谷歌、Facebook 等企業流量被劫持，慣犯 Rostelecom 的無意之過？

技術編輯：徐九丨發自 北京
SegmentFault 思否報道丨公衆號：SegmentFault

---

近日，BGPMon 公司發佈預警，稱近期發生多起涉及 AS12389（Rostelecom，俄羅斯電信公司）的大規模 BGP 劫持事件，共涉及世界上最大的 200 多家內容傳輸網絡（CDN）和雲主機提供商，初步估計影響了 8,000 多個 IP 前綴。

據悉，這次受影響的公司都是雲和 CDN 市場上的知名企業，包括谷歌、亞馬遜、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner 和 Linode 等大公司。

BGP 劫持

這是一塊兒典型的「BGP 劫持」事件。

BGP 是邊界網關協議的縮寫，是全球互聯網網絡之間的互聯網流量路由系統。整個系統很是脆弱，由於任何一個參與網絡均可以簡單地「撒謊」，發佈一個公告（BGP 路由），聲稱 「Facebook 的服務器」在本身的網絡上，全部的互聯網實體都會把它當作合法的，從而將 Facebook 的流量所有發送到劫持者的服務器上。

在 HTTPS 被普遍用於加密流量以前，BGP 劫持容許攻擊者進行中間人（MitM）攻擊，攔截和改變互聯網流量。現在，BGP 劫持仍然是危險的，由於它可讓劫持者記錄流量，並能夠在以後對流量進行分析和解密。

自 90 年代中期以來，BGP 劫持一直是互聯網主幹網的一個問題，多年來一直在努力增強 BGP 協議的安全性，有 ROV、RPKI，以及最近的 MANRS 等項目。然而，採用這些新協議的進展一直很緩慢，也讓 BGP 劫持事件仍時有發生。

例如，在 2018 年 11 月，尼日利亞的一家小型互聯網公司劫持了本來要用於谷歌網絡的流量，而在 2019 年 6 月，一大批歐洲移動流量也被改道劫持。

「慣犯」Rostelecom

業內人士曾屢次指出，並不是全部的 BGP 劫持都是惡意的。大多數事件多是人爲操做者誤輸入了一個 ASN(自主系統號，即互聯網實體的識別代碼)，意外劫持了互聯網流量。

然而，一些 BGP 劫持事件絕對不只僅是意外。好比此次的 Rostelecom（AS12389），在這塊兒就能夠算是一個「慣犯」。

上一次影響較大的 Rostelecom 劫持事件發生在 2017 年，該公司劫持了包括 Visa、Mastercard、匯豐銀行等全球最大的金融實體的 BGP 路由。不過當時思科的 BGPMon 部門將這一事件描述爲「好奇」，由於它彷佛隻影響了金融服務，而不是隨機的 ASN。

這一次，陪審團尚未定論。

但 BGPMon 的創始人 Andree Toonk 仍對這次事件是不是故意爲之持保留意見。Toont 在 Twitter 上表示，他認爲此次「劫持」事件發生的緣由是俄羅斯電信內部的流量整形系統可能在公共互聯網上不當心暴露了錯誤的 BGP 路由。不幸的是，當 Rostelecom 的上游供應商將新公佈的 BGP 路由在互聯網上從新傳播，並在幾秒鐘內將 BGP 劫持事件放大，也讓這個小錯誤被放大了。

可是，正如許多業內專家指出的那樣，BGP 劫持到底是不是意外，沒有人能給出明確的判斷。

安全路由倡議

正由於 BGP 路由泄露問題難以控制而且難以對其性質進行斷定，主要的 CDN 服務商和雲計算公司在六年前成立了 Mutually Agreed Norms for Routing Security(MANRS) ，旨在解決這個問題。

據悉，MANRS 的成員包括了近 300 家網絡運營商和 48 個互聯網交換點。亞馬遜、Google、微軟、Facebook、Akamai、Cloudflare、 Netflix 和 VeriSign 等都加入到了這一安全路由倡議，利用多種方法阻止流量劫持和路由攻擊。

採用 MANRS 的網絡供應商承諾進行過濾、反欺騙和驗證，並與其餘供應商進行協調。CDN 成員承諾採起幾種相似的安全實踐，包括防止錯誤路由信息的傳播，防止來自欺騙或非法 IP 地址的流量，促進全球範圍內的路由信息驗證以及 MANRS 的採用，併爲對等合做夥伴提供監控和調試工具。

但從此次的事件來看，該倡議並未有效的解決這一問題