4月1日，這個(gè)并不尋常的愚人節(jié)，俄羅斯Rostelecom被發(fā)現(xiàn)疑似劫持來自全球200多家 CDN 和云托管提供商的流量。

這次BGP劫持的影響有多大呢，200多個(gè)網(wǎng)絡(luò)的8800多條互聯(lián)網(wǎng)流量路由受到影響，波及攻擊谷歌、亞馬遜、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等知名公司。

BGP的安全問題，真實(shí)傷不起。

[[323684]]

互聯(lián)網(wǎng)是一個(gè)去中心化的分布式結(jié)構(gòu)，整個(gè)網(wǎng)絡(luò)由成百上千個(gè)不同的ISP(互聯(lián)網(wǎng)服務(wù)提供商)的子網(wǎng)絡(luò)組成。而為了達(dá)到互聯(lián)，子網(wǎng)絡(luò)A就是通過BGP協(xié)議告訴子網(wǎng)絡(luò)B：我這里都包括哪些IP地址段，AS編號(hào)(AS Number)是什么以及一些其他的信息。

與此同時(shí)，為了避免人們使用相同的地址空間，由主管部門(地區(qū)互聯(lián)網(wǎng)注冊(cè)中心/RIRS)負(fù)責(zé)分配IP地址。

整個(gè)網(wǎng)絡(luò)流量互聯(lián)的過程中，BGP像是一條“通道”。

作為互聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施的組成部分，1989年誕生的BGP 已經(jīng)馳騁網(wǎng)絡(luò)幾十年，但驚人的是，哪怕到現(xiàn)在，BGP仍然缺乏足夠的安全措施。譬如，由于每個(gè)ISP(互聯(lián)網(wǎng)服務(wù)提供商)通常必須默認(rèn)信任其對(duì)等網(wǎng)絡(luò)運(yùn)營(yíng)商在傳輸流量時(shí)與其共享的路由信息。一旦路由信息沒有經(jīng)過適當(dāng)?shù)膶彶楹瓦^濾，那意味著流量可能被發(fā)送至惡意站點(diǎn)。

總結(jié)一下針對(duì)互聯(lián)網(wǎng)路由功能的攻擊可能帶來的后果是：

• DDoS攻擊，互聯(lián)網(wǎng)服務(wù)拒絕訪問
• 旁路互聯(lián)網(wǎng)流量監(jiān)聽，及對(duì)終端(網(wǎng)站)進(jìn)行路徑攻擊
• 錯(cuò)誤交付互聯(lián)網(wǎng)網(wǎng)絡(luò)流量到惡意終端
• 損害基于IP地址的信譽(yù)和過濾系統(tǒng)
• 互聯(lián)網(wǎng)路由不穩(wěn)定

一般來說，BGP劫持雖然普遍，但大多數(shù)劫持都是短暫的。并且，不是所有的BGP劫持都是惡意的，很有可能只是操作者的一個(gè)手抖，配置錯(cuò)誤導(dǎo)致意外劫持。當(dāng)然，并不否認(rèn)惡意分子利用，目的性地劫持。

[尷尬的是，有意為之還是不小心操作，很難分辨。]

以此次Rostelecom路由劫持事件為例，事件發(fā)生的原因是俄羅斯電信內(nèi)部的流量整形系統(tǒng)可能在公共互聯(lián)網(wǎng)上不小心暴露了錯(cuò)誤的BGP路由而不是俄羅斯電信內(nèi)部網(wǎng)絡(luò)的整體問題。不幸的是，這個(gè)小小的失誤被Rostelecom的上游供應(yīng)商拿著新公布的BGP路由在互聯(lián)網(wǎng)上重新傳播，從而將BGP劫持事件在幾秒鐘內(nèi)放大了。

