返回

文章详情

谁在运营那些微小的 RPKI 服务器?

Hacker News2026年7月15日 06:38

边界网关协议(BGP)缺乏内置的信任,导致互联网路由层容易受到意外或恶意的前缀劫持。资源公共密钥基础设施(RPKI)通过让地址空间持有者以加密方式授权哪些自治系统(AS)可以发起他们的前缀来解决这个问题,授权通过通过五个区域互联网注册机构(RIR)建立的信任链发布的路由来源授权(ROA)。虽然大多数 ROA 是由 RIR 直接发布的,但一些小型、独立运营的出版服务器(由云服务提供商、互联网服务提供商、爱好者、教育机构和 RPKI 作为服务(RPKIaaS)公司运营)也为全球 RPKI 数据集做出贡献。在这篇文章中,我们调查了谁在运营这些小型服务器以及原因。什么是 RPKI,为什么你应该关心?每当你打开一个网站时,你的流量会在数十个由 BGP 指导的路由器之间跳跃。BGP 是互联网的粘合剂:它告诉路由器将数据包发送到哪里,以到达地球上的任何 IP 地址。问题是 BGP 是在一个网络互相信任、违规行为仍然不常见的时代设计的。任何网络都可以(意外或恶意地)宣布它拥有一个实际上并不控制的 IP 前缀。这被称为路由事件,它可能会导致你的流量被无声地重定向到错误的目的地。RPKI 是(互联网)对这个问题的回答之一。它通过让 IP 地址块的合法所有者以加密方式签署 ROA 来工作;这是一个小记录,表示:‘IP 前缀 X 被授权由自治系统编号(ASN)Y 公布。’ 实施路由源验证(ROV)的路由器然后使用这些签名记录来检查传入的 BGP 公告,并丢弃那些不匹配的记录。整个系统建立在以五个区域互联网注册机构(RIR)为基础的信任链上:ARIN(北美)、RIPE NCC(欧洲/中东/中亚)、APNIC(亚太地区)、LACNIC(拉丁美洲)和 AFRINIC(非洲)。这些机构向网络分配 IP 地址空间,并运营顶级 RPKI 认证机构(CA)。ROA 对象可以直接从 RIR 服务器发布,或从较小的独立出版服务器发布。小型 RPKI 发布服务器 大多数 ROA 对象都是由拥有充足资源、专业维护并受到全球信任的五个 RIR 发布的。但在这些巨头旁边,还有一长条由云服务提供商、爱好者、教育机构、互联网服务提供商(ISP)和 RPKIaaS 公司运营的小型出版服务器。在这篇文章中描述的研究中,我们调查了这些‘小型’服务器,以了解我们可以从中学到什么,为什么它们存在以及为什么它们存在的意义。定义‘小型’ 第一个方法论挑战是定义什么使服务器被视为‘小型’。我们使用了一个简单的基于 ROA 数量的定义:如果一个服务器公告的 ROA 对象少于 1,300,则将其分类为‘小型’。这个阈值是通过检查所有已知 RPKI 服务器的 ROA 数量的经验累积分布函数(ECDF)选择的。该分布严重偏斜:少数大型提供者(五个 RIR 和亚马逊网络服务(AWS))占据了大多数 ROA。1300 ROA 的截止点捕捉到了这些大型参与者与其他参与者之间的自然断裂。一个显著的例外是:AWS RPKI 存储库增量协议(RRDP)服务器。亚马逊以不同寻常的方式构建其 RPKI 发布基础架构。他们的架构与其他小型服务器有明显区别,因此未包含在范围内。是否这种构建提供运营优势仍然是未来研究中的一个未解问题。为什么会有人运营自己的 RPKI 服务器?小型服务器的存在自然提出了一个问题:为什么要费心?RIR 已经提供了作为会员的一部分的发布服务。答案是,有几个合法的理由可以独立运营;下表列出了一些例子。理由 解释 RPKIaaS 以一致的 REST API 提供 RPKI 作为托管服务,使客户能够自动化资源管理,而无需直接与 RIR 门户交互或同时处理多个 API。跨 RIR 简单性 从多个 RIR(例如 ARIN 和 RIPE)获取 IP 配额的组织可以通过单一接口更新所有 ROA,而无需在每个注册处维护多个帐户。研究与教育 学术机构和爱好者可以运行 Krill(NLnet Labs 的开源 CA 软件)来实验 RPKI,测试配置或为部署研究做出贡献。运营控制 对出版时间表、对象签名和基础设施的完全控制,适合于具有严格安全要求或自定义路由设置的组织。乐趣/学习 运行你自己的 RPKI 服务器是加深你对互联网路由基础设施理解的合理方法。数据集中许多最小的服务器似乎是个人项目的产物。

赞助内容

NordVPN Next-gen Antivirus

本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。

请我喝杯咖啡