BGPルータにおける誤った経路情報(Mis-Origination)とは
2014年9月29日
インターネットは、 ISPなどのネットワークが相互にIPアドレスの情報(経路情報)を交換して接続されているネットワークです。 経路情報の交換のためにBGP(Border Gateway Protocol)を使う設定が行われたルータはBGPルータと呼ばれています。 BGPルータは、 受信した経路情報をルーティングテーブルと呼ばれるデータベースに取り込み、 その内容に従って受信したIPパケットの伝送先を決定します。
例えば他のISPのIPアドレスであれば、 そのBGPルータにIPパケットを伝送するという動作をします。 しかし、他のネットワークにあるBGPルータが、 設定ミスなどによって誤った経路情報を伝えてしまっても、仕組み上、 他のBGPルータはそれが正しいかどうかを判別することができません。 このような誤った経路情報を「Mis-Origination (mis-origin)」と呼んでいます。
このMis-Originationがルーティングテーブルに取り込まれると、 それ以降、 IPの通信はその誤った経路情報に従って行われることになります。 例えば他のネットワークのIPアドレスを勝手に設定して経路情報を流すと、 元々のIPアドレスの割り当て先で通信ができなくなったり、 その通信のすべてが第三者に傍受されうる状態になったりする恐れがあります。
このMis-Originationは、 ルーティングテーブルを見て人が判断することになりますが、 経路情報は数が多い上に(国際的な接続を行うBGPルータの中には50万エントリーを超えるルーティングテーブルを持っているものがあります)、 経路情報は刻一刻と変化して、 人手で一つ一つ調べていくことは大変困難です。 誤った経路情報が生まれる原因の多くは、BGPルータの設定上、 このような、 IPアドレスの打ち間違いなどの設定ミスであると指摘されています。 一方で、この状況に乗じて誤った経路情報を故意に流されて、 特定のサーバやネットワークへの到達性が失われたという出来事も報告されています。
そのため、リソースPKIやROAで確認する仕組みが普及することにより、 また、 それらができるだけ自動的にできる仕組みを構築することにより、 インターネット上からMis-Originationを減らすことが必要となります。