俄罗斯电信再次发生路由劫持事件,全球路由安
“面对屡见不鲜的互联网路由劫持事件,部署应用RPKI是保障路由安全的基础。”互联网域名系统国家工程研究中心(ZDNS)主任毛伟表示:“当前全球范围内开展的RPKI部署应用,是一次触及互联网‘互联互通根基’的安全升级行动,是互联网由‘可用’向‘可信’演进的新阶段。在这个推进过程中,中国不应该缺位。”
2020年4月1日19点27分(UTC时间)至19点33分,美国思科公司旗下的互联网路由监测网站bgpstream.com连续监测到,俄罗斯电信运营商Rostelecom大量向互联网广播不属于自己的IP地址空间。数分钟内,波及超过200家的互联网服务提供商,众多的美国知名公司在列,包括Google(谷歌)、Amazon(亚马逊)、Facebook(脸书)、Akamai(知名CDN厂商)、Cloudflare(知名CDN厂商)、GoDaddy(全球最大的域名注册商)等。
尽管互联网路由劫持事件屡见不鲜,但由于这次事件影响范围大且波及了众多知名互联网内容服务提供商,在国际互联网社群造成很大的影响。国际IT圈知名网站ZDnet在4月5日对此进行了报道分析。
值得注意的是,俄罗斯电信运营商Rostelecom已经不是第一次卷入路由劫持事件。2017年4月26日,Rostelecom就被监测到劫持过一些列金融机构的路由,包括visa、汇丰银行、MasterCard等。
路由劫持危害巨大
作为支撑互联网“互联互通”内涵的关键协议之一BGP,同很多互联网基础通信协议(DNS、IP等)一样,在设计之初并没有考虑消息真实性的问题。也即,互联网上的路由器在使用BGP彼此交换路由信息的过程中,每个路由器都很难辨别消息内容的真伪。不仅如此,这种BGP消息是广播式的。路由器接收到消息会继续转发出去。这次俄罗斯电信运营商Rostelecom向外通告的错BGP消息,很快被其上游供应商在互联网上重新传播,在短时间使得这种“错误”波及大范围的网络。
作为互联网安全缺陷的“顽疾”,路由劫持会导致非常严重的后果,例如大面积断网。2017年8月25日,由于配置错误,Google的网络发生路由泄露,劫持了日本运营商NTT的路由,导致日本大范围断网约1小时。
路由劫持还可以被用来对网络关键基础设施进行攻击。2018年4月24日,亚马逊云遭遇路由劫持。攻击者通过伪造路由,将数字货币用户的DNS请求劫持到一个伪造的DNS权威服务器,并返回虚假的数字货币网站的IP地址,从而盗取用户的登陆信息(用户名和密码)。该劫持波及了澳洲、美国等地区。
部署应用RPKI是保障路由安全的基础
为尽可能减少路由劫持的风险,自2000年以来,学术界和工业界提出了很多解决方案。目前为国际互联网社群及工业界所认可的对策,是一种基于RPKI(互联网码号资源公钥基础设施)的BGP安全扩展方案。RPKI的基本思想是在互联网码号资源分配的供给侧,基于应用密码学的签名机制,来发布可验证IP地址资源分配信息和授权使用信息。目前,全球五大地址注册机构(例如亚太互联网信息中心APNIC、欧洲互联网信息中心RIPE NCC等)均已经提供基于RPKI的IP地址授权认证服务;众多的骨干网运营商(例如美国AT&T、日本NTT)、国家级互联网交换中心(例如德国DECIX、法国France-IX以及加拿大YYCIX)、大型云服务公司(例如美国Cloudflare)也开始启动试点,使用RPKI过滤非法路由通告。
我国应尽快储备RPKI技术并参与相关的治理工作
RPKI是一个互联网码号资源分配关系延伸出的全球信任体系,将对互联网基础资源管理和“互联互通”控制机制产生重大影响。RPKI的部署还催生出“IP根”服务器的概念,也即RPKI这个认证体系的信任起点,成为互联网治理的关键要素。互联网域名系统国家工程研究中心(ZDNS)主任毛伟表示,在这个推进过程中,中国不应该缺位。为推广RPKI,我国相关单位可依托其职能定位,发挥积极作用。例如,网络运营商可升级其IP地址管理系统以支持RPKI,启动基于RPKI的路由认证试点;互联网服务提供商可使用RPKI技术,来保护其关键服务地址空间。
RPKI虽然被全球互联网社群认可,成为增强互联网路由系统的安全基础设施,但其自身的安全运行机制也需要提前做好技术储备。互联网域名系统国家工程研究中心首席研究员、亚太互联网信息中心(APNIC)路由安全SIG联合创始人及co-chair马迪认为:RPKI的出现将“刚性的BGP协议风险”逐步迁移到“弹性的RPKI运行风险”。涵盖“RPKI供给侧数据监测”及“RPKI需求侧本地化控制”在内的RPKI安全保障机制,是RPKI范畴新的顶层设计话题,是我国互联网社群积极参与并贡献思路的好机遇。
ZDNS的RPKI研究工作
互联网域名系统国家工程研究中心(ZDNS)作为国内领先的互联网基础服务提供商,非常重视RPKI作为互联网基础设施安全保障体系的价值。从2015年开始,ZDNS对RPKI的相关技术开展研究,RPKI的发明人Stephen Kent博士(互联网名人堂入选者)担任研究顾问。ZDNS的技术专家牵头起草了IETF RFC8211(RPKI供给侧数据安全威胁模型)和IETF RFC8416(基于RPKI的互联网码号资源本地化管理)。
互联网域名系统国家工程研究中心(ZDNS)也是通信行业系列标准“RPKI安全运行技术要求”牵头起草单位,参与单位包括CNCERT、中国电信、中国联通、中科院信工所、中兴通讯等。此外,ZDNS还是目前RPKI验证系统国际开源项目RPSTIR的牵头维护单位。
责任编辑: