BGP 劫持是怎么回事?运营商级路由安全科普

BGP 劫持是怎么回事?运营商级路由安全科普 定位网络基础与协议安全篇 · 互联网「导航系统」的信任危机声明本文以科普与防御观测为主擅自向公网宣告他人前缀属严重违法勿在靶场外尝试。一、从一封打不开的邮件说起上一篇 邮件安全 里SPF 检查的是「谁有权代表域名发信」。互联网路由层有一个更底层的问题数据包去 203.0.113.50走哪条路平常由BGPBorder Gateway Protocol边界网关协议回答。它像全球 GPS各国/各运营商AS互相告诉对方「某段 IP 从我这里走」。问题在于BGP 设计于互信协作默认不验证宣告是否合法。某 AS 突然喊「203.0.113.0/24 在我这儿」 全球路由器可能信以为真 → 流量改道 → BGP 劫持这不是你家路由器 ARP 欺骗能比的——这是运营商级、国家级的路由.redirect。本文把它讲透原理、案例、检测与 RPKI 防御。二、BGP 是什么5 分钟版2.1 自治系统AS互联网 成千上万个 AS 互联 AS 101 某省电信 AS 15169 Google AS 13335 Cloudflare AS 64496 你家公司的多线 BGP若有每个 AS 有ASN自治系统号对外宣告自己拥有的IP 前缀Prefix例如203.0.113.0/24。2.2 BGP 做什么AS A 与 AS B 建立 BGP 邻居eBGP ↓ 互相交换「路由通告NLRI」 ↓ 各自路由器选「最优路径」写入路由表 ↓ 数据包按下一跳转发BGP 不转发数据只交换「到某前缀该怎么走」的元数据。2.3 路径选择简化路由器选路常见依据因素说明最长前缀匹配/25比/24更「具体」优先AS_PATH经过的 AS 列表越短往往越优LOCAL_PREF本 AS 内部偏好MED多出口时的度量劫持常利用「更具体前缀」或「更短 AS_PATH」抢流量。2.4 与内网路由对比内网 OSPF/静态互联网 BGP范围企业/机房全球 AS信任通常可控半开放互信攻击面配置错误恶意/错误宣告三、BGP 劫持 / 路由泄漏是什么3.1 术语区分类型性质典型原因路由泄漏Route Leak多为误配置把客户路由泄露给对等体打破「谷」原则路由劫持Route Hijack恶意或严重失误宣告不属于自己的前缀路由投毒劫持子类宣告更具体前缀「吸走」流量3.2 劫持动画逻辑正常用户 ──► ISP-A ──► ISP-Core ──► 目标 AS拥有 203.0.113.0/24劫持后用户 ──► ISP-A ──► 恶意AS ──► ??? │ ├─► 黑洞DoS ├─► 明文镜像再转发被动 MITM 难主动需配合 └─► 冒充服务配合 DNS/证书等关键流量经过攻击者 AS 的边界路由器。解密 HTTPS 仍困难但可阻断、测绘、对部分未加密流量嗅探或配合更靠近应用的攻击钓鱼、DNS。3.3 为什么「更具体前缀」危险合法203.0.113.0/24 → AS 65001 攻击203.0.113.128/25 → AS 66666 更具体 BGP 选路/25 优先于 /24 → 仅 128-255 这部分主机流量被劫走更隐蔽历史上真实攻击用过。四、经典案例复盘4.1 巴基斯坦屏蔽 YouTube2008路由泄漏巴基斯坦 ISP 想屏蔽本国访问 YouTube 误将 208.81.0.0/22 宣告泄露给上游 PCCW ↓ 全球大量网络以为 YouTube 走巴基斯坦 ↓ YouTube 大面积不可达教训一条错误 BGP 通告可在分钟级影响全球。4.2 中国电信流量绕行2010 前后争议事件西方研究人员观测到大量美国前缀经AS 4134中国电信绕行持续约 18 分钟量级事件被多次讨论。争议点故意劫持 vs 配置失误 vs 复杂对等策略。安全启示路径异常监测必要不能假设 BGP 路径总最短、总合理。4.3 加密货币 / 钱包服务劫持近年多起事件攻击者向部分对等体宣告交易所或 DNS 相关前缀短时间劫持流量配合DNS 投毒或钓鱼窃取资产。模式BGP 劫持前缀 → 用户连到攻击者边缘 DNS 篡改或伪造站点 → 凭据/转账地址被替换说明BGP 常与 DNS、Web 层组合不是孤立现象。4.4 大型云厂商路由泄漏2019–2024 多次Google、Cloudflare、Meta、AWS 等均发生过路由泄漏导致全球流量异常绕行或中断。共性一条错误策略或脚本可波及全球修复依赖快速撤回通告 上游过滤4.5 案例对照表事件类型影响Pakistan YouTube泄漏全球可达性前缀劫持 加密货币劫持资产盗窃云厂商泄漏泄漏延迟飙升/中断特定 /25 劫持投毒局部主机不可达五、BGP 劫持能做什么、不能做什么5.1 攻击者可能做到✓ 让目标 IP 流量经过自己 AS拓扑上 ✓ 造成 DoS黑洞、拥塞 ✓ 对未加密协议嗅探HTTP、SMTP 明文等越来越少 ✓ 配合 DNS 欺骗、证书错误配置扩大伤害 ✓ 测绘谁在和谁通信元数据5.2 通常不能直接做到✗ 批量解密现代 HTTPSTLS 1.3 正确证书 ✗ 在无物理/对等接入时劫持任意 AS需成为路径一环 ✗ 长期稳定劫持一级云厂商全网段而不被迅速发现与专栏前篇对照层级攻击二层 ARP 欺骗局域网 MITM三层 DNS 欺骗名不对 IPBGPIP 段路径被改道六、如何「看见」BGP读者可动手部分无需自建 AS用公开工具观测即可。