RPKI คืออะไร? ป้องกัน BGP Hijack ROV Thailand 2026

# RPKI คืออะไร? คู่มือป้องกัน BGP Hijack ด้วย Route Origin Validation 2026

วันที่ 3 พฤศจิกายน 2021 Facebook, Instagram และ WhatsApp ดับทั้งโลกนานกว่า 6 ชั่วโมง สาเหตุเบื้องลึกเริ่มจากการตั้งค่า BGP ผิดพลาดภายใน จนเซิร์ฟเวอร์ DNS ของบริษัทไม่สามารถประกาศเส้นทางสู่โลกภายนอกได้ เหตุการณ์นี้ตอกย้ำความเปราะบางของ BGP ซึ่งเป็นโปรโตคอลหลักที่ทำให้อินเทอร์เน็ตรู้ว่าต้องส่งข้อมูลไปที่ไหน

ปัญหาใหญ่ของ BGP คือมันถูกออกแบบบนพื้นฐาน "ความไว้ใจ" AS (Autonomous System) ใดก็ประกาศ IP Prefix ใดก็ได้โดยไม่มีการตรวจสอบ ผลลัพธ์ที่ตามมาคือการโจมตีแบบ BGP Hijack ที่เราเห็นซ้ำแล้วซ้ำเล่า เช่น Pakistan Telecom hijack YouTube, Rostelecom hijack ทราฟฟิก Mastercard หรือ AS7007 incident ที่ครั้งหนึ่งทำให้อินเทอร์เน็ตทั่วโลกช้าลง

RPKI (Resource Public Key Infrastructure) คือโซลูชันที่วงการ Networking ใช้ตอบโจทย์นี้มาตั้งแต่ปี 2012 และในปี 2026 ทั้ง Cloudflare, AWS, Google และ ISP ไทยส่วนใหญ่ก็เปิดใช้งานแล้ว บทความนี้จะสรุปว่า RPKI ทำงานอย่างไร, ROA คืออะไร, วิธีตั้งค่า Router และ Validator รวมถึงขั้นตอนให้องค์กรไทยเริ่มใช้ได้จริง

RPKI ทำงานอย่างไร

RPKI คือระบบ PKI (Public Key Infrastructure) ที่สร้างขึ้นเพื่อรับรองว่า "AS ใด มีสิทธิ์ประกาศ IP Prefix ใด" โดยอาศัยหลักการ Cryptographic Signature ตรวจสอบผ่าน Trust Anchor ของ 5 Regional Internet Registry (RIR) ได้แก่ APNIC, ARIN, RIPE, LACNIC, AFRINIC

ส่วนประกอบสำคัญ

| ส่วนประกอบ | บทบาท |

|------------|--------|

| Trust Anchor | Root Certificate ของ RIR ที่เราเชื่อถือ |

| Certificate | ออกโดย RIR รับรองว่าองค์กรนี้ถือครอง IP Block นี้ |

| ROA (Route Origin Authorization) | บันทึกระบุว่า AS ใดมีสิทธิ์ประกาศ Prefix ใด |

| RPKI Repository | ที่เก็บ ROA และ Certificate เผยแพร่ผ่าน rsync / RRDP |

| Validator | Software ที่ดึง ROA มาเทียบกับ BGP Update |

| Router (RPKI-RTR) | รับข้อมูล Validated ROA Payload (VRP) จาก Validator |

ROA คืออะไร และใช้ตัดสินใจอย่างไร

ROA (Route Origin Authorization) คือประกาศที่ลงลายเซ็นดิจิทัล มี 3 ฟิลด์หลัก คือ ASN, Prefix และ Max Length ตัวอย่าง

ASN: AS64512

Prefix: 203.0.113.0/24

Max Length: /24

หมายความว่า AS64512 มีสิทธิ์ประกาศ Prefix 203.0.113.0/24 เท่านั้น ไม่สามารถประกาศ /25 หรือ /26 ได้ เมื่อ Validator ประมวลผล BGP Update มันจะให้ผลลัพธ์ 3 รูปแบบ

Valid — ประกาศตรงกับ ROA → Router รับ Route ปกติ

Invalid — ประกาศไม่ตรงกับ ROA (อาจเป็น Hijack) → Router drop Route

NotFound / Unknown — ไม่มี ROA ครอบคลุม Prefix นี้ → Router ยังรับ Route ตามนโยบายเดิม

เปรียบเทียบกับทางเลือกอื่น

|-----------|-----------|----------|--------|

ขั้นตอนเปิดใช้ RPKI ROV ใน 5 ขั้นตอน

1. สร้าง ROA ของ Prefix ที่องค์กรเป็นเจ้าของ

เข้าพอร์ทัล APNIC MyAPNIC (สำหรับองค์กรไทย) เลือกเมนู Resources → Create ROA ระบุ ASN และ Max Length ที่อนุญาต ระบบจะลงลายเซ็นและเผยแพร่ภายใน 1–2 ชั่วโมง หากเป็นลูกค้า ISP ที่ได้ IP แบบ Sub-allocation อาจต้องประสานงานให้ ISP สร้าง ROA ให้

