谷歌、Facebook 等企业流量被劫持，惯犯 Rostelecom 的无意之过？

技术编辑：徐九丨发自 北京
SegmentFault 思否报道丨公众号：SegmentFault

---

近日，BGPMon 公司发布预警，称近期发生多起涉及 AS12389（Rostelecom，俄罗斯电信公司）的大规模 BGP 劫持事件，共涉及世界上最大的 200 多家内容传输网络（CDN）和云主机提供商，初步估计影响了 8,000 多个 IP 前缀。

据悉，这次受影响的公司都是云和 CDN 市场上的知名企业，包括谷歌、亚马逊、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner 和 Linode 等大公司。

BGP 劫持

这是一块儿典型的「BGP 劫持」事件。

BGP 是边界网关协议的缩写，是全球互联网网络之间的互联网流量路由系统。整个系统很是脆弱，由于任何一个参与网络均可以简单地「撒谎」，发布一个公告（BGP 路由），声称 「Facebook 的服务器」在本身的网络上，全部的互联网实体都会把它当作合法的，从而将 Facebook 的流量所有发送到劫持者的服务器上。

在 HTTPS 被普遍用于加密流量以前，BGP 劫持容许攻击者进行中间人（MitM）攻击，拦截和改变互联网流量。现在，BGP 劫持仍然是危险的，由于它可让劫持者记录流量，并能够在以后对流量进行分析和解密。

自 90 年代中期以来，BGP 劫持一直是互联网主干网的一个问题，多年来一直在努力增强 BGP 协议的安全性，有 ROV、RPKI，以及最近的 MANRS 等项目。然而，采用这些新协议的进展一直很缓慢，也让 BGP 劫持事件仍时有发生。

例如，在 2018 年 11 月，尼日利亚的一家小型互联网公司劫持了本来要用于谷歌网络的流量，而在 2019 年 6 月，一大批欧洲移动流量也被改道劫持。

“惯犯”Rostelecom

业内人士曾屡次指出，并不是全部的 BGP 劫持都是恶意的。大多数事件多是人为操做者误输入了一个 ASN(自主系统号，即互联网实体的识别代码)，意外劫持了互联网流量。

然而，一些 BGP 劫持事件绝对不只仅是意外。好比此次的 Rostelecom（AS12389），在这块儿就能够算是一个“惯犯”。

上一次影响较大的 Rostelecom 劫持事件发生在 2017 年，该公司劫持了包括 Visa、Mastercard、汇丰银行等全球最大的金融实体的 BGP 路由。不过当时思科的 BGPMon 部门将这一事件描述为「好奇」，由于它彷佛只影响了金融服务，而不是随机的 ASN。

这一次，陪审团尚未定论。

但 BGPMon 的创始人 Andree Toonk 仍对这次事件是不是故意为之持保留意见。Toont 在 Twitter 上表示，他认为此次「劫持」事件发生的缘由是俄罗斯电信内部的流量整形系统可能在公共互联网上不当心暴露了错误的 BGP 路由。不幸的是，当 Rostelecom 的上游供应商将新公布的 BGP 路由在互联网上从新传播，并在几秒钟内将 BGP 劫持事件放大，也让这个小错误被放大了。

可是，正如许多业内专家指出的那样，BGP 劫持到底是不是意外，没有人能给出明确的判断。

安全路由倡议

正由于 BGP 路由泄露问题难以控制而且难以对其性质进行断定，主要的 CDN 服务商和云计算公司在六年前成立了 Mutually Agreed Norms for Routing Security(MANRS) ，旨在解决这个问题。

据悉，MANRS 的成员包括了近 300 家网络运营商和 48 个互联网交换点。亚马逊、Google、微软、Facebook、Akamai、Cloudflare、 Netflix 和 VeriSign 等都加入到了这一安全路由倡议，利用多种方法阻止流量劫持和路由攻击。

采用 MANRS 的网络供应商承诺进行过滤、反欺骗和验证，并与其余供应商进行协调。CDN 成员承诺采起几种相似的安全实践，包括防止错误路由信息的传播，防止来自欺骗或非法 IP 地址的流量，促进全球范围内的路由信息验证以及 MANRS 的采用，并为对等合做伙伴提供监控和调试工具。

但从此次的事件来看，该倡议并未有效的解决这一问题