1. Cosa fa#
Il BGP (Border Gateway Protocol) è il protocollo di routing che permette la comunicazione tra diverse reti indipendenti su Internet, chiamate Autonomous Systems (AS). Senza BGP, Internet non sarebbe una rete globale ma un insieme di isole isolate.
2. L'analogia delle Città-Stato (Modello Mentale)#
Immagina Internet non come una singola rete, ma come un insieme di Città-Stato indipendenti (es. Google-City, TIM-Land, AWS-Village).
- AS (Autonomous System): Ogni "Città-Stato" è un AS. Una rete gigante gestita da un'unica entità (ISP, Università, Big Tech) che applica una propria politica di routing interna.
- ASN (AS Number): È il nome/ID ufficiale della città. Ogni AS ha un identificativo unico mondiale (es: Google = AS15169).
- IGP (OSPF/RIP): Il Postino Locale. Gestisce le strade dentro la città per consegnare le lettere tra i palazzi (es. tra il router di casa tua e il primo nodo del tuo provider).
- BGP (Le Autostrade): Il Navigatore Satellitare che gestisce i camion che viaggiano tra le diverse città-stato.
3. La Gerarchia delle Reti (Rete di Reti)#
Internet è letteralmente una gerarchia di gruppi di reti che si parlano tra loro.
graph TD
subgraph Internet_Globale [Internet: L'oceano dei ponti BGP]
AS_Google[AS 15169: Google]
AS_TIM[AS 12874: TIM Italia]
AS_AWS[AS 16509: Amazon]
end
subgraph AS_TIM_Internal [Dentro la Rete TIM - Autonomous System]
R_Border[Border Router: Parla eBGP col mondo]
R_Core[Backbone Router: Parla OSPF e iBGP interno]
R_Pop[Router Regionale: Milano/Roma]
end
subgraph Casa_Tua [La tua LAN - Rete Locale]
Gateway[Router di Casa]
Ubuntu[VM Ubuntu]
Kali[VM Kali]
end
Ubuntu --> Gateway
Kali --> Gateway
Gateway -->|Ultimo Miglio| R_Pop
R_Pop --> R_Core
R_Core --> R_Border
R_Border <-->|eBGP| AS_Google
R_Border <-->|eBGP| AS_AWS
style R_Border fill:#f96,stroke:#333
style Internet_Globale fill:#fff3e0,stroke:#e65100
4. I Tre Protocolli: Quando si usano?#
| Protocollo | Ambito | Analogia | Scopo Operativo |
|---|---|---|---|
| IGP (OSPF, RIP) | Interno (LAN/Azienda) | Il postino di quartiere. | Muovere i pacchetti verso gli IP specifici dei PC interni. |
| eBGP (External) | Esterno (Tra AS diversi) | Il ponte tra due isole. | Scambiare rotte tra aziende (es. TIM annuncia a Google i suoi IP). |
| iBGP (Internal) | Interno (Tra Border Router) | Il passaparola in città. | Sincronizzare i router dello stesso ISP sulle rotte esterne. |
5. Analisi e Consolidamento (User Recap)#
Recap di Barno:#
"Se devo parlare all'interno della mia rete uso i MAC Address. Se devo uscire dalla mia LAN uso BGP, se resto dentro la LAN del mio ISP uso iBGP, se devo uscire dalla LAN del mio ISP nonché AS, uso eBGP. In questo caso uso TCP/IP dove l'IP è il target e il TCP è il layer di trasporto con raccomandata grazie ai SYN ACK SYN ACK ACK. Sia dentro la mia AS che fuori da AS faccio comunque gli hop."
Correzioni Tecniche (PM Notes):#
- Chi usa cosa: Il tuo PC non "usa" il BGP. Il PC manda tutto al Gateway. Sono i router dei grandi provider (ISP) a usare il BGP per decidere la strada.
- Dentro l'ISP: Per muovere i dati fisicamente tra due città (es. Milano -> Roma) nello stesso ISP, si usano i protocolli IGP (OSPF). L'iBGP serve solo come "memo" interno tra i router di confine per non perdersi le strade che portano all'estero.
- Il Pacchetto: Il pacchetto viaggia sempre come TCP/IP. BGP è solo la mappa che i router consultano per sapere dove lanciarlo.
6. Libretto di Istruzioni Finale#
| Destinazione | Protocollo Usato | Cosa succede |
|---|---|---|
| Stessa Subnet (Casa) | MAC Address + ARP | Consegna fisica diretta tra schede di rete. |
| Stesso ISP (Città diverse) | IGP (OSPF / RIP) | Il provider muove il pacchetto sulle sue strade interne. |
| Internet (Tra AS diversi) | eBGP | Il pacchetto attraversa le "Grandi Autostrade" tra aziende. |
| Sincronizzazione AS | iBGP | I router dello stesso ISP si scambiano le mappe per le rotte esterne. |
7. Perché è fondamentale per un SOC Analyst?#
A. BGP Hijacking (L'attacco alla strada)#
Poiché il BGP si basa sulla fiducia negli "annunci" dei vicini, un AS può mentire dicendo: "Io sono la strada più veloce per raggiungere l'IP 8.8.8.8".
