“面對屢見不鮮的互聯網路由劫持事件,部署應用RPKI是保障路由安全的基礎。”互聯網域名系統國家工程研究中心(ZDNS)主任毛偉表示:“當前全球範圍內開展的RPKI部署應用,是一次觸及互聯網‘互聯互通根基’的安全升級行動,是互聯網由‘可用’向‘可信’演進的新階段。在這個推進過程中,中國不應該缺位。”
2020年4月1日19點27分(UTC時間)至19點33分,美國思科公司旗下的互聯網路由監測網站bgpstream.com連續監測到,俄羅斯電信運營商Rostelecom大量向互聯網廣播不屬於自己的IP地址空間。數分鐘內,波及超過200家的互聯網服務提供商,眾多的美國知名公司在列,包括Google(谷歌)、Amazon(亞馬遜)、Facebook(臉書)、Akamai(知名CDN廠商)、Cloudflare(知名CDN廠商)、GoDaddy(全球最大的域名註冊商)等。
儘管互聯網路由劫持事件屢見不鮮,但由於這次事件影響範圍大且波及了眾多知名互聯網內容服務提供商,在國際互聯網社群造成很大的影響。國際IT圈知名網站ZDnet在4月5日對此進行了報道分析。
值得注意的是,俄羅斯電信運營商Rostelecom已經不是第一次捲入路由劫持事件。2017年4月26日,Rostelecom就被監測到劫持過一些列金融機構的路由,包括visa、匯豐銀行、MasterCard等。
路由劫持危害巨大
作為支撐互聯網“互聯互通”內涵的關鍵協議之一BGP,同很多互聯網基礎通信協議(DNS、IP等)一樣,在設計之初並沒有考慮消息真實性的問題。也即,互聯網上的路由器在使用BGP彼此交換路由信息的過程中,每個路由器都很難辨別消息內容的真偽。不僅如此,這種BGP消息是廣播式的。路由器接收到消息會繼續轉發出去。這次俄羅斯電信運營商Rostelecom向外通告的錯BGP消息,很快被其上游供應商在互聯網上重新傳播,在短時間使得這種“錯誤”波及大範圍的網絡。
作為互聯網安全缺陷的“頑疾”,路由劫持會導致非常嚴重的後果,例如大面積斷網。2017年8月25日,由於配置錯誤,Google的網絡發生路由洩露,劫持了日本運營商NTT的路由,導致日本大範圍斷網約1小時。
路由劫持還可以被用來對網絡關鍵基礎設施進行攻擊。2018年4月24日,亞馬遜雲遭遇路由劫持。攻擊者通過偽造路由,將數字貨幣用戶的DNS請求劫持到一個偽造的DNS權威服務器,並返回虛假的數字貨幣網站的IP地址,從而盜取用戶的登陸信息(用戶名和密碼)。該劫持波及了澳洲、美國等地區。
部署應用RPKI是保障路由安全的基礎
為儘可能減少路由劫持的風險,自2000年以來,學術界和工業界提出了很多解決方案。目前為國際互聯網社群及工業界所認可的對策,是一種基於RPKI(互聯網碼號資源公鑰基礎設施)的BGP安全擴展方案。RPKI的基本思想是在互聯網碼號資源分配的供給側,基於應用密碼學的簽名機制,來發布可驗證IP地址資源分配信息和授權使用信息。目前,全球五大地址註冊機構(例如亞太互聯網信息中心APNIC、歐洲互聯網信息中心RIPE NCC等)均已經提供基於RPKI的IP地址授權認證服務;眾多的骨幹網運營商(例如美國AT&T、日本NTT)、國家級互聯網交換中心(例如德國DECIX、法國France-IX以及加拿大YYCIX)、大型雲服務公司(例如美國Cloudflare)也開始啟動試點,使用RPKI過濾非法路由通告。
我國應儘快儲備RPKI技術並參與相關的治理工作
RPKI是一個互聯網碼號資源分配關係延伸出的全球信任體系,將對互聯網基礎資源管理和“互聯互通”控制機制產生重大影響。RPKI的部署還催生出“IP根”服務器的概念,也即RPKI這個認證體系的信任起點,成為互聯網治理的關鍵要素。互聯網域名系統國家工程研究中心(ZDNS)主任毛偉表示,在這個推進過程中,中國不應該缺位。為推廣RPKI,我國相關單位可依託其職能定位,發揮積極作用。例如,網絡運營商可升級其IP地址管理系統以支持RPKI,啟動基於RPKI的路由認證試點;互聯網服務提供商可使用RPKI技術,來保護其關鍵服務地址空間。
RPKI雖然被全球互聯網社群認可,成為增強互聯網路由系統的安全基礎設施,但其自身的安全運行機制也需要提前做好技術儲備。互聯網域名系統國家工程研究中心首席研究員、亞太互聯網信息中心(APNIC)路由安全SIG聯合創始人及co-chair馬迪認為:RPKI的出現將“剛性的BGP協議風險”逐步遷移到“彈性的RPKI運行風險”。涵蓋“RPKI供給側數據監測”及“RPKI需求側本地化控制”在內的RPKI安全保障機制,是RPKI範疇新的頂層設計話題,是我國互聯網社群積極參與並貢獻思路的好機遇。
ZDNS的RPKI研究工作
互聯網域名系統國家工程研究中心(ZDNS)作為國內領先的互聯網基礎服務提供商,非常重視RPKI作為互聯網基礎設施安全保障體系的價值。從2015年開始,ZDNS對RPKI的相關技術開展研究,RPKI的發明人Stephen Kent博士(互聯網名人堂入選者)擔任研究顧問。ZDNS的技術專家牽頭起草了IETF RFC8211(RPKI供給側數據安全威脅模型)和IETF RFC8416(基於RPKI的互聯網碼號資源本地化管理)。
互聯網域名系統國家工程研究中心(ZDNS)也是通信行業系列標準“RPKI安全運行技術要求”牽頭起草單位,參與單位包括CNCERT、中國電信、中國聯通、中科院信工所、中興通訊等。此外,ZDNS還是目前RPKI驗證系統國際開源項目RPSTIR的牽頭維護單位。
閱讀更多 環球Tech 的文章
