Кратко — что это и где лучше применять
- BGP (глобальный протокол межавтономных систем, EGP): предназначен для маршрутизации между автономными системами (провайдеры, крупные организации, Интернет). Лучше для: мультихоминга, политик маршрутизации (policy-based routing), масштабных сетей с большим числом префиксов и неоднородными административными границами. Волатилен в сходимости — ориентирован на политику и стабильность, а не на быструю реакцию.
- OSPF (внутренний протокол маршрутизации, IGP, link‑state): предназначен для маршрутизации внутри одной автономной системы. Лучше для: корпоративных и кампусных сетей, дата‑центров, топологий с требованием быстрой сходимости, детализированного контроля стоимости каналов и иерархического дизайна (области/area). Подходит для сетей с частыми изменениями топологии — обеспечивает быструю локальную пересборку карт.
Где лучше каждый из них — тезисно
- BGP:
- Задачи: междоменный обмен маршрутами, политика (селекция по AS‑пути, локальпрефер, communities), мультихоминг, трансляция маршрутов между провайдерами.
- Топологии: глобальный Интернет, связки провайдер–провайдер, провайдер–покупатель, крупные многоадресные сети с множеством соседей.
- OSPF:
- Задачи: внутри‑AS маршрутизация, быстрое восстановление после отказов, разделение на области для масштабирования LSDB.
- Топологии: кампусы, филиалы, дата‑центры, сети с требованием быстрого failover и равномерного распределения трафика (ECMP).
Ключевые различия (кратко)
- Парадигма: BGP — path‑vector, OSPF — link‑state.
- Политики: BGP поддерживает богатую политическую фильтрацию и селекцию; OSPF — оптимизация по метрике (cost).
- Сходимость: OSPF обычно быстрее; BGP медленнее, склонен к долгой перерассылке маршрутов.
- Масштабируемость: BGP лучше держит десятки/сотни тысяч префиксов; OSPF лучше в пределах одного AS с контролируемым количеством LSA.
- Требования к дизайну: OSPF использует области (ядро area $0$); BGP требует проектирования политик и фильтров на границе AS.
Типовые параметры (для справки)
- BGP использует TCP-порты: $179$.
- Частные AS-префиксы: пример $65000$ (частный диапазон).
Уязвимости, характерные для BGP (с пояснениями)
1. Приписка/перехват префиксов (prefix hijack / subprefix hijack)
- Что: злоумышленник объявляет префикс, не принадлежащий ему; трафик перенаправляется или теряется.
- Последствия: отрыв услуг, перехват трафика, MITM.
- Смягчение: фильтрация префиксов у провайдеров, ROA/RPKI (валидация происхождения), использование IRR и ручных фильтров.
2. Route leak (утечка маршрутов)
- Что: провайдер объявляет маршруты, которые не должен распространять (нарушение политик), приводя к несанкционированному экспорту.
- Смягчение: чёткие экспорты/импорты, communities, peer‑filters, мониторинг.
3. AS‑path spoofing и манипуляции с AS‑пути
- Что: подмена или подделка AS‑пути (например, удаление/prepend).
- Смягчение: BGPsec (проект для подписания AS‑пути, малораспространён), фильтры и валидация у пиров.
4. Атаки на BGP‑сессию (TCP)
- Что: сброс сессий (RST), попытки установления сессии от злоумышленника.
- Смягчение: TCP MD5 / TCP‑AO, контроль доступа по ACL, защита от DoS.
5. Отсутствие встроенной валидации маршрута (из коробки)
- Что: исторически BGP не проверял законность объявления префикса.
- Смягчение: RPKI/ROA, BGP Origin Validation, регистрация в IRR.
6. Route flap и нестабильность
- Что: частые изменения объявлений приводят к консьюму ресурсов у соседей.
- Смягчение: route‑flap damping (с осторожностью), фильтры по частоте.
7. Злоупотребление BGP‑community и политик
- Что: неверно настроенные communities могут привести к нежелательному экспорту/маршрутизации.
- Смягчение: строгие политики, документирование и контроль применения communities.
Практические рекомендации по защите BGP
- Включать RPKI/ROA и Origin Validation там, где возможно.
- Настроить строгие prefix‑filters на ребрах и лимиты (max‑prefix).
- Применять TCP MD5 / TCP‑AO для защиты сессий.
- Использовать IRR и автоматизированные фильтры на основе записей.
- Мониторить аномалии (BGP‑monitoring, RPKI‑alerts, MRT/looking glass).
- Согласовывать экспорт/импорт политик с пирами и фиксировать договорённости.
Короткий вывод
- OSPF лучше внутри одного AS для быстрых, детерминированных и иерархических сетей. BGP лучше между AS для масштабной междоменной маршрутизации и политик. BGP более уязвим к подделке/перехвату маршрутов и ошибкам политик; требует внешних механизмов валидации (RPKI, фильтры, защита сессий) для надёжной работы.