O Protocolo BGP (Border Gateway Protocol) é a espinha dorsal da Internet, responsável por direcionar o tráfego entre os diferentes sistemas autônomos (AS), o que equivale a qualquer site na internet. Embora os ataques de sequestro de BGP sejam uma ameaça já conhecida, uma nova forma de ataque, chamada “BGP Vortex”, representa um desafio particularmente sutil e perigoso para a estabilidade da rede. Esse ataque, apresentado pela primeira vez na conferência USENIX Security, em agosto de 2025, explora extensões padrão do BGP para provocar uma negação de serviço (DoS) através da sobrecarga de mensagens de atualização.
Ao contrário dos sequestros tradicionais, que redirecionam o tráfego, o BGP Vortex não manipula as rotas para interceptar dados — ele as desestabiliza para gerar uma tempestade de mensagens (daí vem o nome Vortex), o que provoca o colapso da camada de controle dos roteadores. O que o torna particularmente perigoso é o fato de utilizar mensagens BGP completamente legítimas e padronizadas, o que lhe permite driblar as defesas de segurança atuais, como o BGPSEC e o RPKI.
Sobre o ataque BGP Vortex
Trata-se de um ataque que causa um fenômeno no qual sistemas autônomos interconectados ficam presos em um estado de oscilações de rota persistentes. Essas oscilações não apenas sobrecarregam os roteadores dos sistemas autônomos dentro do vórtice, como também provocam uma onda de anúncios de rota que se espalha pela internet, podendo sobrecarregar outros roteadores de sistemas autônomos que não fazem parte do vórtice.
Mecanismo do ataque
O BGP Vortex baseia-se na manipulação de duas comunidades BGP amplamente utilizadas para engenharia de tráfego:
“Lower Local Pref Below Peer” (Reduzir Preferência Local abaixo do Par): Essa comunidade, quando anexada a um anúncio de rota, instrui um par (peer) BGP a reduzir a preferência local dessa rota para um valor inferior à preferência que teria a mesma rota recebida de outros pares.
“Selective NOPEER”: Essa comunidade indica a um sistema autônomo que não anuncie uma rota recebida para determinados pares.
(Acesso livre, não requer assinatura)
O ataque explora uma configuração específica entre três sistemas autônomos (AS) vulneráveis, que são pares entre si e utilizam essas comunidades. O atacante, ao enviar três mensagens de atualização específicas (mensagens BGP Update), faz com que esses AS entrem em um ciclo vicioso de oscilações de roteamento.
Ativação da oscilação: Um atacante envia uma mensagem de atualização para um AS vulnerável. Essa mensagem, que contém comunidades maliciosas, provoca uma cascata de anúncios e retiradas de rotas entre os três AS.
Criação do loop: A configuração e as políticas de roteamento dos três AS reagem às mensagens de forma que é criado um loop infinito. A rota é anunciada e retirada repetidamente entre os três pares.
Geração da tempestade de atualizações: A oscilação se amplifica à medida que se propaga pelos “ramos” da rede. Cada vez que a rota muda dentro do loop, é gerada uma nova onda de mensagens BGP UPDATE que se espalha por milhares de redes nos conjuntos de clientes dos AS afetados. Isso pode resultar em milhares de atualizações por segundo.
Impacto e consequências
A razão pela qual esse ataque pode ser tão grave é que ele não utiliza nada fora das regras e pacotes do BGP, não há pacotes malformados nem maliciosos. Trata-se apenas de uma técnica de manipulação de Comunidades BGP combinada com Mensagens BGP Updates.
O BGP Vortex pode causar graves interrupções na internet:
O ataque explora uma configuração específica entre três sistemas autônomos (AS) vulneráveis, que são pares entre si e utilizam essas comunidades. O atacante, ao enviar três mensagens de atualização específicas (mensagens BGP Update), faz com que esses AS entrem em um ciclo vicioso de oscilações de roteamento.
Ativação da oscilação: Um atacante envia uma mensagem de atualização para um AS vulnerável. Essa mensagem, que contém comunidades maliciosas, provoca uma cascata de anúncios e retiradas de rotas entre os três AS.
Criação do loop: A configuração e as políticas de roteamento dos três AS reagem às mensagens de forma que é criado um loop infinito. A rota é anunciada e retirada repetidamente entre os três pares.
