怎样监控BGP？如何快速解决BGP劫持？

边界网关协议（BGP）是运行于 TCP 上的一种自治系统的路由协议，是互联网运作的基础，但由于设计时间（1989年BGP诞生）过于久远，难免存在安全隐患。

系统管理员有时错误配置了BGP协议，导致流量被劫持插入广告，在某些情况下，实施恶意路由，劫持正常用户流量，从而影响用户体验。



为此，来自欧洲和美国的一组研究人员创建了一个框架——“自动及实时检测与缓解系统（ARTEMIS）”，供服务提供商在几分钟内解决BGP劫持问题。研究人员表示，ARTEMIS使提供实时流的公共BGP监控服务成为可能。

ARTEMIS系统怎样监控BGP
使用诸如RouteViews Project和RIPE路由信息服务（RIS）等基础设施，ARTEMIS允许运营商在自己的基础设施中缓解BGP劫持，而无需依靠第三方服务。研究人员认为，这就意味着使用BGP监控流量的网络运营商可响应BGP劫持，无需等待手动验证警报。

网络运营商可用自治系统（Autonomous System，AS）的信息配置ARTEMIS，观察影响AS-PATH事件的外部Feed，这意味着该系统能检测任何一类劫持事件，并生成警报。

ARTEMIS生成的警报包括各类输出，例如受影响的前缀、劫持企图类型、观察到的影响、涉及的AS号以及检测可信度。

当BGP劫持事件发生时，尽管ARTEMIS不会让网络运营商与其它运营商失去联系，但会将受影响的前缀作为响应进行拆分，这属于该系统自动生成的步骤。当检测到劫持10.0.0.0/23前缀，网络会执行前缀拆分，并宣告两个其它的子前缀：10.0.0.0/24和10.0.1.0/24。这些子前缀将在互联网中拆分，BGP会优先考虑更具体的前缀，受污染的AS将重建合法路由。

BGP MOAS宣告是ARTEMIS缓解策略的另一个组成部分，在该模型中，缓解攻击的企业使用BGP/MOAS或DNS将流量重定向到所在位置和清理中心，删除恶意流量，并将合法流量转发给受害者。

如果检测到BGP劫持，ARTEMIS系统会向负责缓解的企业发送警报，宣告位置或前缀遭遇劫持的路由器，这就意味着这家企业吸引了来自互联网的流量，因此可以将这些流量传回合法网络。

研究人员表示，实验中，他们可以在短短五秒内检测BGP劫持，并且绝大多数AS在60秒内从劫持中得以恢复。

谷歌意外劫持了BGP路由，导致日本大范围断网约一个小时

8月29日讯 上周五，Google犯下一个错误，不慎劫持BGP路由，导致日本大范围断网约一个小时。

BGP路由劫持自日本当地时间上周五下午12:22至下午1:01，持续时间约40分钟。

BGP路由劫持原理
BGP（边界网关协议），是运行于 TCP 上的一种自治系统(AS)的用于连接主要互联网服务提供商（ISP）网络的路由协议。该协议主要依赖ISP广播网络中可用的IP地址。当ISP错误广播非本网的IP地址块时，便会发生BGP路由劫持事件。路由表通过自治系统 (AS) 号码识别ISP。




Google意外劫持了BGP路由
上周五，拥有AS号码的Google错误地广播称，在其网络中发现日本ISP的IP地址段。

其它ISP（例如：Verizon）开始将预先前往日本的流量发送至Google服务器，然而谷歌服务器却不知道如何处理这些流量。

这导致日本许多网络服务瘫痪，用户无法访问网上银行门户网站、订票系统、政府门户网站等。除此之外，日本以外的用户无法连接到任天堂网络或日本多个在线市场。

约800万互联网连接受到影响
媒体BGPMon报道称，Google劫持了NTT通信株式会社的流量。NTT是日本一家主要的ISP，其还支持OCN和KDDI两个小型的ISP。在日本，NTT为767万家庭用户和48万家公司提供互联网服务。

持续40分钟左右的断网在日本引起恐慌。据日本当地媒体报道，日本总务省（Ministry of Internal Affairs and Communications）已经对此事展开调查，并要求ISP提供详细报告。

ISP最大网络代理限制的重要性
Google发言人发表声明承认是他们的错误，发言人向朝日新闻表示，Google对网络设置了错误信息导致问题发生，并对带来的不便与恐慌致以歉意。

断网事件发生后，Google方面在8分钟之内更正了信息。

目前尚不清楚，BGP路由劫持是否是人为错误或设备故障。




除谷歌外Verizon也应负责
BGPMon表示，Google劫持了全球超过13.5万个网络代理（用来唯一地标识着连入Internet的一个网络的网络号），其中日本NTT是受影响最大的ISP，有超过2.4万个。

BGPMon工程师安德烈·图克表示，配置错误很容易引起这类事件。

在这起案例中，似乎是Google网络出现了配置错误或软件问题，从而向Verizon广播了数千个代理，Verizon之后又传播给了其他ISP。

图克还表示，配置错误很容易产生，在EBGP会话两端同时部署过滤器非常必要。在这起案例中，Verizon似乎配备很少或根本没有配备过滤器，从而接收了来自谷歌的大量BGP地址最终导致服务大面积中断。Verizon至少应使用最大限制，或设置某些路径过滤器以阻止大规模影响的产生。