1. TỔNG QUAN LÝ THUYẾT

1.1. Giao thức BGP và vai trò trong định tuyến Internet

BGP (Border Gateway Protocol) là giao thức định tuyến liên miền (Inter-domain routing protocol) tiêu chuẩn, đóng vai trò là "hệ thần kinh" kết nối các Hệ thống tự trị (Autonomous Systems - AS) độc lập trên toàn cầu thành mạng Internet thống nhất.

• Cơ chế hoạt động: Khác với các giao thức nội bộ (IGP) như OSPF hay EIGRP, BGP hoạt động theo cơ chế Path Vector (Vectơ đường đi). Nó không chỉ trao đổi thông tin về đích đến (IP Prefix) mà còn kèm theo các thuộc tính đường đi (Path Attributes) như AS-Path, Next-Hop, Local Preference.
• Vai trò: BGP giúp các Router biên (Border Router) xác định tuyến đường tốt nhất để chuyển tiếp gói tin giữa các nhà cung cấp dịch vụ (ISP) và các tổ chức lớn.
• Hạn chế: BGP được thiết kế dựa trên sự "tin cậy ngầm định" (Implicit Trust) giữa các thiết bị ngang hàng. Giao thức này mặc định không có cơ chế xác thực tính chính danh của thông tin định tuyến, dẫn đến nguy cơ bị giả mạo hoặc cấu hình sai lệch gây ảnh hưởng diện rộng.

1.2. Cơ chế tấn công BGP Route Hijacking (Sub-prefix Hijack)

Giao thức BGP (Border Gateway Protocol) mặc định tin tưởng tuyệt đối vào các thông tin định tuyến được quảng bá bởi các AS láng giềng. Lỗ hổng nghiêm trọng nhất mà kẻ tấn công khai thác là quy tắc chọn đường Longest Prefix Match (Ưu tiên tiền tố dài nhất).

• Nguyên lý: Khi một Router nhận được nhiều tuyến đường (route) đến cùng một địa chỉ đích, nó sẽ luôn ưu tiên tuyến đường có tiền tố mạng (subnet mask) dài hơn (cụ thể hơn), trước khi xem xét đến các thuộc tính khác như Local Preference hay AS-Path.
• Ví dụ minh họa:
  • Nạn nhân (Victim) quảng bá dải mạng: 10.100.0.0/24.
  • Kẻ tấn công (Attacker) quảng bá dải mạng con: 10.100.0.0/25.
  • Kết quả: Do /25 cụ thể hơn /24, các Router trên Internet sẽ điều hướng toàn bộ lưu lượng truy cập về phía Kẻ tấn công, bất chấp đường đi (AS-Path) đến Kẻ tấn công có thể dài hơn hoặc kém tối ưu hơn so với Nạn nhân.

1.3. Kiến trúc xác thực nguồn gốc định tuyến (RPKI)

RPKI (Resource Public Key Infrastructure) là giải pháp bảo mật sử dụng hạ tầng khóa công khai để xác thực quyền sở hữu tài nguyên số (IP Address, AS Number). Kiến trúc RPKI vận hành dựa trên mô hình 3 thành phần chính:

1. Trust Anchor (CA - Certificate Authority):
   • Là các tổ chức quản lý tài nguyên Internet khu vực (RIRs) như APNIC, RIPE NCC, ARIN.
   • Có nhiệm vụ cấp phát chứng chỉ số và ký điện tử vào các bản ghi ROA (Route Origin Authorization) – đóng vai trò là "Sổ đỏ" xác nhận một AS cụ thể được phép quảng bá một dải IP cụ thể.
2. RPKI Validator (Routinator/Relying Party):
   • Là phần mềm trung gian (như Routinator, OctoRPKI) chạy trên Server.
   • Nhiệm vụ: Định kỳ tải toàn bộ cơ sở dữ liệu ROA từ các Trust Anchor, thực hiện xác thực chữ ký số (Crypto validation) và loại bỏ các bản ghi hết hạn hoặc giả mạo. Sau đó, nó lưu trữ danh sách hợp lệ vào Cache cục bộ.
3. Router (BGP Speaker):
   • Kết nối tới Validator thông qua giao thức RTR (RPKI to Router Protocol - RFC 6810).
   • Router tải danh sách các tiền tố hợp lệ từ Validator về để đối chiếu với bảng định tuyến BGP. Dựa trên kết quả đối chiếu (Valid/Invalid/Not Found), Router sẽ ra quyết định chấp nhận hoặc loại bỏ tuyến đường (Route Filtering).

2. THIẾT KẾ MÔ HÌNH THỰC NGHIỆM

2.1. Sơ đồ mô phỏng (Topology)

Mô hình thí nghiệm mô phỏng một phần nhỏ của Internet với ba Autonomous Systems (AS) được triển khai trên nền tảng EVE-NG, sử dụng router ảo Cisco CSR1000v:

• AS 65001 (Victim): Đại diện cho tổ chức bị tấn công, sở hữu prefix hợp lệ 10.100.0.0/24.
• AS 65002 (ISP/Transit): Nhà cung cấp dịch vụ trung gian, chịu trách nhiệm quyết định tuyến đường (router R2).