俄羅斯網絡“劫持”了 Twitter 流量：BGP 的不安全性再次暴露了出來

2022年3月28日，一家俄羅斯電信運營商在兩個多小時內短暫地通告自己是推特流量的目的地，這可能是一起意外事件，也可能是一起企圖劫持流量的事件。

全球知名的IT網絡安全培訓組織SANS Institute的Johannes Ullrich所說：“今天早些時候，RTComm.ru開始通告104.244.42.0/24，這是推特所使用的前綴。”

Ullrich指出：“劫持BGP前綴是阻止訪問的一種方式，但它也可以用來攔截發送到相應IP地址的流量。”

路由劫持機制使用邊界網關協議（BGP），路由器通過該機制來分發關于可以通過它們到達哪些網絡的信息。

BGP是一種歷史悠久的協議，于1990年首次發布。BGP與許多互聯網的基礎協議一樣，設計當初并未考慮到安全性。

美國聯邦通信委員會（FCC）在2月下旬宣布對路由漏洞開展調查時所聲稱：“不法的網絡威脅分子可能有意偽造BGP可達性信息，以便將流量重定向到自己或通過特定的第三方網絡重定向流量，阻止流量到達預期的接收方。”

互聯網分析公司Kentic的Doug Madory在推文中指出，萬幸的是，推特使用了一種名為資源公鑰基礎設施（RPKI）的保護機制。

他說：“由于宣稱AS13414的RPKI ROA[路由授權]是合法來源，這起劫持并沒有傳播太遠。”

APNIC解釋，RPKI“提供了一種將互聯網編號資源信息（比如IP地址）連接到信任錨（trust anchor）的方法。”

Madory還特別指出，這不是推特頭一次成為目標了：“這是去年緬甸政變期間被劫持的同一個前綴。”

雖然BGP劫持可用于破壞網絡或攔截流量，但大多數此類事件是意外事件，比如澳大利亞電訊（Telstra）在2020年宣告自己是其他500個網絡的最佳路由。

然而，FCC調查公告特別指出，俄羅斯網絡之前的行為很可疑。

FCC寫道：“俄羅斯網絡運營商之前被懷疑過利用BGP的漏洞來劫持流量，包括在未給出解釋的情況下通過俄羅斯重定向流量。”

“比如在2017年末，往返于谷歌、Facebook、蘋果和微軟的流量曾短暫地通過俄羅斯的一家互聯網服務提供商路由傳送。同年，來自多家金融機構（包括萬事達卡和維薩卡等）的流量也在‘未給出解釋’的情況下通過一家俄羅斯政府控制的電信公司路由傳送。”

雖然RPKI和路由安全相互商定規范（MANRS）倡議解決了這類問題，但采用率比較低，因此FCC的調查旨在想方設法提高BGP保護機制的采用率。