流量路由異常,受害者成為“劫持者”?網際網路互信基礎如何夯實?
隨著網際網路在全球社會經濟中的深入滲透,網路安全日益影響到全球社會穩定和經濟發展,網路安全事件引發的關注也越來越多。
11月13日,谷歌旗下的雲服務、YouTube等網路服務受到影響,國外一些原本應流向谷歌地址的資料流量被MainOneCable錯誤操作改變了路徑而轉向了中國電信,致使中國電信的網路受到衝擊,同時MainOneCable的互聯線路嚴重擁塞,超限部分流量被丟棄,造成國外部分使用者無法使用谷歌的部分服務。有外媒稱因遭到來自中國運營商的流量“劫持”導致國外訪問異常的發生。
11月17日,中國電信官網掛出對此事的情況說明,指出“劫持說”缺乏事實依據。
那麼,此次流量路由異常事件究竟是怎麼回事,是人為因素,還是技術漏洞,或是網路策略的需要?帶著這些問題,記者採訪了相關專業人士。
西非運營商配置失誤 蝴蝶效應波及北美
中國電信網路技術專家李玉娟告訴記者:
11月13日的谷歌流量路由異常事件起因是一家名為MainOneCable的西非電信公司進行網路更新。這是一家位於奈及利亞拉各斯的商業ISP供應商,在葡萄牙和南非之間運營著一條海底電纜。
該公司表示:由於在網路更新時將BGP過濾器配置錯誤,將一部分原來只屬於某個網段的線路配置加入了另一個網段中,致其骨幹網將針對谷歌服務的業務流量指向中國電信。
中國電信在公司網站上釋出的情況說明中指出: 北京時間13日凌晨,MainOneCable將本應由其疏通的Google流量錯誤指向了中國電信,中國電信按照協議標準將流量正常轉發至MainOneCable,由於流量嚴重超過雙方互聯的頻寬,造成嚴重擁塞。MainOneCable修改了錯誤配置後問題得到解決,故障持續時間約1小時20分鐘。
為什麼一家西非ISP供應商的失誤會影響到北半球的美國?
主要原因是MainOneCable通過位於奈及利亞拉各斯的IXPN公司與谷歌建立了點對點流量共享和交換協議,當MainOneCable匯入了錯誤的配置資訊時,去往谷歌的部分流量被指向中國電信。
事情發生後,谷歌表示,谷歌大部分網路流量都是加密的,即使轉移也不會使其受到窺探, 同時表示,目前未有理由相信此次事件是有人蓄意造成。
路由異常事件頻發 媒體定性存主觀
由於全球網際網路的發展水平參差不齊,同時每個公司的管理水平和員工的技術水平存在不同程度的差異,在做網路配置的時候出現錯誤很難避免,同時也不乏某些別有企圖的人員參與其中,因此流量路由異常現象在全球時有發生。記者查閱到,近年來有記錄、造成影響的大事件就有多起。
-
2018年4月24日,亞馬遜雲遭受BGP路由劫持攻擊事件,波及澳洲、美國等地區。
-
2017年8月25日,谷歌(AS15169)路由洩漏導致日本NTT網路大面積癱瘓,持續40分鐘,谷歌承認最終原因為錯誤配置。
-
2017年11月6日,Level 3的配置失誤導致美國和全球網際網路連接出現大範圍中斷,時間長達90分鐘。
-
2017年4月26日,37個國際金融機構遭受劫持事件。
-
2015年11月6日,印度運營商 BHARTI Airtel發生路由洩漏,導致2000多個自治域網路故障,對印度、中國、美國、日本、沙特等國家影響長達9小時。
-
2014年4月3日,印尼運營商Indosat發生大規模路由劫持,印尼和泰國美國方向受阻3小時。
-
2012年2月27日,澳大利亞運營商Telstra路由洩漏造本國使用者半小時斷網。
然而,儘管網際網路流量路由異常是全球的普遍現象,但國際媒體或專業機構在描述時,會根據自己的理解選用不同的術語,從而引導輿論:
“Routing leak(路由洩漏)”,這是中性的技術判斷。如2017年8月25日,Google錯誤操作導致極其嚴重的BGP路由洩漏,幾乎造成日本NTT、KDDI等公司網際網路癱瘓。甲骨文在分析文章中就使用路由洩漏這個中性詞。
“Traffic misdirection(流量誤導) ”,基本是貶義判斷。 甲骨文在11月5日釋出的指責中國電信的文章,就採用流量誤導這個說法。
“Traffic hijack(流量劫持) ”,基本是惡意行為。 中國資深通訊網路專家、環球海纜產業協會創始人裘文榮告訴記者, 通常說的流量劫持,主要是在流量產生、傳播、接收三個階段中,利用相關通訊協議原理,偽造協議互動應答報文,或者修改正常路由路徑配置,以使流量偏離正常軌跡,達到不可告人的目的。 利用邊界閘道器協議(BGP),黑客甚至可以改變核心網際網路絡由器上的網路地圖,讓基本服務離線,竊取資訊、監聽流量或將資訊在網路世界中完全刪除。
此次針對谷歌的網際網路流量事故,國際媒體普遍採用流量劫持這個說法,指向中國運營商惡意行為。但也有一些媒體如WIRED給出中性判斷,稱“谷歌網際網路流量沒有被劫持,只是失控了”。
谷歌發言人在11月13日宣告:“谷歌沒有發現有惡意劫持流量的行為。”中國電信就此事的說明中表示, 網際網路流量經其他運營商繞轉是全球網際網路的常見現象,流量繞轉不是流量劫持,是經濟性、聯通性綜合平衡的結果。 現實中經常有亞洲至美國的部分流量經日本繞轉、澳洲流向中國的流量經過美洲繞轉的情況。 中國電信依法經營國際網際網路業務,美洲或歐洲的流量流經中國電信國際網路也是正常的現象。
互信原則受挑戰 網路空間命運共同體備受期待
如此眾多的流量路由異常事件對使用者有何危害?
