OSI 第三层——导航者：可达性、方向和全局移动

Source: Dev.to

在路径被选择、领土被信任、身份在距离中得以表达的地方。

导航者 – 第 3 层（网络层）

导航者决定 数据包如何在世界中传输——选择哪些路径、信任哪些领土，以及身份如何在距离中表达。

• 第 2 层的门卫 管理本地阈值。
• 第 3 层 是：
  • 本地帧变为 可路由的数据包
  • 邻接变为 可达性
  • 接近性变为 全局寻址
  • 本地世界向 任何地方 开放

攻击者低语：

• “如果我重新绘制你的地图会怎样？”
• “如果我声称自己是更好的路径会怎样？”
• “如果我让你的流量经过我的手中会怎样？”
• “如果我让全世界相信你根本不存在会怎样？”

第 3 层是 制图层——最具地理可利用性的层。导航者是路径的守护者，也是路线的章程。

• 门卫（第 2 层） 询问：“你被允许在这里吗？”
• 锻造层（第 1 层） 提供物理介质。
• 导航者 将该介质抽象为逻辑拓扑。

导航者 不解释意义或管理会话——跨越世界传输的内容会到达它应去的地方，而不是对手想让它去的地方。这是 地图 的层面，而地图可以撒谎。

AI 与第 3 层的交互

AI 擅长 的方面

• AI‑辅助的路由异常检测
• 基于机器学习的路径完整性评分
• 前瞻性检测前缀劫持
• 识别异常源地址
• 将路由变化与威胁情报关联

AI 无法 做的事

• 理解路由决策背后的地缘政治动机
• 判断路径选择中的经济压力
• 在缺乏上下文的情况下区分合法网络变化和攻击
• 替代人类对自治系统之间信任关系的判断

结论： AI 绘制路径，但它 不 理解地形的政治因素。

主题与攻击向量

1. 误导的地图

攻击向量

• 前缀劫持（声称他人的地址空间）
• 路径操控（AS‑path 预置滥用）
• 路由泄漏（意外或恶意）
• 子前缀劫持（更具体的路由注入）

AI 驱动的变体

• 自动化劫持检测规避
• 机器学习优化的通告时机
• 智能前缀选择以实现最大影响

技术解决方案

# BGP – RPKI 验证
router bgp 65000
  bgp bestpath prefix-validate allow-invalid
  neighbor 192.0.2.1 remote-as 65001

# 路由过滤
ip prefix-list CUSTOMER permit 203.0.113.0/24
route-map CUSTOMER-IN permit 10
  match ip address prefix-list CUSTOMER

# RPKI 部署（根据 ROA 验证路由）
rpki-client -v

2. 来自虚无的声音

攻击向量

• 反射/放大攻击
• 绕过基于 IP 的认证
• 归属规避
• 使用伪造源的拒绝服务

AI 驱动的变体

• 智能伪造模式轮换
• 基于机器学习的检测规避
• 自动化放大路径发现

技术解决方案

# 路由器 – uRPF（单播逆向路径转发）
interface GigabitEthernet0/0
  ip verify unicast source reachable-via rx

# Linux – 入站过滤（源地址验证）
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# BCP38 实施
ip access-list extended ANTISPOOFING
  deny ip 10.0.0.0 0.255.255.255 any
  deny ip 172.16.0.0 0.15.255.255 any
  deny ip 192.168.0.0 0.0.255.255 any
  permit ip any any

3. 指向悬崖的路标

攻击向量

• RIP/OSPF/EIGRP 路由注入
• 度量值操控
• 路由协议利用
• 黑洞创建

AI 驱动的变体

• 自动化路由协议模糊测试
• 机器学习优化的度量选择
• 智能收敛利用

技术解决方案

# OSPF – 认证
router ospf 1
  area 0 authentication message-digest
interface GigabitEthernet0/0
  ip ospf message-digest-key 1 md5 SecureKey123

# 路由验证
ip prefix-list VALID-ROUTES permit 10.0.0.0/8 le 24

4. 误导的回声

攻击向量

• ICMP 重定向攻击
• Ping‑of‑death / 超大数据包
• Smurf 攻击（广播放大）
• 路径 MTU 操控

技术解决方案

# Linux – ICMP 加固
# 忽略 ICMP 重定向
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# 忽略广播 ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# 路由器 – ICMP 限速
ip icmp rate-limit unreachable 500

5. 隐藏门的墙

攻击向量

• 源路由利用
• VRF 泄漏
• 隧道滥用（GRE、IP‑in‑IP）
• NAT 穿透利用

技术解决方案

# 禁用源路由
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

# 防火墙 – 分段强制
iptables -A FORWARD -s 10.1.0.0/16 -d 10.2.0.0/16 -j DROP

6. 淹没路径的洪流

攻击向量

• 大容量洪水
• 路由表耗尽
• TTL 失效攻击
• 分片攻击

AI 驱动的变体

• 机器学习优化的攻击流量模式
• 智能目标选择
• 自适应速率调节

技术解决方案

# 限速（在 Cisco 设备上的示例）
rate-limit input access-group 101 2000000 250000 250000 \
  conform-action transmit exceed-action drop

# 黑洞路由
ip route 203.0.113.66/32 Null0

AI 监控能力

• 意外的路由通告
• 异常的 AS‑路径变化
• 前缀劫持指示
• 路由表不稳定

系统可以

• 评估路径可信度
• 检测路径操纵
• 识别路由循环
• 标记收敛异常

AI Correlates

• 第2层邻接变化
• 第3层路由转移
• 第4层连接失败
• 地理不一致性

AI 无法

• 理解地缘政治路由决策

导航仪绘制世界地图；AI 帮助我们阅读地图，但地形的政治仍是人类的领域。

对运营商的经济压力

• 确定运营商面临的经济压力

商业决策 vs. 攻击

• 区分商业决策和攻击

人类对 AS 信任关系的判断

• 替换对 AS 信任关系的人类判断

导航者

• 导航者掌管移动。
• 导航者保护连接世界的地图

第3层概述

• 管理地址分配、路由以及全局可达性
• BGP 劫持、IP 欺骗和路由操控在该层占主导地位
• AI 能检测路径异常，但无法理解路由政治
• 路由完整性是全球连通性的基础

Soft Armor Labs

• Soft Armor Labs——基于关怀的人类层安全。