|
|---|
|
|
|
|
|
|
i********r
发帖数: 139 | 1 【 以下文字转载自 Military 讨论区 】
发信人: sunrainy (土瓜~天真冷), 信区: Military
标 题: 中国电信劫持流量被发现,将面临断网
发信站: BBS 未名空间站 (Sun Aug 9 08:22:03 2020, 美东)
中美之间的直连网络还能撑多久?
原创 雷尼尔 雷尼尔雪山2020 今天
中国电信面对的挑战
按照现在剧本的发展,下面一步就是中美之间直连的网络要断了。
比如中国电信的CN2-GIA线路。。。
如果中国电信的214牌照被吊销了,那么不仅仅CN2-GIA线路,中国电信在北美的大量接
入点都要废了。
按照7月15号最新的FCC给中国电信的邮件,估计中国电信的214牌照可能保不住了。
因为事情特别敏感,我就尽量脱敏的去说。
其实这个事情FCC和中国电信美国之间来来回回大半年了。而一切都要从BGP劫持说起。
什么是BGP劫持
这个涉及非常多的技术细节,我只讲简单的概念。另外事情也非常敏感,我只说大家已
经公认的事情,有些指控直接找原始论文去看。
大家概念中的互联网是理想中的网络,平的 。但是实际上互联网是一个一个寨子组成
的分布式网络,整个互联网并没有网络中心。这一个个寨子就是大大小小不同的ISP。
这些些寨子都是有头有脸的企业,都是独立管辖自己寨子里面的事情,又叫
Autonomous system 简称AS。
这些寨子互相连接,通过BGP协议告诉对方自己寨子里都包括哪些IP地址段,自己的AS
编号(AS Number)以及一些其他的信息。而互联网的IP地址分配是中心化的,ICANN这
个机构把IP地址大段分给Regional Internet Registries(RIR),区域互联网注册管
理机构。RIR再把IP地址段细分后分给ISP们。
大部分情况下,AS Number和分给该AS什么IP段是没有任何关系的。但是路由的时候,
这两者就建立的关系。
在默认情况下,到达同一目的地,BGP只走单条路径,并不希望在多 条路径之间执行负
载均衡。BGP 的每条路由都带有路径属性,对于通过比较路径属性来选择最 优路径,
BGP 需要在多条路径之间按照一定的顺序比较属性,当多条 路由的同一属性完全相同
时,需要继续比较顺序中的下一条属性。直 至选出最佳路由为止。
理论上来讲,我在西雅图,要给纽约的朋友发条消息,最佳的路由,就是美国本土内的
一条路径,如果我的消息经过了俄罗斯再绕道去了纽约。这条路径就会有问题,
然而路径怎么规划,都是仰仗与bgp的路由表来确定的,按理说,这写东西应该非常安
全对不对?然而实际上,BGP协议里虽然有一些简单的安全认证的部分,但是对于两个
已经成功建立BGP连接的AS来说,基本会无条件的相信对方AS所传来的信息,包括对方
声称所拥有的IP地址范围。
结果这里埋下了大坑。
举个例子,当初小巴是如何一举黑掉油管的。
2008年,有人在油管上放了一段不太健康的视频,小巴很生气,决定把油管给ban掉。
他们采用的办法呢,就是黑洞路的办法:
在路由器里加上static route 把youtube的一个网段,弄到了null0接口。
结果小巴的工程师水平不行,居然把该路由器上的静态路由表添加到BGP的路由表了。
而BGP把这条路由向其他AS的路由器同步了,因为不同AS之间是相互信任的,结果就坏
事了。最先中枪的是HK的电讯盈科,然后接着被逐渐同步到了全世界。
这时互联网的大部分用户想上Youtube的时候数据包都跑到巴基斯坦了,结果当然是打
不开了(因为进来就被弄到null0了)。
Youtube发现后,重新用BGP声明了对该IP段和其他IP段的所有权,成功刷新了部分ISP
路由器的路由表。然后youtube的访问被恢复了。。
但是,这就暴露了一个严重问题,如果不是小巴的工程师把流量带到黑洞去了,如果他
们把流量再带回到正常的IP。那意味着什么,用户访问youtube的数据,在小巴转了一
圈,又回到了youtube,可能就是加了几个ms的延时,很少有人会察觉。
如果攻击者的路由器具备篡改TTL的功能,那么即使通过traceroute也很难发现数据包
被劫持。一般技术人员根本无法察觉,唯一的方法就是像BGPmon那样检测全世界范围内
的AS路由表和BGP信息。
而2018年的时候中国电信美国被指控用上面那种高级手段,劫持流量。中国电信断然否
认。
而同年以色列的一名研究人员Yuval Shavitt发了一篇文章,敏感的我标题都不敢贴。
