BGP泄露!日本互联网陷入瘫痪,网友炸锅,谷歌这下摊上大事了!
上周五,日本大范围断网约一个小时。BGM路由劫持自日本当地时间周五下午12:22至下午1:01,持续时间约40多分钟。 原因竟是素有“巧克力工厂”之称的Google 错误宣布了一个BGP 路由公告,声称它拥有某个 IP 前缀,这一公告被对等的 Verizon 接受了,然后转发给它的下游对等网络,导致了该 IP 前缀的流量路由到 Google 网络,但 Google 不是 ISP ,它不转发目的地是非 Google 网站的流量,这些流量不是塞满链路,导致链路不堪重负,就是进入访问控制列表(ACL),然后消失得无影无踪,整个路由路径发生了故障,日本的互联网流量被发送到了黑洞。
Google在全球共劫持了13.5万个网络代理,其中超过2.4万属于NTT通信株式会社。NTT是日本一家主要的ISP,其还支持OCN和KDDI两个小型的ISP。在日本,NTT为767万家庭用户和48万家公司提供互联网服务。虽然故障持续的时间较短,但是带来的影响是灾难性的,断网期间,网上银行门户网站无法访问,火车预订服务被取消,银行系统,股票市场进入了停滞状态,社交网站比如Twitter用户抱怨链接中断,日本总务省已要求相关电信公司报告发生的问题。
Google发言人发表声明承认是他们的错误,在这起案例中,是Google网络出现了配置错误或软件问题,从而向Verizon广播了数千个前缀,Verizon之后又传播给了其他ISP。发言人表示,断网事件发生后,Google方面在8分钟之内更正了信息。Google对网络设置了错误信息导致问题发生,并对带来的不便与恐慌致以歉意。
Google 拥有世界最大的 CDN 网络之一,它不是 ISP ,但 ISP 为了优化与 Google 服务的连接性能而与 Google 建立直接对等联系。而BGP(边界网关协议),是运行于 TCP 上的一种自治系统(AS)的用于连接主要互联网服务提供商(ISP)网络的路由协议。该协议主要依赖ISP广播网络中可用的IP地址。当ISP错误广播非本网的IP地址块时,便会发生BGP路由劫持事件。
BGPMon公司的工程师Andree Toonk分析指出,“由于很容易产生配置错误,因此很有必要在EBGP会话两端同时配备过滤器。在这个案例中,Verizon配备很少或者根本没有配备过滤器,并且接受了来自谷歌的大部分或者全部BGP地址,从而导致大规模服务中断。Verizon至少应该设置一个最大前缀限制,或者设置某些AS路径属性从而阻止产生大规模影响。”
一条路由误配置,但背后暴露了BGP的脆弱性,作为承担全球骨干网络的互联互通协议,BGP得到了广泛应用,但由于BGP本身缺乏有效的信任验证,以及对于选路进行有效验证,导致只能被动接受路由信息,而无法判断路由是否正确。这等同于我们开车只能听信于导航,而无法作为判点导航是否正确,一旦导航失误,车就迷航了,而我们前去的那个地点就从地球上事实上抹去了。
BGP泄露“是互联网的稳定性面临的一大风险”,通告两头在接受BGP通告之前应该先进行过滤。之前的BGP事件引发过诸多乌龙事件:误将YouTube流量发送到巴基斯坦,将中国流量发送到黑洞,使白俄罗斯成为默认路由,处理它无力处理的更多流量,以及误将Level 3通信公司的流量发送到马来西亚。掌握BGP路由防护极端重要,这是一种随时可以将互联网对手从网上抹去的技术,抹去极难被第一时间发现,数十、甚至数百小时的恢复时间,足够对对手产生严重打击。
对此,你怎么看?
如果觉得文章不错,可以给我们点个赞,也可以转发到你的朋友圈让更多人受益,如果你对BGP相关知识不了解的话,可以扫码加微信,更多内容等你来挖掘~~