全球網路由數萬個網際網路自治系統(Autonomous System, AS)組成,多數由網路服務供應商(如ISP業者等)或大型企業(如Google等)建立,透過邊界閘道協定(Border Gateway Protocol, BGP)決定AS間傳輸最佳路徑彼此互連;BGP為去中心化之網際網路協定,藉由IP路由表與網路前綴(Network Prefix)資訊,完成AS間之傳輸。BGP劫持(BGP Hijacking)係藉由破壞路由器內之全球BGP路由表(Global BGP Routing Table),造成流量被導向錯誤目的地。
BGP流量監控業者BGPmon.net於美西時間2020/4/1晚間7時28分,偵測發現全球網路內容遞送服務(Content Delivery Network, CDN)供應商發生BGP劫持事件,歷時約一小時。俄羅斯國營電信營運商Rostelecom之編號AS12389宣告全球約8千個網路前綴為其所有,其中包括Google、Amazon、CloudFlare、GoDaddy、臉書(Facebook)及Line等200家CDN供應商之流量都被導向俄羅斯。
BGPmon.net創辦人Andree Toonk表示,此次BGP劫持事件起因可能是Rostelecom誤將用於同一AS中之iBGP(Internal/Interior BGP)路由表,寫至用於不同AS中之eBGP (External/Exterior BGP)路由表中,當Rostelecom上游廠商採用新路由表並於網際網路上重新廣播(Re-broadcast)時,此失誤便於幾秒內影響全球,導致BGP劫持事件。
資料來源:
https://securityboulevard.com/2020/04/russia-hijacks-traffic-of-huge-cloud-and-cdn-services/
https://www.techradar.com/news/russian-telco-hijacked-internet-traffic