全球BGP路由安全2026年警示:55%路由仍缺乏RPKI保护
2026年6月,印度 Reliance 与 Telegram 之间的一起 BGP 路由异常事件在技术社区引发广泛讨论,再次将一个老问题推回到互联网基础设施领域的公众视野:BGP,这个驱动互联网数据包在全球130亿个设备之间寻路的路由协议,至今仍缺乏足够的安全防护覆盖。
多家2026年安全分析报告汇总显示:截至今年,全球约有55%的互联网路由前缀尚无 RPKI 路由源授权(ROA)保护,意味着超过半数的路由宣告在理论上可以被任意自治系统仿冒或劫持,且无法在路由层面得到有效验证。
BGP 是什么,为什么它本质上不安全
BGP(边界网关协议)是互联网上约10万个自治系统(AS)相互交换路由信息的核心协议。它的工作逻辑很简单:我告诉你我能到达哪些 IP 地址,你信我,并把这个信息转告给你的邻居。这个"信任即连接"的设计在互联网草创阶段是合理的——那时互联的自治系统数量极少,参与者彼此认识。
问题在于,BGP 从未为大规模、匿名、对抗性的互联网做过根本性的安全设计升级。路由器在默认状态下无条件接受来自邻居 AS 的路由宣告,既不核实对方是否真的持有其所宣告的 IP 前缀,也不验证宣告的路由路径是否与实际物理拓扑相符。
这意味着:任何一个接入互联网的自治系统,只要故意或失误宣告了其并不持有的 IP 前缀,这条错误信息就可能在分钟内扩散至全球路由表,影响所有依赖该 IP 前缀的流量。H33 AI Research 在2026年3月的分析中直接指出,BGP 劫持"整个操作可以在数分钟内完成,受害方浑然不知"。
已记录的典型案例:从加密货币盗窃到大型云服务中断
BGP 劫持的危害不是理论推演,而是有清晰文档记录的历史事件:
2018年,攻击者劫持了亚马逊 Route 53 DNS 服务的 BGP 路由,将访问 MyEtherWallet.com 的 DNS 请求重定向至恶意服务器,诱导用户提交钱包私钥,造成真实加密货币损失。这次攻击将基础设施层的 BGP 劫持与应用层的 DNS 钓鱼融合在一起,完全绕过了应用层安全工具的检测能力。
2020年,俄罗斯国有运营商 Rostelecom 的路由宣告错误,导致超过200家主要 CDN 和云服务商(包括 Akamai、Cloudflare、AWS、Google)的流量短暂经由俄罗斯基础设施传输,波及范围之广令国际社会高度警觉。
2026年6月的 Reliance-Telegram 事件则表明:即便在2026年,大型运营商的 BGP 配置失误或恶意宣告,依然可以在短时间内对周边网络产生超出预期的影响。
RPKI 是正确方案,但推进严重滞后
**RPKI(资源公钥基础设施)**是目前业界公认用于解决 BGP 路由来源问题的主流技术方案:IP 地址持有者通过密码学签名发布"路由源授权(ROA)",声明哪个 AS 有权宣告特定 IP 前缀;接收方通过验证 ROA 合法性,拒绝接受来源无法核实的路由。
然而,截至2026年,推进情况令人沮丧:
覆盖率偏低。 全球约有45%的路由前缀持有 ROA,另外约55%仍处于无保护状态。
验证流于形式。 即使 ROA 存在,大多数网络运营商也只是对"RPKI 无效"路由进行标记,而非真正拒绝接受。只有少数严格实施"路由来源验证(ROV)"的网络才会实际阻止无效路由传播。Kentik 的2026年分析明确指出,ROA 验证是可选的,"即便标记为无效,那条路由仍然在扩散"。
路径验证更难。 即使 RPKI 覆盖率达到100%,它也只能验证路由的来源,无法验证完整路径。攻击者仍可保持合法来源宣告,通过操控中间路径实施更隐蔽的攻击。解决路径验证问题需要部署更复杂的 BGPSec 协议,其技术复杂度和全球协同成本远高于 RPKI。
激励机制缺失。 单个运营商部署 RPKI 带来的安全收益,取决于其他所有运营商也一起部署——这是一个典型的集体行动困境,导致采用率长期停滞在低位。
行业自律倡议 MANRS(路由安全相互协议规范)持续推动 ISP 实施过滤、反欺骗和路由信息公开,但尚未在全球范围内形成执行压力。
BGP高防服务器"中的BGP,指的是多运营商线路接入与智能路由调度——在任意一条线路遭受攻击或拥塞时,自动将流量切换至最优路径。SellBGP 选择与 RPKI 合规能力较强的优质上游运营商合作,并持续跟踪路由安全标准进展。对于依赖稳定互联出口的跨境业务,基于多线 BGP 架构的服务器,本身就是对路由单点故障和劫持风险的一道结构性缓冲。