对于许多公司来说,一个噩梦般的场景是发现他们所有的网络流量突然掌握在不友好的力量手中。谷歌于11月12日发生这种情况,当时尼日利亚一家小型互联网服务提供商的员工配置了其中一个网络设备的边界网关协议(BGP)过滤器,以便谷歌的流量流向尼日利亚,途中经过俄罗斯和中国。
配置在一个多小时内得到修复,但在此期间,谷歌的内部网络正在全球巡回发送他们的流量。这会影响Google搜索以及Google Cloud的运营(请参阅图片;右键单击它并选择“查看图像”以查看更大版本),以及Google客户使用其云服务的操作。
发生的事情是,当配置错误发生时,尼日利亚ISP的MainOne Cable正在执行例行软件更新。此时,路由器开始向互联网广告宣传它是Google流量的合适途径。中国和俄罗斯的互联网服务供应商看到了这个广告,并采取了行动,这最终意味着谷歌的流量,而不是去谷歌,流向俄罗斯,在那里它被传递到中国,在那里大多数人死亡。
谷歌的数据在中国无处可去
中国边缘路由器是中国“大防火墙”的一部分,只是将数据包丢弃为未经授权的。谷歌及其服务的用户只是失去了联系。最初的恐惧是谷歌的网络流量被劫持,但后来的调查显示,这只是人为错误。调查还显示,MainOne没有实施任何保护措施以确保其BGP广告正确。事实证明,俄罗斯和中国都没有互联网服务。
从那时起,MainOne已经解决了问题,并提出了必要的保护措施。但这并不意味着风险已经消失。有线电视公司错误地做了什么可以很容易地通过将一个或多个用户的互联网流量发送到不应该去的地方的效果来完成。实际上它已经完成,最近是为中国军队工作的黑客。
令人担忧的是,BGP配置错误很容易实现,而且很难修复。幸运的是,你可以通过在Twitter上观看BGPMON来发现这种情况。这项服务是OpenDNS的一部分,很快就发现了Google重定向,这反过来又导致了它的快速修复。
但作为互联网最终用户,你几乎无能为力。通过使用Tracert实用程序,观察路径,然后观察延迟数,您可以发现流量正在发生。但是,如果您的ISP或您自己的IP地址集被劫持,那么您可以做的最好的办法是在劫持停止之前退出使用这些IP。
单独的ISP是另一种选择
另一种方法是通过单独的ISP进行访问。虽然实施服务(例如您的主要电子商务网站)可能很棘手,但保持对互联网和云服务的访问应该相对透明。如果您的电子商务网站是基于云的,那么您也可以继续在那里运行。
当然,这样的故障转移策略是您必须提前安排的,但它将具有更多的用途,而不仅仅是BGP劫持。从DDoS攻击到故障路由器配置,您的互联网路径可能会中断。
必要的另一步是确保您的数据受到保护。当BGP问题发生时,谷歌并不担心数据丢失,因为它的所有数据都是加密的。这也可以为您的公司节省成本。另一个步骤是使用VPN(虚拟专用网络)来处理任何重要的数据。
使用VPN将确保数据已加密,但它将执行更多操作。如果网络地址广告错误,VPN将无法连接,根本不会传输数据。发生这种情况是因为在设置虚拟网络时,还要在另一端定义特定的IP地址。如果您已正确设置VPN,任何尝试更改其终止位置的尝试都将无效,因为地址不正确。
监控网络应该是一个给定的
当然,您应始终监控您的网络,而不仅仅是因为有意或无意地进行网络劫持尝试。一个不错的网络监控应用程序将发现您的网络寻址变化并提醒您的IT员工。该Spiceworks还在网络监视器能够处理任务,如这一点,它是免费的,易于理解和有效的。
有了有效的监控服务,您几乎可以立即知道何时会对网络产生负面影响,无论是BGP配置问题,恶意WiFi接入点的出现还是内部网络上未经授权的用户。只是看延迟数字会告诉你有些不对劲。
边界网关协议是互联网早期的遗产,当时大多数行动都是基于信任。不幸的是,在这个恶意软件和间谍时代,信任已成为过去,所以你需要有办法确认网络上发生的事情是你想要发生的事情。这一挑战只会变得更加重要。