俄羅斯Rostelecom被發現劫持Google/AWS/Cloudflare等公司的互聯網流量
本週早些時候,全球最大的200多家內容傳輸網絡(CDN)和雲主機提供商的流量被懷疑通過俄羅斯國有電信運營商Rostelecom轉發。該事件影響了200多個網絡的8800多條互聯網流量路線。受影響的公司都是雲和CDN市場的知名企業,包括Google、Amazon、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等公司。
受害網絡的完整名單可以參考這個Twitter信息流地址:
這次事件是一個典型的”BGP劫持”,BGP是邊界網關協議的縮寫,BGP是全球互聯網網絡之間的互聯網流量路由系統,從設計上,整個系統就非常脆弱,因為任何一個參與網絡都可以簡單地”撒謊”式地發布一個BGP路由通告,例如聲稱”Facebook的服務器”在他們的網絡上,隨後所有的互聯網實體都會把它當作合法的目標,從而將Facebook的流量全部發送到劫持者的服務器上。
過去,在HTTPS被廣泛用於加密流量之前,BGP劫持允許攻擊者進行中間人(MitM)攻擊,攔截和改變互聯網流量。
如今,BGP劫持仍然是危險的,因為它可以讓劫持者記錄流量,並試圖在以後的日子裡對流量進行分析和解密,現時由於密碼學科學的進步,用於保護流量的加密技術已經被削弱。
自90年代中期以來,BGP劫持一直是互聯網主幹網的一個問題,多年來通信從業者一直在努力加強BGP協議的安全性,自此產生了ROV、RPKI,以及最近的MANRS等項目。然而,在採用這些新協議方面的進展一直很緩慢,BGP劫持事件仍時有發生。
專家們過去曾多次指出,並非所有的BGP劫持都是惡意的。大多數事件可能是人為操作者誤輸入了一個ASN(自主系統號,即互聯網實體的識別代碼),意外劫持了該公司的互聯網流量。
然而,一些實體的BGP劫持事件的幕後黑手仍然時有發生,許多專家在事件的背後都被貼上了可疑的標籤,說明這些事件不僅僅是意外。
Rostelecom(AS12389)雖然沒有像之前部分國家的運營商那樣直接故意地參與到BGP劫持事件中,但其背後也有很多類似的可疑事件。
上一次搶占頭條的Rostelecom重大劫持事件發生在2017年,當時該電信公司劫持了包括Visa、Mastercard、匯豐銀行等全球最大的金融實體的BGP路由。
這一次,通信業內還沒有定論。BGPMon的創始人Andree Toonk正在給予俄羅斯電信公司以懷疑的理由。Toont在Twitter上表示,他認為這次”劫持”事件發生的原因是俄羅斯電信內部的流量整形系統可能在公共互聯網上不小心暴露了錯誤的BGP路由,而不是俄羅斯電信內部網絡的整體問題。
不幸的是,這個小小的失誤被Rostelecom的上游供應商拿著新公佈的BGP路由在互聯網上重新傳播,從而將BGP劫持事件在幾秒鐘內放大了,這讓這個小錯誤變得更加嚴重。
但是,過去很多互聯網專家也曾指出,故意的BGP劫持是有可能出現的,因為沒有人能夠分辨出來差異。在國家控制的電信實體中發生的BGP劫持一向被視為可疑-主要是由於政治因素,而不是技術原因。