这个事情引起了美国的高度重视,从而拉开了长达一年多的调查。
214牌照
很多人可能不知道,中国有四家电信公司在美国运营:中国电信美洲公司、中国联通美
洲公司、以及中信集团全资控股的“太平洋网络”(Pacific Networks)及其全资子公
司ComNet USA。在美国运营那就要接受FCC监管。
根据美国通信法第214条规定,外国电信公司在美国开展国际电信业务需取得FCC颁发的
业务授权。由司法部、国土安全部和国防部成员组成的一个名为“Team Telecom”(电
信安全审查小组)的非正式机制负责在“214牌照”审核决定中向FCC提供有关国家安全
和执法风险方面的分析评估。
司法部2020年4月9日发布正式公告,指出电信安全审查小组认定中国电信的运营涉及了
“重大且不可接受的国家安全和执法风险”,建议FCC撤销和终止中国电信美洲公司的
214业务牌照。”
2020年6月9日,元老院常设调查小组委员会发布了一份有关美国政府对中资电信企业监
管的一百多页的调查报告。元老院把FCC骂的狗血淋头,你们干啥吃的!
《Majority and Minority Staff Report - Threats to U.S. Networks: Oversight
of Chinese Government-Owned Carriers》
然后要求FCC按照审查小组的建议,撤销中国电信的214牌照,FCC就应尽快完成对中国
电信和其他中资企业在美业务授权问题的审查。
FCC被骂了之后,那就开始来收拾中国电信:
FCC 6月份给中国电信美国发了邮件:解释一下,给我一个理由,不取消你的执照。
中国电信的律师回复了:我们冤枉,我们无辜。
FCC 7月15号又发了一封邮件,不够,我还要。10天内给我答复。
前两天,某人的讲话,基本上确定了中国电信美国部分的未来。
现在其实不管原因,到底中国电信是不是被冤枉的,可能对结果于事无补了。
很现实的问题,就是很可能在后面几个月内, CN2-GIA会被拔插头。中国电信的几个
PoP估计也会被掐掉。
可能的影响:
1. 国内看油管会变得慢了。海外看优酷和腾讯视频估计也会卡。
2. 和国内视频通话的延迟都会变大。线路会非常不稳定。
3. 各种高质量的服务,估计都会卡的不行。
4. 在国内的留学生以后上网课会卡。 | L*********4
发帖数: 883 | 2 https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca
看了一下这个paper,感觉这事大概率是真的,不过是什么hijacking的概率小,大概率
是因为中国电信的工程师比较犯懒,中国电信美国的pop表里就默认把东亚的traffic都
route through China。。。
文章里列的几个所谓hijacking,只有一个是真正美国的信息,就是US-Italy bank
transaction,持续9小时。这中间的包最后搞丢了,貌似是个technical glitch的概率
更大。
其它几个时间长的是加拿大-韩国,北欧-日本,意大利-泰国,这些路径偷个啥情报?
不过,确实理论上有偷情报的能力,在两国对立的时候对美国是个安全隐患也可以理解
。 | a****1
发帖数: 634 | 3 不是专家,不解为何会有偷情报的可能?就算 packets 通通跑到中国,可是不都是加
密的?strong encryption 的怎么破解?
mca
【在 L*********4 的大作中提到】
: https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca
: 看了一下这个paper,感觉这事大概率是真的,不过是什么hijacking的概率小,大概率
: 是因为中国电信的工程师比较犯懒,中国电信美国的pop表里就默认把东亚的traffic都
: route through China。。。
: 文章里列的几个所谓hijacking,只有一个是真正美国的信息,就是US-Italy bank
: transaction,持续9小时。这中间的包最后搞丢了,貌似是个technical glitch的概率
: 更大。
: 其它几个时间长的是加拿大-韩国,北欧-日本,意大利-泰国,这些路径偷个啥情报?
: 不过,确实理论上有偷情报的能力,在两国对立的时候对美国是个安全隐患也可以理解
: 。
|
|
|
|
|
|
|
