Cloudflare 揭露 BGP 路由劫持手法,呼籲強制執行「First AS」檢查
為何重要
在現有的 RPKI 與 ASPA 機制可能失效時,強制執行「First AS」檢查能提供更根本的本地防禦,防止流量被劫持到錯誤的路徑。
近期發生的 BGP 路由劫持案件中,惡意攻擊者利用未使用的 Autonomous System numbers (ASNs),創造虛假的 AS_PATH 誤導流量。Cloudflare 分析發現,部分業者(如 Gcore)廣播的路徑經過偽造,甚至刻意放入 Cloudflare 的 ASN (13335) 來隱瞞身分。作者指出,為應對 RPKI 和 ASPA 安全措施可能被繞過的風險,強制執行本地的「First AS」驗證機制是至關重要的防禦手段。