2022年3月28日,一家俄罗斯电信运营商在两个多小时内短暂地通告自己是推特流量的目的地,这可能是一起意外事件,也可能是一起企图劫持流量的事件。
全球知名的IT网络安全培训组织SANS Institute的Johannes Ullrich所说:“今天早些时候,RTComm.ru开始通告104.244.42.0/24,这是推特所使用的前缀。”
来自BGPStream的该页面显示了呈现这起事件或活动的情况:
Ullrich指出:“劫持BGP前缀是阻止访问的一种方式,但它也可以用来拦截发送到相应IP地址的流量。”
路由劫持机制使用边界网关协议(BGP),路由器通过该机制来分发关于可以通过它们到达哪些网络的信息。
BGP是一种历史悠久的协议,于1990年首次发布。BGP与许多互联网的基础协议一样,设计当初并未考虑到安全性。
美国联邦通信委员会(FCC)在2月下旬宣布对路由漏洞开展调查时所声称:“不法的网络威胁分子可能有意伪造BGP可达性信息,以便将流量重定向到自己或通过特定的第三方网络重定向流量,阻止流量到达预期的接收方。”
互联网分析公司Kentic的Doug Madory在推文中指出,万幸的是,推特使用了一种名为资源公钥基础设施(RPKI)的保护机制。
他说:“由于宣称AS13414的RPKI ROA[路由授权]是合法来源,这起劫持并没有传播太远。”
APNIC解释,RPKI“提供了一种将互联网编号资源信息(比如IP地址)连接到信任锚(trust anchor)的方法。”
Madory还特别指出,这不是推特头一次成为目标了:“这是去年缅甸政变期间被劫持的同一个前缀。”
虽然BGP劫持可用于破坏网络或拦截流量,但大多数此类事件是意外事件,比如澳大利亚电讯(Telstra)在2020年宣告自己是其他500个网络的最佳路由。
然而,FCC调查公告特别指出,俄罗斯网络之前的行为很可疑。
FCC写道:“俄罗斯网络运营商之前被怀疑过利用BGP的漏洞来劫持流量,包括在未给出解释的情况下通过俄罗斯重定向流量。”
“比如在2017年末,往返于谷歌、Facebook、苹果和微软的流量曾短暂地通过俄罗斯的一家互联网服务提供商路由传送。同年,来自多家金融机构(包括万事达卡和维萨卡等)的流量也在‘未给出解释’的情况下通过一家俄罗斯政府控制的电信公司路由传送。”
虽然RPKI和路由安全相互商定规范(MANRS)倡议解决了这类问题,但采用率比较低,因此FCC的调查旨在想方设法提高BGP保护机制的采用率。