Google、Facebook和苹果的流量被「短暂劫持」到俄罗斯

2017 年 12 月 13 日 云头条 Andree Toonk

今天凌晨,我们公司BGPmon Network Solutions Inc. 的系统察觉到了一起可疑事件:许多目的地网站的前缀由一个未使用的俄罗斯自治系统(AS)公告。


从04:43(UTC)开始,通常由谷歌、苹果、Facebook、微软、Twitch、NTT通信公司和Riot Games等知名企业组织公告的80个前缀居然在全球BGP路由表中检测到,源自治系统(Origin AS)为39523(DV-LINK- AS)。


看一下时间线,我们就能看到两个事件窗口,每个时间窗口持续时间约3分钟。第一个事件从04:43 UTC开始,在04:46 UTC左右结束。第二个事件从07:07 UTC开始,在07:10 UTC结束。


尽管这些事件持续时间比较短,但影响重大,那是由于它已被大量的对等体(peer)收到,还有就是由于通常并不出现在互联网上的几个新的特定前缀。我们不妨再深究一下。


这个事件值得关注的其中一个方面是,受影响的前缀都是名头响、流量大的互联网企业组织的网络前缀。另一个奇怪的地方是,已有好多年未见Origin AS 39523(DV-LINK-AS)公告任何前缀(下面有一个例外),所以为什么它这回突然出现,公告谷歌等网络的前缀呢?


如果我们看一看几条AS路径,就可以发现39523始终是起源,而下一跳转送AS始终是31133 PJSC MegaFon。我们还发现,公布的前缀被几个大型ISP进一步收到,并被赋予了可达性,比如:


xx 6939 31133 39523(经由Hurricane Electric的路径)

xx 6461 31133 39523(经由Zayo的路径)

xx 2603 31133 39523(经由Nordunet的路径)

xx 4637 31133 39523(经由Telstra的路径)



让这个事件变得可疑是受影响的前缀都是大名鼎鼎的目的地,以及通常在互联网上看不到的几个特定前缀。这意味着这不是一次简单的泄漏,而是有人故意插入这些特定的前缀,可能企图吸引流量。


忠实的读者会记得今年早些时候我们发过的一篇博文:《令人好奇as12389》(https://bgpmon.net/bgpstream-and-the-curious-case-of-as12389/),涉及另一个俄罗斯网络。这个事件有点相似,原因在于它似乎颇具针对性。


$ whois -h whois.ripe.net AS39523

 

 

% Information related to 'AS39523'

 

% Abuse contact for 'AS39523' is 'support@dv-link.ru'

 

aut-num: AS39523

as-name: DV-LINK-AS

org: ORG-VII2-RIPE

sponsoring-org: ORG-ATS13-RIPE

import: from AS31133 accept ANY

export: to AS31133 announce AS39523

import: from AS3216 accept ANY

export: to AS3216 announce AS39523

admin-c: VIIN1-RIPE

tech-c: VIIN1-RIPE

status: ASSIGNED

mnt-by: RIPE-NCC-END-MNT

mnt-by: RIPE-DB-MNT

mnt-by: MNT-DV-LINK

mnt-routes: RIPE-DB-MNT

mnt-routes: MNT-DV-LINK

created: 2017-11-24T14:49:44Z

last-modified: 2017-11-24T14:49:44Z

source: RIPE


查看RIPE whois数据(见上面)时,我们看到这个AS 39523最近才被分配。然而浏览了我们的历史数据后,我们还注意到,AS 39523实际上今年早些时候一度很活跃,不过它可能企图隐藏起来。


让我们回到今年早些时候的另一篇博文(https://bgpmon.net/bgp-leak-causing-internet-outages-in-japan-and-beyond/),是介绍8月份的谷歌-Verizon泄露事件。


在那个事件中,我们深入介绍了谷歌的对等体关系。值得关注的是,那次泄露过程中出现的其中一条路径是前缀66.232.224.0/24,下一个ASpath是701 15169 32007 39523。


