前言
上週日,谷歌旗下的雲服務、YouTube等網絡服務在全球範圍內均發生了數小時的宕機,外媒稱因遭到來自中國電信IP的BGP劫持導致故障發生。雖然這次事件爲中國電信帶來了“寶貴”的谷歌流量,但是黑鍋我們真的不背。
概述
本次事件是由一家名爲Main One的西非電信公司進行網絡更新引發的。Main One是位於尼日利亞拉各斯的一家商業ISP供應商,在葡萄牙和南非之間運營着一條海底電纜。
該公司表示:
由於更新時採用了錯誤配置,導致Google的流量被重定向至中國電信,持續時間長達74分鐘。在這期間,全球範圍內的用戶再嘗試連接Google、YouTube、Spotify和Nest等網絡服務時,流量會通過一個名爲TransTelekom的俄羅斯ISP供應商重定向至中國電信,中國電信無法解析這些莫名其妙的流量和請求,因此導致宕機事件。
解構
Main One提供了一些具體的細節。他們在進行網絡更新時,由於誤操作導致BGP過濾器配置錯誤,將一部分原來只屬於某個網段的線路配置加入了另一個網段中,致其骨幹網將針對Google服務的請求經過層層節點全部定向至中國電信IP。
爲什麼一家西非ISP供應商的失誤會影響到北半球的美國?
主要原因是Main One通過位於尼日利亞拉哥斯的IXPN公司與谷歌存建立了點對點流量共享和交換協議,當Main One導入了錯誤的配置信息時,相關路由信息也會被谷歌自動獲取和投入使用,谷歌的全網流量會通過TransTelecom傳輸到NTT和其他中轉ISP,最後被重定向至中國電信。本次事件主要發生在商業級ISP鏈路上,消費級ISP鏈路幾乎不受影響。谷歌也表示沒有任何服務器或數據受到影響。
後話
這一事件進一步凸顯了互聯網架構的一個基礎性弱點。BGP的設計初衷是爲正常的商業ISP供應商和其他實體之間構建可以信任的網絡鏈路,降低鑑別和過濾信息的複雜程度。而當今互聯網服務提供商和國家之間的商業和地緣政治關係將BGP的薄弱點暴露了出來。雖然存在ROA等驗證方法,但很少有ISP全面部署。
即使像谷歌這樣擁有大量資源的公司也無法免受這種BGP故障的影響,大多數沒有Google這麼雄厚資源的企業可能無法快速定位和解決問題。
參考鏈接
https://www.theregister.co.uk/2018/11/14/nigeriantelcobgp/ https://blog.thousandeyes.com/internet-vulnerability-takes-down-google/
*本文作者:Freddy,轉載請註明來自FreeBuf.COM