此事的發生是因瑞士資料中心代管業者Safe Host所控制的AS21217,外洩了逾7萬個路由給中國電信位於德國的AS4134,出錯的Safe Host透過Twitter表示,在這起BGP外洩的事件中,他們並未變更任何的配置,正與硬體供應商及中國電信連袂進行調查。(翻攝自)

甲骨文(Oracle)的安全分析師Doug Madory在6月6日觀察到另一起BGP路由洩露(Route Leak)的事件,把歐洲的行動流量導至中國電信(China Telecom)的架構上,不但繞了一大圈,還發現這類的錯誤通常只維繫幾分鐘就會被修正,這次卻延續了兩小時

ISP或Google等業者建立了數萬個自治系統(Autonomous System,AS)來連結全球網路,這些AS透過BGP協定所宣告的連結路徑來與其它AS交流。而根據網際網路工程任務組(Internet Engineering Task Force,IETF)的定義,BGP的路由洩露代表路由宣告的傳播超出了預期的範圍,違反傳送方、接收方或路徑中的AS所預期的政策,大部份是因錯誤配置所造成,但也可能是惡意行為,把流量導向其它路徑可能導致監聽、流量分析、過載或黑洞等後果。

此事的發生是因由瑞士資料中心代管業者Safe Host所控制的AS21217,外洩了逾7萬個路由給中國電信位於德國的AS4134,中國電信隨之對外散播此一錯誤的路由內容,包括讓AS4134成為連接AS21217的最短路徑,使得原本不需經過AS4134的流量都必須透過該AS傳遞。

由於偏離了原本的最短路徑,使得行動網路的流量出現擁塞或遺失的情況。出錯的Safe Host透過Twitter表示,在這起BGP外洩的事件中,他們並未變更任何的配置,正與硬體供應商及中國電信連袂進行調查。

Madory則說,此一意外除了透露出大家尚未解決BGP洩露問題之外,也彰顯了身為全球主要電信業者之一的中國電信依然未採用最基本的路由保障措施,該公司不但廣為傳播外洩的路由,也未能在事件發生時即時偵測與修復。

中國電信被撻伐的原因之一,是該公司習慣不設防地直接接收與傳遞任何的BGP路徑宣告。此外,Madory表示,這類的路由洩露事件通常只會持續幾分鐘,但這次卻延續了兩小時,已足以降低全球的通訊能力。


Advertisement

更多 iThome相關內容