科技大佬Google、Apple、Facebook、Microsoft等遭遇BGP劫持

Google、Apple、Facebook、Microsoft与其他科技巨臂的流量透过俄罗斯路由，专家认为这是一个故意的BGP (Border Gateway Protocol) 劫持。

上周，一个可疑的事件透过一个以前不为人知的俄罗斯因特网供货商为几间主流的科技公司（即Google、Apple、Facebook、Microsoft）提供流量。这件事发生在星期三，研究人员相信流量是有意劫持的。

事件涉及因特网的边界网关协议，用于在因特网骨干、因特网服务供货商和其他大型网络之间路由流量。

https://twitter.com/bgpmon/status/940724787311022080

类似的事件发生了八个月，当时MasterCard、Visa与其他二十多个金融服务的大量流量透过俄罗斯政府控制的电信营运商短暂路由。

因特网监控服务BGPMon发表了一篇部落格文章：『今天凌晨（UTC），我们的系统侦测到一个可疑事件，一个未使用的俄罗斯自治系统（AS）声称有许多高价值目的前缀 (prefixes )。从04:43（UTC）开始，通常由Google、Apple、Facebook、Microsoft、Twitch、NTT和Riot Games等机构发布的80个前缀在全球BGP路由表中检测到来源AS为39523（DV-LINK-AS）从俄罗斯出去。』

『看时间线，我们可以看到两个大约三分钟的事件窗口。第一个在UTC时间04:43开始，在UTC时间04:46左右结束。第二个事件从07:07 UTC开始，在07:10 UTC结束。

尽管这些事件相对比较短暂，但是它们之所以重要，是因为它被大量的同行所接受，并且因为在因特网上通常不会出现几个新的更具体的前缀。所以让我们更深入一点。』

BGPMon观察到总共六分钟的两个不同的事件影响了80个独立的地址区块。

另一个监控服务Qrator Labs表示，这次事件持续了两小时，在此期间，被劫持的地址区块数量从40个变为80个。

由于以下原因，BGPMon专家认为事件可疑：

◆ 重新路由的流量属于大型科技公司。

◆ 被劫持的IP地址属于通常在因特网上看不到的小区块和特定区块。

BGPMon的分析中继续说道：『这个事件的可疑之处在于受影响的前缀都是高调的目的地，以及一些在因特网上通常不会出现的更具体的前缀。这意味着，这不是一个简单的泄漏，但有人故意插入这些更具体的前缀，意图吸引流量。』

BGP劫持是由位于俄罗斯的一个自治系统引起的，它向BGP表增加项目，声称它是80个受影响的前缀的合法来源。这一主张使得大量的流量发送以及收到流量的受影响公司在到达最终目的前会经过俄罗斯AS39523路由。

下面是连到新路由的ISP：

· xx 6939 31133 39523 (path via Hurricane Electric)

· xx 6461 31133 39523 (path via Zayo)

· xx 2603 31133 39523 (path via Nordunet)

· xx 4637 31133 39523 (path via Telstra)

AS39523是个以前未使用的自治系统，多年来一直没有活跃起来，但是他在八月份涉及另一个与Google有关的BGP事件时成为头条新闻。

BGPMon总结：『无论今天是什么原因，这是另一个明确的例子，有意或无意地成为第三方重新路由流量是多么容易。这也是每个主要ISP过滤客户的好警惕。

Qrator Labs总结：『这次劫持凸显出了由于缺少路由过滤而出现的一个常见问题。我们可以责怪AS39523事故，但在中间过境提供者的边界没有适当的过滤器，我们注定会一次又一次地看到类似的事件。我们希望鼓励所有涉及此事件的网络检查其路由过滤策略，并至少在所有与其客户的因特网上实施基于前缀的BGP过滤器。』

PS. prefix劫持中，当受害者被正当分配IP prefix时 劫持的AS申请同样的prefix，假冒的BGP声明来自劫持的AS，消息通过路由系统散播，其他的AS就用本地的策略选择正当AS路线还是假冒的BGP路线。返回搜狐，查看更多

责任编辑：

本文 zblog模板 原创，转载保留链接！网址：http://fsxxzx.com/post/5148.html