边界网关协议(BGP)作为互联网核心路由机制,其安全性直接影响全球网络可用性。路由泄露作为 BGP 最常见的异常行为之一,可能导致流量劫持、路径劣化甚至大规模中断。理解其检测机制与工程化实现,对于网络运营商而言至关重要。
路由泄露的技术定义与分类
根据 RFC 7908 的标准化定义,路由泄露是指路由公告超出其预期作用域的传播行为。预期作用域由自治系统(AS)之间的成对商业关系决定,这种关系通常分为三类:客户 - 提供商(Customer-Provider)、对等互联(Peering)以及兄弟 / 姐妹 AS 关系。理解这些关系是构建检测逻辑的基础。
基于上述关系模型,学术界提出了 "无谷"(Valley-Free)原则作为路由合法性的判据。该原则指出,从非客户 AS(对等方或提供商)获得的路由,只能向客户 AS 传播,绝不能重新传回给提供商或对等方。违反这一原则的路由传播即构成路由泄露。
在实际工程中,Cloudflare 基于该原则将路由泄露细分为四种类型。第一类和第三类泄露涉及提供商向提供商、对等方向提供商传播路由;第二类和第四类泄露则涉及对等方向对等方、提供商向对等方传播路由。这四类泄露构成了检测系统的主要覆盖目标。
ASPA 验证机制与参数配置
自治系统提供商授权(ASPA)是当前最具工程可行性的泄露检测方案。ASPA 利用现有 RPKI 基础设施,在其中存储客户到提供商的加密保护关系信息。每个客户 AS 与一组提供商 AS 形成关联,使得验证节点能够验证 BGP 路径属性的完整性。
ASPA 的验证流程采用两阶段算法。第一阶段进行路径遍历,检查每个 AS 的提供者关系是否与 AS_PATH 中的相邻 AS 一致。第二阶段执行 "无谷" 约束验证,确保路径中的上升段(客户到提供商)、对等段(单一对等互联)和下降段(提供商到客户)顺序正确,不出现逆向传播。
在工程部署中,ASPA 验证的关键参数包括最小有效覆盖率阈值和无效路径处置策略。建议将有效 ASPA 覆盖率低于百分之六十的路由标记为弱验证状态,同时对验证结果为无效的路由执行出站过滤,仅保留在 Adj-RIB-In 中供后续重评估。
RPA 路径验证与新一代方案
路由路径授权(RPA)是 IETF 正在标准化的新一代验证机制。与 ASPA 仅存储客户 - 提供商关系不同,RPA 对象封装了完整的路由路径描述,涵盖前缀范围、前跳 AS 和后跳 AS 的授权信息。这种完整性使得 RPA 能够检测更复杂的路径伪造攻击。
RPA 验证算法同样分为两个阶段。第一阶段执行逐 AS 验证,检查 AS_PATH 中每个 AS 的 RPA 对象是否存在且有效。第二阶段进行路径级聚合,根据各 AS 的验证结果计算整体验证状态,状态分为有效、弱有效、无效和未知四种。
值得注意的是,RFC 7908 定义的路由泄露主要基于 "无谷" 原则,而 RPA 能够验证更细粒度的路径约束。当接收 BGP UPDATE 消息的 AS 无法在发行 AS 的 RPA 对象中找到匹配的路由路径时,系统即可判定存在路径伪造风险。
委内瑞拉 AS8048 事件分析
2026 年 1 月初,Cloudflare 在分析委内瑞拉路由异常时发现,自 2025 年 12 月起,AS8048(CANTV)累计发生了十一路由泄露事件,影响多个前缀块。这些泄露事件呈现出高度一致性:路由被传播至意大利 Sparkle 和哥伦比亚 GlobeNet 等非客户 AS。
该事件的技术根因指向 AS8048 缺乏健全的路由导出导入策略配置。尽管无法从外部确定事件的具体成因,但频繁的泄露模式表明问题更可能源于配置疏漏而非恶意行为。这一案例揭示了检测机制的价值:系统化的泄露监控能够识别长期存在的配置缺陷。
针对此类事件,工程团队应建立泄露频率监控看板,设定每日泄露事件数的告警阈值。当单一 AS 的日均泄露超过五次时,应触发人工审核流程,检查其 BGP 策略配置是否符合 "无谷" 约束。
工程化部署清单
构建可靠的路由泄露检测体系需要多层面协同。首先,部署 RPKI 验证基础设施,确保证书的实时同步与有效状态查询能力。其次,在边界路由器启用 ASPA 或 RPA 验证模块,根据验证结果执行差异化路由选择策略。第三,建立泄露事件采集与关联分析系统,支持历史追溯与趋势预测。最后,定期审计路由策略配置文档,确保与业务关系变更保持同步。
通过上述机制与参数的工程化落地,网络运营商能够有效降低路由泄露风险,提升整体互联网基础设施的可靠性与安全性。
资料来源:Cloudflare 博客《A closer look at a BGP anomaly in Venezuela》,IETF RFC 7908。