我曾<sarcasm>privilege</sarcasm>在10年第二次有我们劫持较小的前缀之一。我有一个分支机构,从 ISP-A PA 空间分配了一个 /27,配置了静态路由。最近,著名的 2 层电缆公司 ISP-B 允许客户开始通过与我的 /27 重叠的 BGP 通告 /24,从而有效地吸走了我的流量并导致中断。
显然,ISP-B 应该过滤它从客户那里收到的广告,以防止这种情况发生。由于我的前缀是 /27,所以即使我公布了更具体的路由,它也可能会被许多过滤掉 >/24 的路由器丢弃。
ISP-A 还可以做些什么来降低发生此事件的可能性?
对我来说,与 ISP-A 使用 BGP 并宣传 /27 以希望它至少能到达该运营商的更多网络以最大程度地减少网络流量出现问题的可能性会更好吗?
目前,除了如您所说,对接收到的和宣布的前缀进行适当的过滤之外,ISP 无法阻止此类劫持。不幸的是,许多 ISP 仍然没有这样做。RPKI也可能有所帮助,但有一些其他缺点,并且也没有得到广泛实施。
不过,我不希望 ISP-A 的网络流量受到影响。任何理智的 ISP 都不会接受来自任何 BGP 对等方的他们自己的前缀(或更具体的前缀)。如果他们真的从另一个 ISP 接受了包含您前缀的 /24,那么您应该抱怨。
听起来好像 ISP-A 只有一个聚合路由,其中包含比你的 IBGP 中的 /27 更大的块,否则他们应该总是有一条更具体的路由从被劫持的 /24 中赢得它。如果他们在接口上静态配置 /27 或通过 BGP 接收它有什么区别,那么只有 ISP-A 才能回答。也许它确实有帮助,并且 /27 将安装在他们的 IBGP 中,也许不会。