6.1 BGPView / Hurricane Electrichttps://bgpview.io https://bgp.he.net查某前缀搜索 8.8.8.0/24 或 AS 15169 看 Origin AS、Upstream、Peers6.2 命令行查询# whois 路由信息RIPE/APNIC 等whois-hwhois.radb.net ---i origin AS15169|head# traceroute 看路径是否异常traceroute8.8.8.8mtr-rwzbc1001.1.1.1# 查某 IP 归属whois203.0.113.506.3 BGPStream / RouteView概念学术与商业界用RouteViews、RIPE RIS收集全球 BGP 更新BGPStream对异常事件发告警。安全工程师可订阅· 自家前缀是否出现陌生 Origin AS · 是否出现更具体的 hijack 前缀6.4 实验对比「正常」与「新闻事件」时段□ 1. 在 bgp.he.net 查你公司或常用云厂商前缀 □ 2. 记录 Origin ASN、RPKI 状态若有 □ 3. 读一条 BGPStream 历史事件报告 □ 4. traceroute 同一目标多次看路径是否突变 □ 5. 写 200 字BGP 与 DNS 劫持区别七、防御体系从业界互信到密码学验证7.1 传统手段仍重要手段说明前缀过滤Prefix Filtering上游只接受客户合法前缀IRR 注册在 RADB/RIPE 注册 route 对象供对端过滤最大前缀限制防意外宣告过多条目MANRS互连最小安全基线过滤、防泄漏、协调MANRS 四大实践1. 过滤 2. 防路由泄漏 3. 地址空间防伪转向 RPKI 4. 全球可见性与协调7.2 RPKI给 BGP 加上「密码学出生证」RPKIResource Public Key Infrastructure用数字证书证明「AS 65001 有权宣告 203.0.113.0/24」发布ROARoute Origin Authorization到 RPKI 仓库。收信方做ROVRoute Origin Validation验证结果动作可配置Valid正常接受Invalid丢弃非法起源通告Not Found多数仍接受过渡态7.3 ROA 示例概念ROA: 203.0.113.0/24 最长 /24 由 AS 65001 宣告若 AS 66666 也宣告该前缀 → ROV Invalid→ 被丢弃在对端启用 ROV 时。7.4 全球 RPKI 部署现状科普· 大型 IX、云厂商、部分国家 ISP 已大量启用 · 并非 100% 覆盖Not Found 仍常见 · 部署 RPKI 需与 IRR、前缀过滤配合查询某前缀 RPKI 状态https://rpki-validator.ripe.net/ui/ 或 bgp.he.net 前缀页的 RPKI 标签7.5 企业非运营商能做什么□ 向 ISP 确认对客户前缀做 RPKI ROA 了吗 □ 监测自家前缀是否被劫持BGPStream、Kentik、ThousandEyes 等 □ 关键服务多地域 Anycast DNS 多线路 □ 应用层仍假设网络不可信HTTPS、证书固定、HSTS □ 与 ISP 建立劫持告警联系人单家企业通常不跑 BGP但仍是受害者——所以要会问对问题。八、路由泄漏的「谷原则」简图BGP 商业关系Customer客户─付费─► Provider运营商 Peer对等─互换─► Peer谷原则Gao-Rexford流量不应从Provider 一侧「上坡」再「下坡」到另一 Provider客户路由误泄露给对等体时常打破。正常Customer → Provider → Internet 泄漏Customer 路由被 Provider 错误广播给 Peer → 全球绕行路径变「绕地球」防御出方向路由策略严格过滤客户路由只向合法对端发布。九、BGP 劫持与 DNS / 邮件的联动场景攻击者劫持 DNS 服务器所在前缀 用户解析 dns.company.com ↓ BGP 已将 DNS IP 指到攻击者 ↓ 拿到虚假 A 记录 → 钓鱼站 ↓ 邮件 MX 若在同一前缀SPF/DKIM 链路也被扰乱纵深防御DNSSEC防记录篡改 HTTPS防内容 RPKI防路径 缺一层都可能被组合击穿十、蓝队 / 运维监测清单10.1 日常□ 公司公网前缀在 bgp.he.net 的 Origin AS 是否正确 □ ROA 是否 Valid □ 关键 SaaS 出网 traceroute 基线 □ 订阅 BGP 异常告警商用或开源10.2 事件响应怀疑劫持时1. 