意外發生！大量歐洲網路流量被導向中國長達 2 小時

上周四（6/6）大量歐洲手機用戶的行動上網流量，被導到中國第三大 ISP 或行動電信公司－中國電信的基礎架構長達 2 小時。

事情起因是瑞士資料中心代管業者 Safe Host 的 BGP 路由外洩，該 ISP 無意間將其內部路由表的 7 萬道流量導向了中國電信。

BGP（Border Gateway Protocol, 邊界閘道通路協定）是用於 ISP 層流量的重導向，它用起來問題很多，因此經常發生 BGP 外洩。然而 ISP 還是可透過安全程序來避免 BGP 路由外洩並影響其他 ISP 的網路，稱為自治系統（Autonomous System, AS）。

但在這起事件中，中國電信碰到 BGP 外洩不但未通知瑞士同業，還重新宣告將 Safe Host 路由為自己的，扮演是到達 Safe Host 網路及歐洲鄰近電信公司及 ISP 最短路徑。

法國、荷蘭與瑞士行動電信商遭池魚之殃

在接下來幾個小時內，歐洲多家行動電信業者的上網流量都被導到中國電信網路，直到東窗事發它才承認。

發現此事的甲骨文網際路分析部門（前身為 Dyn）總監 Doug Madory 指出，「影響最甚的歐洲電信公司包括瑞士電信 (AS3303)、荷蘭 KPN (AS1130) 及 Bouygues Telecom (AS5410) 以及法國的 Numericable-SFR (AS21502)」。

他說，通常這類路由事件只會持續幾分鐘，但這次卻持續了超過 2 個小時。而上述用戶最明顯可以感覺到上網速度變慢，甚至連不上某些伺服器。

「今天的事情顯示網際網路還無法免於 BGP 路由外洩問題，也顯示中國電信身為全球主要電信公司卻依然未導入任何基本的必要安全措施來避免路由外洩，一旦事件發生，也沒有及時偵測和修正的程序和流程，」Madory 說：「以這種規模的路由外洩來說，2 小時真的太久，足以拖慢全球通訊。」

如果今天事情是其他 ISP 引起可能也不會引發注意。問題就在它是中國電信，而且它有前科。

美國海軍戰爭學院和以色列台拉維夫大學專家去年 10 月發表一份學術研究，顯示中國電信「劫持西方國家的重要網路骨幹。」

報告指出，中國政府利用本地 ISP 系統性劫持西方國家的 BGP 路由再導到中國，藉此留作紀錄作為日後情報分析之用。

這份報告遭到一些專家的批評，但報告的技術準確性則獲得其他人包括 Madory 的贊同，雖然他並不支持其中的政治指控。報告證實中國電信將西方國家網路流量導向自己，這幾年來已經發生過很多次，但 Madory 並未指出這次事件是刻意為之、技術問題或人為疏失。

去年 Madory 建議 ISP 應支持 RPKI 等新興 BGP 安全標準，徹底防範網路流量誤導事件的發生。

Source: ZDNET