BGP Vortex: Un nuevo y sutil ataque que amenaza la estabilidad de Internet

El BGP Vortex puede causar graves interrupciones en Internet:

• Sobrecarga de enrutadores: El torrente de mensajes BGP UPDATE satura la capa de control de los enrutadores, que deben procesar cada anuncio y retirada (update y withdraw). Esto consume una gran cantidad de CPU y recursos de memoria, provocando una ralentización generalizada.
• Averías en la capa de datos: La sobrecarga en la capa de control puede hacer que las tablas de reenvío de los enrutadores queden en estados inconsistentes. Esto puede causar bucles de reenvío intermitentes, lo que a su vez provoca congestión de enlaces y pérdida de paquetes, afectando gravemente la conectividad.
• Inestabilidad de Internet: El efecto dominó de la tormenta de actualizaciones puede extenderse más allá de las redes objetivo-iniciales. Un solo BGP Vortex podría desestabilizar grandes segmentos de la infraestructura de Internet, afectando a numerosos usuarios y servicios.

Flujo del ataque

El escenario ilustra cómo la combinación de comunidades “Lower Local Pref” y “Selective NOPEER” puede provocar una oscilación persistente de rutas entre tres sistemas autónomos (AS 1, AS 2, AS 3) conectados en una topología triangular.
El atacante (AS 4, cliente multihomed) utiliza estas comunidades para manipular la selección y propagación de rutas.

Etapa 1. Inyección inicial del prefijo por el cliente (AS 4)

El AS 4 (cliente multihomed) anuncia el prefijo 2001:db8::/32 a sus tres proveedores (AS 1, AS 2 y AS 3).

Añade las comunidades:
4:90 → instruye a cada proveedor bajar su LocalPref interno a 90 (lower local preference).
65500:x → Selective NOPEER, para restringir la redistribución entre pares:
            65500:1 → AS 2 no anuncia a AS 1.
            65500:2 → AS 3 no anuncia a AS 2.
            65500:3 → AS 1 no anuncia a AS 3.

Con estas etiquetas, el atacante prepara el terreno para un flujo circular de anuncios.

Etapa 2. Redistribución selectiva de rutas

Cada ISP instala la ruta del cliente (LP = 90) y la reanuncia a sus pares según las restricciones de Selective NOPEER.
Se crea una propagación parcial, no simétrica:
AS 1 → AS 2, pero no → AS 3.
AS 2 → AS 3, pero no → AS 1.
AS 3 → AS 1, pero no → AS 2.

Etapa 3. Re-selección de rutas y retiro de anuncios

Los tres AS comienzan a comparar rutas internas y externas:
            AS 1 recibe el prefijo desde AS 3, lo instala con mejor Local preference (100) y retira el aprendido desde AS 4.
            Por política peer-to-peer, AS 1 no reanuncia la nueva ruta a AS 2.
            Este cambio de mejor ruta genera la primera oscilación: AS 2 pierde la ruta vía AS 1 y debe elegir otra alternativa (vía AS 4).

Etapa 4. Formación del vórtice (loop de actualizaciones)

1. AS 2 instala la ruta recibida de AS 4 y la anuncia a AS 3.
2. AS 3, al recibirla, la considera más preferida, la instala y retira la anterior hacia AS 1.
3. AS 1 detecta la pérdida del anuncio de AS 3 y reinstala la versión de AS 4.
4. El ciclo vuelve a empezar.

Este intercambio infinito de mensajes update/withdraw genera el vórtice BGP descrito anteriormente.
 El fenómeno se propaga rápidamente por la topología, especialmente en entornos densamente conectados, saturando las tablas y los buffers de procesamiento de control.

Ineficacia de las defensas actuales

Los mecanismos de seguridad existentes contra ataques BGP están diseñados para validar la autenticidad y autorización de los anuncios de ruta, no para detectar las oscilaciones causadas por políticas legítimas.

• RPKI/ROV: La Infraestructura de Clave Pública de Recursos y la Validación del Origen de la Ruta no protegen contra este ataque, ya que el prefijo anunciado por el atacante es válido y los mensajes no están falsificados.
• BGPSEC: Este protocolo de seguridad tampoco es efectivo, ya que los mensajes están firmados y autorizados correctamente, a pesar de que su combinación crea el efecto dañino.