多地点 ping/traceroute/mtr 对比 2. 查 BGPView 该前缀实时 Origin / Upstream 3. 联系 ISP撤回非法宣告、加紧急过滤 4. 查应用日志异常登录 IP、证书错误激增 5. 必要时切换 Anycast / 备用入口 6. 对外 STATUS 页说明若服务中断10.3 狩猎问题· 某国用户突然全部超时是否区域路由问题 · 只有某 /25 段用户报错是否更具体前缀劫持 · TLS 握手失败是否集中在某 ISP 用户十一、为何不能在家庭靶场「复现 BGP 劫持」BGP 对等需要 · 公网 ASN · 与 ISP/IX 物理或隧道 BGP 会话 · 全球传播通道专栏不在 VM 里教你宣告别人前缀——违法且影响真实互联网。合法学习路径· GNS3/EVPN 实验 AS 内 iBGP/eBGP不连公网 · 阅读 MANRS、RIPE RPKI 文档 · 用公开观测平台看真实世界 · 考 ISOC BGP 安全课程 / NANOG 录像11.1 本地纯模拟可选进阶FRRouting / BIRD 在封闭 Linux -namespace 里建 3 个 AS 仅学习 AS_PATH、prefix 传播接口不接到公网超出本文「科普」范围有兴趣可单独开实验篇。十二、常见误解误解事实BGP 劫持 自动破 HTTPS大多不能需应用层配合只有国家能做任何错误配置的 AS 都可能泄漏RPKI 一劳永逸要 ROV 部署率且不管路径只验证起源我家宽带能防 BGP终端无感靠运营商与云厂商traceroute 少一跳就是劫持可能只是 MPLS 隐藏或策略路由十三、完整「观测型」实验步骤60 分钟□ 1. 打开 bgp.he.net查 1.1.1.1/24 与 8.8.8.0/24 的 Origin AS □ 2. 查看 RPKI Valid/Invalid/None 标记 □ 3. whois 对应 AS 的组织信息 □ 4. 本机 mtr 1.1.1.1 与 8.8.8.8 各 20 次记录 AS 路径是否稳定 □ 5. 阅读 BGPStream 一篇历史劫持报告英文可翻译摘要 □ 6. 列出 MANRS 四条实践用自己的话解释 □ 7. 若你有公司前缀让运维确认 ROA 是否发布 □ 8. 写对比表ARP vs DNS vs BGP 三层「.redirect」十四、法律与伦理❌ 向公网宣告不属于自己的 IP 前缀 ❌ 利用劫持窃取流量、加密货币、用户数据 ❌ 干扰关键基础设施DNS 根、核心 IX ✅ 使用公开观测工具学习 ✅ 在授权运营商环境做路由安全审计 ✅ 推动本单位前缀 RPKI 部署多国将故意 BGP 劫持视为严重计算机犯罪。十五、本篇小结┌─────────────────────────────────────────────────────────────┐ │ BGP 劫持 核心记忆 │ ├─────────────────────────────────────────────────────────────┤ │ BGP AS 间交换「到某前缀怎么走」默认弱信任 │ │ 劫持/泄漏 错误宣告前缀流量改道或中断 │ │ 更具体前缀可精准「吸」流量 │ │ 防御过滤、MANRS、IRR RPKI/ROV 验证起源 │ │ 企业监测自家前缀 应用层 HTTPS/DNSSEC 纵深 │ │ 学习用 bgp.he.net / BGPStream 观测勿公网乱宣告 │ └─────────────────────────────────────────────────────────────┘下一篇预告《IPv6 安全新战场邻居发现欺骗与过渡方案风险》——从全球 IPv4 路由跳到下一代协议的本地攻击面。附录 A工具与链接工具用途bgp.he.net前缀、AS、邻居bgpview.io多视角 BGPBGPStream劫持事件情报RIPE RPKI ValidatorROV 查询MANRS路由安全基线mtr/traceroute路径基线附录 B缩写表缩写全称ASAutonomous SystemASNAS NumberNLRINetwork Layer Reachability InformationROARoute Origin AuthorizationROVRoute Origin ValidationIRRInternet Routing RegistryIXInternet Exchange附录 C与专栏前篇关联前篇关联DNS 安全劫持 DNS 前缀组合攻击邮件安全MX 记录 IP 路径被改道ARP/MITM局域网 vs 运营商级路径劫持TCP/IP数据平面仍走 IP 转发