全球200大CDN發生BGP劫持
上周全球主要CDN(Content Delivery Network)發生BGP劫持(BGP hijacking)事件,包括Google、Amazon、Cloudflare、GoDaddy、臉書及Line等,都被導向俄羅斯一家ISP網站。
BGP流量監控企業BGPmon.net於美西時間4月1日晚上7點26分,偵測到這起BGP劫持事件,歷時約5分鐘,當時原應屬於臉書的CDN,其路由器網路前綴(prefix)很不尋常地由編號AS12389的自治系統(Autonomous System)聲明。根據偵測,受影響的CDN前綴全球超過8千個。這個自治系統隸屬於俄羅斯ISP Rostelecom,意味著這些CDN的流量被導向了俄羅斯。
所謂BGP劫持又稱前綴劫持(prefix hijaking)或IP劫持,是指藉由破壞路由器內的全局BGP路由表(global BGP routing table),造成一組IP流量被導向不該去的目的地。
根據開源BGP資料分析框架BGPStream的偵測,受影響的CDN包括臉書、Google、Amazon、GoDaddy、Cloudflare、日本的Line、NTT及香港的ASline及其他小型CDN。
BGP劫持通常可讓黑客攔截流量,發動中間人(Man-in-the-Middle,MitM)攻擊藉以竊取重要信息。即使越來越多流量改以HTTPS加密信道傳輸,黑客也能留待日後破解。
這是3年來第三次發生大規模流量被誤導的事件。2017年12月,Google、蘋果、臉書、微軟等多家公司的網路流量,曾一度被劫持導向俄羅斯、挪威、丹麥、澳洲等地。
2018年11月,因尼日利亞的ISP企業MainOne IP配置錯誤,導致Google流量被跳轉至中國電信,令外界一度質疑Google流量遭到挾持。
