记一次BGP事件：欧洲流量通过中国电信错误传输2小时

上周四，BGP路由泄漏导致大部分欧洲移动流量通过中国电信的网络路由持续2小时。

上周四（6月6日），原本传输到几家欧洲最大的移动服务提供商的流量，通过中国电信重定向到错误的地方长达2小时。这次事件引发了公众对互联网全球路由系统：BGP（边界网关协议）的担忧。

什么是BGP？

BGP 即边界网关协议，是自治系统间的路由协议，BGP交换的网络可达性信息提供了足够的信息来检测路由回路并根据性能优先和策略约束对路由进行决策。

BGP 是互联网核心基础设施的组成部分，但过去几年BGP发生过许多次严重的路由泄漏，导致一个网络的流量被重定向路由经过其它网络。BGP的问题在于它过于信任收到的路由广播。

BGP 路由条目在不同的角色都有其合理通告范围，一旦BGP路由通告传播到其原本预期通告范围之外称之为路由泄露，而这会造成难以估量的严重后果。提供商通常会设置保护措施和安全程序，以防止BGP路由泄漏影响彼此的网络。

BGP泄露事件始末

事件始于2019年6月6日上午9点43 分（UTC），瑞士数据中心主机托管公司Safe Host的自治系统AS21217错误地更新了路由器，结果这条路径最终通向包括估计3.68亿个IP地址的70000多条互联网路由。

BGP 路由泄露示意图（来源：ThousandEyes）

中国电信的AS4134在2017年与Safe Host达成了网络对等互联（peering）协议，几乎立即回应了这些路由，而不是像合理的BGP过滤做法所要求的那样丢弃这些路由。短时间内，连接到中国电信的众多大型网络开始沿着这条路径传输。

受影响严重的欧洲网络包括瑞士瑞士的Swisscom（AS3303），荷兰的KPN （AS1130），以及法国的Bouygues Telecom（AS5410）和Numericable-SFR（AS21502）。

漫长的时间跨度加剧了事件的影响。KPN后来指责这次事件是导致许多荷兰消费者无法完成借记卡交易的根本原因。据网络情报服务商ThousandEyes的研究人员表示，发送到Facebook旗下的WhatsApp消息服务的一些流量也受到了影响。

6 月7日，瑞士主机托管公司Safe Host在推特表示：“我们仍在与硬件供应商和CT一起调查昨天的BGP泄露事件，我方暂未调查到引发此次事件的配置变更。”

截图自推特

路由泄露路径复盘

Oracle 互联网分析部门主管Doug Madory最先报告了此事件，他所做的路由跟踪，复现了流量传输路径究竟绕了多大的圈子。

以下截图显示了从弗吉尼亚州的谷歌云服务器开始的流量通过中国电信的骨干网络传输，最终传输到位于奥地利维也纳的目标IP地址。

以下截图显示了多伦多的Oracle数据中心与法国受影响的IP地址之间的类似路由。

Oracle 的DougMadory 表示“通常此类事件只持续几分钟，但此次事件中的许多泄露路由已经流通超过2小时。此外，路由泄露更多地针对路由前缀，因此建议使用路由优化器或类似技术”。

此次事件中，有超过1,300个荷兰路由前缀被暴露，并且有470条KPN路线通过了中国电信的网络。同样的情况也发生在64条Swisscom路由上，有200个瑞士路由前缀被暴露。

Oracle 在事件中观察到150个Bouygues Telecom路由前缀，其中包括127个现有路由的细节，并且发现一些自有的traceroute测量也未能幸免。

路由泄露引发的思考

Oracle 互联网分析部门主管Doug Madory在博文中写道：

今天的事件表明，互联网还没有彻底消除BGP路由泄漏的问题。中国电信作为一家主要的国际运营商，既没有实施必要的基本路由保护措施以防止路由泄露传播，也没有实施必要的流程和程序以及时地发现并修复此类不可避免的事件。如此大规模的路由泄露持续了2小时，导致全球通信质量下降。任何电信服务商想改善路由状况，加入互联网协会的《相互协定的路由安全规范》（MANRS）是一个好方法。

此外，早在去年，Doug Madory就建议电信服务提供商支持BGP安全标准，如RPKI，以此作为防止流量“劫持”的首选方式。

这次事件暴露了BGP的根本弱点，BGP是全局路由表，它让属于一个AS的IP地址可以找到属于不同AS的IP地址。

几十年前，互联网还是业余爱好者和研究人员云集的地方，大多数人彼此认识，这个系统可以靠绝对信任来运转。如今，很显然BGP还没有适应服务对象呈爆炸级膨胀的互联网，包括牟取不义之财的犯罪分子与黑客。这意味着每个网络都需要不断地监管分配给它们的地址空间。

ThousandEyes 的产品营销副总裁Alex Henthorn-Iwane对IT外媒Ars Technica表示：

这起事件表明，一个简单的错误要摧毁互联网的服务交付状况到底有多容易。如果你看不清发生的状况，就无法让服务商承担责任并解决问题。

安数网络的首席安全官李江辉表示：

BGP的缺陷在于流量会选择路由广播到达目的地的最短路径进行传输。中国电信因为和Safe Host有Peer协议，将SafeHost的路由作为自己的路由，将自己作为到达Safe Host网络和其他附近欧洲电信公司和ISP的最短途径之一，导致欧洲流量通过中国电信进行重定向。

*本文作者：安数君，转载请注明来自FreeBuf.COM