随着互联网在全球社会经济中的深入渗透,网络安全日益影响到全球社会稳定和经济发展,网络安全事件引发的关注也越来越多。
11月13日,谷歌旗下的云服务、YouTube等网络服务受到影响,国外一些原本应流向谷歌地址的数据流量被MainOneCable错误操作改变了路径而转向了中国电信,致使中国电信的网络受到冲击,同时MainOneCable的互联线路严重拥塞,超限部分流量被丢弃,造成国外部分用户无法使用谷歌的部分服务。有外媒称因遭到来自中国运营商的流量“劫持”导致国外访问异常的发生。
11月17日,中国电信官网挂出对此事的情况说明,指出“劫持说”缺乏事实依据。
那么,此次流量路由异常事件究竟是怎么回事,是人为因素,还是技术漏洞,或是网络策略的需要?带着这些问题,记者采访了相关专业人士。
西非运营商配置失误
蝴蝶效应波及北美
中国电信网络技术专家李玉娟告诉记者:
11月13日的谷歌流量路由异常事件起因是一家名为MainOneCable的西非电信公司进行网络更新。这是一家位于尼日利亚拉各斯的商业ISP供应商,在葡萄牙和南非之间运营着一条海底电缆。
该公司表示:由于在网络更新时将BGP过滤器配置错误,将一部分原来只属于某个网段的线路配置加入了另一个网段中,致其骨干网将针对谷歌服务的业务流量指向中国电信。
中国电信在公司网站上发布的情况说明中指出:北京时间13日凌晨,MainOneCable将本应由其疏通的Google流量错误指向了中国电信,中国电信按照协议标准将流量正常转发至MainOneCable,由于流量严重超过双方互联的带宽,造成严重拥塞。MainOneCable修改了错误配置后问题得到解决,故障持续时间约1小时20分钟。
为什么一家西非ISP供应商的失误会影响到北半球的美国?
主要原因是MainOneCable通过位于尼日利亚拉各斯的IXPN公司与谷歌建立了点对点流量共享和交换协议,当MainOneCable导入了错误的配置信息时,去往谷歌的部分流量被指向中国电信。
事情发生后,谷歌表示,谷歌大部分网络流量都是加密的,即使转移也不会使其受到窥探, 同时表示,目前未有理由相信此次事件是有人蓄意造成。
路由异常事件频发
媒体定性存主观
由于全球互联网的发展水平参差不齐,同时每个公司的管理水平和员工的技术水平存在不同程度的差异,在做网络配置的时候出现错误很难避免,同时也不乏某些别有企图的人员参与其中,因此流量路由异常现象在全球时有发生。记者查阅到,近年来有记录、造成影响的大事件就有多起。
- 2018年4月24日,亚马逊云遭受BGP路由劫持攻击事件,波及澳洲、美国等地区。
- 2017年8月25日,谷歌(AS15169)路由泄漏导致日本NTT网络大面积瘫痪,持续40分钟,谷歌承认最终原因为错误配置。
- 2017年11月6日,Level 3的配置失误导致美国和全球互联网连接出现大范围中断,时间长达90分钟。
- 2017年4月26日,37个国际金融机构遭受劫持事件。
- 2015年11月6日,印度运营商 BHARTI Airtel发生路由泄漏,导致2000多个自治域网络故障,对印度、中国、美国、日本、沙特等国家影响长达9小时。
- 2014年4月3日,印尼运营商Indosat发生大规模路由劫持,印尼和泰国美国方向受阻3小时。
- 2012年2月27日,澳大利亚运营商Telstra路由泄漏造本国用户半小时断网。
然而,尽管互联网流量路由异常是全球的普遍现象,但国际媒体或专业机构在描述时,会根据自己的理解选用不同的术语,从而引导舆论:
“Routing leak(路由泄漏)”,这是中性的技术判断。如2017年8月25日,Google错误操作导致极其严重的BGP路由泄漏,几乎造成日本NTT、KDDI等公司互联网瘫痪。甲骨文在分析文章中就使用路由泄漏这个中性词。
“Traffic misdirection(流量误导)”,基本是贬义判断。甲骨文在11月5日发布的指责中国电信的文章,就采用流量误导这个说法。
“Traffic hijack(流量劫持)”,基本是恶意行为。中国资深通信网络专家、环球海缆产业协会创始人裘文荣告诉记者,通常说的流量劫持,主要是在流量产生、传播、接收三个阶段中,利用相关通信协议原理,伪造协议交互应答报文,或者修改正常路由路径配置,以使流量偏离正常轨迹,达到不可告人的目的。利用边界网关协议(BGP),黑客甚至可以改变核心互联网络由器上的网络地图,让基本服务脱机,窃取信息、监听流量或将信息在网络世界中完全删除。
此次针对谷歌的互联网流量事故,国际媒体普遍采用流量劫持这个说法,指向中国运营商恶意行为。但也有一些媒体如WIRED给出中性判断,称“谷歌互联网流量没有被劫持,只是失控了”。
谷歌发言人在11月13日声明:“谷歌没有发现有恶意劫持流量的行为。”中国电信就此事的说明中表示,互联网流量经其他运营商绕转是全球互联网的常见现象,流量绕转不是流量劫持,是经济性、联通性综合平衡的结果。现实中经常有亚洲至美国的部分流量经日本绕转、澳洲流向中国的流量经过美洲绕转的情况。中国电信依法经营国际互联网业务,美洲或欧洲的流量流经中国电信国际网络也是正常的现象。
互信原则受挑战
网络空间命运共同体备受期待
如此众多的流量路由异常事件对用户有何危害?
