几个月前，我们宣布了Cloudflare参与资源公钥基础设施（RPKI）的计划，并希望使BGP的互联网路由更加安全。我们的使命是建立一个更安全的互联网。我们想让网络运营商更容易部署RPKI。今天的文章将介绍我们的经验和我们正在使用的工具。简单提醒一下，RPKI是一个框架，它允许网络使用经过加密验证的信息来部署路由过滤。描述IP地址和自治系统号（ASN）的TLS证书的含义你：我们验证我们的IP路由。这意味着，作为1.1.1.1dns解析程序用户，您不太可能成为缓存中毒的受害者。我们签了IP路由。这意味着在Cloudflare网络上浏览网站的用户不太可能体验到路由劫持。全部我们的存在点有一个与资源公钥基础设施（RPKI）到路由器协议（RTR协议）兼容的路由器连接到我们的自定义软件GoRTR，现在正在过滤无效的路由。部署量占我们的70%左右网络。我们收到了很多关于无效流量的问题。我们的估计从100Mbps到2Gbps。由于难以计算前往无效路径的通信量，价差仍然很高。在我们的尺度上，这只是沧海一粟包。它值得一提的是，由于许多区域IP被宣布为较小的子网，并且未包含在RPKI环境的关键资源Route Origin Certification（ROA）中，因此一家提供商经历了一次巨大的流量变化。我们注意到许多重要的网络在互联网交换点上宣布残疾人。我们给网络运营中心发了邮件，很高兴看到记录在一个问题上得到了更正天。让我们谈的是工具！有两个组件：GoRTR和OctoRPKI。我们设置的大局。OctoRPKI和GoRTR生态系统图gortra随着我们的网络不断增长，我们需要一个可扩展的解决方案来将已验证的roa列表发送到我们的边缘。理想情况下，使用我们的CDN缓存资源。我们创建了GoRTR，一个小的Go应用程序，它将使用RPKI验证器使用的格式获取JSON文件。我们确保它可以与各种服务器一起使用，并实现加密检查，以确保不受限制的分发。默认情况下，它将获取rpki.cloudflare.com/rpki.json。你呢不需要运行自己的验证软件，只需将支持RPKI的路由器插入GoRTR并开始过滤。GoRTR还将公开一个web服务器和Prometheus类型的度量。尽管如此，如果你想运行你自己的验证软件，继续阅读，因为OctoRPKI可能是你的解决方案。您可以用Docker启动GoRTR并将路由器插入8282端口以接收RTR提要：$Docker run-ti-p8282:8282 cloudflare/GoRTROctorpki如果你想控制路线的验证，我们会帮你的！经过几个月的工作，我们发布了OctoRPKI。在一个八达通的标志后面，有一个RPKI依赖方去吧。为什么我们建立了验证器吗？当前的生态系统并没有给我们带来欢乐，我们需要RPKI Repository Delta Protocol（RRDP），一个成熟的监控验证器子系统，以及只将最终计算的数据推送到我们的存储集群的能力。出于多种原因，我们决定在Go中构建它。作为稍微增加的开销的交换，我们获得了灵活性。Go语言有大量的密码资源和库。我们希望这对一个已经很重要的社区。那个存储库包含OctoRPKI和一个用于解码证书、roa、清单等的库。代码可以启动与rsync的同步和/或RRDP。类似致戈特，它嵌入了一个API来获取同步的最新结果，并嵌入了一个Prometheus metrics端点来部署警报。在内部，我们使用普罗米修斯监控验证状态。它还为即将发布的graphqlapi提供数据很快。你可以从码头工人docker image提供了一种立即运行OctoRPKI的方法，并提供了操作所需的五个信任锚定定位器（TAL）文件中的四个文件（AFRINIC、APNIC、Lacinc和Rime）。第五个是ARIN TAL，所以不要忘记添加ARIN中的TAL。您可以从以下地址开始下载：。$docker run-ti公司\-电话：8080:8080\-v$PWD/缓存：/cache\-v路径\u u u-arin\u tal:/tals/阿林塔尔cloudflare/octorpki公司结果将在：8080个/输出.json. 要将GoRTR插入此文件，请使用-cache URL参数（您需要加载用JSON对某些字段进行签名的公钥）。$GoRTR-cache：8080个/输出.json-验证.key密钥路径总之，我们希望这些工具能够帮助您轻松地部署RPKI。路由安全是一个不容回避的重要课题。期待更多的网络加入这项计划，使互联网安全。我们学习了很多关于RPKI的知识，从签署5个注册中心的路由到在几秒钟内以密码方式验证60000多个资源。我们将继续努力，使奥托普基和戈特永远更稳定和可靠。我们期待您的反馈！