Geração da tempestade de atualizações: A oscilação se amplifica à medida que se propaga pelos “ramos” da rede. Cada vez que a rota muda dentro do loop, é gerada uma nova onda de mensagens BGP UPDATE que se espalha por milhares de redes nos conjuntos de clientes dos AS afetados. Isso pode resultar em milhares de atualizações por segundo.
Impacto e consequências
A razão pela qual esse ataque pode ser tão grave é que ele não utiliza nada fora das regras e pacotes do BGP, não há pacotes malformados nem maliciosos. Trata-se apenas de uma técnica de manipulação de Comunidades BGP combinada com Mensagens BGP Updates.
O BGP Vortex pode causar graves interrupções na internet:
Sobrecarga de roteadores: O fluxo intenso de mensagens BGP UPDATE satura a camada de controle dos roteadores, que precisam processar cada anúncio e retirada (update e withdraw). Isso consome grandes quantidades de CPU e memória, resultando em uma lentidão generalizada.
Falhas na camada de dados: A sobrecarga na camada de controle pode fazer com que as tabelas de encaminhamento dos roteadores fiquem em estados inconsistentes. Isso pode causar loops de encaminhamento intermitentes, resultando em congestão de links e perda de pacotes, afetando gravemente a conectividade.
Instabilidade da internet: O efeito dominó da tempestade de atualizações pode se espalhar além das redes-alvo iniciais. Um único BGP Vortex pode desestabilizar grandes segmentos da infraestrutura da internet, afetando inúmeros usuários e serviços.
Fluxo do ataque
O cenário ilustra como a combinação das comunidades “Lower Local Pref” e “Selective NOPEER” pode provocar uma oscilação persistente de rotas entre três sistemas autônomos (AS 1, AS 2, AS 3) conectados em uma topologia triangular.
O atacante (AS 4, cliente multihomed) utiliza essas comunidades para manipular a seleção e a propagação de rotas.
Etapa 1. Injeção inicial do prefixo pelo cliente (AS 4)
O AS 4 (cliente multihomed) anuncia o prefixo 2001:db8::/32 para seus três provedores (AS 1, AS 2 e AS 3).
Adiciona as comunidades: 4:90 → instrui cada provedor a reduzir sua preferência local interna para 90 (lower local preference).
65500:x → Selective NOPEER, para restringir a redistribuição entre pares: 65500:1 → AS 2 no anuncia a AS 1. 65500:2 → AS 3 no anuncia a AS 2. 65500:3 → AS 1 no anuncia a AS 3.
Com essas etiquetas, o atacante prepara o terreno para um fluxo circular de anúncios.
Etapa 2. Redistribuição seletiva de rotas
Cada ISP instala a rota do cliente (LP = 90) e a reanuncia a seus pares conforme as restrições do Selective NOPEER.
Cria-se uma propagação parcial, não simétrica:
AS 1 → AS 2, mas não → AS 3. AS 2 → AS 3, mas não → AS 1. AS 3 → AS 1, mas não → AS 2.
Etapa 3. Re-seleção de rotas e retirada de anúncios
Os três AS começam a comparar rotas internas e externas:
O AS 1 recebe o prefixo do AS 3, instala-o com um melhor Local preference (100) e retira o aprendido do AS 4.
Por política peer-to-peer, o AS 1 não reanuncia a nova rota ao AS 2.
Essa mudança para a melhor rota gera a primeira oscilação: o AS 2 perde a rota via AS 1 e precisa escolher outra alternativa (via AS 4).
Etapa 4. Formação do vórtice (loop de atualizações)
O AS 2 instala a rota recebida do AS 4 e a anuncia para o AS 3.
O AS 3, ao recebê-la, a considera mais preferida, a instala e retira a anterior enviada para o AS 1.
O AS 1 detecta a perda do anúncio do AS 3 e reinstala a versão proveniente do AS 4.
O ciclo recomeça.
Essa troca infinita de mensagens update/withdraw gera o vórtice BGP descrito anteriormente.
O fenômeno se propaga rapidamente pela topologia, especialmente em ambientes densamente conectados, saturando as tabelas e os buffers de processamento de controle.
Os mecanismos de segurança existentes contra os ataques BGP foram projetados para validar a autenticidade e a autorização dos anúncios de rota, mas não para detectar as oscilações causadas por políticas legítimas.
