一次BGP事件：通过中国电信传输欧洲移动流量持续 2 小时

2019 年 6 月 9 日 云头条

信息泄露给中国电信持续了长达2小时。

周四BGP泄露示意图（图片来源：ThousandEyes）

一家互联网监测机构报道，原本传输到几家欧洲最大的移动服务提供商的流量周四通过中国电信绕道传输到错误的地方，一些情况下持续时间超过了2小时。这次最新事件引发了公众对互联网全球路由系统：边界网关协议（BGP）的担忧。

这次事件是从周四协调世界时（UTC）上午9点43 分开始的。就在这个时间点，属于瑞士数据中心主机托管公司Safe Host的自治系统AS21217错误地更新了路由器，结果这条路径最终通向包括估计3.68亿个IP地址的70000多条互联网路由。中国电信的AS4134在2017年与Safe Host达成了网络对等互联（peering）协议，几乎立即回应了这些路由，而不是像合理的BGP过滤做法所要求的那样丢弃这些路由。短时间内，连接到中国电信的众多大型网络开始沿着这条路径传输。

结果是：原本发送到使用受影响的IP地址的电信提供商的流量大部分通过中国电信的设备来传输，然后或被发送到最后一站，或在绕道引起的长时间等待中被丢弃。Oracle的安全分析师Doug Madory最先报告了这次泄露，他所做的路由跟踪显示了传输路径绕了多大的圈子。以下屏幕截图显示了从弗吉尼亚州的谷歌云服务器开始的流量通过中国电信的骨干网络传输，最终传输到位于奥地利维也纳的目标IP地址。

图片来源：Oracle

第二个屏幕截图显示了多伦多的Oracle数据中心与法国受影响的IP地址之间的类似路由。

图片来源：Oracle

受周四事件影响的网络包括瑞士Swisscom的AS3303、荷兰电信公司KPN的AS1136以及分别属于法国电信提供商Bouygues Telecom和Numericable-SFR的AS1130和AS21502。 KPN后来指责这次事件是导致许多荷兰消费者无法完成借记卡交易的服务故障的根本原因。网络情报服务ThousandEyes的研究人员表示，发送到Facebook旗下的WhatsApp消息服务的一些流量也受到了影响。

一些不正确的路由仅持续了几分钟，其他路由持续了2个多小时。异常漫长的时间跨度加剧了这起事件的影响。

在一篇详细介绍该事件的帖子中，Oracle互联网情报团队互联网分析主管的Madory写道：

今天的事件表明，互联网还没有彻底消除BGP路由泄露这个问题。该事件还表明，中国电信这家主要的国际运营商既没有实施必要的基本路由保护措施以便防止路由泄露传播，也没有实施必要的流程和程序以便及时地发现并修复难免出现的此类事件。如此大规模的路由泄露持续了2小时，这个时间很长，因而导致全球通信质量下降。

任何电信公司若想开始改善路由状况，一个好的开端就是加入互联网协会旗下的相互协定的路由安全规范（MANRS）项目。

Safe Host在推特上写道：“我们仍在与我们的硬件供应商和CT一起调查昨天的BGP泄露，我们这边并没有进行引发这个问题的配置变更。”

无论是否有意，这次事件暴露了BGP的根本弱点，BGP是全局路由表，它让属于一个AS的IP地址可以找到属于不同AS的IP地址。几十年前，互联网还是业余爱好者和研究人员云集的地方，大多数人彼此认识，这个系统可以靠绝对信任来运转。如今，很显然BGP还没有适应服务对象多得多的互联网，包括牟取不义之财的犯罪分子和国家支持的黑客。

而这意味着每个网络都需要不断地监管分配给它们的地址空间。

ThousandEyes的产品营销副总裁Alex Henthorn-Iwane对IT外媒Ars Technica说：“这起事件表明，一个简单的错误大大改变互联网的服务交付状况到底有多容易。如果你看不清发生的状况，就无法让提供商承担责任并解决问题。”