(注:本文仅专业、准确翻译甲骨文互联网分析部(前身为Dyn)总监道格·马多里(Doug Madory)11月5日在甲骨文官网发布的英文博文《China Telecom’s Internet Traffic Misdirection》,不代表译者观点)

几周前,美国海军战争学院发表了一篇学术论文,该文多处指责中国政府意图操作互联网边界网关协议(BGP)路由,以便劫持国际互联网流量。

在本文中,我不想阐述美国海军战争学院论文所描述的中国政府这些行为的动机。但是,存在一个不可否定的事实,中国电信近几年来一直在误导(错误地疏导)国际互联网流量(包括流出美国的流量),不管中国电信是故意为之还是出于其他原因。我知道此事是因为我在2017年花费了大量的精力阻止中国电信这种行为的影响。

2015年12月9日,韩国SK Broadband公司(前身为Hanaro)的网络发生了一次短暂的路由泄漏事故,持续了一分多钟。在该次事故中,韩国SK公司网络AS9318向国际互联网发布了300多条美国运营商Verizon公司的网络路由。当时,OpenDNS 的 BGPstream 服务对该事故做了以下记录:

Woah, an ASN in Korea just hijacked a bunch of other ASNs across APAC. pic.twitter.com/46Ih5CaVmi

(韩国的一家网络刚劫持了亚太地区一堆网络)

— Compose Button               Richard Westmoreland (@RSWestmoreland) December 9, 2015

 

该路由泄漏仅由中国电信(AS4134)向国际互联网传播,中国电信当时是SK Broadband的上游互联网转接服务提供商。随后,韩国SK Broadband AS9318 开始将从美国运营商Verizon的亚太地区网络 (AS703)获得的路由全部发布给中国电信(AS4134),中国电信(AS4134)再将这些路由发布给与其互联的其他国际运营商网络,包括Telia(AS1299)、Tata(AS6453、GTT(AS3257)和 Vodafone (AS1273),等等。这就导致了以下互联网流量路径(AS paths):

… {1299, 6453, 3257, 1273} 4134 9318 703

在没有意识到该错误的情况下,从中国电信(AS4134)收到了这些路由的其他全球网络将送给美国运营商Verizon亚太地区网络(AS703)的流量都先送给中国电信(AS4134)。下图显示了当时从伦敦到澳大利亚政府网站的IP地址的路由跟踪(traceroute)测试结果。在该路由泄漏事故前,从伦敦到澳大利亚政府网站的路由从来没有经过中国电信网络(AS4134)。

从伦敦访问澳大利亚政府网站流量经过中国电信
从伦敦访问澳大利亚政府网站流量经过中国电信网络

 

在去年的几个月期间,我向美国Verizon和其他全球Tier 1运营商提醒了该问题。最终,Telia 和 GTT(这些互联网路由中最大的两家运营商)在其网络上设置了屏蔽措施,确保不会从中国电信网络接收美国运营商Verizon的互联网路由。这种措施使这些泄漏的路由通达范围缩小了90%,但仍没法阻止这些路由传递到与中国电信(AS4134)建立了直接对等互联的其他网络。

在去年,美国运营商Verizon的亚太网络(AS703)多次将其北美网络(AS701)的路由通过上述互联网流量路径(AS path)发布出去,造成了以下互联网流量路径(AS path):

… (与中国电信网络(AS4134)对等互联的其他网络) 4134 9318 703 701

当上述互联网路由被传播到国际互联网时,与中国电信(AS4134)对等互联的其他网络(包括美国网络)都从中国电信(AS4134)接收美国运营商Verizon北美网络(AS701)的路由,将本来是美国本土内的互联网流量先送到中国大陆,再转回美国。受此影响的客户中有一家是美国的主流互联网基础设施公司。在我们提醒这家公司上述情况后,他们迅速在与中国电信(AS4134)对等互联的全部端口设置了屏蔽措施,禁止从中国电信(AS4134)接收美国运营商Verizon的路由。下图是当时的网络监控截屏,是当时受影响的成千上万条从美国本土到Verizon网络(也在美国)的互联网路径跟踪(traceroute)测试结果之一。下图显示了该互联网流量路径通过了美国之外的地方。

美国本地互联网流量被疏导到中国电信网络
美国本地互联网流量被疏导到中国电信的中国大陆网络,再转回美国

 

互联网路径监控

BGP路由劫持报警的通常关注点在于寻找路由表IP地址空间里非预期的路由源或者上游转接供应商。但是,互联网流量被错误疏导的情况也可能在互联网流量路径(AS path)的其他段落产生。在本案例中,美国运营商Verizon的亚太网络(AS703)有可能与韩国SK Broadband(AS9318)建立了免费的对等互联,但没有意识到韩国SK Broadband(AS9318)会将Verizon亚太网络(AS703)的路由仅发布给中国电信(AS4134),然后中国电信(AS4134)将从韩国SK Broadband(AS9318)收到的Verizon亚太网络(AS703)的路由发布到全球互联网。

我们将此事故判定为对等互联路由泄漏,导致中国电信网络被插入到流向美国运营商Verizon网络的互联网流量路径中。 这种错误的路由策略发生在与路由源点相隔多跳(多个AS路径)的网络,而不是该路由源点的直接上游网络。

我们需要监控从对等互联的网络接收的互联网路由 —— 但很少网络采取这种做法。无辨别地全部接收对等互联网络发布的路由,就使你的对等互联网络有可能将其插入到你的网络流出流量路径中。

结论

2014年,我曾写了一篇博文:对等互联保护措施。该文提出了不良路由传播问题,如发生在上述事故中的情况。该类问题触发一位在QRator Labs工作的朋友Alexander Azimov 带领一个工作组,设立了一个  IETF 标准,即基于资源公钥基础设施(RPKI)的互联网流量路径认证标准。在网络上部署了这种认证机制,如果BGP宣告中包含违反 valley-free property 原则的互联网流量路径(AS path),该BGP宣告将被自动删除。这个 valley-free property 原则可以建立在已知的互联网自治系统域(AS-AS)网间关系上。这种认证机制至少可以防止上述不良路由问题。

同时,欢迎注册加入Internet Society’s MANRS项目,加强互联网路由安全,并了解你的互联网路由。

 

原文链接: China Telecom’s Internet Traffic Misdirection
作者:Doug Madory,Director of Internet Analysis, Oracle Internet Intelligence
编译:Winston Qiu

(注:本文为甲骨文互联网分析部(前身为Dyn)总监道格·马多里(Doug Madory)博文的中文翻译版。本中文翻译版仅试图专业、准确地传达英文原文思想及含义,不反应译者个人观点。译者将后续撰文分析,发表个人观点。本中文翻译版经Doug Madory授权,由Winston Qiu翻译和独家发布,涉及版权,可转发,切勿转载!