上周四（6月6日），原本傳輸?shù)綆准覛W洲最大的移動(dòng)服務(wù)提供商的流量，通過中國(guó)電信重定向到錯(cuò)誤的地方長(zhǎng)達(dá)2小時(shí)。這次事件引發(fā)了公眾對(duì)互聯(lián)網(wǎng)全球路由系統(tǒng)：BGP（邊界網(wǎng)關(guān)協(xié)議）的擔(dān)憂。

什么是BGP？

BGP即邊界網(wǎng)關(guān)協(xié)議，是自治系統(tǒng)間的路由協(xié)議，BGP交換的網(wǎng)絡(luò)可達(dá)性信息提供了足夠的信息來檢測(cè)路由回路并根據(jù)性能優(yōu)先和策略約束對(duì)路由進(jìn)行決策。

BGP是互聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施的組成部分，但過去幾年BGP發(fā)生過許多次嚴(yán)重的路由泄漏，導(dǎo)致一個(gè)網(wǎng)絡(luò)的流量被重定向路由經(jīng)過其它網(wǎng)絡(luò)。BGP的問題在于它過于信任收到的路由廣播。

BGP路由條目在不同的角色都有其合理通告范圍， 一旦BGP路由通告?zhèn)鞑サ狡湓绢A(yù)期通告范圍之外稱之為路由泄露，而這會(huì)造成難以估量的嚴(yán)重后果。提供商通常會(huì)設(shè)置保護(hù)措施和安全程序，以防止BGP路由泄漏影響彼此的網(wǎng)絡(luò)。

BGP泄露事件始末

事件始于2019年6月6日上午9點(diǎn)43 分（UTC），瑞士數(shù)據(jù)中心主機(jī)托管公司Safe Host的自治系統(tǒng)AS21217錯(cuò)誤地更新了路由器，結(jié)果這條路徑最終通向包括估計(jì)3.68億個(gè)IP地址的70000多條互聯(lián)網(wǎng)路由。

BGP路由泄露示意圖（來源：ThousandEyes）

中國(guó)電信的AS4134在2017年與Safe Host達(dá)成了網(wǎng)絡(luò)對(duì)等互聯(lián)（peering）協(xié)議，幾乎立即回應(yīng)了這些路由，而不是像合理的BGP過濾做法所要求的那樣丟棄這些路由。短時(shí)間內(nèi)，連接到中國(guó)電信的眾多大型網(wǎng)絡(luò)開始沿著這條路徑傳輸。

受影響嚴(yán)重的歐洲網(wǎng)絡(luò)包括瑞士瑞士的Swisscom（AS3303），荷蘭的KPN （AS1130），以及法國(guó)的Bouygues Telecom（AS5410）和Numericable-SFR（AS21502）。

漫長(zhǎng)的時(shí)間跨度加劇了事件的影響。KPN后來指責(zé)這次事件是導(dǎo)致許多荷蘭消費(fèi)者無法完成借記卡交易的根本原因。據(jù)網(wǎng)絡(luò)情報(bào)服務(wù)商ThousandEyes的研究人員表示，發(fā)送到Facebook旗下的WhatsApp消息服務(wù)的一些流量也受到了影響。

6月7日，瑞士主機(jī)托管公司Safe Host在推特表示：“我們?nèi)栽谂c硬件供應(yīng)商和CT一起調(diào)查昨天的BGP泄露事件，我方暫未調(diào)查到引發(fā)此次事件的配置變更。”

截圖自推特

路由泄露路徑復(fù)盤

Oracle互聯(lián)網(wǎng)分析部門主管Doug Madory最先報(bào)告了此事件，他所做的路由跟蹤，復(fù)現(xiàn)了流量傳輸路徑究竟繞了多大的圈子。

以下截圖顯示了從弗吉尼亞州的谷歌云服務(wù)器開始的流量通過中國(guó)電信的骨干網(wǎng)絡(luò)傳輸，最終傳輸?shù)轿挥趭W地利維也納的目標(biāo)IP地址。

