标签：BGP 劫持

BGP 劫持是指攻击者恶意重新路由 Internet 流量。攻击者通过错误地宣布他们实际上并不拥有、控制或路由到的IP 地址组（称为 IP 前缀）的所有权来实现这一点。BGP 劫持很像如果有人要更改高速公路上的所有标志并将汽车交通重新路由到错误的出口。,因为 BGP 建立在互连网络会说出他们拥有哪些 IP 地址的事实的假设之上，所以 BGP 劫持几乎不可能停止——想象一下，如果没有人在看高速公路标志，这是判断他们是否被恶意攻击的唯一方法改变是观察到许多汽车最终驶入了错误的街区。但是，要发生劫持，攻击者需要控制或破坏在一个自治系统 (AS)和另一个自治系统 (AS)之间桥接的支持 BGP 的路由器，因此不是任何人都可以执行 BGP 劫持。,, 什么是 BGP？,BGP代表Border Gateway Protocol，是Internet的路由 协议。换句话说，它提供了方向，以便流量尽可能高效地从一个 IP 地址传输到另一个 IP 地址。IP 地址是给定网站的实际网址。当用户输入网站名称并且浏览器找到并加载它时，请求和响应会在用户的 IP 地址和网站的 IP 地址之间来回传递。DNS（域名系统）服务器提供 IP 地址，但 BGP 提供到达该 IP 地址的最有效方式。粗略地说，如果DNS是互联网的地址簿，那么BGP就是互联网的路线图。,每个 BGP 路由器都存储一个路由表，其中包含自治系统之间的最佳路由。随着每个 AS*（通常是 Internet 服务提供商 (ISP)）广播其拥有的新 IP 前缀，这些信息几乎会不断更新。BGP 始终支持从 AS 到 AS 的最短和最直接的路径，以便通过网络中尽可能少的跳数到达 IP 地址。了解更多关于 BGP >>, *自治系统（AS）的定义,自治系统是由单个组织管理的大型网络或网络组。一个 AS 可能有许多子网，但都共享相同的路由策略。通常，AS 要么是一个 ISP，要么是一个非常大的组织，拥有自己的网络和从该网络到 ISP 的多个上游连接（这称为“多宿主网络”）。每个 AS 都分配有自己的自治系统编号 (ASN)，以便轻松识别它们。,, 为什么 BGP 很重要？,BGP 使互联网的大规模增长成为可能。Internet 由多个相互连接的大型网络组成。因为它是去中心化的，所以没有管理机构或交通警察为数据包制定到达其预定 IP 地址目的地的最佳路线。BGP 承担了这个角色。如果没有 BGP，由于路由效率低下，网络流量可能需要大量时间才能到达目的地，或者根本无法到达预期目的地。, ,BGP 劫持是指攻击者恶意重新路由 Internet 流量。攻击者通过错误地宣布他们实际上并不拥有、控制或路由到的IP 地址组（称为 IP 前缀）的所有权来实现这一点。BGP 劫持很像如果有人要更改高速公路上的所有标志并将汽车交通重新路由到错误的出口。,因为 BGP 建立在互连网络会说出他们拥有哪些 IP 地址的事实的假设之上，所以 BGP 劫持几乎不可能停止——想象一下，如果没有人在看高速公路标志，这是判断他们是否被恶意攻击的唯一方法改变是观察到许多汽车最终驶入了错误的街区。但是，要发生劫持，攻击者需要控制或破坏在一个自治系统 (AS)和另一个自治系统 (AS)之间桥接的支持 BGP 的路由器，因此不是任何人都可以执行 BGP 劫持。,

BGP如何被劫持？当一个 AS 宣布一条到它实际上并不控制的 IP 前缀的路由时，如果没有过滤，这个宣布可以传播并添加到 Internet 上的 BGP 路由器的路由表中。从那时起，直到有人注意到并更正路由，到这些 IP 的流量将被路由到该 AS。如果没有地方政府来核实和执行财产契约，这就像声称领土一样。,,BGP 始终偏向于到达所需 IP 地址的最短、最具体的路径。为了使 BGP 劫持成功，路由公告必须：,大型网络或网络组（其中许多是 ISP）的运营商会厚颜无耻地进行此类恶意活动，这似乎令人惊讶。但考虑到从某些方面来看，现在全球有超过 80,000 个自治系统，因此有些不值得信赖也就不足为奇了。此外，BGP 劫持并不总是很明显或易于检测。不良行为者可能会在其他 AS 后面掩饰他们的活动，或者可能会宣布不太可能被注意到的未使用的 IP 前缀块，以保持在雷达之下。, 当BGP被劫持时会发生什么？,作为 BGP 劫持的结果，互联网流量可能会走错路、被监控或拦截、成为“黑洞”或作为路径攻击的一部分被定向到虚假网站。此外，垃圾邮件发送者可以使用 BGP 劫持或实施 BGP 劫持的 AS 网络，以欺骗合法 IP 进行垃圾邮件发送。从用户的角度来看，页面加载时间会增加，因为请求和响应不会遵循最有效的网络路由，甚至可能不必要地穿越世界。,在最好的情况下，流量只会走一条不必要的长路线，从而增加延迟。在最坏的情况下，攻击者可能会进行路径攻击，或将用户重定向到虚假网站以窃取凭据。, 现实世界中的BGP劫持,有许多故意 BGP 劫持的真实例子。例如，在 2018 年 4 月，一家俄罗斯提供商宣布了许多实际上属于 Route53 Amazon DNS 服务器的 IP 前缀（IP 地址组）。简而言之，最终结果是尝试登录加密货币网站的用户被重定向到由黑客控制的虚假网站版本。黑客因此能够窃取大约 152,000 美元的加密货币。（更具体地说：通过 BGP 劫持，黑客劫持了 Amazon DNS 查询，以便 myetherwallet.com 的 DNS 查询转到他们控制的服务器，返回错误的 IP 地址，并将HTTP请求定向到虚假网站。,BGP 劫持的无意实例也很普遍，它们可能对整个全球互联网产生负面影响。2008 年，巴基斯坦国有的巴基斯坦电信试图通过更新其网站的 BGP 路由来审查巴基斯坦境内的 Youtube。看似偶然，新路线被宣布给巴基斯坦电信的上游供应商，并从那里广播到整个互联网。突然间，所有对 Youtube 的网络请求都被定向到了巴基斯坦电信，导致该网站几乎整个互联网都出现了长达数小时的中断，并使 ISP 不堪重负。,, 用户和网络如何防御BGP劫持？,除了持续监控互联网流量的路由方式外，用户和网络在防止 BGP 劫持方面几乎无能为力。, , BGP如何被劫持？当一个 AS 宣布一条到它实际上并不控制的 IP 前缀的路由时，如果没有过滤，这个宣布可以传播并添加到 Internet 上的 BGP 路由器的路由表中。从那时起，直到有人注意到并更正路由，到这些 IP 的流量将被路由到该 AS。如果没有地方政府来核实和执行财产契约，这就像声称领土一样。,,