一键就能瘫痪网络：RPKI 安全漏洞全解析

互联网路由全靠信任撑着。运营商们觉得管路权的系统牢不可破。可要是信任被个简单的跨站脚本漏洞打破，会怎样？

最近有安全研究挖出个攻击链，直指 RIPE NCC 的 RPKI 系统。这玩意儿管着欧洲、中东和中亚的路由安全。攻击超简单：一条恶意链接，加上几处设计疏忽，就能把整个网络从互联网踢出去。

RPKI 到底是啥？为啥你得在意？

先搞懂 RPKI 是干嘛的。RPKI 全称 Resource Public Key Infrastructure，用来解决路由安全大难题：怎么防别人冒充你的 IP 前缀，劫走流量？

它靠 ROA（Route Origin Authorizations）干活。这些是加密声明，指定谁能合法公告特定 IP。全球注册表存着它们，路由器全网验证。理论上无敌。实际呢？就看管它的网页应用安不安全。

真相难听：RPKI 本质上就是个网站。

有 HSM 硬件模块、钥匙轮换仪式、SOC 2 审计啥的。但真正改你 ROA 的部件？靠普通 session cookie 在网页上认证。问题就从这儿开始。

攻击链：从无害链接到网络断网

真实场景下，攻击这么走：

第一步：钓鱼诱导
攻击者搞条 RIPE Atlas 链接。这工具是 RIPE NCC 的合法网络诊断神器，工程师天天分享点击。发条消息“嘿，你路由有问题”“这个奇怪，来瞧瞧”，准有人点。

第二步：静默执行
工程师要是已登录 RIPE NCC 服务，点开链接就中 XSS（cross-site scripting）。页面正常加载，用户啥都没察觉。但后台 JavaScript 已用上认证 session。

第三步：路由全控
payload 偷偷改 RPKI Dashboard 上所有 ROA。换成“别路由这些 IP”的声明。运营商还蒙在鼓里。

第四步：彻底孤立
几分钟内，其他网络收到新（恶意）授权，开始拒受害者流量。连通性雪崩式下滑。

研究者实测：26 分钟丢掉 Cloudflare 访问。一小时后，80% 网络全拒流量。

为啥这么狠？完美风暴的根源

几处设计失误，让普通 XSS 变核弹：

跨域共享 session cookie
RIPE NCC 服务间 cookie 通吃。一个服务（如 RIPE Atlas）的 XSS，就能入侵 RPKI Dashboard。典型失误：信一个，全盘皆输。

没 CSRF 防护
改状态的操作缺 CSRF 防线或无效。攻击者不用用户互动，单纯访问就行。

警报易关
有 ROA 修改通知，但能通过漏洞接口关掉。受害者彻底瞎飞。

隐秘入口
漏洞不在 RPKI Dashboard，而藏在 DNS 调试字段这种不起眼地方。铁律：每个输入都是攻击口，别管多“无关紧要”。

连锁破坏

不止断网：

• 网络孤岛：合法网络变黑洞，像基础设施大崩。
• 运维迷雾：根源不明。警报可能响，但指不清 ROA 被改。
• RIPE 数据库劫持：还能控其他数据库对象，把真主锁门外，得等 RIPE 人工几天干预。
• 助攻路由劫持：用假 RPKI 让恶意路由看起来更真，帮 BGP 劫持。

更广的安全启示

这链条给出几课，基础设施安全必读：

1. 安全边界超重要
高危系统和低危的逻辑隔离不够。跨域 cookie 等于暗中授权。严格分域，每服务单认证。

2. 纵深防御不能少
一 XSS 不该控全局。加 CSRF token、严 Content Security Policy，高危操作强制重认证。

3. 用户教育有极限
钓鱼针对工程师超有效，他们本就该查疑似网络问题。架构得扛住“他们会点”。

4. 鸡肋字段也危险
DNS 参数、元数据啥的，正是攻击者盯梢点。全输入同等严防。

5. 监控得独立
通知系统不能被攻击者关。否则纯摆设。

修补了啥？

RIPE NCC 经 14 个月负责任披露，已打补丁：

• 多服务 XSS 修复
• 全状态操作加 CSRF
• cookie 域限
• 独立警报，无法关
• 遗漏字段输入校验

你的基础设施学啥？

管 DNS、RPKI、BGP 或其他路由？得警醒：

审 session 架构。 Cookie 跨哪儿？一 XSS 能串烧吗？

测 CSRF 彻底。 自动扫描常漏复杂流程。

分认证层级。 高危要 step-up：重输密码、TOTP 或硬件令牌，即便 session 活。

默认钓鱼成功。 防线扛住恶意链接点击。

全输入不信。 再小字段也校验编码。

残酷现实

这攻击跨域、跨专长（DNS、Web、BGP），靠孤立合理的设计组合成灾。传统审安漏之。

路由基础设施命根子。管它的系统超脱普通 Web 安全。网络自动化加剧，得用超常规严谨护“网站”基石。

一键。80% 连丢。几天恢复。这链条已修——但提醒：安全链最弱环藏角落，没留意就中招。