Cloudflare推出可检查ISP安全性的Is BGP Safe Yet网站

Cloudflare上周发布了Is BGP Safe Yet网站，可用来测试使用者的网络服务供应商（ISP），是否部署了资源公钥基础架构（Resource Public Key Infrastructure，RPKI），以预防BGP外泄或挟持。

全球网络是由不同的自治系统（Autonomous System）所组成，它们之间利用边界闸道协定（Border Gateway Protocol，BGP）来互连，BGP负责打造网络地图，规划最快的路径，但当AS错误宣告BGP时，就可能造成BGP外泄或挟持的状况，将流量导至错误的目的地，而造成网络大塞车或误绕的结果。

为了改善BGP的安全性，业界提出了资源基础架构（RPKI），它又被称为资源认证，可被部署在AS上，用来验证AS与BGP路由宣告之间的关联，可挡下无效的路由宣告。

因此，Is BGP Safe Yet就是用来验证各大ISP业者或其它大型网络，是否正确部署了RPKI，根据Cloudflare的观察，目前大约有50%的网络部署RPKI。

Cloudflare所使用的验证方法很简单，它们让Is BGP Safe Yet企图载入两个页面，一个具备有效的前缀（prefix），另一个则采用无效前缀，倘若使用者的ISP业者实施了RPKI，那么就只能载入第一个页面，而无法载入第二个，若两个都能载入，即代表ISP接纳了无效路由，并未采用RPKI。

例如当测试中华电信的HiNet服务时，即出现HiNet并未安全导入BGP的讯息。Cloudflare也鼓励使用者透过Twitter分享该讯息，以督促业者部署RPKI来保障全球网络的健全。