配置錯誤的路由器將其流量導向俄羅斯中國和尼日利亞的網(wǎng)絡

2019-09-19 11:06:34    來源:    作者:

對于許多公司來說,一個噩夢般的場景是發(fā)現(xiàn)他們所有的網(wǎng)絡流量突然掌握在不友好的力量手中。谷歌于11月12日發(fā)生這種情況,當時尼日利亞一家小型互聯(lián)網(wǎng)服務提供商的員工配置了其中一個網(wǎng)絡設備的邊界網(wǎng)關協(xié)議(BGP)過濾器,以便谷歌的流量流向尼日利亞,途中經(jīng)過俄羅斯和中國。

配置在一個多小時內(nèi)得到修復,但在此期間,谷歌的內(nèi)部網(wǎng)絡正在全球巡回發(fā)送他們的流量。這會影響Google搜索以及Google Cloud的運營(請參閱圖片;右鍵單擊它并選擇“查看圖像”以查看更大版本),以及Google客戶使用其云服務的操作。

發(fā)生的事情是,當配置錯誤發(fā)生時,尼日利亞ISP的MainOne Cable正在執(zhí)行例行軟件更新。此時,路由器開始向互聯(lián)網(wǎng)廣告宣傳它是Google流量的合適途徑。中國和俄羅斯的互聯(lián)網(wǎng)服務供應商看到了這個廣告,并采取了行動,這最終意味著谷歌的流量,而不是去谷歌,流向俄羅斯,在那里它被傳遞到中國,在那里大多數(shù)人死亡。

谷歌的數(shù)據(jù)在中國無處可去

中國邊緣路由器是中國“大防火墻”的一部分,只是將數(shù)據(jù)包丟棄為未經(jīng)授權的。谷歌及其服務的用戶只是失去了聯(lián)系。最初的恐懼是谷歌的網(wǎng)絡流量被劫持,但后來的調(diào)查顯示,這只是人為錯誤。調(diào)查還顯示,MainOne沒有實施任何保護措施以確保其BGP廣告正確。事實證明,俄羅斯和中國都沒有互聯(lián)網(wǎng)服務。

從那時起,MainOne已經(jīng)解決了問題,并提出了必要的保護措施。但這并不意味著風險已經(jīng)消失。有線電視公司錯誤地做了什么可以很容易地通過將一個或多個用戶的互聯(lián)網(wǎng)流量發(fā)送到不應該去的地方的效果來完成。實際上它已經(jīng)完成,最近是為中國軍隊工作的黑客。

令人擔憂的是,BGP配置錯誤很容易實現(xiàn),而且很難修復。幸運的是,你可以通過在Twitter上觀看BGPMON來發(fā)現(xiàn)這種情況。這項服務是OpenDNS的一部分,很快就發(fā)現(xiàn)了Google重定向,這反過來又導致了它的快速修復。

但作為互聯(lián)網(wǎng)最終用戶,你幾乎無能為力。通過使用Tracert實用程序,觀察路徑,然后觀察延遲數(shù),您可以發(fā)現(xiàn)流量正在發(fā)生。但是,如果您的ISP或您自己的IP地址集被劫持,那么您可以做的最好的辦法是在劫持停止之前退出使用這些IP。

單獨的ISP是另一種選擇

另一種方法是通過單獨的ISP進行訪問。雖然實施服務(例如您的主要電子商務網(wǎng)站)可能很棘手,但保持對互聯(lián)網(wǎng)和云服務的訪問應該相對透明。如果您的電子商務網(wǎng)站是基于云的,那么您也可以繼續(xù)在那里運行。

當然,這樣的故障轉(zhuǎn)移策略是您必須提前安排的,但它將具有更多的用途,而不僅僅是BGP劫持。從DDoS攻擊到故障路由器配置,您的互聯(lián)網(wǎng)路徑可能會中斷。

必要的另一步是確保您的數(shù)據(jù)受到保護。當BGP問題發(fā)生時,谷歌并不擔心數(shù)據(jù)丟失,因為它的所有數(shù)據(jù)都是加密的。這也可以為您的公司節(jié)省成本。另一個步驟是使用VPN(虛擬專用網(wǎng)絡)來處理任何重要的數(shù)據(jù)。

使用VPN將確保數(shù)據(jù)已加密,但它將執(zhí)行更多操作。如果網(wǎng)絡地址廣告錯誤,VPN將無法連接,根本不會傳輸數(shù)據(jù)。發(fā)生這種情況是因為在設置虛擬網(wǎng)絡時,還要在另一端定義特定的IP地址。如果您已正確設置VPN,任何嘗試更改其終止位置的嘗試都將無效,因為地址不正確。

監(jiān)控網(wǎng)絡應該是一個給定的

當然,您應始終監(jiān)控您的網(wǎng)絡,而不僅僅是因為有意或無意地進行網(wǎng)絡劫持嘗試。一個不錯的網(wǎng)絡監(jiān)控應用程序?qū)l(fā)現(xiàn)您的網(wǎng)絡尋址變化并提醒您的IT員工。該Spiceworks還在網(wǎng)絡監(jiān)視器能夠處理任務,如這一點,它是免費的,易于理解和有效的。

有了有效的監(jiān)控服務,您幾乎可以立即知道何時會對網(wǎng)絡產(chǎn)生負面影響,無論是BGP配置問題,惡意WiFi接入點的出現(xiàn)還是內(nèi)部網(wǎng)絡上未經(jīng)授權的用戶。只是看延遲數(shù)字會告訴你有些不對勁。

邊界網(wǎng)關協(xié)議是互聯(lián)網(wǎng)早期的遺產(chǎn),當時大多數(shù)行動都是基于信任。不幸的是,在這個惡意軟件和間諜時代,信任已成為過去,所以你需要有辦法確認網(wǎng)絡上發(fā)生的事情是你想要發(fā)生的事情。這一挑戰(zhàn)只會變得更加重要。

鄭重聲明:本文版權歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。