Facebook流量又被BGP劫持至俄罗斯

“ 今天凌晨，BGPMon公司发布预警，称近日发生多起涉及AS12389（Rostelecom，俄罗斯电信公司）的大规模BGP劫持事件，影响8,000多个IP前缀，包括Facebook。”

4月1日晚上7点多，BGPMon公司发现原本由Facebook公布的IP前缀31.13.64.0/19，在全球BGP路由表中检测到源自治系统（Origin AS)为AS12389，这个AS编号属于俄罗斯电信公司Rostelecom的，传播的AS路径为：

395152 -> 14007 -> 174 -> 20764 -> 12389

我分别查了下对应的供应商，转换下：

加拿大CloudPBX -> 加拿大Skyway West -> 美国Cogent通讯 -> 俄罗斯CJSC RASCOM 服务提供商 -> 俄罗斯PJSC Rostelecom电信

除上述IP前缀外，还有其它前缀，共影响8000多个前缀。BGPMon为此还公布了一段事件回放视频，以记录整个BGP劫持的变化，可视化效果做得挺好的：

‍

Facebook流量被BGP劫持至俄罗斯已经不是第一次，2017年12月13日Google、Apple、Facebook、Microsoft等都遭遇过BGP劫持。

之后的几天也有类似的劫持事件发生，包括巴西的I-infolink网络服务商、罗马尼亚LayerBridge提供商、美国Level 3通信网络服务商、意大利Arichwale服务商等等，全部都指向俄罗斯Rostelecom电信，影响范围是全球性。

目前对于导致此次事件的原因尚无定论，还不知道是恶意攻击的，还是像之前巴基斯坦封堵YouTube一样，手抖把路由信息错误配置导致的。

01

—

BGP与AS

BGP(Border Gateway Protocol), 边界网关协议，用于在不同自治系统（AS）间交换路由信息，是互联上一个核心的去中心化的自治路由协议。

AS(Autonomous system)，自治系统，指在一个或多个组织管辖下的所有IP网络和路由器的全体，它们对互联网执行共同的路由策略。

上面的解释太抽象了，不是人看的，通俗点来讲就是：

各个AS子网络通过BGP协议告诉别人自己网络中包括哪些IP地址段、AS编号以及其它信息，像中国电信、联通、移动都是拥有AS编码的运营商，这些运营商可能拥有一个或多个AS编号，借助BGP协议找到一条最短路径实现路由，从而实现跨网通讯。

全球互联网正是借助BGP实现各个国家的相互通讯，但是也有一个意外，那就是朝鲜。之前勒索病毒WannaCry在全球范围内肆虐时，朝鲜就幸免于难，因为人家是局域网，史称“光明网”。朝鲜政府禁止普通民众任意访问互联网，避免民众受到精神污染，光明网是完全独立运作的网络，甚至不接入国际互联网。

02

—

BGP劫持

对于某AS未控制的IP地址范围，会被广播并添加到互联网BGP路由表中，直至有AS认领并配置路由后，该IP流量才会被路由至认领的AS中。

BGP始终坚持最短路径路由优先权。为了实现BGP劫持，路由公告必须：

1. 早于其他AS公布特定IP范围的具体路径；
2. 为特定IP地址提供更短的路由路径。

但是，不非任何人都可以随意发布公告到互联网BGP路由中，必须由AS运营商或已经劫持AS的攻击者发布，提供到特定IP地址段的较短路由。

被BGP劫持后，可以任意拦截和窃听网络流量，或者被重定向到一些虚假网站，作钓鱼欺骗、漏洞攻击或者其它恶意攻击意图。

03

—

历史案例

2008年2月，巴基斯坦电信部指示要进行言论管制封杀YouTube网站后，巴基斯坦电信局（Pakistan Telecom）采取更进一步的作法。碰巧电信工程师手抖误操作，将静态路由信息配置到BGP路由表中，该公司向全球送出广播（broadcast），宣称自己才是全球YouTube互联网地址的合法目的地。结果，导致YouTube断网2小时，全球很多用户无法访问。

2015年，Hacking Team被入侵泄露很多资料，他们向执法机构和情报机构出售远程控制工具，其中有一个客户是监视有组织犯罪和恐怖主义的意大利国家军事警察的特别行动组，特别行动组利用钓鱼邮件等手段让远程控制工具感染目标的计算机，远程控制工具通过指令控制服务器记录按键和通信，上传收集的数据，收集目标的各种信息。他们与意大利网络运营商Aruba S.p.A（AS31034 ）合作，通过BGP劫持目标网络的链接，然后结合Adobe Flash 0day漏洞进行“水坑攻击”，以向访问者植入木马，完成长期的监控。

2018年4月，黑客通过BGP劫持了亚马逊DNS查询，从而实现DNS劫持，将加密货币站点重定向到黑客控制的虚假钓鱼网站。最后，黑客窃取了大约152,000美元的加密货币。

04

—

检测与防御

其实对于普通用户也干不了啥，更多还是寄希望于运营商自身的监控和防御，以及BGPSec等安全解决方案的推行实施，不过现在BGPSec解决方案仍在开发中，由于种种原因，还未被采用。所以，未来几年，BGP劫持仍将长期存在。

当前更多是一些网络安全公司，比如BGPMon实时监控互联网中的BGP路由信息，对发现的BGP劫持事件进行告警；还有一些学术机构也会发布其在BGP劫持检测上的研究成果，比如来自应用互联网数据分析中心（CAIDA）、希腊研究机构ICS-FORTH和巴黎高科国立高等电信学校（Telecom ParisTech）的研究人员发布的ARTEMIS（全称是“自动实时的检测和缓解系统”），通过部署在AS运营商上进行实时监控，当发现路由变更时，会对比过去10个月对应IP前缀的AS信息，若出现未在之前记录的AS节点，则可能被BGP劫持了。