocol (лицензированный протокол фирмы «Cisco Systems»);
BGP — англ. border gateWay protocol;
EIGRP — англ. enhanced interior gateway routing protocol (на самом деле этот протокол гибридный — объединяет свойства дистанционно-векторных протоколов и протоколов по состоянию канала); лицензированный протокол фирмы «Cisco Systems»);
Протоколы состояния каналов связи:
IS-IS — англ. intermediate system to intermediate system (стек OSI);
OSPF — англ. open shortest path first;
3.История появления протокола bgp
К концу 80-х проблемы Интернета стали внушать ужас. Сеть, которая когда-то была инновационным развлечением для компьютерных ученых, из-за стремительного увеличения размера приблизилась к жесткому математическому ограничению, встроенному в один из базовых интернет-протоколов.
Чтобы обсудить меры по сохранению работоспособности системы, два инженера встретились за обедом в Остине. Возникшие идеи они записывали на том, что попалось под руку, — обычной салфетке. Затем второй. Затем третьей. “Протокол на трех салфетках”, как его в шутку назвали изобретатели, вскоре произвел революцию в Интернете. Проблемы, которые накопились, необходимо было решать немедленно, и поэтому инженеры рассматривали свое творение как “патч” или “хак” — кратковременное исправление, которое вскоре следовало заменить в последствие на более основательное решение. Это было в 1989 году. Салфетки на которых написан принцип работы протокола BGP показан на рисунке 3.1 и 3.2.
Однако четверть века спустя “протокол на трех салфетках” все еще маршрутизирует большую часть интернет-трафика, передающегося на дальние расстояния, несмотря на все более тревожные предупреждения о критических проблемах безопасности. Кратковременный патч стал одним из базовых интернет-протоколов.
На фундаментальном уровне BGP помогает маршрутизаторам принимать решения о том, куда следует направлять гигантские потоки данных, передаваемых через огромную сеть пересекающихся линий связи. При почти бесконечном числе возможных путей — как прямых и быстрых, так и запутанных и медленных — BGP предоставляет маршрутизаторам информацию, нужную им для выбора пути, несмотря на то, что общей карты Интернета нет и никакой авторитетный узел не отвечает за подбор направлений для трафика.
Создание протокола BGP, работа которого основана на том, что отдельные сети непрерывно обмениваются информацией о доступных каналах передачи данных, помогло Интернету продолжить свой рост и стать по-настоящему глобальным. Однако BGP также позволяет почти каждому, у кого есть доступ к линиям связи и необходимые навыки, перенаправлять огромные объемы данных.
Главная причина этого состоит в том, что BGP, как и многие другие ключевые системы в Интернете, доверяет пользователям. Это вполне уместный принцип в меньших сетях, но в глобальном масштабе он открывает широкие возможности для атак.
Картинка 3.1
Рисунок 3.2
У этих вопросов есть технические ответы, но все они сводятся к тому факту, что работа BGP основана на доверии, благодаря чему таинственные повелители трафика иногда могут завлекать его в свои владения, когда им это требуется.
Проблема в том, что в Интернете нет карты. Маршрутизаторы, использующие BGP, принимают решения о выборе того или иного пути на основе информации, полученной от соседей в киберпространстве, которые, в свою очередь, собирают информацию от своих соседей и т. д. Пока информация, содержащаяся в BGP-объявлениях, актуальна и правдива, все в порядке. Однако любая ложная информация распространяется по Интернету так же быстро, как истинная, потому что проверить честность и даже идентичность тех, кто отправляет объявления, невозможно. Да, сеть, которая раз за разом доставляет ложную информацию, можно выявить и заблокировать с помощью так называемой “фильтрации”, но возможности таких защитных технологий ограничены.
В современном мире, уделяющем гораздо больше внимания безопасности, никто больше не готов мириться с такими очевидными проблемами, как говорит один из “отцов интернета”: “Если сегодня кто-то явится с проектом, не учитывающим возможность обмана, его даже слушать не станут”.
Как бы то ни было, случайно или по чьему-то велению протокол BGP раз за разом направляет интернет-трафик по самым странным маршрутам, порой отклоняя его на тысячи миль. Иногда трафик достигает пункта назначения, а проблемы ограниваются задержками. Иногда данные крадут хакеры. Ну а иногда они просто исчезают в Бермудском треугольнике киберпространства.