- Conseguenza: Il traffico viene dirottato verso l'attaccante, permettendo intercettazioni massive (Sniffing/MITM).
- Esempio Reale (2018): Un AS ha dirottato il traffico di Amazon Route 53 per intercettare le richieste verso il portafoglio crypto MyEtherWallet e rubare i fondi degli utenti.
B. ASN Analysis (Triage avanzato)#
Quando vedi un IP sospetto nei log, un analista senior cerca il suo ASN:
- AS Residenziale (es. Fastweb): Utente reale compromesso o vittima.
- AS di Hosting (es. DigitalOcean): Molto sospetto. Spesso usato per bot, scanner o server C2.
8. AS Noti e Identificazione#
- AS15169: Google (DNS 8.8.8.8, YouTube).
- AS16509: Amazon (AWS).
- AS13335: Cloudflare (CDN e protezione DDoS).
Strumenti di Analisi:#
- Terminale:
whois [IP] | grep -i "origin\|asn" - Web: BGPView.io
9. 🛫 L'analogia definitiva: Il Viaggio Aereo#
Pensa a quando vuoi andare da casa tua a New York:
graph TD
subgraph Mondo_Fisico [Mondo Fisico]
A1[Casa] -->|Taxi| B1[Aeroporto Malpensa]
B1 -->|Volo Internazionale| C1[Aeroporto New York]
C1 -->|Bus/Metro| D1[Hotel a Manhattan]
end
subgraph Mondo_Logico [Protocolli di Rete]
A2[LAN / PC] -->|IGP: OSPF| B2[Border Router ISP]
B2 -->|eBGP| C2[Border Router Destinazione]
C2 -->|IGP: OSPF| D2[Server Finale]
end
A1 -.->|Mappatura| A2
B1 -.->|Mappatura| B2
C1 -.->|Mappatura| C2
D1 -.->|Mappatura| D2
style B1 fill:#f96,stroke:#333
style B2 fill:#f96,stroke:#333
style C1 fill:#f9f,stroke:#333
style C2 fill:#f9f,stroke:#333
- Destinazione finale: New York (eBGP - fuori dallo Stato).
- Ma come ci arrivi?
- Esci di casa e prendi un taxi per l'aeroporto di Malpensa. (Questo è il Manuale Interno / OSPF: strade locali, rotatorie, semafori).
- Il taxi non sa come si vola a New York, sa solo come portarti al Gate (il Border Router).
- Al Gate, consegni il biglietto e l'aereo ti porta in un altro Stato. (Questo è l'eBGP: il corridoio aereo internazionale).
Quindi: Anche se la tua destinazione è quasi sempre "New York", devi comunque saper usare le strade locali per arrivare all'aeroporto. Se il taxi sbaglia strada dentro Milano, non arriverai mai al Gate per New York.
10. Quando NON si usa eBGP: Scenari Locali#
Esistono casi reali in cui il pacchetto non esce mai dalla "Città-Stato" e quindi l'impiegato dell'ISP non apre mai il Manuale Esterno.
graph LR
subgraph AS_TIM [AS 12874 - TIM Italia]
User_You[Tu - Cliente TIM] -->|OSPF| R_Local[Router Zona]
R_Local -->|OSPF| R_Core[Backbone Nazionale]
subgraph Servizi_Interni [Servizi Locali - No eBGP]
R_Core --> Serv_DNS[DNS / Area Clienti]
R_Core --> CDN[CDN Cache: Netflix/Google]
R_Core --> User_Friend[Amico - Cliente TIM]
end
end
R_Core -.->|Bypass| Border[Border Router]
Border <==>|eBGP| Internet((Internet Esterno))
style Servizi_Interni fill:#fff9c4,stroke:#fbc02d
style Border fill:#ccc,stroke:#999
style Internet fill:#eceff1,stroke:#607d8b
- Comunicazione tra due clienti dello stesso ISP: ... Se tu (TIM) mandi un file a un amico (TIM) a 300km di distanza. TIM possiede entrambi gli IP; il pacchetto viaggia sul backbone nazionale TIM usando solo IGP (OSPF). Resta dentro l'AS 12874.
- Accesso ai servizi "Core" dell'operatore: Ogni volta che interroghi i DNS dell'operatore, guardi la IPTV tramite il box dedicato o navighi nell'area clienti sul sito del provider. Quei server sono fisicamente dentro i datacenter dell'ISP.
- Il "Trucco" dei Big: I CDN Cache (Google/Netflix): I giganti installano server (es. Google Global Cache) dentro i magazzini degli ISP per risparmiare banda. Se guardi un video YouTube popolarissimo, TIM ti dirotta sul server Google che si trova fisicamente nella sua rete a Milano. Risultato: per te è YouTube, ma tecnicamente il pacchetto non è mai uscito dall'AS di TIM.
Collegato a#
- network — Hub Categoria
- ip-addressing-subnetting — Layer 3 (IP)
- investigazione-linux — Uso di
whois - tcp-reliability-osi — Layer 4 (Consegna garantita)
