Google、Facebook和苹果的流量被「短暂劫持」到俄罗斯

2018-1-3

12月13日凌晨,BGPmon Network Solutions Inc. 的系统察觉到了一起可疑事件:许多目的地网站的前缀由一个未使用的俄罗斯自治系统(AS)公告。

从04:43(UTC)开始,通常由谷歌、苹果、Facebook、微软、Twitch、NTT通信公司和Riot Games等知名企业组织公告的80个前缀居然在全球BGP路由表中检测到,源自治系统(Origin AS)为39523(DV-LINK- AS)。

看一下时间线,我们就能看到两个事件窗口,每个时间窗口持续时间约3分钟。第一个事件从04:43 UTC开始,在04:46 UTC左右结束。第二个事件从07:07 UTC开始,在07:10 UTC结束。

尽管这些事件持续时间比较短,但影响重大,那是由于它已被大量的对等体(peer)收到,还有就是由于通常并不出现在互联网上的几个新的特定前缀。我们不妨再深究一下。

这个事件值得关注的其中一个方面是,受影响的前缀都是名头响、流量大的互联网企业组织的网络前缀。另一个奇怪的地方是,已有好多年未见Origin AS 39523(DV-LINK-AS)公告任何前缀(下面有一个例外),所以为什么它这回突然出现,公告谷歌等网络的前缀呢?

如果我们看一看几条AS路径,就可以发现39523始终是起源,而下一跳转送AS始终是31133 PJSC MegaFon。我们还发现,公布的前缀被几个大型ISP进一步收到,并被赋予了可达性,比如:

xx 6939 31133 39523(经由Hurricane Electric的路径)

xx 6461 31133 39523(经由Zayo的路径)

xx 2603 31133 39523(经由Nordunet的路径)

xx 4637 31133 39523(经由Telstra的路径)


让这个事件变得可疑是受影响的前缀都是大名鼎鼎的目的地,以及通常在互联网上看不到的几个特定前缀。这意味着这不是一次简单的泄漏,而是有人故意插入这些特定的前缀,可能企图吸引流量。

忠实的读者会记得今年早些时候我们发过的一篇博文:《令人好奇as12389》(https://bgpmon.net/bgpstream-and-the-curious-case-of-as12389/),涉及另一个俄罗斯网络。这个事件有点相似,原因在于它似乎颇具针对性。

$ whois -h whois.ripe.net AS39523

% Information related to 'AS39523'

% Abuse contact for 'AS39523' is 'support@dv-link.ru'

aut-num: AS39523

as-name: DV-LINK-AS

org: ORG-VII2-RIPE

sponsoring-org: ORG-ATS13-RIPE

import: from AS31133 accept ANY

export: to AS31133 announce AS39523

import: from AS3216 accept ANY

export: to AS3216 announce AS39523

admin-c: VIIN1-RIPE

tech-c: VIIN1-RIPE

status: ASSIGNED

mnt-by: RIPE-NCC-END-MNT

mnt-by: RIPE-DB-MNT

mnt-by: MNT-DV-LINK

mnt-routes: RIPE-DB-MNT

mnt-routes: MNT-DV-LINK

created: 2017-11-24T14:49:44Z

last-modified: 2017-11-24T14:49:44Z

source: RIPE

查看RIPE whois数据(见上面)时,我们看到这个AS 39523最近才被分配。然而浏览了我们的历史数据后,我们还注意到,AS 39523实际上今年早些时候一度很活跃,不过它可能企图隐藏起来。

让我们回到今年早些时候的另一篇博文(https://bgpmon.net/bgp-leak-causing-internet-outages-in-japan-and-beyond/),是介绍8月份的谷歌-Verizon泄露事件。

在那个事件中,我们深入介绍了谷歌的对等体关系。值得关注的是,那次泄露过程中出现的其中一条路径是前缀66.232.224.0/24,下一个ASpath是701 15169 32007 39523。

39523正是当初出现的与今天源AS一样的俄罗斯AS。32007是Equinix AS,15169是谷歌AS,701是Verizon AS。所以在8月份谷歌获悉一条路径通向66.232.224.0/24(Kohls 百货公司),起源是39523。由于不知道关于这个前缀的更多信息,谷歌通过这条路径获悉“Kohls百货公司”前缀看起来很奇怪,也很出人意料。

无论导致今天这起事件的原因是什么,这无疑是另一个生动的例子,表明有意或无意地重新路由传送第三方的流量有多容易。这也很好地提醒了各大ISP对客户要进行过滤。