RPKI/ROV: A Infraestrutura de Chave Pública de Recursos e a Validação da Origem da Rota não oferecem proteção contra esse ataque, pois o prefixo anunciado pelo atacante é válido e as mensagens não são falsificadas.
BGPSEC: Esse protocolo de segurança também não é eficaz, já que as mensagens estão assinadas e autorizadas corretamente, mesmo que sua combinação gere o efeito prejudicial.
Minha configuração BGP é muito simples, não utilizo comunidades BGP — posso ser afetado?
Sim, não de forma direta, mas o ataque BGP Vortex pode afetar indiretamente roteadores que não utilizam nem estão habilitados para comunidades BGP, ou que não suportam especificamente as comunidades Lower Local Pref Below Peer e Selective NOPEER.
O impacto ocorre devido à propagação da enxurrada de mensagens de atualização BGP, e não pela manipulação das comunidades em si.
Se o meu roteador recebe apenas a rota padrão dos meus provedores upstream, estou a salvo?
A resposta é: depende.
Caso 1: Se o seu provedor possui o filtro de saída e anuncia apenas a rota padrão para você, então você está a salvo.
Caso 2: Se você filtra tudo o que seus provedores enviam e depois mantém apenas a rota padrão, então você não está a salvo, pois o seu roteador ainda recebe toda a enxurrada de mensagens BGP Updates.
O papel dos IXP nas mudanças da topologia da internet e no ataque BGP Vortex
No passado, os pontos de troca de tráfego (IXPs) seguiam uma topologia bastante hierárquica: os ISPs se conectavam principalmente a provedores de trânsito, e as relações de peering lateral eram relativamente poucas.
No entanto, com a rápida expansão dos IXPs regionais e globais, essa estrutura foi “achatada”. Hoje, cada ISP se conecta a um número muito maior de vizinhos, o que aumenta a densidade de triângulos de peering (ou seja, grupos de três sistemas autônomos (AS) interconectados diretamente). Esse fenômeno também estimula o multihoming: AS menores podem estar conectados a três ou mais provedores upstream ou IXPs, tornando-se “clientes-gatilho” potenciais para instabilidades no plano de controle, como o ataque BGP Vortex. Nesse sentido, surge a questão: o crescimento dos IXPs pode estar criando o terreno fértil para que esse tipo de dano se propague mais rapidamente e com maior alcance?
Qual estratégia de mitigação tenho atualmente?
Como o BGP Vortex explora uma fragilidade no uso de extensões padrão, as soluções exigem uma análise cuidadosa das compensações entre segurança e flexibilidade de roteamento.
Desativar as comunidades vulneráveis: A medida mais eficaz é que os operadores de rede desativem as comunidades “Lower Local Pref Below Peer” e “Selective NOPEER”. Embora isso elimine a vulnerabilidade, também sacrifica a flexibilidade na engenharia de tráfego que essas ferramentas oferecem.
Ajustar os temporizadores BGP: A modificação de mecanismos como o temporizador Minimum Route Advertisement Interval (MRAI) pode reduzir a velocidade do fluxo de atualizações. No entanto, isso também atrasaria a convergência da rede em condições normais, o que afeta o desempenho geral.
Monitoramento e detecção: Implementar um monitoramento completo do uso da CPU do plano de controle e da taxa de mensagens BGP UPDATE pode ajudar os operadores a detectar e responder rapidamente a um ataque em andamento.
Adotar arquiteturas futuras: A pesquisa sobre o BGP Vortex destaca a necessidade de arquiteturas de roteamento mais seguras e resilientes. A longo prazo, a adoção de tecnologias como o SCION, uma futura arquitetura da internet, poderia oferecer imunidade fundamental a esse tipo de ataque.
Conclusão
O BGP Vortex é um lembrete de que a segurança na infraestrutura da internet deve ser um processo contínuo. Ao explorar uma combinação de extensões legítimas, esse ataque demonstra que a confiabilidade do BGP pode ser comprometida de maneiras sutis e difíceis de detectar. A resposta da comunidade da Internet, seja por meio da desativação de comunidades problemáticas ou pela busca de arquiteturas mais seguras, será crucial para se defender desta e de futuras ameaças.
