前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >俄罗斯Rostelecom劫持事件,BGP安全不止于此

俄罗斯Rostelecom劫持事件,BGP安全不止于此

作者头像
FB客服
发布2020-04-26 11:36:22
9030
发布2020-04-26 11:36:22
举报
文章被收录于专栏:FreeBuf

4月1日,这个并不寻常的愚人节,俄罗斯Rostelecom被发现疑似劫持来自全球200多家 CDN 和云托管提供商的流量。

这次BGP劫持的影响有多大呢,200多个网络的8800多条互联网流量路由受到影响,波及攻击谷歌、亚马逊、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等知名公司。

BGP的安全问题,真实伤不起。

互联网是一个去中心化的分布式结构,整个网络由成百上千个不同的ISP(互联网服务提供商)的子网络组成。而为了达到互联,子网络A就是通过BGP协议告诉子网络B:我这里都包括哪些IP地址段,AS编号(AS Number)是什么以及一些其他的信息。

与此同时,为了避免人们使用相同的地址空间,由主管部门(地区互联网注册中心/RIRS)负责分配IP地址。

整个网络流量互联的过程中,BGP像是一条“通道”。

作为互联网核心基础设施的组成部分,1989年诞生的BGP 已经驰骋网络几十年,但惊人的是,哪怕到现在,BGP仍然缺乏足够的安全措施。譬如,由于每个ISP(互联网服务提供商)通常必须默认信任其对等网络运营商在传输流量时与其共享的路由信息。一旦路由信息没有经过适当的审查和过滤,那意味着流量可能被发送至恶意站点。

总结一下针对互联网路由功能的攻击可能带来的后果是:

DDoS攻击,互联网服务拒绝访问 旁路互联网流量监听,及对终端(网站)进行路径攻击 错误交付互联网网络流量到恶意终端 损害基于IP地址的信誉和过滤系统 互联网路由不稳定

一般来说,BGP劫持虽然普遍,但大多数劫持都是短暂的。并且,不是所有的BGP劫持都是恶意的,很有可能只是操作者的一个手抖,配置错误导致意外劫持。当然,并不否认恶意分子利用,目的性地劫持。

[尴尬的是,有意为之还是不小心操作,很难分辨。]

以此次Rostelecom路由劫持事件为例,事件发生的原因是俄罗斯电信内部的流量整形系统可能在公共互联网上不小心暴露了错误的BGP路由而不是俄罗斯电信内部网络的整体问题。不幸的是,这个小小的失误被Rostelecom的上游供应商拿着新公布的BGP路由在互联网上重新传播,从而将BGP劫持事件在几秒钟内放大了。

一个“小小的错误”瞬间滚成巨大的雪球,影响全球200多个网络。

尽管过去十几年的经验告诉我们,BGP 路由泄露,劫持问题有多严重,但是这个问题依然一直没有被解决。

回顾一下那些年,BGP安全问题闯下的“祸”:

2003年5月,彼时的世界第三大军工生产厂商Northrop Grumman部分BGP网络被恶意利用,用来发送海量的垃圾邮件。最终,这家军火承包商花费了整整2个月来重新声明对这些IP地址的所有权,同时,由于被频繁地列入垃圾邮件地址黑名单,其IP地址全部被禁止使用。 2008年2月,巴基斯坦政府以YouTube有亵渎神明内容为理由命令网络服务商封锁YouTube。巴基斯坦电信试图限制本地用户接入YouTube,通过BGP向中国香港电信盈科(PCCW)发送新的路由信息,然后PCCW向国际互联网广播了这个错误的路由信息。但是,由于工程师手抖,路由信息有误导致“YouTube断网”。 2015年,Hacking Team利用BGP Hijack劫持目标网络链路数据,协助意大利黑客团体的攻击行动,完成长期监控。 2017年,Google工程师配置错误,意外劫持了NTT通信株式会社的流量(NTT是日本一家主要的ISP,并且支持OCN和KDDI两个小型的ISP),导致日本800万用户持续断网40分钟左右。 2018年4月,亚马逊权威域名服务器遭到BGP路由劫持攻击,价值1730万美元ETH被盗。 ……

既然知道伤不起,为什么BGP的安全性脆弱依旧?

事实上,通信从业者多年来一直在试图加强BGP协议的安全性。

早在2018年,美国国家标准技术研究所( NIST)与国土安全部( DHS)联合发布了第一份防范BGP劫持的安全标准草案;ROV、RPKI,包括最近的MANRS等项目一直致力BGP安全问题。然而,在采用这些新协议方面却一直进展缓慢。

以MANRS为例,成立已有6年之久,但直到最近,主要的CDN 服务商和云计算公司亚马逊、Google、微软、Facebook、Akamai、Cloudflare、 Netflix 和 VeriSign等才加入到了这一安全路由倡议。而根据资料显示,加入MANRS的网络提供商需要承诺执行过滤、反欺诈和验证,利用多种方法阻止流量劫持和路由攻击,并且与其他网络提供商进行协调合作。

说到这里,其实需要强调的是,网络运营商必须确保全局路由安全,这是底线。他们有责任确保全球范围内强大且安全的路由基础架构,阻止恶意行为和意外配置错误带来更大的影响。而这些问题是可以通过一些举措的落地而解决的,比如实施适当的前缀过滤器,保证其客户仅发布真实属于他们自己的前缀;实施TTL安全机制(GTSM),防止攻击者使用伪造的数据包等。

最后,BGP的安全问题不止于此,缺乏有效的解决方法、切实落地的安全标准以及足够的力量来推进,让BGP只能成为攻击者眼中移动的靶子。这是一个需要被所有网络运营商和安全人员重视的问题。

*本文作者:kirazhou

来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-04-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
内容分发网络 CDN
内容分发网络(Content Delivery Network,CDN)通过将站点内容发布至遍布全球的海量加速节点,使其用户可就近获取所需内容,避免因网络拥堵、跨运营商、跨地域、跨境等因素带来的网络不稳定、访问延迟高等问题,有效提升下载速度、降低响应时间,提供流畅的用户体验。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档