小型RPKI服务器运营者是谁?有何风险与价值? 📅 2026/7/15 17:22:57 谁在运行那些小型RPKI服务器边界网关协议Border Gateway ProtocolBGP缺乏内置信任机制使互联网路由层易受前缀劫持。资源公钥基础设施Resource Public Key InfrastructureRPKI通过地址空间持有者加密授权自治系统Autonomous SystemAS发起前缀借助在五个区域互联网注册管理机构Regional Internet RegistriesRIR锚定的信任链发布路由起源授权Route Origin AuthorizationsROAs解决问题。多数ROAs由RIR直接发布但也有许多小型独立发布服务器由云服务提供商、互联网服务提供商ISP、爱好者、教育机构和RPKI即服务RPKI as a ServiceRPKIaaS公司运营为全球RPKI数据集做贡献。本文将探讨运营小型服务器的人员及原因。什么是RPKI为什么你应该关注它每次打开网站流量在BGP引导下跨越多个路由器。BGP是互联网核心协议告知路由器数据包发送方向但它设计于网络相互信任、不良行为不常见的时代网络可能意外或恶意宣布拥有未控制的IP前缀即路由事件会使流量重定向。RPKI是解决方案之一让IP地址块合法所有者加密签署ROA表明“IP前缀X被授权由自治系统编号Autonomous System NumberASNY宣布”实现路由起源验证Route Origin ValidationROV的路由器用其检查BGP公告丢弃不匹配的。整个系统基于五个RIR的信任链这五个RIR分别是美洲互联网号码注册管理机构ARIN负责北美、欧洲网络协调中心RIPE NCC负责欧洲、中东和中亚、亚太网络信息中心APNIC负责亚太地区、拉丁美洲和加勒比地区互联网地址注册管理机构LACNIC负责拉丁美洲和非洲网络信息中心AFRINIC负责非洲它们分配IP地址空间并运营顶级RPKI认证机构Certification AuthoritiesCAs。ROA对象可从RIR服务器或小型独立发布服务器发布。小型RPKI发布服务器多数ROA对象由五个RIR发布这些机构资源充足、专业维护且受全球信任。但还有许多小型发布服务器由云服务提供商、爱好者、教育机构、互联网服务提供商ISP和RPKIaaS公司运营。本文对这些“小型”服务器研究以了解相关信息。定义“小型”第一个方法学挑战是定义“小型”服务器。采用基于ROA数量的定义若服务器宣布的ROA对象少于1300个则归类为“小型”服务器。该阈值通过检查所有已知RPKI服务器的ROA数量的经验累积分布函数empirical cumulative distribution functionECDF确定分布偏斜少数大型提供商占据多数ROAs1300个ROA分界线区分了大型参与者和其他参与者。值得注意的是AWS的RPKI存储库增量协议RPKI Repository Delta ProtocolRRDP服务器被排除在研究范围因其架构与其他小型服务器有区别其架构是否有运营优势待未来研究。为什么有人会运行自己的RPKI服务器小型服务器的存在引发疑问为何要运行RIR已提供发布服务但独立运营有合理理由如下表所示原因解释RPKIaaS提供RPKI作为托管服务具有统一的REST API使客户能自动进行资源管理无需直接与RIR门户交互或处理多个API。跨RIR简化拥有来自多个RIR如ARIN和RIPEIP分配的组织可通过单一界面更新所有ROAs无需在每个注册管理机构维护账户。研究和教育学术机构和爱好者可运行KrillNLnet Labs的开源CA软件试验RPKI、测试配置或为部署研究做贡献。运营控制对发布计划、对象签名和基础设施完全控制对有严格安全要求或自定义路由设置的组织有用。乐趣/学习运行自己的RPKI服务器是深入了解互联网路由基础设施的合理方式数据集中许多最小服务器是个人或爱好者设置。数据集IP空间统计使用Routinator API版本0.15.1截至2026年4月23日从每个符合条件的发布服务器获取所有ROA对象数据集涵盖2467个唯一ROAs涉及3778个前缀和1163个唯一的AS。关键数据总结如下有效存在至少一个验证的ROA有效负载Validated ROA PayloadVRP覆盖宣布的前缀相同或更不具体在最大长度内且起源AS匹配。无效存在覆盖该前缀空间的验证ROA有效负载VRP但VRP中部分信息不正确或对象已过期。未知未找到VRP或找到的VRP不正确并已被丢弃。指标值备注有ROA覆盖的IPv4前缀1409覆盖约698000个单独地址有ROA覆盖的IPv6前缀2369覆盖巨大的地址范围IPv4在互联网中的占比0.0162%虽小但并非微不足道的一部分分析的ROA对象总数3778涉及1163个唯一的AS有效的ROA对象344491%通过加密验证无效的ROA对象481.2%未通过加密验证未知2867.6%排除在进一步分析之外使用maxLength的ROAs53.98%设置的maxLength低于前缀的设置位数没有BGP覆盖的使用maxLength的ROAs19.6%可能面临子前缀劫持风险覆盖的IPv4和IPv6空间看似小但并非无关紧要数据集中包含托管政府服务和日常依赖服务的前缀服务器故障可能使部分用户无法验证互联网部分内容。所有未知的ROA对象无活跃的BGP公告表明相关前缀不受BGP劫持影响。数据剖析服务器概述表3总结了研究中每个服务器的统计数据每行代表一个发布服务器各列显示前缀数量、有效性细分、maxLength使用情况、BGP可达性以及[Firehol]一家将不同滥用列表合并以创建全面的前缀封锁列表确保可接受安全级别的公司封锁列表的重叠情况。