裘文荣说:如果是有人故意发布错误地址,会导致客户的某些地址段在局部区域完全无法使用,从而影响客户的运营,甚至导致某些服务器的瘫痪。如果是错误配置导致,由于路径的不可控,也将会给流量的传播质量造成很大影响。
中国信息通信研究院安全研究所专家卜哲表示,在流量路由异常事件中,受到异常流量冲击的运营商成为事实上的受害者。大量错发的网络流量不仅占用了宝贵的网络资源,而且会造成网络拥塞,业务处理速度下降或中断,甚至影响运营商其他正常的链路、设备、网络、业务,运营商实质上遭受了一次拒绝服务类型的网络攻击。好比一条道路设计的最大通行能力是每小时100辆汽车,如来了数百辆汽车,必然导致道路的拥堵通行能力低于100辆,甚至道路中断通行能力降为0,道路管理者必须采取相关措施疏导流量保障通行。运营商依据国际通行标准和国家法律法规、政策文件及相关技术标准,加强对网间特别是跨域异常流量的监测与处置,做好对网络特别是公共互联网的自我防护就显得十分重要和必要。
那么,既然流量路由异常事件具有潜在危害,为何仍然频频发生?是否可采用技术手段防止发生?
卜哲告诉记者,这一事件只是基于互信的互联网技术应用到全球现实社会中“水土不服”这个老问题的再次体现,进一步凸显了互联网架构的基础性弱点。互联网技术是在互信环境下设计并使用的,BGP的设计初衷是为正常的商业ISP供应商和其他实体之间构建可以信任的网络链路,降低鉴别和过滤信息的复杂程度。然而,互联网技术无国界,真实世界却有国界,当今国家之间的商业和地缘政治关系将BGP的薄弱点暴露了出来。在一个不互信的环境中,BGP的互信基础受到了冲击,虽然存在ROA等验证方法,但很少有ISP全面部署。即使像谷歌这样拥有大量资源的公司也无法免受BGP故障的影响,大多数资本不如谷歌这么雄厚的企业更加难以快速定位和解决问题。
裘文荣说,基于互信原则,多数运营商只对进入“黑名单”的网络路由进行特别管理(通常所说的“黑名单”机制)。
李玉娟告诉记者,此次事件中的MainOneCable公司是中国电信的客户,根据双方的业务协议,接收MainOneCable的互联网路由(包含MainOneCable错误发送的谷歌路由),正是采取基于这种互信机制的互联网路由管理策略的结果。该机制也是国际互联网运营商普遍采用的互联方案。然而,裘文荣认为,利用这种互信机制,虽然可以实现网络高效、成本降低、维护简单,但也留下了隐患,一旦问题发生,客观上造成了网络安全风险。
裘文荣说,鉴于互联网互信基础已经受到越来越多的挑战,全球各运营商和互联网服务提供商都应该认真分析流量路由异常事故,引以为戒。从技术层面上看,国际互联网工程任务组(IETF)已有专家建议,部署基于资源公钥基础设施(RPKI)的互联网流量路径认证标准的预防措施,能在第一时间发现乱发别人地址的行径,从而限制该行为造成的结果通过自己的网络发布出去,避免将错误扩散至全球互联网。另外,互联网转接(IP Transit)服务提供商应负起相应的责任,在与客户对接时,应调整基于互信原则的接收宽容策略,审慎核查客户发布的互联网路由,并制定相应的控制策略,这不仅是为客户负责,也是为全球互联网负责,避免全球的路由震荡以及流量路径异常,还能减少自身网络安全漏洞。
卜哲则认为,互联网正在改变世界,如何让互联网技术造福全球民众,并非技术层面能解决的问题,也绝非运营商能独立为之,而是需要各国政府和业界通力合作。当前,全球互联网治理体系变革正进入关键时期,我国提出了互联网全球治理的中国方案,为国际互联网治理贡献中国思想和东方智慧,构建网络空间命运共同体也日益成为国际社会的广泛共识。刚落幕的第五届世界互联网大会的主题就是“创造互信共治的数字世界——携手共建网络空间命运共同体”,与会代表呼吁各国互利互信、共享共治,共同面对未来挑战。联合国秘书长数字合作高级别小组成员玛丽娜·科列斯尼克表示,如果网络空间没有信任,人类的现实空间也不会有信任。“更加开放、更高质量、更多朋友”的网络空间新时代正在拉开帷幕,“共建网络空间命运共同体”加速进入“互信共治”的新阶段。