10月30日消息，甲骨文發布一款免費工具，可以顯示互聯網交換中心 （IXP） 過濾錯誤或惡意流量路由信息的優劣，防止造成重大互聯網中斷。IXP Filter Check 使互聯網交換中心能夠驗證是否恰當濾出錯誤及惡意路由。

該工具旨在幫助 IXP 識別并修復路由過濾功能中的漏洞，同時向公眾揭示 IXP 在保持互聯網安全中的作用。IXP 在不同 ISP 網絡間路由流量。這是布置有大量網絡交換機的實體位置，無縫連接不同服務提供商的網絡。

甲骨文的新工具 IXP Filter Check 是其路由安全共識規范 （MANRS） 倡議的一部分，該倡議旨在加強互聯網路由安全。

近些年來，互聯網路由錯誤，無論是意外還是惡意的，頻頻導致重大問題。比如說，去年谷歌的流量就被誤導向了中國的一家 ISP，導致該公司的搜索及其他服務在一個多小時里出現間歇性中斷。今年早些時候，Cloudflare 重要客戶的流量被路由流經賓夕法尼亞一家小公司的網絡。該錯誤導向引發 Cloudflare 及很多其他服務提供商托管的網站不可用，持續時間約兩小時，影響波及互聯網一大部分用戶。

此類中斷的形成原因常是相對較小的配置錯誤。例如，谷歌的流量被誤導是因為一家尼日利亞小公司意外“聲明”了幾個谷歌 IP 的錯誤路由信息。作為該尼日利亞 ISP 的網絡“對等節點”之一，中國電信接受了這些錯誤路由信息，并在互聯網上廣播了出去。

Cloudflare 的案例則是那家賓夕法尼亞 ISP 犯了類似的路由信息聲明錯誤，然后威瑞森將該錯誤路由信息廣播到了互聯網其他地方。正如 Cloudflare 當時所述：這就好像導航地圖軟件把整條高速公路給導到鄉間小路上一樣。

不是所有的路由錯誤都是無心之失。最近幾年，攻擊者采用重定向攻擊來轉移流量以作惡意用途，比如監視、分布式拒絕服務攻擊和加密貨幣挖礦。

保衛互聯網路由

MANRS 倡議旨在解決互聯網核心路由基礎設施中的根本性弱點，讓此類流量誤導沒那么容易發生或故意制造。在較高層面上，該倡議想要確保 ISP 和 IXP 有辦法能夠快速識別和過濾錯誤路由信息，并且防止錯誤路由在互聯網上傳播。

若要加入 MANRS 計劃，IXP 需以特定標準過濾自己收到的所有路由聲明，保障路由消息的合法性。其目的是確保無法恰當驗證的任何路由信息都被濾掉，比如源頭無法驗證的路由信息。

甲骨文的 IXP Filter Check 是個監視服務，目前部署在約 200 個 IXP 位置，基本上是檢查 IXP 過濾錯誤及惡意路由的有效程度。甲骨文互聯網分析總監 Doug Madory 表示：這是個免費服務，提供對 IXP 路由服務器上路由的第三方審查。其目標是公開報告流過的無效信息以便幫助 IXP 改進，并向公眾報告 IXP 的表現。

該甲骨文工具并非是要幫助 IXP 過濾路由消息，而是要幫助 IXP 管理員監視和分析其現有路由過濾的有效性。

IXP Filter Check 采用的過濾機制與 MANRS 倡議參與 IXP 所用的類似。該工具檢查路由信息的方法與 IXP 的過濾機制相同，比如確保路由消息帶有恰當的源信息和前綴長度。

“只要在正確過濾無效路由，我們就不應該感覺到它們的存在。如果該工具中確實有報告，那就意味著該路由服務器管理員應該去檢查過濾功能正不正常了。”

據 Madory 透露，IXP Filter Check 是提供全球 IXP 路由服務器行為獨立實時分析的首款工具。他預計，目前約有 1，000 個實體自稱為 IXP，盡管其中很多都相對較小或僅由一家電信公司運營。單一技術贏不下不安全路由對抗戰。但在路由過濾等措施的幫助下，隨著時間流逝，情況會逐漸變好。