本周早些时候，来自全球 200 多家 CDN 和云托管提供商的流量被怀疑通过俄罗斯国有电信运营商 Rostelecom 转发出去。这起事件影响了来自 200 多个网络的 8800 多条互联网流量路由。这些受影响的公司都是云和 CDN 市场的知名公司，包括谷歌、亚马逊、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner 和 Linode。

想查看受害网络的完整列表，请参阅该 Twitter 消息流地址：https://twitter.com/search?q=AS12389+(from%3Abgpstream)+until%3A2020-04-07+since%3A2020-04-01&src=typed_query

这起事件是一起典型的“ BGP 劫持”。BGP 的全称是边界网关协议，是用于全球互联网网络之间路由传输互联网流量的事实上的系统。整个系统在设计上非常脆弱，原因是任何参与的网络只要“撒谎”、发布 BGP 路由通告，声称其网络上有“Facebook 服务器”，那么所有互联网实体都会将其视为合法目标，将所有的 Facebook 流量发送到劫持者的服务器。

在过去，HTTPS 被广泛用于加密流量之前，BGP 劫持让攻击者得以实施中间人（MitM）攻击，从而拦截和篡改互联网流量。

如今 BGP 劫持仍然很危险，因为它让劫持者可以记录流量，以便以后试图分析和解密流量，保护流量的加密技术因加密领域的进步而被削弱了。

自上世纪 90 年代中期以来，BGP 劫持一直是互联网骨干网上的一大问题；多年来，通信领域的从业人员一直在竭力提高 BGP 协议的安全性，因此出现了 ROV、RPKI 以及最近的 MANRS。然而，采用这些新协议方面的进度一直很缓慢，BGP 劫持仍时有发生。

比如说，2018 年 11 月，一家小型的尼日利亚 ISP 劫持了原本发送到谷歌网络的流量，而 2019 年 6 月，一大批欧洲移动流量通过中国最大的电信运营商中国电信重新路由传输。

专家们过去一再指出，并非所有 BGP 劫持都是恶意事件。大多数事件可能是由于操作人员误输入了 ASN（自治系统编号，用于识别互联网实体身份的代码），因而意外劫持了某家公司的互联网流量。

然而，一些实体仍是 BGP 劫持的幕后主使，许多专家认为这些事件不绝仅仅是意外事件。

虽然 Rostelecom（AS12389）不像之前一些国家的运营商那样直接参与或有意参与 BGP 劫持，但它与许多类似的可疑事件有瓜葛。

Rostelecom 上一次备受媒体关注的重大破坏出现在 2017 年，当时这家电信公司劫持了全球一些最大金融机构的 BGP 路由，包括维萨、万士达卡和汇丰银行（HSBC）。

当时，思科的 BGPMon 部门称该事件是“出于好奇心”，因为它似乎只影响金融服务，而不是影响随机性 ASN。

这回，电信业还没有得出一个结论。BGPMon 的创始人 Andree Toonk 给出了俄罗斯电信公司值得怀疑的理由。Toont 在推特上称，他认为之所以发生这起“劫持”，是由于 Rostelecom 内部的流量整形系统可能不小心在公共互联网上、而不是在 Rostelecom 的内部网络上暴露了错误的 BGP 路由。

遗憾的是，Rostelecom 的上游提供商在互联网上重新分发这条刚发布的 BGP 路由，使这个小错误变得更严重了，在短短几秒钟内放大了 BGP 劫持。

然而，过去许多互联网专家指出，有可能使一起有意的 BGP 劫持貌似意外事件，因为没人区别得了。政府严加控制的电信公司发生的 BGP 劫持一直被视为很可疑，这主要出于政治原因，而不是出于技术原因。