BGP重大泄漏在全球范围内破坏了数以千计的网络

作者
bgp

4月16日发生的一次大型BGP路由泄漏,中断了全球成千上万个主要网络和网站的连接。

消息人士称,尽管BGP路由泄漏发生在印度的沃达丰自主网络(AS55410)中,但它已影响到包括Google在内的美国公司。

BGP泄漏导致错误定向流量的13倍峰值

4月16日,思科的BGPMon发现互联网路由系统中存在差异,可能表明发生了一些BGP劫持活动:

“前缀24.152.117.0/24,通常由AS270497 RUTE MARIA DA CUNHA,BR发布。”

“但在2021年4月16日15时07分01秒开始,相同的前缀(24.152.117.0/24)也被ASN 55410宣布,”指出BGPMon的公告。

Kentik的互联网分析主管Doug Madory进一步证实了这些发现,并指出自治系统ASN 55410的入站流量激增了13倍。

发生这种情况的原因是网络错误地宣称它支持30,000多个BGP前缀或路由,而实际上却不支持BGP,从而导致Internet充斥了本不该通过的流量。

所述自治系统(AS55410)属于沃达丰印度有限公司。

bgp鸣叫
Kentik分析的BGP泄漏
来源:Twitter

根据肯蒂克(Kentik)的分析,此事件的影响似乎也受到了包括谷歌在内的一些美国公司的影响,该事件似乎从UTC的13:50之前持续到2021年4月16日的UTC大约14:00。

Kentik与BleepingComputer分享了更多见解:

“此事件仅影响了大约10分钟的流量,但在此期间,世界各地的用户可能会遇到无数的Internet连接问题。”

肯蒂克(Kentik)的道格·马多里(Doug Madory)在接受电子邮件采访时对BleepingComputer说:“任何试图访问在泄漏的路由中配置了IP地址的Web资源的人,其流量都将被误导至印度的AS55410,然后掉线。”

Madory说,尽管泄漏主要影响了30,000多个广告路线和印度互联网用户的互联网流量误导,但泄漏确实扩散到了世界各地。

Madory将沃达丰印度公司(AS55410)经历的入站流量意外增长与本质上是自发的DDoS攻击进行了比较,该攻击也可能在这段时间内给沃达丰用户带来了访问互联网的问题。

由BGP专家进一步分析,已经确定了来自全球的自主网络20000个前缀受到了影响。

bgp泄漏asns
受此BGP泄漏影响的超过2万个自治系统编号(ASN)的部分列表
来源:Bhatia

什么是BGP,BGP劫持和BGP泄漏?

BGP或边界网关协议是使现代Internet起作用的原因。

这类似于为互联网提供一个“邮政系统”,该系统有助于将流量从一个(自治)网络重定向到另一个。 

互联网是一个网络网络,例如,一个国家/地区的用户想要访问另一个国家/地区的网站,则必须有一个系统,该系统知道在跨多个网络系统重定向用户时应采取的路径。

这类似于一封信在其来源和目的地之间通过多个邮政分支机构过境。

并且,这就是BGP的目的:在源和目标之间的各种路径和系统上正确地引导Internet流量,以使Internet起作用。

bgp公路
解释了BGP路由泄漏或劫持
图片来源:  Cloudflare

但是,BGP是脆弱的,即使是少数中间系统中的任何中断或异常也可能对许多中间系统产生持久影响。

为了使Internet正常工作,不同的设备(自治系统)会通告它们管理的IP前缀以及它们能够路由的流量。但是,这很大程度上是一个基于信任的系统,并假设每个设备都在讲真话。

考虑到Internet的巨大互连特性,很难对网络上存在的每个设备强制执行诚实操作。

BGP路由劫持发生在恶意实体设法“错误地”向其他路由器(它们不拥有特定的IP地址集)“通告”给其他路由器时。发生这种情况时,就会发生混乱。

这种路由混乱会在Internet上造成很多麻烦,并导致延迟,交通拥堵或总中断。

但是,BGP路由泄漏类似于BGP路由劫持,只是后者更具体地指发生恶意活动的实例。 

然而,路线泄漏很有可能是偶然的。

BGP路由泄漏或BGP劫持的情况下,自治系统(AS)都宣布知道“如何”或“在何处”定向实际上是未知的某些目的地(ASes)的流量。

在恶意劫持的情况下,这可能导致用户被带到Internet路由上,该路由将提供次优性能或直接造成中断,并有可能充当窃听或流量分析活动的前沿。

例如,根据BleepingComputer的报告,去年,IBM的全球中断是由于错误的BGP路由配置引起的。

在此之前,我们曾在2008年发生过一起BGP劫持的重大案例,当时YouTube  由于其部分流量通过巴基斯坦服务器重定向而向其全球受众下线。

如何防止这种BGP泄漏?

尽管此事件已经结束,但它随时可能再次发生。

Kentik与BleepingComputer共享了一些共同的保护措施,公司可以使用这种保护措施来防止BGP泄漏,像这样的安全措施,这表示Kentik昨天在泄漏发生时没有到位。

Madory进一步告诉BleepingComputer:“显然,AS55410不应泄漏30,000条路由,但相邻网络应该部署过滤机制来控制损坏。”他解释说,这些机制包括:

  1. 设置MAXPREFAS1273(也已注册到Vodafone)和AS9498(已注册到Bharti Airtel Ltd.)可以在与AS55410的连接上设置MAXPREF。这是一种简单的机制,当下游网络突然开始发送大量意外的BGP路由时,会自动禁用BGP连接。
     
  2. 配置过滤器:例如,使用Internet路由注册表数据,AS1273和AS9498可以过滤从AS55410接受的路由,因为它们知道自己不应该接收美国BGP路由。
     
  3. 部署RPKI:应该删除在RPKI中配置了路由原始授权(ROA)的泄漏路由。

“在每次BGP路由泄漏中,涉及的一方都多。当然有一个泄漏者,但总会有另一个网络将泄漏的路由分发到Internet上。”

“不可避免地会发生错误,我们必须做得更好,彼此注意。互联网毕竟是团队的努力!” Madory在接受BleepingComputer采访时总结道。

*编译:Domino

*来自:bleepingcomputer