一個(gè)“小小的錯(cuò)誤”瞬間滾成巨大的雪球，影響全球200多個(gè)網(wǎng)絡(luò)。

盡管過去十幾年的經(jīng)驗(yàn)告訴我們，BGP 路由泄露，劫持問題有多嚴(yán)重，但是這個(gè)問題依然一直沒有被解決。

回顧一下那些年，BGP安全問題闖下的“禍”：

• 2003年5月，彼時(shí)的世界第三大軍工生產(chǎn)廠商N(yùn)orthrop Grumman部分BGP網(wǎng)絡(luò)被惡意利用，用來發(fā)送海量的垃圾郵件。最終，這家軍火承包商花費(fèi)了整整2個(gè)月來重新聲明對(duì)這些IP地址的所有權(quán)，同時(shí)，由于被頻繁地列入垃圾郵件地址黑名單，其IP地址全部被禁止使用。
• 2008年2月，巴基斯坦政府以YouTube有褻瀆神明內(nèi)容為理由命令網(wǎng)絡(luò)服務(wù)商封鎖YouTube。巴基斯坦電信試圖限制本地用戶接入YouTube，通過BGP向香港電信盈科(PCCW)發(fā)送新的路由信息，然后PCCW向國(guó)際互聯(lián)網(wǎng)廣播了這個(gè)錯(cuò)誤的路由信息。但是，由于工程師手抖，路由信息有誤導(dǎo)致“YouTube斷網(wǎng)”。
• 2015年，Hacking Team利用BGP Hijack劫持目標(biāo)網(wǎng)絡(luò)鏈路數(shù)據(jù)，協(xié)助意大利黑客團(tuán)體的攻擊行動(dòng)，完成長(zhǎng)期監(jiān)控。
• 2017年，Google工程師配置錯(cuò)誤，意外劫持了NTT通信株式會(huì)社的流量(NTT是日本一家主要的ISP，并且支持OCN和KDDI兩個(gè)小型的ISP)，導(dǎo)致日本800萬用戶持續(xù)斷網(wǎng)40分鐘左右。
• 2018年4月，亞馬遜權(quán)威域名服務(wù)器遭到BGP路由劫持攻擊，價(jià)值1730萬美元ETH被盜。
• ……

既然知道傷不起，為什么BGP的安全性脆弱依舊?

事實(shí)上，通信從業(yè)者多年來一直在試圖加強(qiáng)BGP協(xié)議的安全性。

早在2018年，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所( NIST)與國(guó)土安全部( DHS)聯(lián)合發(fā)布了第一份防范BGP劫持的安全標(biāo)準(zhǔn)草案;ROV、RPKI，包括最近的MANRS等項(xiàng)目一直致力BGP安全問題。然而，在采用這些新協(xié)議方面卻一直進(jìn)展緩慢。

以MANRS為例，成立已有6年之久，但直到最近，主要的CDN 服務(wù)商和云計(jì)算公司亞馬遜、Google、微軟、Facebook、Akamai、Cloudflare、 Netflix 和 VeriSign等才加入到了這一安全路由倡議。而根據(jù)資料顯示，加入MANRS的網(wǎng)絡(luò)提供商需要承諾執(zhí)行過濾、反欺詐和驗(yàn)證，利用多種方法阻止流量劫持和路由攻擊，并且與其他網(wǎng)絡(luò)提供商進(jìn)行協(xié)調(diào)合作。

說到這里，其實(shí)需要強(qiáng)調(diào)的是，網(wǎng)絡(luò)運(yùn)營(yíng)商必須確保全局路由安全，這是底線。他們有責(zé)任確保全球范圍內(nèi)強(qiáng)大且安全的路由基礎(chǔ)架構(gòu)，阻止惡意行為和意外配置錯(cuò)誤帶來更大的影響。而這些問題是可以通過一些舉措的落地而解決的，比如實(shí)施適當(dāng)?shù)那熬Y過濾器，保證其客戶僅發(fā)布真實(shí)屬于他們自己的前綴;實(shí)施TTL安全機(jī)制(GTSM)，防止攻擊者使用偽造的數(shù)據(jù)包等。

最后，BGP的安全問題不止于此，缺乏有效的解決方法、切實(shí)落地的安全標(biāo)準(zhǔn)以及足夠的力量來推進(jìn)，讓BGP只能成為攻擊者眼中移動(dòng)的靶子。這是一個(gè)需要被所有網(wǎng)絡(luò)運(yùn)營(yíng)商和安全人員重視的問題。