谷歌、Facebook 等企业流量被劫持,惯犯 Rostelecom 的无心之过?

  • A+
所属分类:技术资讯

技术编辑:北京卡尔博客出版:卡尔博客
最近,BGPMon发布了一则警告,指出与AS12389(Rostelecom)相关的大规模BGP绑架事件将影响世界上最大的200多个内容传输网络(CDN)和云主机提供商超过8,000个IP前缀。
此次受影响的所有企业包括Google、Amazon、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb和Hetzner
BGP劫持
这是典型的BGP绑架案。
BGP是边界网关协议的缩写,是全球internet网络之间的internet流量路由系统。任何参与网络都可以简单地“说谎”,并发布声明(BGP路由),声明“Facebook上的服务器”位于自己的网络上,所有互联网实体都将合法使用该网络,从而将Facebook流量发送到绑架者的服务器,因此整个系统非常脆弱。
在HTTPS被广泛用于加密流量之前,BGP劫持使攻击者能够执行中间人攻击,拦截和更改internet流量。BGP劫持仍然很危险,因为它可以通过强度记录流量,以后分析和解密。
BGP绑架是90年代中期以来internet主干网络的一个问题,长期以来,ROV、RPKI、MANRS等BGP协议的安全性一直在努力增强。但是,这些新协议的采纳进展缓慢,BGP绑架事件仍然可能发生。
例如,尼日利亚一家小网络公司于2018年11月绑架了谷歌网络使用的流量,2019年6月还绕过了很多欧洲移动流量。
“惯犯”Rostelecom
业内有人多次指出,并非所有BGP绑架都是恶意的。大多数事件可能是工作人员意外输入了internet流量绑架的ASN(自己的系统编号,即internet对象的标识码)。
但是,有些BGP绑架事件不是单纯的事故。例如,在此次Rostelecom(AS12389)中,此孩子可能被视为“惯犯”。
最近发生了影响很大的Rostelecom绑架事件的2017年,该公司绑架了包括Visa、Mastercard、HSBC等世界最大金融主体在内的BGP路由。但是思科的BGPMon部门将此事件描述为“好奇”。因为这似乎只影响金融服务,而不影响随机ASN。
这次陪审团还没有得出结论。
但是BGPMon的创始人Andree Toonk仍然保留此次事件是否有意。Toont在推特上解释说,这次“higaking”事件发生的原因是俄罗斯电信内部的流量整形系统可能在网络上意外暴露了错误的BGP路由。不幸的是,当Rostelecom的上游供应商在互联网上重新普及新发布的BGP路由,并在几秒钟内扩大BGP绑架事件时,这个小错误扩大了。
但是正如很多业界专家指出的,BGP绑架是否是意外,没有人能做出明确的判断。
安全路由方案
由于很难控制BGP路由泄漏问题,难以确定其性质,因此主要CDN服务公司和云计算公司6年前成立了mutually agreed norms for routing security(man RS)来解决此问题。
据悉,MANRS会员包括近300家网络运营商和48家网络交换点。Amazon、Google、Microsoft、Facebook、Akamai、Cloudflare、Netflix和VeriSign都参与了此安全路由计划,并利用多种方法阻止流量劫持和路由攻击。
采用MANRS的网络供应商承诺过滤、反欺诈和验证,并与其他供应商协调。CDN成员承诺采取一些类似的安全做法,包括防止传播错误的路由信息、防止来自欺骗或非法IP地址的流量、促进全球路由信息验证和MANRS采用,以及为对等合作伙伴提供监视和调试工具。
但是从这次事件来看,这个构想没有有效地解决这个问题

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: