配置錯(cuò)誤的路由器將其流量導(dǎo)向俄羅斯和尼日利亞的網(wǎng)絡(luò)

對(duì)于許多公司來(lái)說(shuō)，一個(gè)噩夢(mèng)般的場(chǎng)景是發(fā)現(xiàn)他們所有的網(wǎng)絡(luò)流量突然掌握在不友好的力量手中。谷歌于11月12日發(fā)生這種情況，當(dāng)時(shí)尼日利亞一家小型互聯(lián)網(wǎng)服務(wù)提供商的員工配置了其中一個(gè)網(wǎng)絡(luò)設(shè)備的邊界網(wǎng)關(guān)協(xié)議(BGP)過濾器，以便谷歌的流量流向尼日利亞，途中經(jīng)過俄羅斯和。

配置在一個(gè)多小時(shí)內(nèi)得到修復(fù)，但在此期間，谷歌的內(nèi)部網(wǎng)絡(luò)正在全球巡回發(fā)送他們的流量。這會(huì)影響Google搜索以及Google Cloud的運(yùn)營(yíng)(請(qǐng)參閱圖片;右鍵單擊它并選擇“查看圖像”以查看更大版本)，以及Google客戶使用其云服務(wù)的操作。

發(fā)生的事情是，當(dāng)配置錯(cuò)誤發(fā)生時(shí)，尼日利亞ISP的MainOne Cable正在執(zhí)行例行軟件更新。此時(shí)，路由器開始向互聯(lián)網(wǎng)廣告宣傳它是Google流量的合適途徑。和俄羅斯的互聯(lián)網(wǎng)服務(wù)供應(yīng)商看到了這個(gè)廣告，并采取了行動(dòng)，這最終意味著谷歌的流量，而不是去谷歌，流向俄羅斯，在那里它被傳遞到，在那里大多數(shù)人死亡。

谷歌的數(shù)據(jù)在無(wú)處可去

邊緣路由器是“大防火墻”的一部分，只是將數(shù)據(jù)包丟棄為未經(jīng)授權(quán)的。谷歌及其服務(wù)的用戶只是失去了聯(lián)系。最初的恐懼是谷歌的網(wǎng)絡(luò)流量被劫持，但后來(lái)的調(diào)查顯示，這只是人為錯(cuò)誤。調(diào)查還顯示，MainOne沒有實(shí)施任何保護(hù)措施以確保其BGP廣告正確。事實(shí)證明，俄羅斯和都沒有互聯(lián)網(wǎng)服務(wù)。

從那時(shí)起，MainOne已經(jīng)解決了問題，并提出了必要的保護(hù)措施。但這并不意味著風(fēng)險(xiǎn)已經(jīng)消失。有線電視公司錯(cuò)誤地做了什么可以很容易地通過將一個(gè)或多個(gè)用戶的互聯(lián)網(wǎng)流量發(fā)送到不應(yīng)該去的地方的效果來(lái)完成。實(shí)際上它已經(jīng)完成，最近是為工作的黑客。

令人擔(dān)憂的是，BGP配置錯(cuò)誤很容易實(shí)現(xiàn)，而且很難修復(fù)。幸運(yùn)的是，你可以通過在Twitter上觀看BGPMON來(lái)發(fā)現(xiàn)這種情況。這項(xiàng)服務(wù)是OpenDNS的一部分，很快就發(fā)現(xiàn)了Google重定向，這反過來(lái)又導(dǎo)致了它的快速修復(fù)。

但作為互聯(lián)網(wǎng)最終用戶，你幾乎無(wú)能為力。通過使用Tracert實(shí)用程序，觀察路徑，然后觀察延遲數(shù)，您可以發(fā)現(xiàn)流量正在發(fā)生。但是，如果您的ISP或您自己的IP地址集被劫持，那么您可以做的最好的辦法是在劫持停止之前退出使用這些IP。

單獨(dú)的ISP是另一種選擇

另一種方法是通過單獨(dú)的ISP進(jìn)行訪問。雖然實(shí)施服務(wù)(例如您的主要電子商務(wù)網(wǎng)站)可能很棘手，但保持對(duì)互聯(lián)網(wǎng)和云服務(wù)的訪問應(yīng)該相對(duì)透明。如果您的電子商務(wù)網(wǎng)站是基于云的，那么您也可以繼續(xù)在那里運(yùn)行。

當(dāng)然，這樣的故障轉(zhuǎn)移策略是您必須提前安排的，但它將具有更多的用途，而不僅僅是BGP劫持。從DDoS攻擊到故障路由器配置，您的互聯(lián)網(wǎng)路徑可能會(huì)中斷。

必要的另一步是確保您的數(shù)據(jù)受到保護(hù)。當(dāng)BGP問題發(fā)生時(shí)，谷歌并不擔(dān)心數(shù)據(jù)丟失，因?yàn)樗乃袛?shù)據(jù)都是加密的。這也可以為您的公司節(jié)省成本。另一個(gè)步驟是使用VPN(虛擬專用網(wǎng)絡(luò))來(lái)處理任何重要的數(shù)據(jù)。

使用VPN將確保數(shù)據(jù)已加密，但它將執(zhí)行更多操作。如果網(wǎng)絡(luò)地址廣告錯(cuò)誤，VPN將無(wú)法連接，根本不會(huì)傳輸數(shù)據(jù)。發(fā)生這種情況是因?yàn)樵谠O(shè)置虛擬網(wǎng)絡(luò)時(shí)，還要在另一端定義特定的IP地址。如果您已正確設(shè)置VPN，任何嘗試更改其終止位置的嘗試都將無(wú)效，因?yàn)榈刂凡徽_。

監(jiān)控網(wǎng)絡(luò)應(yīng)該是一個(gè)給定的

當(dāng)然，您應(yīng)始終監(jiān)控您的網(wǎng)絡(luò)，而不僅僅是因?yàn)橛幸饣驘o(wú)意地進(jìn)行網(wǎng)絡(luò)劫持嘗試。一個(gè)不錯(cuò)的網(wǎng)絡(luò)監(jiān)控應(yīng)用程序?qū)l(fā)現(xiàn)您的網(wǎng)絡(luò)尋址變化并提醒您的IT員工。該Spiceworks還在網(wǎng)絡(luò)監(jiān)視器能夠處理任務(wù)，如這一點(diǎn)，它是免費(fèi)的，易于理解和有效的。

有了有效的監(jiān)控服務(wù)，您幾乎可以立即知道何時(shí)會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生負(fù)面影響，無(wú)論是BGP配置問題，惡意WiFi接入點(diǎn)的出現(xiàn)還是內(nèi)部網(wǎng)絡(luò)上未經(jīng)授權(quán)的用戶。只是看延遲數(shù)字會(huì)告訴你有些不對(duì)勁。

邊界網(wǎng)關(guān)協(xié)議是互聯(lián)網(wǎng)早期的遺產(chǎn)，當(dāng)時(shí)大多數(shù)行動(dòng)都是基于信任。不幸的是，在這個(gè)惡意軟件和時(shí)代，信任已成為過去，所以你需要有辦法確認(rèn)網(wǎng)絡(luò)上發(fā)生的事情是你想要發(fā)生的事情。這一挑戰(zhàn)只會(huì)變得更加重要。