上周四(6月6日),原本傳輸到幾家歐洲最大的移動服務提供商的流量,通過中國電信重定向到錯誤的地方長達2小時。這次事件引發了公眾對互聯網全球路由系統:BGP(邊界網關協議)的擔憂。
什么是BGP?
BGP即邊界網關協議,是自治系統間的路由協議,BGP交換的網絡可達性信息提供了足夠的信息來檢測路由回路并根據性能優先和策略約束對路由進行決策。
BGP是互聯網核心基礎設施的組成部分,但過去幾年BGP發生過許多次嚴重的路由泄漏,導致一個網絡的流量被重定向路由經過其它網絡。BGP的問題在于它過于信任收到的路由廣播。
BGP路由條目在不同的角色都有其合理通告范圍, 一旦BGP路由通告傳播到其原本預期通告范圍之外稱之為路由泄露,而這會造成難以估量的嚴重后果。提供商通常會設置保護措施和安全程序,以防止BGP路由泄漏影響彼此的網絡。
BGP泄露事件始末
事件始于2019年6月6日上午9點43 分(UTC),瑞士數據中心主機托管公司Safe Host的自治系統AS21217錯誤地更新了路由器,結果這條路徑最終通向包括估計3.68億個IP地址的70000多條互聯網路由。
BGP路由泄露示意圖(來源:ThousandEyes)
中國電信的AS4134在2017年與Safe Host達成了網絡對等互聯(peering)協議,幾乎立即回應了這些路由,而不是像合理的BGP過濾做法所要求的那樣丟棄這些路由。短時間內,連接到中國電信的眾多大型網絡開始沿著這條路徑傳輸。
受影響嚴重的歐洲網絡包括瑞士瑞士的Swisscom(AS3303),荷蘭的KPN (AS1130),以及法國的Bouygues Telecom(AS5410)和Numericable-SFR(AS21502)。
漫長的時間跨度加劇了事件的影響。KPN后來指責這次事件是導致許多荷蘭消費者無法完成借記卡交易的根本原因。據網絡情報服務商ThousandEyes的研究人員表示,發送到Facebook旗下的WhatsApp消息服務的一些流量也受到了影響。
6月7日,瑞士主機托管公司Safe Host在推特表示:“我們仍在與硬件供應商和CT一起調查昨天的BGP泄露事件,我方暫未調查到引發此次事件的配置變更。”
截圖自推特
路由泄露路徑復盤
Oracle互聯網分析部門主管Doug Madory最先報告了此事件,他所做的路由跟蹤,復現了流量傳輸路徑究竟繞了多大的圈子。
以下截圖顯示了從弗吉尼亞州的谷歌云服務器開始的流量通過中國電信的骨干網絡傳輸,最終傳輸到位于奧地利維也納的目標IP地址。
以下截圖顯示了多倫多的Oracle數據中心與法國受影響的IP地址之間的類似路由。
Oracle的Doug Madory 表示“通常此類事件只持續幾分鐘,但此次事件中的許多泄露路由已經流通超過2小時。此外,路由泄露更多地針對路由前綴,因此建議使用路由優化器或類似技術”。
此次事件中,有超過1,300個荷蘭路由前綴被暴露,并且有470條KPN路線通過了中國電信的網絡。同樣的情況也發生在64條Swisscom路由上,有200個瑞士路由前綴被暴露。
Oracle在事件中觀察到150個Bouygues Telecom路由前綴,其中包括127個現有路由的細節,并且發現一些自有的traceroute測量也未能幸免。
路由泄露引發的思考
Oracle互聯網分析部門主管Doug Madory在博文中寫道:
“今天的事件表明,互聯網還沒有徹底消除BGP路由泄漏的問題。中國電信作為一家主要的國際運營商,既沒有實施必要的基本路由保護措施以防止路由泄露傳播,也沒有實施必要的流程和程序以及時地發現并修復此類不可避免的事件。如此大規模的路由泄露持續了2小時,導致全球通信質量下降。
任何電信服務商想改善路由狀況,加入互聯網協會的《相互協定的路由安全規范》(MANRS)是一個好方法。”
此外,早在去年,Doug Madory就建議電信服務提供商支持BGP安全標準,如RPKI,以此作為防止流量“劫持”的首選方式。
這次事件暴露了BGP的根本弱點,BGP是全局路由表,它讓屬于一個AS的IP地址可以找到屬于不同AS的IP地址。
幾十年前,互聯網還是業余愛好者和研究人員云集的地方,大多數人彼此認識,這個系統可以靠絕對信任來運轉。如今,很顯然BGP還沒有適應服務對象呈爆炸級膨脹的互聯網,包括牟取不義之財的犯罪分子與黑客。這意味著每個網絡都需要不斷地監管分配給它們的地址空間。
ThousandEyes的產品營銷副總裁Alex Henthorn-Iwane對IT外媒Ars Technica表示:
“這起事件表明,一個簡單的錯誤要摧毀互聯網的服務交付狀況到底有多容易。如果你看不清發生的狀況,就無法讓服務商承擔責任并解決問題。”
安數網絡的首席安全官李江輝表示:
“BGP的缺陷在于流量會選擇路由廣播到達目的地的最短路徑進行傳輸。中國電信因為和Safe Host有Peer協議,將Safe Host的路由作為自己的路由,將自己作為到達Safe Host網絡和其他附近歐洲電信公司和ISP的最短途徑之一,導致歐洲流量通過中國電信進行重定向。”
本文由安數網絡編譯整理。部分文字、圖片來自網絡,如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照