意外發生!大量歐洲網路流量被導向中國長達2小時
上周四(6/6)大量歐洲手機用戶的行動上網流量,被導到中國第三大ISP或行動電信公司-中國電信的基礎架構長達2小時。
事情起因是瑞士資料中心代管業者Safe Host的BGP路由外洩,該ISP無意間將其內部路由表的7萬道流量導向了中國電信。
BGP(Border Gateway Protocol, 邊界閘道通路協定)是用於ISP層流量的重導向,它用起來問題很多,因此經常發生BGP外洩。然而ISP還是可透過安全程序來避免BGP路由外洩並影響其他ISP的網路,稱為自治系統(Autonomous System, AS)。
但在這起事件中,中國電信碰到BGP外洩不但未通知瑞士同業,還重新宣告將Safe Host路由為自己的,扮演是到達Safe Host網路及歐洲鄰近電信公司及ISP最短路徑。
法國、荷蘭與瑞士行動電信商遭池魚之殃
在接下來幾個小時內,歐洲多家行動電信業者的上網流量都被導到中國電信網路,直到東窗事發它才承認。
發現此事的甲骨文網際路分析部門(前身為Dyn)總監Doug Madory指出,「影響最甚的歐洲電信公司包括瑞士電信(AS3303)、荷蘭KPN (AS1130)及Bouygues Telecom (AS5410)以及法國的Numericable-SFR (AS21502)」。
他說,通常這類路由事件只會持續幾分鐘,但這次卻持續了超過2個小時。而上述用戶最明顯可以感覺到上網速度變慢,甚至連不上某些伺服器。
「今天的事情顯示網際網路還無法免於BGP路由外洩問題,也顯示中國電信身為全球主要電信公司卻依然未導入任何基本的必要安全措施來避免路由外洩,一旦事件發生,也沒有及時偵測和修正的程序和流程,」Madory說:「以這種規模的路由外洩來說,2小時真的太久,足以拖慢全球通訊。」
如果今天事情是其他ISP引起可能也不會引發注意。問題就在它是中國電信,而且它有前科。
美國海軍戰爭學院和以色列台拉維夫大學專家去年10月發表一份學術研究,顯示中國電信「劫持西方國家的重要網路骨幹。」
報告指出,中國政府利用本地ISP系統性劫持西方國家的BGP路由再導到中國,藉此留作紀錄作為日後情報分析之用。
這份報告遭到一些專家的批評,但報告的技術準確性則獲得其他人包括Madory的贊同,雖然他並不支持其中的政治指控。報告證實中國電信將西方國家網路流量導向自己,這幾年來已經發生過很多次,但Madory並未指出這次事件是刻意為之、技術問題或人為疏失。
去年Madory建議ISP應支持RPKI等新興BGP安全標準,徹底防範網路流量誤導事件的發生。
Source: ZDNET