【PConline 资讯】网络安全问题一直是大家关注问题之一,近日,中国电信劫持国外互联网流量消息在业界引起广泛关注,2018年11月初,甲骨文互联网分析部门主管道格·马多里(Doug Madory)对于中国电信劫持国外互联网流量发表自己的看法,此外,国外一篇学术论文在近日也指出中国电信存在流量劫持,具体情况如何,带大家来看看。
配图图源@视觉中国
甲骨文互联网分析部门主管道格·马多里分析观点
甲骨文互联网分析部门主管道格·马多里(Doug Madory)认为中国电信近年来参与互联网流量误导有一定道理的。
道格·马多里表示称,他曾在2017年花费精力去阻止它,另外,他还指出中国电信的边界网关协议(BGP)路线中一部分错误路线,包括有劫持美国对美国的流量,并通过中国内地将流量发送回美国。为了防止互联网劫持流量,他建议互联网服务提供商支持即将发布的BGP安全标准,如RPKI。
国外学术论文分析观点
一篇国外学术论文指出中国电信劫持西方国家的重要互联网骨干是来自美国海军战争学院和特拉维夫大学研究人员所发表的文章。论文称,中国电信在21世纪初创建的第一个存在点(PoP)以来就一直存在北美网络中。
现在有几个学术词语先要弄明白,PoP作为数据中心可让客户连接到服务提供商的设备并得到对更大网络访问的设施;一个自治系统(AS)是一个处于管理机构控制之下的网络和路由器群组;边界网关协议(BGP)是80年代创建的,加上它没有安全控制功能,流量可在AS网络之间传播,因而任何人都可以利用错误的BGP路由并接收不适合其网络的流量以做到BGP劫持流量,一般情况,BGP劫持流量是由于配置错误而导致,可在几分钟或者几小时内解决。
论文还表示称,中国电信利用已经建立用于监控BGP公告路线追踪系统,由于该系统可区分暗示意外或故意劫持的模式,因而中国电信找到10个长期存在的BGP劫持,在美国有8个,在加拿大有2个,并指出这些BGP劫持互联网流量是中国电信从21世纪初以来缓慢建立的。
论文提到中国电信利用多个PoP可相对无缝地劫持了美国国内和美国的跨境流量,可在几天、几周到几个月内将劫持的流量重定向到中国,另外,论文还列举几个长期存在的BGP劫持事件——针对某一特定网络的流量进行劫持然后让其在国内网络绕道走一段时间最好到达目的地。
2016年2月,中国电信劫持从加拿大到韩国政府网站的路线,途经中国的时间约6个月;
2016年10月,中国电信劫持从美国多个地点到意大利米兰一家大型英美银行总部的路线;
2017年4月、5月,中国电信劫持从瑞典和挪威到美国一家大型新闻机构的日本网络的流量线路,途经中国的时间约6周;
2017年4月、5月和7月,中国电信劫持泰国一家大型金融公司的邮件服务器的流量,一些劫持攻击始于美国。
此外,论文中还提到,中国互联网网络基本上封闭的,只可以利用位于北京、上海和香港的三个节点连接到跟互联网的其他隔绝部分,由于通过节点流量少,为了实施对国际流量进行BGP劫持,因而中国电信在国外建立多个PoP。
针对中国电信劫持国外互联网流量论文所提观点,一些安全专家提出异议称,这论文不是来自互联网BGP劫持领域的权威,另外该论文还触及多个政治敏感话题,具体情况是不是像论文跟甲骨文互联网分析部门主管道格·马多里所提出观点还有待考究!