本周早些時候，全球最大的200多家內(nèi)容傳輸網(wǎng)絡(luò)（CDN）和云主機(jī)提供商的流量被懷疑通過俄羅斯國有電信運(yùn)營商Rostelecom轉(zhuǎn)發(fā)。該事件影響了200多個網(wǎng)絡(luò)的8800多條互聯(lián)網(wǎng)流量路線。受影響的公司都是云和CDN市場的知名企業(yè)，包括Google、Amazon、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等公司。

這次事件是一個典型的 "BGP劫持"，BGP是邊界網(wǎng)關(guān)協(xié)議的縮寫，BGP是全球互聯(lián)網(wǎng)網(wǎng)絡(luò)之間的互聯(lián)網(wǎng)流量路由系統(tǒng)，從設(shè)計(jì)上，整個系統(tǒng)就非常脆弱，因?yàn)槿魏我粋€參與網(wǎng)絡(luò)都可以簡單地 "撒謊"式地發(fā)布一個BGP路由通告，例如聲稱 "Facebook的服務(wù)器"在他們的網(wǎng)絡(luò)上，隨后所有的互聯(lián)網(wǎng)實(shí)體都會把它當(dāng)作合法的目標(biāo)，從而將Facebook的流量全部發(fā)送到劫持者的服務(wù)器上。

過去，在HTTPS被廣泛用于加密流量之前，BGP劫持允許攻擊者進(jìn)行中間人（MitM）攻擊，攔截和改變互聯(lián)網(wǎng)流量。

如今，BGP劫持仍然是危險的，因?yàn)樗梢宰尳俪终哂涗浟髁?，并試圖在以后的日子里對流量進(jìn)行分析和解密，現(xiàn)時由于密碼學(xué)科學(xué)的進(jìn)步，用于保護(hù)流量的加密技術(shù)已經(jīng)被削弱。

自90年代中期以來，BGP劫持一直是互聯(lián)網(wǎng)主干網(wǎng)的一個問題，多年來通信從業(yè)者一直在努力加強(qiáng)BGP協(xié)議的安全性，自此產(chǎn)生了ROV、RPKI，以及最近的MANRS等項(xiàng)目。然而，在采用這些新協(xié)議方面的進(jìn)展一直很緩慢，BGP劫持事件仍時有發(fā)生。

專家們過去曾多次指出，并非所有的BGP劫持都是惡意的。大多數(shù)事件可能是人為操作者誤輸入了一個ASN(自主系統(tǒng)號，即互聯(lián)網(wǎng)實(shí)體的識別代碼)，意外劫持了該公司的互聯(lián)網(wǎng)流量。

然而，一些實(shí)體的BGP劫持事件的幕后黑手仍然時有發(fā)生，許多專家在事件的背后都被貼上了可疑的標(biāo)簽，說明這些事件不僅僅是意外。

Rostelecom（AS12389）雖然沒有像之前部分國家的運(yùn)營商那樣直接故意地參與到BGP劫持事件中，但其背后也有很多類似的可疑事件。

上一次搶占頭條的Rostelecom重大劫持事件發(fā)生在2017年，當(dāng)時該電信公司劫持了包括Visa、Mastercard、匯豐銀行等全球最大的金融實(shí)體的BGP路由。

這一次，通信業(yè)內(nèi)還沒有定論。BGPMon的創(chuàng)始人Andree Toonk正在給予俄羅斯電信公司以懷疑的理由。Toont在Twitter上表示，他認(rèn)為這次 "劫持 "事件發(fā)生的原因是俄羅斯電信內(nèi)部的流量整形系統(tǒng)可能在公共互聯(lián)網(wǎng)上不小心暴露了錯誤的BGP路由，而不是俄羅斯電信內(nèi)部網(wǎng)絡(luò)的整體問題。

不幸的是，這個小小的失誤被Rostelecom的上游供應(yīng)商拿著新公布的BGP路由在互聯(lián)網(wǎng)上重新傳播，從而將BGP劫持事件在幾秒鐘內(nèi)放大了，這讓這個小錯誤變得更加嚴(yán)重。

但是，過去很多互聯(lián)網(wǎng)專家也曾指出，故意的BGP劫持是有可能出現(xiàn)的，因?yàn)闆]有人能夠分辨出來差異。在國家控制的電信實(shí)體中發(fā)生的BGP劫持一向被視為可疑-主要是由于政治因素，而不是技術(shù)原因。

來源：cnBeta

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明