技术编辑:徐九丨发自 北京
SegmentFault 思否报道丨公众号:SegmentFault
近日,BGPMon 公司发布预警,称近期发生多起涉及 AS12389(Rostelecom,俄罗斯电信公司)的大规模 BGP 劫持事件,共涉及世界上最大的 200 多家内容传输网络(CDN)和云主机提供商,初步估计影响了 8,000 多个 IP 前缀。
据悉,此次受影响的公司都是云和 CDN 市场上的知名企业,包括谷歌、亚马逊、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner 和 Linode 等大公司。
BGP 劫持
这是一起典型的「BGP 劫持」事件。
BGP 是边界网关协议的缩写,是全球互联网网络之间的互联网流量路由系统。整个系统非常脆弱,因为任何一个参与网络都可以简单地「撒谎」,发布一个公告(BGP 路由),声称 「Facebook 的服务器」在自己的网络上,所有的互联网实体都会把它当做合法的,从而将 Facebook 的流量全部发送到劫持者的服务器上。
在 HTTPS 被广泛用于加密流量之前,BGP 劫持允许攻击者进行中间人(MitM)攻击,拦截和改变互联网流量。如今,BGP 劫持仍然是危险的,因为它可以让劫持者记录流量,并可以在之后对流量进行分析和解密。
自 90 年代中期以来,BGP 劫持一直是互联网主干网的一个问题,多年来一直在努力加强 BGP 协议的安全性,有 ROV、RPKI,以及最近的 MANRS 等项目。然而,采用这些新协议的进展一直很缓慢,也让 BGP 劫持事件仍时有发生。
例如,在 2018 年 11 月,尼日利亚的一家小型互联网公司劫持了原本要用于谷歌网络的流量,而在 2019 年 6 月,一大批欧洲移动流量也被改道劫持。
“惯犯”Rostelecom
业内人士曾多次指出,并非所有的 BGP 劫持都是恶意的。大多数事件可能是人为操作者误输入了一个 ASN(自主系统号,即互联网实体的识别代码),意外劫持了互联网流量。
然而,一些 BGP 劫持事件绝对不仅仅是意外。比如这次的 Rostelecom(AS12389),在这块儿就可以算是一个“惯犯”。
上一次影响较大的 Rostelecom 劫持事件发生在 2017 年,该公司劫持了包括 Visa、Mastercard、汇丰银行等全球最大的金融实体的 BGP 路由。不过当时思科的 BGPMon 部门将这一事件描述为「好奇」,因为它似乎只影响了金融服务,而不是随机的 ASN。
这一次,陪审团还没有定论。
但 BGPMon 的创始人 Andree Toonk 仍对此次事件是否是故意为之持保留意见。Toont 在 Twitter 上表示,他认为这次「劫持」事件发生的原因是俄罗斯电信内部的流量整形系统可能在公共互联网上不小心暴露了错误的 BGP 路由。不幸的是,当 Rostelecom 的上游供应商将新公布的 BGP 路由在互联网上重新传播,并在几秒钟内将 BGP 劫持事件放大,也让这个小错误被放大了。
但是,正如许多业内专家指出的那样,BGP 劫持究竟是不是意外,没有人能给出明确的判断。
安全路由倡议
正因为 BGP 路由泄露问题难以控制并且难以对其性质进行判定,主要的 CDN 服务商和云计算公司在六年前成立了 Mutually Agreed Norms for Routing Security(MANRS) ,旨在解决这个问题。
据悉,MANRS 的成员包括了近 300 家网络运营商和 48 个互联网交换点。亚马逊、Google、微软、Facebook、Akamai、Cloudflare、 Netflix 和 VeriSign 等都加入到了这一安全路由倡议,利用多种方法阻止流量劫持和路由攻击。
采用 MANRS 的网络供应商承诺进行过滤、反欺骗和验证,并与其他供应商进行协调。CDN 成员承诺采取几种类似的安全实践,包括防止错误路由信息的传播,防止来自欺骗或非法 IP 地址的流量,促进全球范围内的路由信息验证以及 MANRS 的采用,并为对等合作伙伴提供监控和调试工具。
但从这次的事件来看,该倡议并未有效的解决这一问题
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。