配置錯誤的路由器將其流量導向俄羅斯中國和尼日利亞的網絡

2019-09-19 11:06:34

對于許多公司來說,一個噩夢般的場景是發現他們所有的網絡流量突然掌握在不友好的力量手中。谷歌于11月12日發生這種情況,當時尼日利亞一家小型互聯網服務提供商的員工配置了其中一個網絡設備的邊界網關協議(BGP)過濾器,以便谷歌的流量流向尼日利亞,途中經過俄羅斯和中國。

配置在一個多小時內得到修復,但在此期間,谷歌的內部網絡正在全球巡回發送他們的流量。這會影響Google搜索以及Google Cloud的運營(請參閱圖片;右鍵單擊它并選擇“查看圖像”以查看更大版本),以及Google客戶使用其云服務的操作。

發生的事情是,當配置錯誤發生時,尼日利亞ISP的MainOne Cable正在執行例行軟件更新。此時,路由器開始向互聯網廣告宣傳它是Google流量的合適途徑。中國和俄羅斯的互聯網服務供應商看到了這個廣告,并采取了行動,這最終意味著谷歌的流量,而不是去谷歌,流向俄羅斯,在那里它被傳遞到中國,在那里大多數人死亡。

谷歌的數據在中國無處可去

中國邊緣路由器是中國“大防火墻”的一部分,只是將數據包丟棄為未經授權的。谷歌及其服務的用戶只是失去了聯系。最初的恐懼是谷歌的網絡流量被劫持,但后來的調查顯示,這只是人為錯誤。調查還顯示,MainOne沒有實施任何保護措施以確保其BGP廣告正確。事實證明,俄羅斯和中國都沒有互聯網服務。

從那時起,MainOne已經解決了問題,并提出了必要的保護措施。但這并不意味著風險已經消失。有線電視公司錯誤地做了什么可以很容易地通過將一個或多個用戶的互聯網流量發送到不應該去的地方的效果來完成。實際上它已經完成,最近是為中國軍隊工作的黑客。

令人擔憂的是,BGP配置錯誤很容易實現,而且很難修復。幸運的是,你可以通過在Twitter上觀看BGPMON來發現這種情況。這項服務是OpenDNS的一部分,很快就發現了Google重定向,這反過來又導致了它的快速修復。

但作為互聯網最終用戶,你幾乎無能為力。通過使用Tracert實用程序,觀察路徑,然后觀察延遲數,您可以發現流量正在發生。但是,如果您的ISP或您自己的IP地址集被劫持,那么您可以做的最好的辦法是在劫持停止之前退出使用這些IP。

單獨的ISP是另一種選擇

另一種方法是通過單獨的ISP進行訪問。雖然實施服務(例如您的主要電子商務網站)可能很棘手,但保持對互聯網和云服務的訪問應該相對透明。如果您的電子商務網站是基于云的,那么您也可以繼續在那里運行。

當然,這樣的故障轉移策略是您必須提前安排的,但它將具有更多的用途,而不僅僅是BGP劫持。從DDoS攻擊到故障路由器配置,您的互聯網路徑可能會中斷。

必要的另一步是確保您的數據受到保護。當BGP問題發生時,谷歌并不擔心數據丟失,因為它的所有數據都是加密的。這也可以為您的公司節省成本。另一個步驟是使用VPN(虛擬專用網絡)來處理任何重要的數據。

使用VPN將確保數據已加密,但它將執行更多操作。如果網絡地址廣告錯誤,VPN將無法連接,根本不會傳輸數據。發生這種情況是因為在設置虛擬網絡時,還要在另一端定義特定的IP地址。如果您已正確設置VPN,任何嘗試更改其終止位置的嘗試都將無效,因為地址不正確。

監控網絡應該是一個給定的

當然,您應始終監控您的網絡,而不僅僅是因為有意或無意地進行網絡劫持嘗試。一個不錯的網絡監控應用程序將發現您的網絡尋址變化并提醒您的IT員工。該Spiceworks還在網絡監視器能夠處理任務,如這一點,它是免費的,易于理解和有效的。

有了有效的監控服務,您幾乎可以立即知道何時會對網絡產生負面影響,無論是BGP配置問題,惡意WiFi接入點的出現還是內部網絡上未經授權的用戶。只是看延遲數字會告訴你有些不對勁。

邊界網關協議是互聯網早期的遺產,當時大多數行動都是基于信任。不幸的是,在這個惡意軟件和間諜時代,信任已成為過去,所以你需要有辦法確認網絡上發生的事情是你想要發生的事情。這一挑戰只會變得更加重要。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。