本周早些時候，來自全球200多家 CDN 和云托管提供商的流量被懷疑通過俄羅斯國有電信運營商Rostelecom轉(zhuǎn)發(fā)出去。這起事件影響了來自200多個網(wǎng)絡(luò)的8800多條互聯(lián)網(wǎng)流量路由。這些受影響的公司都是云和CDN市場的知名公司，包括谷歌、亞馬遜、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode。

想查看受害網(wǎng)絡(luò)的完整列表，請參閱該Twitter消息流地址：https://twitter.com/search?q=AS12389%20(from%3Abgpstream)%20until%3A2020-04-07%20since%3A2020-04-01&src=typed_query

這起事件是一起典型的“ BGP劫持”。BGP的全稱是邊界網(wǎng)關(guān)協(xié)議，是用于全球互聯(lián)網(wǎng)網(wǎng)絡(luò)之間路由傳輸互聯(lián)網(wǎng)流量的事實上的系統(tǒng)。整個系統(tǒng)在設(shè)計上非常脆弱，原因是任何參與的網(wǎng)絡(luò)只要“撒謊”、發(fā)布BGP路由通告，聲稱其網(wǎng)絡(luò)上有“Facebook服務(wù)器”，那么所有互聯(lián)網(wǎng)實體都會將其視為合法目標，將所有的Facebook流量發(fā)送到劫持者的服務(wù)器。

在過去，HTTPS被廣泛用于加密流量之前，BGP劫持讓攻擊者得以實施中間人（MitM）攻擊，從而攔截和篡改互聯(lián)網(wǎng)流量。

如今BGP劫持仍然很危險，因為它讓劫持者可以記錄流量，以便以后試圖分析和解密流量，保護流量的加密技術(shù)因加密領(lǐng)域的進步而被削弱了。

自上世紀90年代中期以來，BGP劫持一直是互聯(lián)網(wǎng)骨干網(wǎng)上的一大問題；多年來，通信領(lǐng)域的從業(yè)人員一直在竭力提高BGP協(xié)議的安全性，因此出現(xiàn)了ROV、RPKI以及最近的MANRS。然而，采用這些新協(xié)議方面的進度一直很緩慢，BGP劫持仍時有發(fā)生。

比如說，2018年11月，一家小型的尼日利亞ISP劫持了原本發(fā)送到谷歌網(wǎng)絡(luò)的流量，而2019年6月，一大批歐洲移動流量通過中國最大的電信運營商中國電信重新路由傳輸。

專家們過去一再指出，并非所有BGP劫持都是惡意事件。大多數(shù)事件可能是由于操作人員誤輸入了ASN（自治系統(tǒng)編號，用于識別互聯(lián)網(wǎng)實體身份的代碼），因而意外劫持了某家公司的互聯(lián)網(wǎng)流量。

然而，一些實體仍是BGP劫持的幕后主使，許多專家認為這些事件不絕僅僅是意外事件。

雖然Rostelecom（AS12389）不像之前一些國家的運營商那樣直接參與或有意參與BGP劫持，但它與許多類似的可疑事件有瓜葛。

Rostelecom上一次備受媒體關(guān)注的重大破壞出現(xiàn)在2017年，當時這家電信公司劫持了全球一些最大金融機構(gòu)的BGP路由，包括維薩、萬士達卡和匯豐銀行（HSBC）。

當時，思科的BGPMon部門稱該事件是“出于好奇心”，因為它似乎只影響金融服務(wù)，而不是影響隨機性ASN。

這回，電信業(yè)還沒有得出一個結(jié)論。BGPMon的創(chuàng)始人Andree Toonk給出了俄羅斯電信公司值得懷疑的理由。Toont在推特上稱，他認為之所以發(fā)生這起“劫持”，是由于Rostelecom內(nèi)部的流量整形系統(tǒng)可能不小心在公共互聯(lián)網(wǎng)上、而不是在Rostelecom的內(nèi)部網(wǎng)絡(luò)上暴露了錯誤的BGP路由。

遺憾的是，Rostelecom的上游提供商在互聯(lián)網(wǎng)上重新分發(fā)這條剛發(fā)布的BGP路由，使這個小錯誤變得更嚴重了，在短短幾秒鐘內(nèi)放大了BGP劫持。

然而，過去許多互聯(lián)網(wǎng)專家指出，有可能使一起有意的BGP劫持貌似意外事件，因為沒人區(qū)別得了。政府嚴加控制的電信公司發(fā)生的BGP劫持一直被視為很可疑，這主要出于政治原因，而不是出于技術(shù)原因。