Get best of the week

Rostelecom如何错误地将流量重定向到Google,AWS,Cloudflare等。

本周早些时候(4月1-5日,20日),往全球200多家最大的CDN和云提供商的流量被可疑地通过Rostelecom(俄罗斯的主要电信提供商)进行了重定向,

该事件影响了200多个中的8800多个互联网流量路由网络,持续了大约一个小时。

受影响的公司是那些在云和CDN市场上的公司,包括Google,Amazon,Facebook,Akamai,Cloudflare,GoDaddy,Digital Ocean,Joyent,LeaseWeb,Hetzner和Linode等知名公司。

技术细节



这是经典的BGP劫持事件

BGP代表“ 边界网关协议”,是一种事实上的系统,用于在全球Internet网络之间路由Internet通信。

整个Internet路由系统仍然非常脆弱,因为任何参与的网络都可以简单地“撒谎”并发布广告(BGP路由),说明“ Facebook服务器”在其网络上,许多提供商都认为这是合法的,将所有Facebook流量发送到“骗子”服务器。

历史之旅


过去,在HTTPS广泛用于加密流量之前,BGP黑客允许攻击者进行“ 中间人攻击并拦截/修改Internet流量。

当前,BGP骇客仍然很危险,因为当加密技术的进步削弱了用于保护流量的加密功能时,它们使攻击者可以注册流量,稍后对其进行分析和解密。

自90年代中期以来,BGP攻击就一直是Internet骨干网的问题,多年来,随着ROV,RPKI和最近的MANRS等项目,人们一直在努力加强BGP协议的安全性

但是,采用新协议的进度很慢,并且BGP欺骗仍在定期发生。

例如,在2018年11月,一家尼日利亚小型互联网提供商拦截了发往Google网络的流量,并在2019年6月,大部分欧洲移动流量通过中国国有,最大的电信运营商中国电信进行了重定向

Rostelecom-屡犯


过去,专家反复指出,并非所有BGP“劫持者”都是有目的地采取行动的。大多数事件可能是人为因素造成的:操作员在拨打ASN(识别Internet实体的代码)时被封锁,并意外地窃取了该公司的Internet流量。

但是,定期监视BGP劫持以及许多专家称为可疑事件的组织建议,这些事件通常不仅仅是随机错误。

中国电信目前正在考虑在这方面[最大的犯罪12 ]。

尽管事实上Rostelecom(AS12389)没有像中国电信那样广泛地参与BGP“劫持”,它也是许多类似可疑事件的背后。

Rostelecom的最后一次重大劫持发生在2017年,当时BGP路由Visa,万事达卡,汇丰银行等许多全球最大的金融机构所取代

当时,Cisco BGPMon将事件描述为“好奇”,因为它显然仅影响金融服务,而不影响随机ASN。

这次,一切都模棱两可:BGPMon创始人安德烈·图恩克Andree Toonk)怀疑俄罗斯运营商的关注重点,并在推特上发了推文Rostelecom的内部流量管理子系统可能在公共Internet上而不是Rostelecom的内部网络上意外地显示了错误的BGP路由后发生“黑客攻击”。

整体上


如过去许多Internet专家所指出的那样,蓄意劫持BGP可能看起来像是一个偶然的错误,没有人注意到这一区别。

在诸如中国和俄罗斯这样的专制国家的国家控制的电信组织中,BGP绑架总是被认为是可疑的,主要是因为政治而不是技术原因。

更多链接:
更多有关4月2日以来路线泄漏的信息:habr.com/ru/company/qrator/blog/495274
媒体回应和Rostelecom的回应:tjournal.ru/news/156008-zhurnalist-poprosil-rostelekom-obyasnit-peregruzku- Seti-iz-za-karantina按sluzhba-otvetila-e-potom-oskorbila
tech.slashdot.org/story/20/04/07/0018229/russian-telco-hijacked-internet-traffic-of google-aws-cloudflare-and-others

More articles:


All Articles