BGPの必要性
インターネットは小規模なネットワークのネットワークで構成されており、小規模なネットワークは小規模な組織によって実行されるルーターの大規模なプールです。 自律システム(AS)と呼ばれるこれらの小規模なネットワークは、インターネットサービスプロバイダー(ISP)またはその他の大規模な組織である可能性があります。企業、官公庁、キャンパスなど
各 AS には、AS を識別する番号である一意の ASN が割り当てられます。 AS は、ユーザをインターネットに直接接続し、他の自律システム間の接続またはルートを提供します。 ネットワーク パケットがインターネット経由でルーティングされる場合、ASN 間のさまざまなリンクを利用して、さまざまなパスをたどる可能性があります。 理想的には、最短ルートが選択されます。ただし、ASN が数千あり、インターネットのマップが絶えず変化する場合、これは困難な作業です。
これが、BGPがインターネットの機能の重要な部分である理由です。 BGPを介して、ASNはさまざまなIPアドレスまたは範囲に潜在的なルートをアドバタイズできるため、ルーターはパケットがたどる最も効率的なルートを特定できます。
それはどのように機能しますか?
インターネット内の各 AS は、特定の IP アドレス範囲内にある可能性のある一連のエンドポイントに直接接続されます。 BGP では、各自律システムは、ルーティング情報を収集し、ピア(直接接続されている ASN)とネットワーク プレフィックス アナウンスとして通信する役割を担います。 たとえば、AS は、特定の IP アドレスに直接接続されていること、他の IP アドレスから 1 ホップ離れていることなどをアドバタイズします。 すべての AS は受信したルーティング情報をピアと通信するため、この情報は最終的にネットワーク全体に浸透します。 その結果、ASNは、直接接続されていないASNに対してもネットワークプレフィックスを学習します。
AS は、ネットワーク プレフィックスとホップ情報を使用して、インターネット経由でトラフィックを送信するための最適なルートを決定できます。 各 IP アドレスには複数の潜在的なルートが存在しますが、AS には、速度、信頼性、コスト、その他の要因など、主要な基準に基づいて最適な決定を下すために必要な情報があります。
外部 BGP と内部 BGP
多くの場合、BGPの説明とアプリケーションは外部BGP(eBGP)を参照します。 これには、プロトコルを使用して、パブリック インターネット経由で自律システム間でトラフィックが通過する可能性のあるルートを特定することが含まれます。
ただし、基盤となるプロトコルについては、クロス AS トラフィックにのみ使用できるものはありません。 AS は、ネットワーク内のトラフィックをルーティングするために BGP を使用することを選択できますが、これは内部 BGP(iBGP)と呼ばれます。 内部 BGP と外部 BGP の使用は互いに独立しています。 外部 BGP はインターネット上で使用されますが、AS は内部ルーティング用に複数のプロトコルから選択できます。
BGP 攻撃の種類
BGPは、インターネットを機能させる基本的なプロトコルの1つです。 ただし、これらのプロトコルの多くと同様に、攻撃や悪用に対して脆弱になる可能性があります。
BGP ハイジャック
BGPは、主にオナーシステムで動作します。 AS は、直接接続されているネットワーク プレフィックスと、インターネットの他の領域へのルートをアドバタイズします。 ただし、他の AS では、この情報の正確性を検証する手段が限られています。 過去には、一部の AS が誤って誤ったネットワーク プレフィックスを発行したため、ネットワーク遅延が増加したり、他のユーザーがインターネットの一部にアクセスできなくなったりすることがありました。
これは、BGPハイジャックと呼ばれる意図的に行うこともできます。 BGPハイジャッカーは、それ自体を介してインターネットトラフィックをルーティングして、さまざまな攻撃を実行できます。 たとえば、BGPハイジャッカーは、システムを介してトラフィックをルーティングし、接続を切断することで、 サービス拒否 (DoS)攻撃を実行できます。 また、BGPハイジャックは、攻撃者がDNSクエリをリダイレクトし、ユーザーをフィッシングサイトに誘導する偽の応答を送信する DNSハイジャック 攻撃でも使用されています。
DDoS攻撃
BGP works by having ASes publish routing information to their peers. These ASes process the information, update their internal tables, and pass the information on to their peers. This creates the opportunity for a Distributed DoS (DDoS) attack. The attackers create a fake advertisement that an AS is looking for updating routing information, causing a flood of traffic and data that can overwhelm the system.
チェック・ポイント・ソリューションを使用したBGP
BGPは、インターネットの仕組みの基本的な部分です。 組織は、内部と外部の両方のルーティングにBGPを使用できます。 チェック・ポイントの次世代ファイアウォール(NGFW)用の組み込みオペレーティングシステムであるGaiaは、BGPやその他の動的ルーティングプロトコルのサポートを統合しています。BGPは、 チェック・ポイントのDDoS保護のコアコンポーネントでもあります。 BGPを使用することで、チェック・ポイントはトラフィックをスクラビング・センターにシームレスにルーティングしてDDoSトラフィックをフィルタリングし、組織が敵対者に圧倒されるのを防ぐことができます。 適切なDDoS攻撃対策ソリューションの選択については、 DDoSバイヤーズガイドをご覧ください。
Feedback