从盗窃加密货币到互联网崩溃。
/ Javier Allegue Barros摄,Unsplash边界网关协议(BGP)是动态路由协议。 与DNS一起,它
是确保Internet功能的主要机制之一。
1989年,两位来自思科和IBM的工程师提出了创建它的想法。 在晚餐时见面后,他们
在两张餐巾纸上画出了协议的基本概念。 食堂中记录的想法已经定稿,后来
以IETF标准的形式设计。
BGP的最终版本于1994年推出,此后几乎保持不变。
ISP路由器使用BGP交换网络可用性信息。 这种方法使您可以确定在
自治系统之间传输数据包的最佳路由。 但是,BGP没有内置的路由验证机制。 爬到提供商路由表中的错误(由于软件故障或黑客行为)可能导致全局网络中的故障。
早在1998年,L0pht黑客组织的一名前成员在美国国会作证。 然后,他建议对BGP的攻击可以在30分钟内“放入”整个Internet。
如今,安全专业人员
记录了数千起与BGP相关的事件。 它们中的大多数无关紧要,但是有很多情况。
2014年-加密货币盗窃
戴尔信息安全部门的专家
记录了 22起与19个Internet提供商的流量重定向相关的黑客攻击。 攻击者通过入侵加拿大一家电信公司之一的员工的服务帐户来攻击BGP路由器。
目标之一是WafflePool网络
的挖掘池,其参与者团结一致来赚取加密货币。 连接到系统的计算机被重定向到替换命令服务器,该服务器将它们生成的加密货币转移到黑客帐户。 每次攻击持续不超过30秒。 但是即使在这么短的时间内,攻击者也设法窃取了相当于83000美元的比特币和山寨币。 按照自那时以来显着增长的当前加密货币的速度,它们的价值可以达到数十万美元。
2017年-日本的互联网关闭
在大约一个小时的时间里,朝阳之地的互联网间歇性地工作。 Google专家错误地宣布了日本提供商的IP地址块,从而在配置BGP协议时犯了一个错误。 结果,包括Verizon这样的大型电信公司在内的其他全球运营商
将日语流量
发送到了Google的服务器。 他们的机器不是用于路由的,数据包只是“无处可去”。
/照片Liam Burnett-Blue Unsplash结果,许多服务在日本不可用,包括政府组织的网站,预订系统等。用户无法连接到Nintendo服务器和几个交易大厅。
根据提供监视BGP的工具的公司BGPMon的专家所说,NTT Communications Corp提供商(其客户群有700万用户)受到的打击最为严重(尽管未披露提供商造成的确切损失数目)。
2019年-欧洲客流量启程前往中国
一个月前,BGP路由错误导致一个事实,即几个欧洲提供商的流量经过中国公司中国电信的网络进行了
两个小时 。 超过7万条路线被重定向-瑞士公司Swisscom,荷兰KPN以及法国Bouygues电信和Numericable-SFR的网络遭受重创。
公司的客户无法使用银行卡进行操作。 WhatsApp也有中断。 虽然专家不知道这是技术故障还是黑客对Internet基础结构的攻击造成的。
2019-全球互联网中断
该事件影响了Cloudflare,Facebook,Apple和Linode等大型公司。 Reddit,Twitch平台,Discord Messenger以及跟踪互联网崩溃的Downdetector服务也受到了影响。
原因是BGP路由泄漏和Verizon电信错误。 所有流量都通过宾夕法尼亚州一家小型提供商的数据中心-DQE Communications路由,该中心无法应付负载。
DQE Communications使用了BGP Optimizer工具。 通过将大型IP块分成小部分,它可以优化向客户端的数据包传递速度。 但是由于某些原因,DQE将这些路线移交给了与Verizon配置了转接连接的一位客户。 一个主要的提供商开始向整个Internet广播错误的信息。 泄漏被阻塞了三个小时。
如何加强BGP
为了减少BGP事件的数量,当今正在开发几种工具。 例如,自2014年以来,针对提高BGP安全性的一系列实践(
MANRS (关于路由安全性的共同商定规范))的工作一直在进行。 在网络上交换路由时,这是一种“良好的举止”。 MANRS计划的参与者(目前
大约有170个 )致力于防止错误的路由信息传播,并提供查找和解决可能的问题的工具。
/照片布伦丹教堂(Brendan Church Unsplash)同样在2017年,美国国家标准技术研究院(NIST)与美国国土安全部一起
开始制定保护互联网路由的标准。 去年,组织
发布了一种工具来帮助Internet服务提供商应对BGP劫持攻击。 该系统称为ARTEMIS,可在几秒钟内检测到路线的替换。
现在,MANRS的作者和ARTEMIS的开发人员面临着确保全球互联网提供商引入新工具和实践的任务。 Cloudflare的分析师指出,Verizon的路线验证系统将有助于防止大规模停机。
一些主要提供商已经在实施最佳实践,其中包括
AT&T ,
NTT Communications和
NetNod 。 专家希望,将来只会有更多。
从我们的Telegram频道获得有关该主题的其他阅读: