本周早些时候,全球最大的200多家内容传输网络(CDN)和云主机提供商的流量被怀疑通过俄罗斯国有电信运营商Rostelecom转发。该事件影响了200多个网络的8800多条互联网流量路线。受影响的公司都是云和CDN市场的知名企业,包括Google、Amazon、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等公司。
受害网络的完整名单可以参考这个Twitter信息流地址:
https://twitter.com/search?q=AS12389%20(from%3Abgpstream)%20until%3A2020-04-07%20since%3A2020-04-01&src=typed_query
这次事件是一个典型的 "BGP劫持",BGP是边界网关协议的缩写,BGP是全球互联网网络之间的互联网流量路由系统,从设计上,整个系统就非常脆弱,因为任何一个参与网络都可以简单地 "撒谎"式地发布一个BGP路由通告,例如声称 "Facebook的服务器"在他们的网络上,随后所有的互联网实体都会把它当作合法的目标,从而将Facebook的流量全部发送到劫持者的服务器上。
过去,在HTTPS被广泛用于加密流量之前,BGP劫持允许攻击者进行中间人(MitM)攻击,拦截和改变互联网流量。
如今,BGP劫持仍然是危险的,因为它可以让劫持者记录流量,并试图在以后的日子里对流量进行分析和解密,现时由于密码学科学的进步,用于保护流量的加密技术已经被削弱。
自90年代中期以来,BGP劫持一直是互联网主干网的一个问题,多年来通信从业者一直在努力加强BGP协议的安全性,自此产生了ROV、RPKI,以及最近的MANRS等项目。然而,在采用这些新协议方面的进展一直很缓慢,BGP劫持事件仍时有发生。
专家们过去曾多次指出,并非所有的BGP劫持都是恶意的。大多数事件可能是人为操作者误输入了一个ASN(自主系统号,即互联网实体的识别代码),意外劫持了该公司的互联网流量。
然而,一些实体的BGP劫持事件的幕后黑手仍然时有发生,许多专家在事件的背后都被贴上了可疑的标签,说明这些事件不仅仅是意外。
Rostelecom(AS12389)虽然没有像之前部分国家的运营商那样直接故意地参与到BGP劫持事件中,但其背后也有很多类似的可疑事件。
上一次抢占头条的Rostelecom重大劫持事件发生在2017年,当时该电信公司劫持了包括Visa、Mastercard、汇丰银行等全球最大的金融实体的BGP路由。
这一次,通信业内还没有定论。BGPMon的创始人Andree Toonk正在给予俄罗斯电信公司以怀疑的理由。Toont在Twitter上表示,他认为这次 "劫持 "事件发生的原因是俄罗斯电信内部的流量整形系统可能在公共互联网上不小心暴露了错误的BGP路由,而不是俄罗斯电信内部网络的整体问题。
不幸的是,这个小小的失误被Rostelecom的上游供应商拿着新公布的BGP路由在互联网上重新传播,从而将BGP劫持事件在几秒钟内放大了,这让这个小错误变得更加严重。
但是,过去很多互联网专家也曾指出,故意的BGP劫持是有可能出现的,因为没有人能够分辨出来差异。在国家控制的电信实体中发生的BGP劫持一向被视为可疑-主要是由于政治因素,而不是技术原因。