甲骨文发布免费互联网路由安全监视工具

IXP Filter Check 使互联网交换中心能够验证是否恰当滤出错误及恶意路由。

甲骨文发布一款免费工具，可以显示互联网交换中心 (IXP) 过滤错误或恶意流量路由信息的优劣，防止造成重大互联网中断。

该工具旨在帮助 IXP 识别并修复路由过滤功能中的漏洞，同时向公众揭示 IXP 在保持互联网安全中的作用。IXP 在不同 ISP 网络间路由流量。这是布置有大量网络交换机的实体位置，无缝连接不同服务提供商的网络。

甲骨文的新工具 IXP Filter Check 是其路由安全共识规范 (MANRS) 倡议的一部分，该倡议旨在加强互联网路由安全。

近些年来，互联网路由错误，无论是意外还是恶意的，频频导致重大问题。比如说，去年谷歌的流量就被误导向了中国的一家 ISP，导致该公司的搜索及其他服务在一个多小时里出现间歇性中断。今年早些时候，Cloudflare 重要客户的流量被路由流经宾夕法尼亚一家小公司的网络。该错误导向引发 Cloudflare 及很多其他服务提供商托管的网站不可用，持续时间约两小时，影响波及互联网一大部分用户。

此类中断的形成原因常是相对较小的配置错误。例如，谷歌的流量被误导是因为一家尼日利亚小公司意外“声明”了几个谷歌 IP 的错误路由信息。作为该尼日利亚 ISP 的网络“对等节点”之一，中国电信接受了这些错误路由信息，并在互联网上广播了出去。

Cloudflare 的案例则是那家宾夕法尼亚 ISP 犯了类似的路由信息声明错误，然后威瑞森将该错误路由信息广播到了互联网其他地方。正如 Cloudflare 当时所述：这就好像导航地图软件把整条高速公路给导到乡间小路上一样。

不是所有的路由错误都是无心之失。最近几年，攻击者采用重定向攻击来转移流量以作恶意用途，比如监视、分布式拒绝服务攻击和加密货币挖矿。

MANRS 倡议旨在解决互联网核心路由基础设施中的根本性弱点，让此类流量误导没那么容易发生或故意制造。在较高层面上，该倡议想要确保 ISP 和 IXP 有办法能够快速识别和过滤错误路由信息，并且防止错误路由在互联网上传播。

若要加入 MANRS 计划，IXP 需以特定标准过滤自己收到的所有路由声明，保障路由消息的合法性。其目的是确保无法恰当验证的任何路由信息都被滤掉，比如源头无法验证的路由信息。

甲骨文的 IXP Filter Check 是个监视服务，目前部署在约 200 个 IXP 位置，基本上是检查 IXP 过滤错误及恶意路由的有效程度。甲骨文互联网分析总监 Doug Madory 表示：这是个免费服务，提供对 IXP 路由服务器上路由的第三方审查。其目标是公开报告流过的无效信息以便帮助 IXP 改进，并向公众报告 IXP 的表现。

该甲骨文工具并非是要帮助 IXP 过滤路由消息，而是要帮助 IXP 管理员监视和分析其现有路由过滤的有效性。

IXP Filter Check 采用的过滤机制与 MANRS 倡议参与 IXP 所用的类似。该工具检查路由信息的方法与 IXP 的过滤机制相同，比如确保路由消息带有恰当的源信息和前缀长度。

据 Madory 透露，IXP Filter Check 是提供全球 IXP 路由服务器行为独立实时分析的首款工具。他预计，目前约有 1,000 个实体自称为 IXP，尽管其中很多都相对较小或仅由一家电信公司运营。

单一技术赢不下不安全路由对抗战。但在路由过滤等措施的帮助下，随着时间流逝，情况会逐渐变好。