BGP路由外洩,AWS臉書網站塞車

上月,BGP路由事故接二連三再次出現,導致全球網絡不穩,受影響主要是歐洲及美洲網站,大量用戶未能找到網站地址,受阻延由兩小時到8小時不等。

六月六日,甲骨文公司互聯網分析主任Doug Madory,在公司網誌發佈歐洲網絡交通被騎刧事故。

同月24日,Cloudfare 亦宣報美國大型ISP Verizon公司BGP路由出現問題,大量用戶未能登錄Cloudfare管理網站,受影響包括大型網站如Facebook,亞馬遜等,全球有百份之15互聯網交通流量受阻。

雖然兩宗事故,都以人為因素居多,似乎BGP安全問題一日仍未解決,未來的日子可見,ISP仍會重轁覆轍。

現代互聯網骨幹,由大型路由器連接,這類大型機器由各ISP、電訊公司、或大型企業擁有,負責管理一部份IP地址和路由協議。上述的企業路由器之間,以BGP協議互相設計路由,今天約有6萬個國際單位,正使用BGP來聯繫。

BGP協議約在1989年出現,90年代之後,已甚少改動,一直沿用至今。現代網絡生態及環境,當然跟三十年前,已很不一樣,雖然BGP擴展性很強,仍然支持至今天網絡發展速度。但是BGP設計,很大程度基於企業之間互相信任,假若其中一方有問題,例如引入錯誤路由資料,缺乏監察之下,便容易造成今天的局面。

當ISP相信了錯誤路由訊息,一再轉發出去,通常稱為BGP「外洩」(Leakage)。雖然這類事故,以人為過失居多,如網絡管理員轉發錯誤的路由資料,但亦有黑客藉此漏洞,偷取用戶的隱。

去年Cloudflare公司便報導過,黑客似用類似技倆,攻擊過亞馬遜Route53 DNS服務,偷換了虛擬貨幣網站myetherwallet.com的IP地址,再偷天換日,以假的網站取代。客戶登錄網站,就變成乖乖的把指令和密碼,雙手奉送黑客。雖然漏洞很快被修正,但據報黑客短時間內,仍然竊取了15萬元的以太幣。

上月初的事故,瑞士數據中心Safe Host誤把七萬條路由數據,發放給中國電訊,中國電訊可能未有確認之下,轉發到其他電訊商及企業之中。

結果,大量歐洲互聯網數據,流到中國電訊網絡及設備之中,造成歐洲網絡大塞車,達兩小時之久。上周,Verizon 造成的外洩事故,更被形容為互聯網的小型心臟病爆發。事緣美國賓夕法尼亞洲的小型ISP公司DQE,更新了BGP路由數據,上轉給Tier 1 大型電訊公司Verizon,其實新的數據包含了嚴重的錯誤資料;包括聯繫AWS,Google 及Facebook的新途徑。

當Verizon 稍不留神,直接轉送其他ISP的路由時,大量互聯網交通便轉發到DQE設備。家這小型ISP當然沒能力處理突如其來的大量流量,整個網絡迅速癱瘓,大量用戶無法登入指定網站;FACEBOOK、Google等用戶再次遭殃,停頓高達八小時之久。

其實,電訊業界亦有積極尋求解決方案,其中MANRS 協會便為業界關注路由安全的研究組織,曾提議四個建議;包括要路由器加入過濾規則,並驗證IP地址真偽,才轉發BGP路由數據。

另外ISP之間,亦有必要再加強聯繫,以核實對方身份,把有問題路由資料清除等等。

可惜上述出事兩間大型電訊公司,並未參加MANRS協會組織,看來業界仍要在BSP檢查路由,再加強管理和保安的意識。

作者:梁定康(Andy Leung)網絡保安工程師,向電信商及企業提供網絡保安設計方案。

Leave a Reply

Your email address will not be published. Required fields are marked *