技術編輯:徐九丨發自 北京
SegmentFault 思否報道丨公眾號:SegmentFault
近日,BGPMon 公司發佈預警,稱近期發生多起涉及 AS12389(Rostelecom,俄羅斯電信公司)的大規模 BGP 劫持事件,共涉及世界上最大的 200 多家內容傳輸網絡(CDN)和雲主機提供商,初步估計影響了 8,000 多個 IP 前綴。
據悉,此次受影響的公司都是雲和 CDN 市場上的知名企業,包括谷歌、亞馬遜、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner 和 Linode 等大公司。
BGP 劫持
這是一起典型的「BGP 劫持」事件。
BGP 是邊界網關協議的縮寫,是全球互聯網網絡之間的互聯網流量路由系統。整個系統非常脆弱,因為任何一個參與網絡都可以簡單地「撒謊」,發佈一個公告(BGP 路由),聲稱 「Facebook 的服務器」在自己的網絡上,所有的互聯網實體都會把它當做合法的,從而將 Facebook 的流量全部發送到劫持者的服務器上。
在 HTTPS 被廣泛用於加密流量之前,BGP 劫持允許攻擊者進行中間人(MitM)攻擊,攔截和改變互聯網流量。如今,BGP 劫持仍然是危險的,因為它可以讓劫持者記錄流量,並可以在之後對流量進行分析和解密。
自 90 年代中期以來,BGP 劫持一直是互聯網主幹網的一個問題,多年來一直在努力加強 BGP 協議的安全性,有 ROV、RPKI,以及最近的 MANRS 等項目。然而,採用這些新協議的進展一直很緩慢,也讓 BGP 劫持事件仍時有發生。
例如,在 2018 年 11 月,尼日利亞的一家小型互聯網公司劫持了原本要用於谷歌網絡的流量,而在 2019 年 6 月,一大批歐洲移動流量也被改道劫持。
“慣犯”Rostelecom
業內人士曾多次指出,並非所有的 BGP 劫持都是惡意的。大多數事件可能是人為操作者誤輸入了一個 ASN(自主系統號,即互聯網實體的識別代碼),意外劫持了互聯網流量。
然而,一些 BGP 劫持事件絕對不僅僅是意外。比如這次的 Rostelecom(AS12389),在這塊兒就可以算是一個“慣犯”。
上一次影響較大的 Rostelecom 劫持事件發生在 2017 年,該公司劫持了包括 Visa、Mastercard、匯豐銀行等全球最大的金融實體的 BGP 路由。不過當時思科的 BGPMon 部門將這一事件描述為「好奇」,因為它似乎隻影響了金融服務,而不是隨機的 ASN。
這一次,陪審團還沒有定論。
但 BGPMon 的創始人 Andree Toonk 仍對此次事件是否是故意為之持保留意見。Toont 在 Twitter 上表示,他認為這次「劫持」事件發生的原因是俄羅斯電信內部的流量整形系統可能在公共互聯網上不小心暴露了錯誤的 BGP 路由。不幸的是,當 Rostelecom 的上游供應商將新公佈的 BGP 路由在互聯網上重新傳播,並在幾秒鐘內將 BGP 劫持事件放大,也讓這個小錯誤被放大了。
但是,正如許多業內專家指出的那樣,BGP 劫持究竟是不是意外,沒有人能給出明確的判斷。
安全路由倡議
正因為 BGP 路由洩露問題難以控制並且難以對其性質進行判定,主要的 CDN 服務商和雲計算公司在六年前成立了 Mutually Agreed Norms for Routing Security(MANRS) ,旨在解決這個問題。
據悉,MANRS 的成員包括了近 300 家網絡運營商和 48 個互聯網交換點。亞馬遜、Google、微軟、Facebook、Akamai、Cloudflare、 Netflix 和 VeriSign 等都加入到了這一安全路由倡議,利用多種方法阻止流量劫持和路由攻擊。
採用 MANRS 的網絡供應商承諾進行過濾、反欺騙和驗證,並與其他供應商進行協調。CDN 成員承諾採取幾種類似的安全實踐,包括防止錯誤路由信息的傳播,防止來自欺騙或非法 IP 地址的流量,促進全球範圍內的路由信息驗證以及 MANRS 的採用,併為對等合作伙伴提供監控和調試工具。
但從這次的事件來看,該倡議並未有效的解決這一問題。
閱讀更多 SegmentFault思否 的文章
