2021年4月16日晚间发生了一次严重的BGP路由泄漏事件,全球各地成千上万个大型网络和网站的连接纷纷中断。
据消息人士声称,虽然BGP路由泄漏事件发生在沃达丰建在印度的自治网络(AS55410),但已影响到包括谷歌在内的众多美国公司。
昨天,思科的BGPMon发现互联网路由系统出现了不一致,这可能表明出现了某种BGP劫持活动:
“前缀24.152.117.0/24通常由AS270497 RUTE MARIA DA CUNHA,BR宣告。”
BGPMon发布的声明称:“但是从2021年4月16日15点07分01秒开始,同一个前缀ASN 55410(24.152.117.0/24)也由ASN 55410宣告。”
Kentik的互联网分析主管Doug Madory进一步证实了这一发现结果,声称自治系统ASN 55410的入站流量激增了13倍。
发生这种情况的原因是,网络错误地宣告它支持30000多个BGP前缀或路由,实际上并非如此,因而导致互联网将本不该通过该网络传输的流量发送到该网络。
这个自治系统(AS55410)属于沃达丰印度有限公司。
据Kentik的分析显示,包括谷歌在内的多家美国公司也受到这起事件的影响,该事件似乎从2021年4月16日的将近13点50分持续到了14点00分。
BGP专家Anurag Bhatia进行了进一步的分析,确认了全球20000多个自治网络受到了该事件的影响。
2万多个自治系统编号(ASN)受到这起BGP泄漏事件的影响,上图是其中一部分。
BGP(边界网关协议)是现代互联网得以正常运行的基础。
它好比为互联网设有一套“邮政系统”,有助于将流量从一个(自治)网络重定向到另一个自治网络。
互联网是网络中的网络;比如说,一个国家的用户想要访问另一个国家的网站,就要有一个系统,该系统知道在跨多个网络系统重定向用户时走哪几条路径。
这类似通过来源和目的地之间的多个邮政支局投递信函。
而这就是BGP的目的:在来源和目的地之间通过多条路径和多个系统,正确地引导互联网流量,从而确保互联网正常运行。
但是BGP很脆弱,只要几个中间系统出现任何中断或异常,都有可能对许多系统产生持久的影响。
互联网要正常运行,不同的设备(自治系统)会通告它们管理的IP前缀以及它们能够路由传输的流量。然而,这很大程度上是一种基于信任的体系,假设每个设备都如实通告。
考虑到互联网有大规模互连的特性,因此很难确保网络上的每一个设备都如实通告。
某个恶意实体设法向其他路由器“错误地通告”它们拥有一组特定的IP地址、实际上并非如此,就会发生BGP路由劫持。一旦出现这种情况,就会造成混乱。
这种路由混乱会在互联网上造成很大的麻烦,并导致延迟、交通拥堵或全面瘫痪。
但是BGP路由泄漏类似BGP路由劫持,只是后者更特指发生恶意活动的情况,而路由泄漏很有可能是偶发性的。
无论是BGP路由泄漏还是BGP劫持,自治系统(AS)都会宣告它知道“如何”引导发送到某些目的地(AS)的流量、实际上它并不知道,或者宣告它知道将这些流量发送到“何处”。
这可能导致用户被引到性能差强人意的互联网路由上,或者在恶意劫持的情况下,完全导致中断,有可能充当窃听或流量分析活动的跳板。
参考资料:https://www.bleepingcomputer.com/news/security/major-bgp-leak-disrupts-thousands-of-networks-globally/
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
