RIPE NCC RPKI Validator 2.0 (https://certification.ripe.net/content/public-repo/releases/.../) позволяет (http://www.ripe.net/lir-services/resource-management/certifi...) проверить правильность IP сети, проанонсированной из определенной автономной системы (AS). Владелец PI+AS или PA+AS может подписать свои ресурсы сертификатом (подробнее (http://www.ripe.net/lir-services/resource-management/certifi...) о сертификации) и затем любой желающий может проверить правильность анонсов IP сети из определенной AS. RIPE NCC RPKI Validator 2.0 позволяет проверить соответствие IP+AS (если владелец оформил сертификат) и построить правила фильтрации для маршрутизатора. По состоянию на 13 декабря зарегистрировано 1391 подписанных ресурсов.
URL: http://www.ripe.net/lir-services/resource-management/certifi...
Новость: http://www.opennet.me/opennews/art.shtml?num=32543
То есть, при полном внедрении RPKI, BGP станет менее уязвимым к анонс-атакам?
В теории не просто менее уязвим, а гораздо менее уязвим, причем при преодолении некоторой "критической массы" требование подписывания может станет обязательным у крупных провайдеров :)
попутный вопрос, а зачем вообще строят роутмапы исходя из данных RIPE? Только для автоматизма, чтобы не следить что у клиента появился новый префикс и чтобы не прописывать его руками? Если ради безопасности, то ведь это не имеет смысла, т.к. не все делают такие проверки и всё равно остается шанс что будет повторение истории с youtube и Пакистаном
> попутный вопрос, а зачем вообще строят роутмапы исходя из данных RIPE? Только
> для автоматизма, чтобы не следить что у клиента появился новый префикс
> и чтобы не прописывать его руками? Если ради безопасности, то ведь
> это не имеет смысла, т.к. не все делают такие проверки и
> всё равно остается шанс что будет повторение истории с youtube и
> ПакистаномШанс-то остается, но или этот шанс есть у каждого (если вообще не строить фильтры) или только в нескольких направлениях.