Mi configuración BGP es muy sencilla, no hablo comunidades BGP, ¿puedo ser afectado?

Sí, no de manera directa pero el ataque BGP Vortex puede afectar indirectamente a enrutadores que no utilicen ni estén habilitados para comunidades BGP, o que no soporten específicamente las comunidades Lower Local Pref Below Peer y Selective NOPEER. El impacto se produce por la propagación de la inundación de mensajes de actualización BGP, no por la manipulación de las comunidades en sí mismas.

¿Si mi router recibe solo la ruta por defecto de mis upstream providers estoy a salvo?

La respuesta es depende:

Caso 1:  Si tu proveedor es quien tiene el filtro saliente y solo te anuncia la ruta por defecto entonces si estás a salvo.

Caso 2:  Si tu filtras todo lo que te envía tu proveedor y luego solo te quedas con la ruta por defecto entonces no estás a salvo porque igualmente tu routers recibe toda la inundación de BGP Updates

El rol de los IXP en los cambios de la topología de Internet y el ataque BGP Vortex

En el pasado, los puntos de intercambio de tráfico (IXPs) seguían una topología bastante jerárquica: los ISPs se conectaban principalmente a proveedores de tránsito, y las relaciones de peering lateral eran relativamente pocas. Sin embargo, con la rápida expansión de IXPs regionales y globales, esa estructura se ha “aplanado”. Cada ISP ahora se conecta a un número mucho mayor de vecinos, lo que incrementa la densidad de triángulos de peering (es decir, grupos de tres AS que se interconectan directamente). Este fenómeno fomenta también el multihoming: AS más pequeños pueden estar conectados a tres o más upstreams o IXPs, convirtiéndose en “clientes-gatillo” potenciales para inestabilidades del plano de control, como el ataque BGP Vortex. En ese sentido, ¿puede el auge de los IXPs estar creando el caldo de cultivo para que este tipo de daño se propague más rápido y con mayor alcance?

¿Qué estrategia de mitigación tengo hoy en día?

Dado que el BGP Vortex explota una debilidad en el uso de extensiones estándar, las soluciones requieren una cuidadosa consideración de las compensaciones entre seguridad y flexibilidad de enrutamiento.

• Desactivar las comunidades vulnerables: La medida más efectiva es que los operadores de red deshabiliten las comunidades “Lower Local Pref Below Peer” y “Selective NOPEER”. Si bien esto elimina la vulnerabilidad, también sacrifica la flexibilidad en la ingeniería de tráfico que estas herramientas proporcionan.
• Ajustar los temporizadores BGP: La modificación de mecanismos como el temporizador Minimum Route Advertisement Interval (MRAI) podría ralentizar el flujo de actualizaciones. Sin embargo, esto también retrasaría la convergencia de la red en condiciones normales, lo que afecta el rendimiento general.
• Monitoreo y detección: Implementar una monitorización exhaustiva del uso de la CPU del plano de control y de la tasa de mensajes BGP UPDATE puede ayudar a los operadores a detectar y responder rápidamente a un ataque en curso.
• Adoptar arquitecturas futuras: La investigación del BGP Vortex subraya la necesidad de arquitecturas de enrutamiento más seguras y resilientes. A largo plazo, la adopción de tecnologías como SCION, una futura arquitectura de Internet podría ofrecer inmunidad fundamental a este tipo de ataques.

Conclusión

El BGP Vortex es un recordatorio de que la seguridad en la infraestructura de Internet debe ser un proceso continuo. Al explotar una combinación de extensiones legítimas, este ataque demuestra que la confiabilidad del BGP puede ser comprometida de maneras sutiles y difíciles de detectar. La respuesta de la comunidad de Internet ya sea a través de la desactivación de comunidades problemáticas o la búsqueda de arquitecturas más seguras, será crucial para defenderse de esta y futuras amenazas.

Referencias

https://www.usenix.org/system/files/usenixsecurity25-stoeger.pdf

Hilo de discusión en nanog