Hacker News 中文摘要

RSS订阅

BGP现在安全了吗?不,请测试你的ISP。 -- Is BGP Safe Yet? No. Test Your ISP

原文链接 | HN讨论 | 2026-04-01 23:46:24

文章摘要

该文章列出了多家主要互联网服务提供商和网络运营商在BGP(边界网关协议)安全方面的现状,显示大多数已实施路由签名和过滤措施,部分运营商如RETN和T-Mobile仅部分完成。这表明BGP安全性整体有所改善,但仍有提升空间。

文章总结

标题:BGP协议现在安全了吗?·Cloudflare监测报告

主要内容: 该报告通过实时监测全球主要网络服务提供商的BGP(边界网关协议)安全实施情况,评估了当前互联网路由系统的安全状态。报告将网络运营商分为四类:

  1. 安全运营商(绿色标记)
  • 已实施RPKI签名和路由过滤双重保护
  • 包含Lumen(AS3356)、Arelion(原Telia,AS1299)、Cogent(AS174)等知名国际运营商
  • 中国电信(AS4809)被列为不安全运营商
  1. 部分安全运营商(黄色标记)
  • 仅实施部分安全措施
  • 包括Google(AS15169)、Equinix Metal(AS54825)等
  • 部分运营商仅对等节点实施过滤
  1. 不安全运营商(红色标记)
  • 未实施有效安全措施
  • 含俄罗斯电信(AS12389)、中国电信(AS4809)等
  • 多家知名企业上榜:IBM Cloud(AS36351)、OVH(AS16276)等
  1. 特殊案例
  • T-Mobile(AS21928)等虽实施签名但仍被标记不安全
  • 部分运营商如Reliance Jio(AS55836)显示"已签名但不安全"

监测细节: - 覆盖全球600+个自治系统(AS) - 实时验证ROA(路由起源授权)记录 - 检测路由过滤实施情况 - 包含传统ISP、云计算服务商和内容分发网络

现状总结: 虽然Cloudflare(AS13335)、微软(AS8075)等科技公司已完全部署安全措施,但全球仍有大量关键网络基础设施未实施BGP安全防护,使得路由劫持风险持续存在。报告通过此实时监测平台,直观展示了全球BGP安全实施的进展与不足。

评论总结

总结:

  1. 对BGP安全性的肯定
    部分评论认为当前BGP安全措施覆盖较好,主要ISP已实施。
  • "The big American isps do it, the mobile ones do too..."(nemomarx)
  • "Your ISP (Verizon, AS701) implements BGP safely"(collabs)
  1. 对测试结果的质疑
    有用户指出测试结果与实际体验不符,或数据未及时更新。
  • "TIM is listed as insecure yet my test is successful"(bilekas)
  • "When was the last time this site was updated? It mentions Sprint..."(NetOpWibby)
  1. RPKI的局限性
    多数评论指出RPKI仅能部分提升安全性,无法完全防止BGP劫持。
  • "RPKI only secures the ownership... not the path"(maltalex)
  • "It helps prevent some hijacks, but attackers can still mess with routing paths"(lucasay)
  1. 替代方案建议
    个别用户提出应彻底替换BGP协议。
  • "the test for BGP is Safe is when we stop using it and instead use SCION"(commandersaki)
  1. 实施动机疑问
    有用户对ISP不部署安全措施的原因表示困惑。
  • "Any reasons on why an ISP would not implement it other than effort/cost?"(elashri)
  1. HTTPS与BGP的关系澄清
    评论指出BGP劫持无法直接伪造HTTPS网站。
  • "they wouldn't be able to actually pose as another website"(NewsaHackO)
  1. 数据覆盖性质疑
    部分用户关注未覆盖的主要ISP或区域性影响。
  • "How many major isps would we want to implement it to be 'safe'?"(nemomarx)
  • "Google And digital ocean are huge players here but is there a reason they would only have partial coverage?"(bilekas)
  1. 技术演进需求
    呼吁测试方法应随技术发展更新。
  • "Why hasn't this site been updated to test ASPA-invalid prefixes?"(greyface-)

注:评分均为None,故未体现认可度差异;"Wikimedia is an ISP?"(volemo)等无关实质讨论的评论未纳入总结。