05、BGP安全性

BGP安全性 

BGP使用认证、通用TTL安全保护机制GTSM（Generalized TTL Security Mechanism）和RPKI（Resource Public Key Infrastructure）三个方法保证BGP对等体间的交互安全。

BGP认证

BGP认证分为MD5认证和Keychain认证，对BGP对等体关系进行认证是提高安全性的有效手段。MD5认证只能为TCP连接设置认证密码，而Keychain认证除了可以为TCP连接设置认证密码外，还可以对BGP协议报文进行认证。

BGP GTSM

BGP GTSM检测IP报文头中的TTL（time-to-live）值是否在一个预先设置好的特定范围内，并对不符合TTL值范围的报文进行允许通过或丢弃的操作，从而实现了保护IP层以上业务，增强系统安全性的目的。

例如将IBGP对等体的报文的TTL的范围设为254至255。当攻击者模拟合法的BGP协议报文，对设备不断的发送报文进行攻击时，TTL值必然小于254。如果没有使能BGP GTSM功能，设备收到这些报文后，发现是发送给本机的报文，会直接上送控制层面处理。这时将会因为控制层面处理大量攻击报文，导致设备CPU占用率高，系统异常繁忙。如果使能BGP GTSM功能，系统会对所有BGP报文的TTL值进行检查，丢弃TTL值小于254的攻击报文，从而避免了因网络攻击报文导致CPU占用率高的问题。