3月29日,Twitter流量被俄罗斯一家电信公司通过BGP通告短暂“劫持”,这可能是一件无心为之的配置“误操作”,但在当前国际局势下,不禁让人产生更多的联想,这可能是意外,也可能是企图劫持流量。
BGP劫持可用于破坏网络或拦截流量
全球知名的IT网络安全培训组织SANS Institute的Johannes Ullrich所说:“今天早些时候,RTComm开始通告,这是推特所使用的前缀。”
BGP是边界网关协议的缩写,它诞生于上世纪80年代,是一种历史悠久的协议,用于连接主要互联网服务提供商 (ISP) 网络的路由协议。由于设计时未考虑其安全性,任何参与的网络都可以发布BGP路由通告。本次事件中谎称其网络上有“Twitter”服务器,所有互联网实体都会将其视为合法目标,将所有Twitter流量发送到劫持者的服务器。
互联网分析公司Kentic的Doug Madory在推文中指出,万幸的是,Twitter使用了一种名为资源公钥基础设施(RPKI)的保护机制,这起劫持并没有传播太远。
自上世纪90年代中期以来,BGP劫持一直是互联网骨干网上的一大问题;多年来,通信领域的从业人员一直在竭力提高BGP协议的安全性,但相关认证协议推广缓慢,使用率较低,BGP劫持仍时有发生。
BGP劫持仍时有发生
例如,2003年黑客攻击了美国Northrop Grumman一段未被使用的网址,用来发送垃圾邮件,并规避反垃圾系统。
2008年,巴基斯坦YouTube断网事件,巴基斯坦电信(Pakistan Telecom)试图通告静态路由黑洞的方式限制本地用户接入YouTube,巴电信的工程师失误把static route redistribute到BGP了,也就是把该路由器上的静态路由表添加到BGP的路由表了,静态路由同步到其他路由表里的优先值最高。BGP把这条路由向其他Peer AS的路由器同步了,最先中枪的是香港的电讯盈科(PCCW),然后接着被逐渐同步到了全世界,一时间互联网YouTube用户均无法打开视频。
2018年,亚马逊权威域名服务器遭到BGP路由劫持攻击。攻击者的目的是盗取加密货币,该劫持波及到了澳洲、美国等地区。本次事件中,用户对该网站的访问流量被全部劫持到一个俄罗斯ISP提供的非法网站。
部署SSL证书,避免BGP劫持
SSL证书是采用不同的密码技术相结合形成的组合密码技术,安全性极高。保证了网站的机密信息从用户浏览器到服务器之间的传输是高强度加密传输的,是不会被非法窃取和非法篡改的;同时还保证了网站所属单位的真实身份已经经过权威的第三方严格验证,让网上用户放心,进而提高企业效益。可以有效防止通信内容被窃取或篡改,适用于各行各业。
当网站部署SSL证书,升级为HTTPS协议后,假设网络黑客劫持了网站域名解析,浏览器由于证书校验不通过,假站点返回的内容也不能正常展示,所以黑客的劫持就没有意义。
值得注意的是,只安装了DV类型证书的网站会被通过BGP劫持导致SSL功能失效,攻击者甚至可以通过BGP劫持来申请DV类型证书。因此,一些重要领域如政府、金融类网站应当使用EV/OV型等更高级的SSL证书,以提升网站安全防护等级。
在网络不断发展的今天,互联网的作用将会越来越大,有了自己的网络平台,为了实现更好的运行方向,给每一个用户带来更好的帮助,就必须要完成自己的SSL证书,这样才能够表明自己的网站获得更加安全的运行管理,能够给每一个用户带来更为安全的保障,在使用的过程当中避免对用户的信息产生相应的影响,在用户选择一个网站的过程当中,都会看到这个网站是否具有相应的安全性,这样才会进行使用,保证了这个环节。就可以达到更好的宣传。
上一篇:网络钓鱼屡屡死灰复燃?SSL证书助力反钓鱼!
下一篇:企业如何应对商业电邮攻击