4月1日,这个并不寻常的愚人节,俄罗斯Rostelecom被发现疑似劫持来自全球200多家 CDN 和云托管提供商的流量。
成都创新互联公司"三网合一"的企业建站思路。企业可建设拥有电脑版、微信版、手机版的企业网站。实现跨屏营销,产品发布一步更新,电脑网络+移动网络一网打尽,满足企业的营销需求!成都创新互联公司具备承接各种类型的成都做网站、成都网站设计项目的能力。经过10多年的努力的开拓,为不同行业的企事业单位提供了优质的服务,并获得了客户的一致好评。
这次BGP劫持的影响有多大呢,200多个网络的8800多条互联网流量路由受到影响,波及攻击谷歌、亚马逊、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等知名公司。
BGP的安全问题,真实伤不起。
互联网是一个去中心化的分布式结构,整个网络由成百上千个不同的ISP(互联网服务提供商)的子网络组成。而为了达到互联,子网络A就是通过BGP协议告诉子网络B:我这里都包括哪些IP地址段,AS编号(AS Number)是什么以及一些其他的信息。
与此同时,为了避免人们使用相同的地址空间,由主管部门(地区互联网注册中心/RIRS)负责分配IP地址。
整个网络流量互联的过程中,BGP像是一条“通道”。
作为互联网核心基础设施的组成部分,1989年诞生的BGP 已经驰骋网络几十年,但惊人的是,哪怕到现在,BGP仍然缺乏足够的安全措施。譬如,由于每个ISP(互联网服务提供商)通常必须默认信任其对等网络运营商在传输流量时与其共享的路由信息。一旦路由信息没有经过适当的审查和过滤,那意味着流量可能被发送至恶意站点。
总结一下针对互联网路由功能的攻击可能带来的后果是:
一般来说,BGP劫持虽然普遍,但大多数劫持都是短暂的。并且,不是所有的BGP劫持都是恶意的,很有可能只是操作者的一个手抖,配置错误导致意外劫持。当然,并不否认恶意分子利用,目的性地劫持。
[尴尬的是,有意为之还是不小心操作,很难分辨。]
以此次Rostelecom路由劫持事件为例,事件发生的原因是俄罗斯电信内部的流量整形系统可能在公共互联网上不小心暴露了错误的BGP路由而不是俄罗斯电信内部网络的整体问题。不幸的是,这个小小的失误被Rostelecom的上游供应商拿着新公布的BGP路由在互联网上重新传播,从而将BGP劫持事件在几秒钟内放大了。
一个“小小的错误”瞬间滚成巨大的雪球,影响全球200多个网络。
尽管过去十几年的经验告诉我们,BGP 路由泄露,劫持问题有多严重,但是这个问题依然一直没有被解决。
回顾一下那些年,BGP安全问题闯下的“祸”:
既然知道伤不起,为什么BGP的安全性脆弱依旧?
事实上,通信从业者多年来一直在试图加强BGP协议的安全性。
早在2018年,美国国家标准技术研究所( NIST)与国土安全部( DHS)联合发布了第一份防范BGP劫持的安全标准草案;ROV、RPKI,包括最近的MANRS等项目一直致力BGP安全问题。然而,在采用这些新协议方面却一直进展缓慢。
以MANRS为例,成立已有6年之久,但直到最近,主要的CDN 服务商和云计算公司亚马逊、Google、微软、Facebook、Akamai、Cloudflare、 Netflix 和 VeriSign等才加入到了这一安全路由倡议。而根据资料显示,加入MANRS的网络提供商需要承诺执行过滤、反欺诈和验证,利用多种方法阻止流量劫持和路由攻击,并且与其他网络提供商进行协调合作。
说到这里,其实需要强调的是,网络运营商必须确保全局路由安全,这是底线。他们有责任确保全球范围内强大且安全的路由基础架构,阻止恶意行为和意外配置错误带来更大的影响。而这些问题是可以通过一些举措的落地而解决的,比如实施适当的前缀过滤器,保证其客户仅发布真实属于他们自己的前缀;实施TTL安全机制(GTSM),防止攻击者使用伪造的数据包等。
最后,BGP的安全问题不止于此,缺乏有效的解决方法、切实落地的安全标准以及足够的力量来推进,让BGP只能成为攻击者眼中移动的靶子。这是一个需要被所有网络运营商和安全人员重视的问题。
本文名称:俄罗斯Rostelecom劫持事件,BGP安全不止于此
网址分享:http://www.36103.cn/qtweb/news37/21687.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联