39523正是当初出现的与今天源AS一样的俄罗斯AS。32007是Equinix AS,15169是谷歌AS,701是Verizon AS。所以在8月份谷歌获悉一条路径通向66.232.224.0/24(Kohls 百货公司),起源是39523。由于不知道关于这个前缀的更多信息,谷歌通过这条路径获悉“Kohls百货公司”前缀看起来很奇怪,也很出人意料。


无论导致今天这起事件的原因是什么,这无疑是另一个生动的例子,表明有意或无意地重新路由传送第三方的流量有多容易。这也很好地提醒了各大ISP对客户要进行过滤。


相关阅读:

美国的大片地区又断网了:因技术人员配置失误,BGP路由泄露所致

谷歌的一名工程师搞砸了BGP通告,导致日本互联网陷入瘫痪

动态路由协议全方位比较:RIPv2、EIGRP、OSPF、BGP


登录查看更多
0

相关内容

全称:俄罗斯联邦(俄语:Росси́йская Федера́ция),简称俄联邦(俄文缩写为РФ)、俄罗斯(俄语:Росси́я)或俄国,是苏联最大加盟共和国俄罗斯苏维埃联邦社会主义共和国的继承国,联合国安理会常任理事国,是欧亚大陆北部的一个国家,地跨欧亚两大洲。
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
打怪升级!2020机器学习工程师技术路线图
专知会员服务
98+阅读 · 2020年6月3日
ACL2020接受论文列表公布,571篇长文208篇短文
专知会员服务
66+阅读 · 2020年5月19日
【ACL2020-Google】逆向工程配置的神经文本生成模型
专知会员服务
16+阅读 · 2020年4月20日
【CVPR2020-Facebook AI】前置不变表示的自监督学习
专知会员服务
46+阅读 · 2020年4月19日
【ACL2020-Facebook AI】大规模无监督跨语言表示学习
专知会员服务
33+阅读 · 2020年4月5日
MIT新书《强化学习与最优控制》
专知会员服务
275+阅读 · 2019年10月9日
用 Python 开发 Excel 宏脚本的神器
私募工场
26+阅读 · 2019年9月8日
谷歌足球游戏环境使用介绍
CreateAMind
33+阅读 · 2019年6月27日
无人驾驶仿真软件
智能交通技术
21+阅读 · 2019年5月9日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
2019,再不做私域流量就晚了?
互联网er的早读课
16+阅读 · 2019年4月10日
已删除
AI科技评论
4+阅读 · 2018年8月12日
谷歌要输给“邪恶的独角兽”了
商业周刊中文版
3+阅读 · 2017年12月17日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
Arxiv
6+阅读 · 2019年7月11日
Arxiv
8+阅读 · 2019年5月20日
VIP会员
相关VIP内容
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
打怪升级!2020机器学习工程师技术路线图
专知会员服务
98+阅读 · 2020年6月3日
ACL2020接受论文列表公布,571篇长文208篇短文
专知会员服务
66+阅读 · 2020年5月19日
【ACL2020-Google】逆向工程配置的神经文本生成模型
专知会员服务
16+阅读 · 2020年4月20日
【CVPR2020-Facebook AI】前置不变表示的自监督学习
专知会员服务
46+阅读 · 2020年4月19日
【ACL2020-Facebook AI】大规模无监督跨语言表示学习
专知会员服务
33+阅读 · 2020年4月5日
MIT新书《强化学习与最优控制》
专知会员服务
275+阅读 · 2019年10月9日
相关资讯
用 Python 开发 Excel 宏脚本的神器
私募工场
26+阅读 · 2019年9月8日
谷歌足球游戏环境使用介绍
CreateAMind
33+阅读 · 2019年6月27日
无人驾驶仿真软件
智能交通技术
21+阅读 · 2019年5月9日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
2019,再不做私域流量就晚了?
互联网er的早读课
16+阅读 · 2019年4月10日
已删除
AI科技评论
4+阅读 · 2018年8月12日
谷歌要输给“邪恶的独角兽”了
商业周刊中文版
3+阅读 · 2017年12月17日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
Top
微信扫码咨询专知VIP会员