前言

上周日，谷歌旗下的云服務(wù)、YouTube等網(wǎng)絡(luò)服務(wù)在全球范圍內(nèi)均發(fā)生了數(shù)小時的宕機(jī)，外媒稱因遭到來自中國電信IP的BGP劫持導(dǎo)致故障發(fā)生。雖然這次事件為中國電信帶來了“寶貴”的谷歌流量，但是黑鍋我們真的不背。

概述

本次事件是由一家名為Main One的西非電信公司進(jìn)行網(wǎng)絡(luò)更新引發(fā)的。Main One是位于尼日利亞拉各斯的一家商業(yè)ISP供應(yīng)商，在葡萄牙和南非之間運(yùn)營著一條海底電纜。

該公司表示：

解構(gòu)

Main One提供了一些具體的細(xì)節(jié)。他們在進(jìn)行網(wǎng)絡(luò)更新時，由于誤操作導(dǎo)致BGP過濾器配置錯誤，將一部分原來只屬于某個網(wǎng)段的線路配置加入了另一個網(wǎng)段中，致其骨干網(wǎng)將針對Google服務(wù)的請求經(jīng)過層層節(jié)點(diǎn)全部定向至中國電信IP。

為什么一家西非ISP供應(yīng)商的失誤會影響到北半球的美國?

主要原因是Main One通過位于尼日利亞拉哥斯的IXPN公司與谷歌存建立了點(diǎn)對點(diǎn)流量共享和交換協(xié)議，當(dāng)Main One導(dǎo)入了錯誤的配置信息時，相關(guān)路由信息也會被谷歌自動獲取和投入使用，谷歌的全網(wǎng)流量會通過TransTelecom傳輸?shù)絅TT和其他中轉(zhuǎn)ISP，最后被重定向至中國電信。本次事件主要發(fā)生在商業(yè)級ISP鏈路上，消費(fèi)級ISP鏈路幾乎不受影響。谷歌也表示沒有任何服務(wù)器或數(shù)據(jù)受到影響。

后話

這一事件進(jìn)一步凸顯了互聯(lián)網(wǎng)架構(gòu)的一個基礎(chǔ)性弱點(diǎn)。BGP的設(shè)計(jì)初衷是為正常的商業(yè)ISP供應(yīng)商和其他實(shí)體之間構(gòu)建可以信任的網(wǎng)絡(luò)鏈路，降低鑒別和過濾信息的復(fù)雜程度。而當(dāng)今互聯(lián)網(wǎng)服務(wù)提供商和國家之間的商業(yè)和地緣政治關(guān)系將BGP的薄弱點(diǎn)暴露了出來。雖然存在ROA等驗(yàn)證方法，但很少有ISP全面部署。

即使像谷歌這樣擁有大量資源的公司也無法免受這種BGP故障的影響，大多數(shù)沒有Google這么雄厚資源的企業(yè)可能無法快速定位和解決問題。

參考鏈接

https://www.theregister.co.uk/2018/11/14/nigerian_telco_bgp/

https://blog.thousandeyes.com/internet-vulnerability-takes-down-google/