本週早些時候,來自全球200多家 CDN 和雲託管提供商的流量被懷疑通過俄羅斯國有電信運營商Rostelecom轉發出去。這起事件影響了來自200多個網絡的8800多條互聯網流量路由。這些受影響的公司都是雲和CDN市場的知名公司,包括谷歌、亞馬遜、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode。
這起事件是一起典型的“ BGP劫持”。BGP的全稱是邊界網關協議,是用於全球互聯網網絡之間路由傳輸互聯網流量的事實上的系統。整個系統在設計上非常脆弱,原因是任何參與的網絡只要“撒謊”、發佈BGP路由通告,聲稱其網絡上有“Facebook服務器”,那麼所有互聯網實體都會將其視為合法目標,將所有的Facebook流量發送到劫持者的服務器。
在過去,HTTPS被廣泛用於加密流量之前,BGP劫持讓攻擊者得以實施中間人(MitM)攻擊,從而攔截和篡改互聯網流量。
如今BGP劫持仍然很危險,因為它讓劫持者可以記錄流量,以便以後試圖分析和解密流量,保護流量的加密技術因加密領域的進步而被削弱了。
自上世紀90年代中期以來,BGP劫持一直是互聯網骨幹網上的一大問題;多年來,通信領域的從業人員一直在竭力提高BGP協議的安全性,因此出現了ROV、RPKI以及最近的MANRS。然而,採用這些新協議方面的進度一直很緩慢,BGP劫持仍時有發生。
比如說,2018年11月,一家小型的尼日利亞ISP劫持了原本發送到谷歌網絡的流量,而2019年6月,一大批歐洲移動流量通過中國最大的電信運營商中國電信重新路由傳輸。
專家們過去一再指出,並非所有BGP劫持都是惡意事件。大多數事件可能是由於操作人員誤輸入了ASN(自治系統編號,用於識別互聯網實體身份的代碼),因而意外劫持了某家公司的互聯網流量。
然而,一些實體仍是BGP劫持的幕後主使,許多專家認為這些事件不絕僅僅是意外事件。
雖然Rostelecom(AS12389)不像之前一些國家的運營商那樣直接參與或有意參與BGP劫持,但它與許多類似的可疑事件有瓜葛。
Rostelecom上一次備受媒體關注的重大破壞出現在2017年,當時這家電信公司劫持了全球一些最大金融機構的BGP路由,包括維薩、萬士達卡和匯豐銀行(HSBC)。
當時,思科的BGPMon部門稱該事件是“出於好奇心”,因為它似乎隻影響金融服務,而不是影響隨機性ASN。
這回,電信業還沒有得出一個結論。BGPMon的創始人Andree Toonk給出了俄羅斯電信公司值得懷疑的理由。Toont在推特上稱,他認為之所以發生這起“劫持”,是由於Rostelecom內部的流量整形系統可能不小心在公共互聯網上、而不是在Rostelecom的內部網絡上暴露了錯誤的BGP路由。
遺憾的是,Rostelecom的上游提供商在互聯網上重新分發這條剛發佈的BGP路由,使這個小錯誤變得更嚴重了,在短短几秒鐘內放大了BGP劫持。
然而,過去許多互聯網專家指出,有可能使一起有意的BGP劫持貌似意外事件,因為沒人區別得了。政府嚴加控制的電信公司發生的BGP劫持一直被視為很可疑,這主要出於政治原因,而不是出於技術原因。
閱讀更多 運維小筆記 的文章
