当前位置 主页 > 本站WEB程序 > 安全 > IIS7网站监控 >

    中国电信一直在劫持西方互联网!

    栏目:IIS7网站监控 时间:2019-09-21 09:23

      很多人可能都不知道,中国的电信网络是走向世界的一个品牌,很多西方国家同样也在使用着电信的网络。
      据称自从21世纪初电信创建其第一个存在点(PoP)以来,就一直存在于北美网络中。PoP是数据中心,是让客户可以连接到服务提供商的设备并获得对更大网络访问的设施。一些PoP是为最终用户接入设计的,而另一些是为允许ISP连接到NSP网络而设计的。
      在边界网关协议(BGP)的帮助下,流量在这些AS网络之间传播。该协议是在80年代早期创建的,没有任何安全控制功能,允许任何人宣布错误的BGP路由并接收不适合其网络的流量。在大多数情况下,这些事件(称为BGP劫持)是由于配置错误而发生的,并且在几分钟或几小时内就能解决。
      但是也有一些网络劫持BGP路由通过恶意服务器发送合法流量,他们这样做是为了进行中间人通讯拦截、网络钓鱼攻击来窃取密码,或记录HTTPS加密流量,以便以后通过利用DROWN或Logjam等加密攻击对其进行解密。在这一篇研究论文中称,中国电信一直是互联网上最坚定的BGP劫持者之一。
      论文中称,中国政府通过中国电信在2015年9月与美国达成协议后,已开始滥用BGP劫持,以阻止所有针对知识产权盗窃的政府,回击网络行动。论文中说:“这需要新的方法来获取信息,同时在技术上仍然遵守协议。”由于该协议只涉及军事活动,中国电信可能会承担起填补空白的任务。
      论文中表示,他们已经建立了一个“路线追踪系统,用于监控BGP的公告,并区分暗示意外或故意劫持的模式。”利用这一系统,他们找到了10个长期存在的BGP劫持,有8个在美国,2个在加拿大,称这是中国电信自本世纪初以来一直在北美悄无声息缓慢建立的。
      文中还说:“利用这些众多的PoP,中国电信已经相对无缝地劫持了美国国内和美国的跨境流量,并在数天,数周乃至数月内将其重定向至中国。”在他们的论文中,两人列举了几个长期存在的BGP劫持事件,它们劫持了某一特定网络的流量,并让中国电信在国内的网络绕道走了很长一段路,最终到达了目的地。
      从2016年2月开始,从加拿大到韩国政府网站的路线被中国电信劫持,并在大约6个月的时间里途经中国。
      2016年10月,从美国多个地点到意大利米兰一家大型英美银行总部的路线被中国电信劫持。
      在2017年4月/ 5月,从瑞典和挪威到美国一家大型新闻机构的日本网络的流量被劫持到中国约6周。
      泰国一家大型金融公司的邮件服务器(和其他IP地址)的流量在2017年4月、5月和7月被多次劫持。一些劫持攻击始于美国。
      论文中还说,中国的互联网网络基本上是封闭的,与互联网的其他部分隔绝,只能通过位于北京、上海和香港的三个节点连接到互联网;这种对其互联网基础设施的孤立主义做法意味着,中国将无法实施针对国际流量进行BGP劫持,因为通过内地节点的流量非常少。这就是为什么在北美、乃至整个欧洲和亚洲建立的PoP的原因。
      然而一些安全专家对该研究论文的发现提出异议,因为它并非来自互联网BGP劫持领域的权威声音,而且还因为该论文触及了许多政治敏感话题,如中国的网络间谍活动以及中国如何使用BGP劫持是为了规避2015年中美网络协议。
      但今天,甲骨文互联网分析部门(前身为Dyn)的主管道格·马多里称,中国电信确实参与了互联网流量“误导”。马多里说:“我不打算围绕这些行动的动机来阐述报纸的观点。”“然而,中国电信(无论是否有意)近年来误导互联网流量(包括美国以外)的说法是正确的。”
      “我不打算围绕这些行动的动机来阐述观点。”马多里说。“然而,中国电信(无论是否故意)近年来误导了互联网流量(包括美国以外)的说法是有道理的”。“我知道,因为我在2017年花了很多精力去阻止它,”马多里说。接着,他详细描述了中国电信的BGP路线中的一些“错误路线”,其中大部分涉及劫持美国对美国的流量,并通过中国内地将流量发送回美国。
      马多里建议互联网服务提供商支持即将发布的BGP安全标准,例如RPKI,以此作为一种方法来防止这种互联网流量“误导”的发生。在BGP劫持事件数量稳步上升之后,近年来加强了BGP协议的保护工作。