谷歌、Facebook等200+厂商遭BGP劫持，俄罗斯运营商或为幕后主使

全球最大的 200 多家内容传输网络（CDN）和云主机提供商的流量正在遭遇劫持！

近日，BGP流量监控公司BGPMon发布紧急预警，称监测到多起与俄罗斯国有电信运营商Rostelecom有关的大规模BGP劫持事件，全球范围内有超过8800多条互联网流量路线受到影响。

该事件几乎波及了全球范围内的所有巨头厂商，谷歌、亚马逊、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等200多家内容传输网络（CDN）和云主机提供商均遭遇此类劫持。

消息一出，全球哗然。震惊之余，不免疑惑——“BGP劫持”究竟是何方神圣，为何能如此轻易劫持全球范围内200多家巨头厂商？与此同时，BGPMon又为何将本次事件起因的矛头直指俄罗斯电信运营商Rostelecom？

何为BGP劫持？

为何能影响全球200多巨头企业网络流量？

这一切的答案都还得从BGP协议本身说起。

当下，全球范围内大多数互联网服务提供商与外部网络的连接都要通过BGP来完成。（BGP，它是Border Gateway Protocol边界网关协议的缩写，是互联网上一个核心的去中心化自治路由协议，主要用于实现自治系统（AS）之间的路由连接。）具体而言，互联网服务提供商以BGP功能结构中一个自治系统（AS）身份，通过发布合乎规则的BGP路由表通告，来获得来自全球互联网实体的流量连接。

但是，在这一过程中，对于上述发布通告的自治系统（AS）是否安全可信，互联网实体并不会加以验证。而此项信息，为安全埋下了隐患。因为任何一个参与网络都可以通过劫持自治系统（AS）运营商，发布虚假BGP路由通告。例如声称 "Facebook的服务器"在他们的网络上，随后所有的互联网实体都会把它当作合法的目标，从而将Facebook的流量全部发送到劫持者的服务器上。

以上这个过程，便被称为BGP劫持。攻击者可通过BGP劫持任意拦截和窃听网络流量，或将其重定向到一些虚假网站，用作钓鱼欺骗、漏洞攻击或者其它意图，一旦成功，后果不堪设想。

而且，由于BGP协议在全球范围内的网络连接中广泛使用，一旦发生BGP劫持事件，全球几大流量巨头厂商如谷歌、亚马逊、Facebook便首当其冲成为攻击重灾区。

BGP劫持事件背后的“始作俑者”

矛头直指俄罗斯国有通信运营商Rostelecom

而有关本次BGP劫持事件的幕后主使，相关专家称，俄罗斯电信运营商Rostelecom（AS12389）或许有着不可推卸的责任。

对此，BGPMon创始人Andree Toonk认为：此事可能是由于俄罗斯电信内部的流量整形系统在公共互联网上不小心暴露了错误的BGP路由，而这个小小的失误又被其上游供应商放于互联网上重新传播所造成的。

Rostelecom（俄文：Ростелеком），是俄罗斯国家电信运营商，拥有俄罗斯最大的国内骨干网（约50万公里）以及为全国约3500万家庭提供“最后一公里”入户接入服务。

截止到目前，有关此事背后的深层目的尚未有所定论。但过去很多互联网专家曾指出，恶意的BGP劫持是有可能出现的，在国家控制的电信企业中发生的BGP劫持更是一向被视为出于政治目的，而全球范围内企业巨头的流量也并非第一次被劫持至俄罗斯。

2017年，Google、Apple、Facebook、Microsoft、巴西的I-infolink网络服务商、罗马尼亚LayerBridge提供商、美国Level 3通信网络服务商、意大利Arichwale服务商等都曾遭遇了BGP劫持，且其幕后的“始作俑者”皆指向俄罗斯Rostelecom电信。因此，针对此类攻击，我们仍需警惕。

考虑到目前为止应对BGP劫持攻击尚未出现有效解决办法，因此短期内，智库认为针对该类攻击的防御还是要寄希望于运营商自身的监控和防御，以及与相关网络安全公司积极配合，及时发现网络中的路由变更，从而早做部署拦截防御。