裘文榮說: 如果是有人故意釋出錯誤地址,會導致客戶的某些地址段在區域性區域完全無法使用,從而影響客戶的運營,甚至導致某些伺服器的癱瘓。如果是錯誤配置導致,由於路徑的不可控,也將會給流量的傳播質量造成很大影響。
中國資訊通訊研究院安全研究所專家卜哲表示, 在流量路由異常事件中,受到異常流量衝擊的運營商成為事實上的受害者。大量錯發的網路流量不僅佔用了寶貴的網路資源,而且會造成網路擁塞,業務處理速度下降或中斷,甚至影響運營商其他正常的鏈路、裝置、網路、業務,運營商實質上遭受了一次拒絕服務型別的網路攻擊。 好比一條道路設計的最大通行能力是每小時100輛汽車,如來了數百輛汽車,必然導致道路的擁堵通行能力低於100輛,甚至道路中斷通行能力降為0,道路管理者必須採取相關措施疏導流量保障通行。運營商依據國際通行標準和國家法律法規、政策檔案及相關技術標準,加強對網間特別是跨域異常流量的監測與處置,做好對網路特別是公共網際網路的自我防護就顯得十分重要和必要。
那麼,既然流量路由異常事件具有潛在危害,為何仍然頻頻發生?是否可採用技術手段防止發生?
卜哲告訴記者, 這一事件只是基於互信的網際網路技術應用到全球現實社會中“水土不服”這個老問題的再次體現,進一步凸顯了網際網路架構的基礎性弱點。 網際網路技術是在互信環境下設計並使用的,BGP的設計初衷是為正常的商業ISP供應商和其他實體之間構建可以信任的網路鏈路,降低鑑別和過濾資訊的複雜程度。然而,網際網路技術無國界,真實世界卻有國界,當今國家之間的商業和地緣政治關係將BGP的薄弱點暴露了出來。在一個不互信的環境中,BGP的互信基礎受到了衝擊,雖然存在ROA等驗證方法,但很少有ISP全面部署。即使像谷歌這樣擁有大量資源的公司也無法免受BGP故障的影響,大多數資本不如谷歌這麼雄厚的企業更加難以快速定位和解決問題。
裘文榮說, 基於互信原則,多數運營商只對進入“黑名單”的網路路由進行特別管理(通常所說的“黑名單”機制)。
李玉娟告訴記者, 此次事件中的MainOneCable公司是中國電信的客戶,根據雙方的業務協議,接收MainOneCable的網際網路路由(包含MainOneCable錯誤傳送的谷歌路由),正是採取基於這種互信機制的網際網路路由管理策略的結果。 該機制也是國際網際網路運營商普遍採用的互聯方案。然而,裘文榮認為, 利用這種互信機制,雖然可以實現網路高效、成本降低、維護簡單,但也留下了隱患,一旦問題發生,客觀上造成了網路安全風險。
裘文榮說, 鑑於網際網路互信基礎已經受到越來越多的挑戰,全球各運營商和網際網路服務提供商都應該認真分析流量路由異常事故,引以為戒。 從技術層面上看,國際網際網路工程任務組(IETF)已有專家建議,部署基於資源公鑰基礎設施(RPKI)的網際網路流量路徑認證標準的預防措施,能在第一時間發現亂髮別人地址的行徑,從而限制該行為造成的結果通過自己的網路釋出出去,避免將錯誤擴散至全球網際網路。另外,網際網路轉接(IP Transit)服務提供商應負起相應的責任,在與客戶對接時,應調整基於互信原則的接收寬容策略,審慎核查客戶釋出的網際網路路由,並制定相應的控制策略,這不僅是為客戶負責,也是為全球網際網路負責,避免全球的路由震盪以及流量路徑異常,還能減少自身網路安全漏洞。
卜哲則認為, 網際網路正在改變世界,如何讓網際網路技術造福全球民眾,並非技術層面能解決的問題,也絕非運營商能獨立為之,而是需要各國政府和業界通力合作。 當前,全球網際網路治理體系變革正進入關鍵時期,我國提出了網際網路全球治理的中國方案,為國際網際網路治理貢獻中國思想和東方智慧,構建網路空間命運共同體也日益成為國際社會的廣泛共識。剛落幕的第五屆世界網際網路大會的主題就是“創造互信共治的數字世界——攜手共建網路空間命運共同體”,與會代表呼籲各國互利互信、共享共治,共同面對未來挑戰。聯合國祕書長數字合作高級別小組成員瑪麗娜·科列斯尼克表示, 如果網路空間沒有信任,人類的現實空間也不會有信任。 “更加開放、更高質量、更多朋友”的網路空間新時代正在拉開帷幕,“共建網路空間命運共同體”加速進入“互信共治”的新階段。
編輯:劉培鈺
校對:樑 晨
宣告:本文來自人民郵電報,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。