Rostelecom本周参与了BGP劫持事件,影响了200多个CDN和云提供商。
本周早些时候,通过俄罗斯国有电信提供商Rostelecom可疑地重定向了200多个世界上最大的内容交付网络(CDN)和云托管提供商的流量。
该事件影响了来自200多个网络的8800多个互联网流量路由,持续了大约一个小时。
受影响的公司是云和CDN市场上的名人,包括Google,Amazon,Facebook,Akamai,Cloudflare,GoDaddy,Digital Ocean,Joyent,LeaseWeb,Hetzner和Linode等知名公司。
该事件是典型的“ BGP劫持”。
BGP表示边界网关协议,是事实上的系统,用于在全球Internet网络之间路由Internet通信。
整个系统非常脆弱,因为任何参与者网络都可以简单地“撒谎”并发布声明(BGP路由),声明其网络上存在“ Facebook的服务器”,并且所有互联网实体都将其视为合法并发送所有Facebook到劫机者服务器的流量。
过去,在HTTPS广泛用于加密流量之前,BGP劫持允许攻击者运行中间人(MitM)攻击并拦截和更改Internet流量。
如今,BGP劫持仍然很危险,因为当加密科学的进步削弱了用于保护它的加密功能时,它允许劫持者记录流量并在以后尝试对其进行分析和解密。
自90年代中期以来,BGP劫持一直是互联网骨干网的一个问题,多年来,ROV,RPKI和MANRS等项目一直在努力提高BGP协议的安全性。
但是,采用这些新协议的进展缓慢,并且BGP劫持仍在定期发生。
例如,在2018年11月,一小批尼日利亚ISP劫持了通向Google网络的流量,而在2019年6月,大量欧洲移动流量通过中国国有,最大的电信运营商中国电信进行了路由。
ROSTELECOM,屡犯
过去,专家多次指出,并非所有BGP劫持都是恶意的。大多数事件可能是由于操作员误输入了ASN(自治系统号,用于标识互联网实体的代码),并意外劫持了该公司的互联网流量。
但是,某些实体仍然定期处于BGP劫持背后,并被许多专家标记为可疑的事件背后,这表明它们不仅仅是意外事件。
尽管Rostelecom(AS12389)没有像中国电信那样普遍参与BGP劫持,但也引发了许多类似的可疑事件。
Rostelecom的最后一次重大劫机事件发生在2017年,当时该电信公司劫持了一些全球最大金融实体(包括Visa,万事达卡,汇丰银行等)的BGP路由。
当时,思科的BGPMon部门将该事件描述为“ 好奇的 ”,因为该事件似乎只影响金融服务,而不影响随机ASN。
这次,陪审团仍然没有。BGPMon创始人Andree Toonk正给俄罗斯电信公司带来疑虑。Toont在推特上说,他相信“劫机”是在内部Rostelecom流量整形系统可能不小心暴露了公共Internet而非Rostelecom的内部网络上的不正确BGP路由之后发生的。
不幸的是,当Rostelecom的上游提供商采用新宣布的BGP路由并在Internet上重新广播它们时,这个小错误变得更加严重,从而在几秒钟内放大了BGP劫持。
但是,正如过去许多互联网专家所指出的那样,有可能使故意的BGP劫持事件作为意外事件出现,没有人能分辨出差异。
在独裁国家(如中国和俄罗斯)的国家控制电信实体中发生的BGP劫持一向被视为可疑-主要是由于政治因素,而不是技术原因。
文章在发布后30分钟更新,以澄清该事件仅发生一次,而不是两次。BGPMon流今天再次宣布4月1日的劫机事件,给人以重复原始事件的印象。ZDNet对此错误感到遗憾。
网友评论