以下截圖顯示了多倫多的Oracle數(shù)據(jù)中心與法國(guó)受影響的IP地址之間的類似路由。

Oracle的Doug Madory 表示“通常此類事件只持續(xù)幾分鐘，但此次事件中的許多泄露路由已經(jīng)流通超過2小時(shí)。此外，路由泄露更多地針對(duì)路由前綴，因此建議使用路由優(yōu)化器或類似技術(shù)”。

此次事件中，有超過1,300個(gè)荷蘭路由前綴被暴露，并且有470條KPN路線通過了中國(guó)電信的網(wǎng)絡(luò)。同樣的情況也發(fā)生在64條Swisscom路由上，有200個(gè)瑞士路由前綴被暴露。

Oracle在事件中觀察到150個(gè)Bouygues Telecom路由前綴，其中包括127個(gè)現(xiàn)有路由的細(xì)節(jié)，并且發(fā)現(xiàn)一些自有的traceroute測(cè)量也未能幸免。

路由泄露引發(fā)的思考

Oracle互聯(lián)網(wǎng)分析部門主管Doug Madory在博文中寫道：

“今天的事件表明，互聯(lián)網(wǎng)還沒有徹底消除BGP路由泄漏的問題。中國(guó)電信作為一家主要的國(guó)際運(yùn)營(yíng)商，既沒有實(shí)施必要的基本路由保護(hù)措施以防止路由泄露傳播，也沒有實(shí)施必要的流程和程序以及時(shí)地發(fā)現(xiàn)并修復(fù)此類不可避免的事件。如此大規(guī)模的路由泄露持續(xù)了2小時(shí)，導(dǎo)致全球通信質(zhì)量下降。

任何電信服務(wù)商想改善路由狀況，加入互聯(lián)網(wǎng)協(xié)會(huì)的《相互協(xié)定的路由安全規(guī)范》（MANRS）是一個(gè)好方法。”

此外，早在去年，Doug Madory就建議電信服務(wù)提供商支持BGP安全標(biāo)準(zhǔn)，如RPKI，以此作為防止流量“劫持”的首選方式。

這次事件暴露了BGP的根本弱點(diǎn)，BGP是全局路由表，它讓屬于一個(gè)AS的IP地址可以找到屬于不同AS的IP地址。

幾十年前，互聯(lián)網(wǎng)還是業(yè)余愛好者和研究人員云集的地方，大多數(shù)人彼此認(rèn)識(shí)，這個(gè)系統(tǒng)可以靠絕對(duì)信任來運(yùn)轉(zhuǎn)。如今，很顯然BGP還沒有適應(yīng)服務(wù)對(duì)象呈爆炸級(jí)膨脹的互聯(lián)網(wǎng)，包括牟取不義之財(cái)?shù)姆缸锓肿优c黑客。這意味著每個(gè)網(wǎng)絡(luò)都需要不斷地監(jiān)管分配給它們的地址空間。

ThousandEyes的產(chǎn)品營(yíng)銷副總裁Alex Henthorn-Iwane對(duì)IT外媒Ars Technica表示：

“這起事件表明，一個(gè)簡(jiǎn)單的錯(cuò)誤要摧毀互聯(lián)網(wǎng)的服務(wù)交付狀況到底有多容易。如果你看不清發(fā)生的狀況，就無法讓服務(wù)商承擔(dān)責(zé)任并解決問題?！?/p>

安數(shù)網(wǎng)絡(luò)的首席安全官李江輝表示：

“BGP的缺陷在于流量會(huì)選擇路由廣播到達(dá)目的地的最短路徑進(jìn)行傳輸。中國(guó)電信因?yàn)楹蚐afe Host有Peer協(xié)議，將Safe Host的路由作為自己的路由，將自己作為到達(dá)Safe Host網(wǎng)絡(luò)和其他附近歐洲電信公司和ISP的最短途徑之一，導(dǎo)致歐洲流量通過中國(guó)電信進(jìn)行重定向?！?/p>

本文由安數(shù)網(wǎng)絡(luò)編譯整理。部分文字、圖片來自網(wǎng)絡(luò)，如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明