这篇文章探讨了互联网交换中心（IX）在现代互联网架构中的独特地位。作者指出，尽管点对点以太网电路已成为主流，IX仍通过以太网交换机连接大量网络，其核心功能类似于家用交换机，但处理能力更强。文章还提到，家用和小型企业路由器的默认设置虽然方便普通设备使用，但在IX环境下可能带来问题。

互联网交换中心（IX）中的异常流量观察报告

核心发现

作者通过bgp.tools平台监测到全球多个互联网交换中心（IX）存在大量异常广播流量，这些流量暴露了网络设备配置不当引发的安全隐患。IX本质上是巨型以太网交换机，但许多参与者错误地启用了家庭/企业网络中的默认协议。

主要异常流量类型

1. 设备发现协议

   • LLDP/CDP/MNDP：跨厂商设备识别协议，会泄露设备型号、IP地址等敏感信息（常见于Mikrotik设备）
   • 安全风险：信息泄露，可能被用于针对性攻击

2. 自动寻址协议

   • DHCP/DHCPv6：错误启用的动态主机配置协议，可能导致流量被劫持
   • IPv6路由通告：思科/瞻博设备默认开启，可能被他人免费蹭网

3. 非BGP路由协议

   • OSPF/IS-IS/RIP：内部网关协议错误广播，会导致路由表混乱
   • MPLS LDP：标签交换协议泄露可能引发MPLS网络异常

4. 其他奇葩流量

   • Windows网络协议：NETBIOS广播暴露桌面主机名
   • 打印机协议：MDNS流量揭示有打印机被误接入IX
   • 思科DNS广播：设备配置错误时会将CLI命令广播全网

典型案例

• 某法国IX上的Mikrotik设备广播了完整设备信息（包括运行2239天的uptime）
• SONiC操作系统定期发送的IPv6探测包造成网络拥塞
• 思科设备将管理员输入的错误命令（如"conft"）通过DNS协议全网广播

解决方案建议

1. 基础ACL过滤：基于MAC地址阻断DEC-MOP、STP等协议
2. 深度流量检测：针对DHCP/DNS等协议实施L3层过滤
3. 自动化监控：采用IXP-Watch等工具持续监测
4. 厂商规范：网络设备应默认关闭非必要广播功能

现状反思

尽管多数IX（如AMS-IX）明令禁止此类流量，但实际缺乏有效执行。作者呼吁IX运营方加强技术管控，避免这些本可预防的安全隐患持续存在。

（全文基于对全球主要IX的长期监测数据，保留关键案例细节，删减了部分技术性过强的协议分析内容）

以下是评论内容的总结：

1. 对默认排序方式的不满

   • lazide认为默认的"最不感兴趣优先"排序方式不合理
   • 引用："I wish they didn't defacto sort least-interesting-first :s"

2. 关于网络管理的危险做法

   • protocolture分享前雇主用非管理型交换机替代STP功能的危险案例
   • 引用："he replaced it with an unmanaged switch that doesnt speak STP"

   piggg回忆2000年代某美国电信公司在IX上运行OSPF并公开MRTG数据的风险行为

   • 引用："all their network links in MRTG public too with no auth"

3. 对互联网交换点(IX)的疑问

   • sevensor对IX的定位和参与设备类型表示困惑
   • 引用："What sort of computer is meant to participate in an IX?"

4. 对LLDP协议的推崇

   • liotier建议广泛使用LLDP协议来简化网络拓扑识别
   • 引用："it is harmless and immensely helps in finding the correct spaghetti in the plate"