中國電信對多國流量劫持，研究員呼籲“訪問互惠”政策

Editor發表於2018-10-27

中國的網際網路在很大程度上是與世界隔離的，但中國的電信公司則在世界各地部署了很多入網點（points of presence，PoP）。

中國最大的電信運營商中國電信在 21 世紀初進入美洲，目前在北美有 10 個 PoP，八個在美國，兩個在加拿大，位於東西兩岸以及主要的網際網路交換中心。

中國電信在北美的大量業務（圖片來自CT網站）

利用 BGP 廣播路由公告，中國電信可以利用它的 PoP 劫持流量通過中國的網路。

Border Gateway Protocol (BGP)，邊界閘道器協議是網際網路上一個核心的去中心化自治路由協議。它通過維護IP路由表或‘字首’表來實現自治系統之間的可達性，屬於向量路由協議。BGP不使用傳統的內部閘道器協議的指標，而使用基於路徑、網路策略或規則集來決定路由。因此，它更適合被稱為向量性協議，而不是路由協議。

特拉維夫大學的研究人員建立了一個路線追蹤系統，用於監控BGP公告，發現了中國電信過去幾年發生的意外或故意劫持，以及多次攻擊的模式。

來自中國的流量劫持事件

2016年，中國電信將加拿大和韓國政府網路之間的流量轉移到多倫多的PoP。從那裡，流量被轉發到美國西海岸的中國電信PoP並送往中國，最後交付給韓國。

襲擊前從加拿大到韓國的正常和最短路線

被劫持的路線穿過Maryland的CT POP，從加拿大到韓國

其他流量劫持事件中，包括從美國地區到大型英美銀行米蘭總部的交通在中國被終止，並且從未在2016年交付給義大利。

美國大銀行到義大利正常航線

美國大型銀行到義大利但劫持後，流量從未到來，似乎在中國終止

2017年，斯堪的納維亞和日本之間的流量，經過美國，也被中國電信捕獲，以上資料通往一家大型泰國金融公司運營的郵件伺服器。

從Oslo，挪威到日本東京的偏轉路線

這種劫持，幾乎無法察覺

研究員稱，中國電信能夠通過邊界閘道器協議（BGP）宣佈虛假路由來轉移流量，該協議管理自治系統，電信運營商，網際網路提供商和公司運營的大型網路之間的資料流。

在中國電信複製流量進行打包和分析之後，它被傳送到預定的網路，只有很小的延遲。

這種劫持很難被發現，因為中國電信在北美和歐洲的多個存在點（PoP）在物理上接近受攻擊的網路，儘管路線延長，但導致流量傳輸延遲幾乎無法察覺。

相比之下，中國不允許海外電信公司在中國建立PoP，只有三個閘道器進入北京，上海和香港。研究人員認為，這種孤立保護了中國的國內和過境流量免受外國劫持。

研究員的建議："access reciprocity"（訪問互惠）

BGP劫持網際網路流量是一種普遍現象，需要大型網路運營商的支援才能大規模開發。

研究員指出，雖然美國和中國在2015年同意不破壞彼此的計算機網路，但該協議並未涉及劫持網際網路骨幹網。

研究人員建議，盟國民主國家為其所在國家的網際網路PoP制定“訪問互惠”政策，以解決流量劫持問題。

參考來源：

itnews
《China's Maxim – Leave No Access Point Unexploited: The Hidden Story of China Telecom ’s BGP Hijacking》

- End -

更多閱讀：

1、庫克將在歐盟發表演講為更嚴格的隱私保護法站臺

2、國泰航空940萬名乘客個人資料在3月被盜包含出行地點資料

3、資料洩露事件頻發矽谷巨頭呼籲出臺美國版GDPR

4、賬號拱手讓人助人也擔責 “共享賬號”如何避險

相關文章