以下是一些示例行服务器前缀有效无效未知MaxLengthBGP %有风险Fireholr.magellan.ipxo.com776755183164100%1034cloudie - repo.rpki.app5045040042480.8%1472rpki.admin.freerangecloud.com4764760048100%280rpki.sub.apnic.net390254281089198.2%274krill.47272.net3883880014396.6%690rpki.roa.net1561560094100%730rsync.rp.ki1501500010498.7%810krill.peering.ee.columbia.edu133129041100%10rpki - 01.pdxnet.uk1211210081100%40ca.nat.moe99009964100%750repo.rpki.space7979003375.9%138krill.accuristechnologies.ca454500388.9%10rpki.axivora.net440044897.7%60rpki.cc4242001492.9%70rpki.apernet.io371801910100%60下面指出一些表现异常的服务器及其异常行为r.magellan.ipxo.com最大且最复杂由[IPXO]公司运营的Magellan服务器有776个前缀是数据集中最大的服务器所有前缀为IPv4100%可通过BGP访问但有103个因宽泛的[maxLength设置]且授权范围无完整的BGP覆盖而被标记为有风险。repo.rpki.space垃圾邮件基础设施repo.rpki.space的79个前缀中有8个与Firehol一级封锁列表匹配检查其BGP工具DNS记录发现大量邮件域名表明这些前缀托管了垃圾邮件发送基础设施。垃圾邮件运营商运行自己的RPKI服务器可能是因为RIR有滥用预防程序独立发布服务器会增加取缔步骤给滥用报告者增加操作障碍。ca.nat.moe99个未知对象该服务器的99个ROA对象有效性状态均为未知即未通过加密验证但有效对象中100%可通过BGP访问且有64个使用了maxLength。rpki - 01.pdxnet.ukmaxLength之谜该服务器宣布的前缀中近一半将maxLength设置为32IPv4或128IPv6即最大前缀长度意味着宣布范围内每个IP地址都被正式授权但实践中无法利用因为BGP不接受比/24IPv4或/48IPv6更具体的前缀且底层前缀已达限制这种配置原因未明。IP空间来自哪里有趣的发现是小型服务器宣布的前缀的RIR来源。组织在自己服务器发布ROAs通常期望有跨RIR的分配方便单一发布点但数据显示更微妙。服务器ARINRIPEAPNICLACNICAFRINICr.magellan.ipxo.com✓cloudie - repo.rpki.app✓✓rpki.admin.freerangecloud.com✓✓✓rpki.sub.apnic.net✓✓✓krill.47272.net✓✓rpki.roa.net✓✓✓✓rsync.rp.ki✓✓✓krill.peering.ee.columbia.edu✓rpki - 01.pdxnet.uk✓✓ca.nat.moe✓repo.rpki.space✓✓krill.accuristechnologies.ca✓✓rpki.axivora.net✓rpki.cc✓rpki.apernet.io✓✓rpki - repo.as207960.net✓rpki.sunoaki.net✓rpki.pudu.be✓✓相当一部分服务器只宣布来自单一RIR主要是RIPE的前缀对于只使用RIPE资源的服务器运行自定义服务器的一个有力理由避免管理多个RIR账户不适用。maxLength问题数据集中超一半53.98%的ROA对象使用了maxLength参数授权宣布更具体的前缀[RFC 9319]明确不鼓励这种做法。例如针对103.0.0.0/22且maxLength为/24的ROA授权了该块内的/23和/24前缀若控制授权ASN的攻击者宣布103.0.0.0/24依赖方会标记为有效宽泛的ROA可能授权劫持。设置宽泛maxLength的ROAs中约80%已有BGP公告覆盖子前缀风险有限但剩下的19.6%无BGP公告覆盖存在潜在风险使用合法ASN起源的子前缀劫持可能通过RPKI验证。原则上为每个打算宣布的前缀创建单独ROA并将maxLength设置为前缀长度本身可解决问题但会增加ROA数量与maxLength设计的聚合优势相悖。BGPsecBGPsec是验证宣布的BGP路由是否由路径上每个AS加密验证的方法即验证每个AS是否同意路径有效。尽管BGPsec自2017年就已标准化但发现不仅在数据集中其几乎未得到部署只有一个AS宣布了其路由密钥如Lisa Bruder在博客文章中所指出的。一位运营商的观点联系了较大的运营商[Axivora]运营rpki.cc、krill.accuristechnologies.ca和rpki.folf.systems了解其运行自己的RRDP通知服务器的原因回复称最初运行自己的RPKI发布基础设施是因为是互联网爱好者想了解系统实际工作原理。Axivora仍租赁两个专用的IPv6 PA /40分配用于教育和研究将较小分配委托给个人负责创建相应ROA和Internet路由注册Internet Routing RegistryIRR记录消除个人运营自己ASN的需求。初衷是了解RPKI生态系统学习ROAs在互联网中的传播。如今业务前缀使用RIPE的平台即服务Platform as a ServicePaaS服务但仍为研究、教育和实验目的运营自己的发布服务器并且认为这很酷。结论综合来看小型RPKI发布服务器覆盖互联网较小部分虽覆盖前缀总体小但包含关键服务如政府域名。服务器故障不会使互联网崩溃但会影响可验证性导致特定前缀无法访问。验证方面情况相对健康92.4%的ROA对象有效其中91%有活跃且匹配的BGP公告唯一值得注意的是7.6%的未知率较高。更值得关注的是maxLength的使用超一半ROA对象未遵循[RFC 9319]建议其中19.6%无BGP公告覆盖子前缀存在子前缀劫持风险但并非小型发布服务器独有大型发布服务器也可能存在。研究的服务器集未部署其他保护技术BGPsec完全未部署。运营商选择运行自己基础设施的原因数据表明跨RIR简化是主要原因但非唯一原因教育目的的动机比预期少。那么未来小型RPKI服务器将如何发展其风险又该如何更好地管控呢