2. ติดตั้ง RPKI Validator

องค์กรที่มี Router BGP ของตัวเองต้องรัน Validator อย่างน้อย 2 ตัวเพื่อ HA เช่น Routinator (NLnet Labs), FORT, หรือ Cloudflare OctoRPKI รองรับ Linux Container หรือ VM เบา ๆ

```bash

docker run -d --name routinator \

-p 3323:3323 -p 9556:9556 \

nlnetlabs/routinator:latest

```

3. เชื่อม Router กับ Validator ผ่าน RPKI-RTR

ตัวอย่างคำสั่งบน Cisco IOS-XR

```

rpki server 10.0.0.10

transport tcp port 3323

refresh-time 600

```

สำหรับ Juniper Junos ใช้ `set routing-options validation group RPKI session 10.0.0.10 port 3323` จากนั้นกำหนด Import Policy ให้ drop prefix ที่เป็น Invalid

4. ตั้งนโยบาย Import Policy

นโยบายมาตรฐาน drop Invalid และ accept ทั้ง Valid และ NotFound ตัวอย่าง Cisco

```

route-policy RPKI-IN

if validation-state is invalid then drop

else pass

end-policy

```

5. Monitor และ Alert

ใช้ Prometheus + Grafana จับค่า Invalid ROA, Validator Uptime และ Session Status รวมถึง Dashboards สาธารณะ เช่น NIST RPKI Monitor, Cloudflare RPKI หรือ isbgpsafeyet.com เพื่อดู Global Status

กรณีตัวอย่างจริง

1. Cloudflare + Telia — เมื่อปี 2019 Cloudflare ประกาศเปิด ROV บน Edge และ Dismiss Invalid Prefix ทุกตัว ภายใน 6 เดือน BGP Incident ที่กระทบลูกค้าลดลงถึง 30% เมื่อเทียบกับเครือข่ายที่ยังไม่ใช้ RPKI

2. อินเทอร์เน็ตบราซิลและเอเชีย — NIC.br รณรงค์ให้ผู้ประกอบการ ISP สร้าง ROA ครอบคลุม จนประเทศบราซิลมี ROA Coverage เกิน 70% ทำให้ผลกระทบจาก Route Hijack ข้ามประเทศลดลงชัดเจน

3. องค์กรไทยในภาค Financial — ธนาคารและบริษัทหลักทรัพย์เริ่มใช้ RPKI ตามข้อบังคับ Cyber Resilience ของ ธปท. หากตรวจพบ Prefix สำคัญถูก Hijack ระบบ Monitoring จะปิดเส้นทางและสลับไปใช้ BGP Community Preset ภายใน 30 วินาที

Checklist ก่อนเปิด RPKI Production

เช็คว่าทุก Prefix ที่ประกาศมี ROA ถูกต้อง (ตรวจจาก RIPEstat หรือ bgp.tools)

สร้าง ROA Max Length ให้ครอบคลุม Prefix ย่อยที่ใช้งานจริง

ติดตั้ง Validator อย่างน้อย 2 ตัว และกระจายข้าม Site

กำหนด Import Policy แยกสำหรับ IPv4 และ IPv6

ทดสอบด้วย Test Prefix ของ RIPE NCC (93.175.146.0/24 Invalid, 93.175.147.0/24 Valid)

ประสานงานกับ ISP Upstream ให้เปิด ROV ทั้งสองฝั่ง

กำหนด Run Book สำหรับกรณี Validator ล่ม (Fail-open หรือ Fail-close?)

สรุปและก้าวต่อไป

RPKI ไม่ใช่ Silver Bullet ป้องกัน BGP ได้ทุกกรณี โดยเฉพาะ Path Manipulation Attack แต่มันคือ "ชั้นแรกของการป้องกัน" ที่มีต้นทุนต่ำที่สุด และทุกวันนี้กลายเป็นมาตรฐานที่ ISP, Cloud Provider และองค์กรขนาดใหญ่ระดับโลกใช้งาน การไม่เปิด RPKI เท่ากับยอมให้ทราฟฟิกของตนเองถูก Hijack ได้ง่ายกว่าคู่แข่ง

ขั้นตอนต่อไปในปี 2026 คือการติดตามความก้าวหน้าของ ASPA (Autonomous System Provider Authorization) และ BGPsec ซึ่งจะยกระดับการป้องกันเส้นทางให้ครอบคลุมกว่าเพียง Origin Validation

Key Takeaways:

BGP ปลอดภัยต้องเริ่มจาก RPKI Route Origin Validation

สร้าง ROA ให้ทุก Prefix และกำหนด Max Length อย่างรัดกุม

ติดตั้ง Validator แบบ HA และ Monitor Session อย่างต่อเนื่อง

ประสานงานกับ ISP Upstream เพื่อให้ ROV มีประสิทธิภาพเต็มที่

หากต้องการคำปรึกษาในการติดตั้ง RPKI, BGP Policy หรือ Network Security ครอบคลุม Zero Trust ทีม ADS FIT ยินดีให้คำแนะนำ อ่านบทความที่เกี่ยวข้องเพิ่มเติม เช่น BGP Border Gateway Protocol, DDoS Attack Protection และ Zero Trust Network Access ได้ที่บล็อกของเรา

สนใจโซลูชันนี้?

ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

ติดต่อเรา →

RPKI คืออะไร? คู่มือป้องกัน BGP Hijack ด้วย Route Origin Validation สำหรับองค์กรไทย 2026