BGP流量監控業者BGPmon.net於美西時間4月1日晚上,偵測到一起BGP劫持事件,歷時約5分鐘,當時原應屬於臉書的CDN,其路由器網路前綴(prefix)很不尋常地由編號AS12389的自治系統(Autonomous System)宣告。受影響的CDN前綴,預估超過8千個。

上周全球主要CDN(Content Delivery Network)發生BGP劫持(BGP hijacking)事件,包括Google、Amazon、Cloudflare、GoDaddy、臉書及Line等,都被導向俄羅斯一家ISP網站。

BGP流量監控業者BGPmon.net於美西時間4月1日晚上7點26分,偵測到這起BGP劫持事件,歷時約5分鐘,當時原應屬於臉書的CDN,其路由器網路前綴(prefix)很不尋常地由編號AS12389的自治系統(Autonomous System)宣告。根據偵測,受影響的CDN前綴全球超過8千個。這個自治系統隷屬於俄羅斯ISP Rostelecom,意謂著這些CDN的流量被導向了俄羅斯。

所謂BGP劫持又稱前綴劫持(prefix hijaking)或IP劫持,是指藉由破壞路由器內的全局 BGP 路由表(global BGP routing table),造成一組IP流量被導向不該去的目的地。

根據開源BGP資料分析框架BGPStream的偵測,受影響的CDN包括臉書、Google、Amazon、GoDaddy、Cloudflare、日本的Line、NTT及香港的ASline及其他小型CDN。

BGP劫持通常可讓駭客攔截流量,發動中間人(Man-in-the-Middle,MitM)攻擊藉以竊取重要資訊。即使愈來愈多流量改以HTTPS加密通道傳輸,駭客也能留待日後破解。

這是3年來第三次發生大規模流量被誤導的事件。2017年12月,Google、蘋果、臉書、微軟等多家公司的網路流量,曾一度被劫持導向俄羅斯、挪威、丹麥、澳洲等地。

2018年11月,因奈及利亞的ISP業者MainOne IP配置錯誤,導致Google流量被導至中國電信,令外界一度質疑Google流量遭到挾持。


Advertisement

更多 iThome相關內容