4月1日，這個并不尋常的愚人節(jié)，俄羅斯Rostelecom被發(fā)現(xiàn)疑似劫持來自全球200多家 CDN 和云托管提供商的流量。

這次BGP劫持的影響有多大呢，200多個網(wǎng)絡的8800多條互聯(lián)網(wǎng)流量路由受到影響，波及攻擊谷歌、亞馬遜、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等知名公司。

BGP的安全問題，真實傷不起。

[[323684]]

互聯(lián)網(wǎng)是一個去中心化的分布式結構，整個網(wǎng)絡由成百上千個不同的ISP(互聯(lián)網(wǎng)服務提供商)的子網(wǎng)絡組成。而為了達到互聯(lián)，子網(wǎng)絡A就是通過BGP協(xié)議告訴子網(wǎng)絡B：我這里都包括哪些IP地址段，AS編號(AS Number)是什么以及一些其他的信息。

與此同時，為了避免人們使用相同的地址空間，由主管部門(地區(qū)互聯(lián)網(wǎng)注冊中心/RIRS)負責分配IP地址。

整個網(wǎng)絡流量互聯(lián)的過程中，BGP像是一條“通道”。

作為互聯(lián)網(wǎng)核心基礎設施的組成部分，1989年誕生的BGP 已經(jīng)馳騁網(wǎng)絡幾十年，但驚人的是，哪怕到現(xiàn)在，BGP仍然缺乏足夠的安全措施。譬如，由于每個ISP(互聯(lián)網(wǎng)服務提供商)通常必須默認信任其對等網(wǎng)絡運營商在傳輸流量時與其共享的路由信息。一旦路由信息沒有經(jīng)過適當?shù)膶彶楹瓦^濾，那意味著流量可能被發(fā)送至惡意站點。

總結一下針對互聯(lián)網(wǎng)路由功能的攻擊可能帶來的后果是：

• DDoS攻擊，互聯(lián)網(wǎng)服務拒絕訪問
• 旁路互聯(lián)網(wǎng)流量監(jiān)聽，及對終端(網(wǎng)站)進行路徑攻擊
• 錯誤交付互聯(lián)網(wǎng)網(wǎng)絡流量到惡意終端
• 損害基于IP地址的信譽和過濾系統(tǒng)
• 互聯(lián)網(wǎng)路由不穩(wěn)定

一般來說，BGP劫持雖然普遍，但大多數(shù)劫持都是短暫的。并且，不是所有的BGP劫持都是惡意的，很有可能只是操作者的一個手抖，配置錯誤導致意外劫持。當然，并不否認惡意分子利用，目的性地劫持。

[尷尬的是，有意為之還是不小心操作，很難分辨。]

以此次Rostelecom路由劫持事件為例，事件發(fā)生的原因是俄羅斯電信內部的流量整形系統(tǒng)可能在公共互聯(lián)網(wǎng)上不小心暴露了錯誤的BGP路由而不是俄羅斯電信內部網(wǎng)絡的整體問題。不幸的是，這個小小的失誤被Rostelecom的上游供應商拿著新公布的BGP路由在互聯(lián)網(wǎng)上重新傳播，從而將BGP劫持事件在幾秒鐘內放大了。

一個“小小的錯誤”瞬間滾成巨大的雪球，影響全球200多個網(wǎng)絡。

盡管過去十幾年的經(jīng)驗告訴我們，BGP 路由泄露，劫持問題有多嚴重，但是這個問題依然一直沒有被解決。

回顧一下那些年，BGP安全問題闖下的“禍”：

• 2003年5月，彼時的世界第三大軍工生產(chǎn)廠商Northrop Grumman部分BGP網(wǎng)絡被惡意利用，用來發(fā)送海量的垃圾郵件。最終，這家軍火承包商花費了整整2個月來重新聲明對這些IP地址的所有權，同時，由于被頻繁地列入垃圾郵件地址黑名單，其IP地址全部被禁止使用。
• 2008年2月，巴基斯坦政府以YouTube有褻瀆神明內容為理由命令網(wǎng)絡服務商封鎖YouTube。巴基斯坦電信試圖限制本地用戶接入YouTube，通過BGP向香港電信盈科(PCCW)發(fā)送新的路由信息，然后PCCW向國際互聯(lián)網(wǎng)廣播了這個錯誤的路由信息。但是，由于工程師手抖，路由信息有誤導致“YouTube斷網(wǎng)”。
• 2015年，Hacking Team利用BGP Hijack劫持目標網(wǎng)絡鏈路數(shù)據(jù)，協(xié)助意大利黑客團體的攻擊行動，完成長期監(jiān)控。
• 2017年，Google工程師配置錯誤，意外劫持了NTT通信株式會社的流量(NTT是日本一家主要的ISP，并且支持OCN和KDDI兩個小型的ISP)，導致日本800萬用戶持續(xù)斷網(wǎng)40分鐘左右。
• 2018年4月，亞馬遜權威域名服務器遭到BGP路由劫持攻擊，價值1730萬美元ETH被盜。
• ……

既然知道傷不起，為什么BGP的安全性脆弱依舊?

事實上，通信從業(yè)者多年來一直在試圖加強BGP協(xié)議的安全性。

早在2018年，美國國家標準技術研究所( NIST)與國土安全部( DHS)聯(lián)合發(fā)布了第一份防范BGP劫持的安全標準草案;ROV、RPKI，包括最近的MANRS等項目一直致力BGP安全問題。然而，在采用這些新協(xié)議方面卻一直進展緩慢。

以MANRS為例，成立已有6年之久，但直到最近，主要的CDN 服務商和云計算公司亞馬遜、Google、微軟、Facebook、Akamai、Cloudflare、 Netflix 和 VeriSign等才加入到了這一安全路由倡議。而根據(jù)資料顯示，加入MANRS的網(wǎng)絡提供商需要承諾執(zhí)行過濾、反欺詐和驗證，利用多種方法阻止流量劫持和路由攻擊，并且與其他網(wǎng)絡提供商進行協(xié)調合作。

說到這里，其實需要強調的是，網(wǎng)絡運營商必須確保全局路由安全，這是底線。他們有責任確保全球范圍內強大且安全的路由基礎架構，阻止惡意行為和意外配置錯誤帶來更大的影響。而這些問題是可以通過一些舉措的落地而解決的，比如實施適當?shù)那熬Y過濾器，保證其客戶僅發(fā)布真實屬于他們自己的前綴;實施TTL安全機制(GTSM)，防止攻擊者使用偽造的數(shù)據(jù)包等。

最后，BGP的安全問題不止于此，缺乏有效的解決方法、切實落地的安全標準以及足夠的力量來推進，讓BGP只能成為攻擊者眼中移動的靶子。這是一個需要被所有網(wǎng)絡運營商和安全人員重視的問題。