看帖神器
未名空间
追帖动态
头条新闻
每日新帖
最新热帖
新闻存档
热帖存档
文学城
虎扑论坛
未名空间
北美华人网
北美微论坛
看帖神器
登录
← 下载
《看帖神器》官方
iOS App
,体验轻松追帖。
中国电信劫持流量被发现,将面临断网
查看未名空间今日新帖
最新回复:2020年8月9日 22点26分 PT
共 (9) 楼
返回列表
订阅追帖
只看未读
更多选项
阅读全帖
只看图片
只看视频
查看原帖
s
sunrainy
接近 4 年
楼主 (未名空间)
中美之间的直连网络还能撑多久?
原创 雷尼尔 雷尼尔雪山2020 今天
中国电信面对的挑战
按照现在剧本的发展,下面一步就是中美之间直连的网络要断了。
比如中国电信的CN2-GIA线路。。。
如果中国电信的214牌照被吊销了,那么不仅仅CN2-GIA线路,中国电信在北美的大量接入点都要废了。
按照7月15号最新的FCC给中国电信的邮件,估计中国电信的214牌照可能保不住了。
因为事情特别敏感,我就尽量脱敏的去说。
其实这个事情FCC和中国电信美国之间来来回回大半年了。而一切都要从BGP劫持说起。
什么是BGP劫持
这个涉及非常多的技术细节,我只讲简单的概念。另外事情也非常敏感,我只说大家已经公认的事情,有些指控直接找原始论文去看。
大家概念中的互联网是理想中的网络,平的 。但是实际上互联网是一个一个寨子组成
的分布式网络,整个互联网并没有网络中心。这一个个寨子就是大大小小不同的ISP。
这些些寨子都是有头有脸的企业,都是独立管辖自己寨子里面的事情,又叫
Autonomous system 简称AS。
这些寨子互相连接,通过BGP协议告诉对方自己寨子里都包括哪些IP地址段,自己的AS
编号(AS Number)以及一些其他的信息。而互联网的IP地址分配是中心化的,ICANN这个机构把IP地址大段分给Regional Internet Registries(RIR),区域互联网注册管
理机构。RIR再把IP地址段细分后分给ISP们。
大部分情况下,AS Number和分给该AS什么IP段是没有任何关系的。但是路由的时候,
这两者就建立的关系。
在默认情况下,到达同一目的地,BGP只走单条路径,并不希望在多 条路径之间执行负载均衡。BGP 的每条路由都带有路径属性,对于通过比较路径属性来选择最 优路径,
BGP 需要在多条路径之间按照一定的顺序比较属性,当多条 路由的同一属性完全相同
时,需要继续比较顺序中的下一条属性。直 至选出最佳路由为止。
理论上来讲,我在西雅图,要给纽约的朋友发条消息,最佳的路由,就是美国本土内的一条路径,如果我的消息经过了俄罗斯再绕道去了纽约。这条路径就会有问题,
然而路径怎么规划,都是仰仗与bgp的路由表来确定的,按理说,这写东西应该非常安
全对不对?然而实际上,BGP协议里虽然有一些简单的安全认证的部分,但是对于两个
已经成功建立BGP连接的AS来说,基本会无条件的相信对方AS所传来的信息,包括对方
声称所拥有的IP地址范围。
结果这里埋下了大坑。
举个例子,当初小巴是如何一举黑掉油管的。
2008年,有人在油管上放了一段不太健康的视频,小巴很生气,决定把油管给ban掉。
他们采用的办法呢,就是黑洞路的办法:
在路由器里加上static route 把youtube的一个网段,弄到了null0接口。
结果小巴的工程师水平不行,居然把该路由器上的静态路由表添加到BGP的路由表了。
而BGP把这条路由向其他AS的路由器同步了,因为不同AS之间是相互信任的,结果就坏
事了。最先中枪的是HK的电讯盈科,然后接着被逐渐同步到了全世界。
这时互联网的大部分用户想上Youtube的时候数据包都跑到巴基斯坦了,结果当然是打
不开了(因为进来就被弄到null0了)。
Youtube发现后,重新用BGP声明了对该IP段和其他IP段的所有权,成功刷新了部分ISP
路由器的路由表。然后youtube的访问被恢复了。。
但是,这就暴露了一个严重问题,如果不是小巴的工程师把流量带到黑洞去了,如果他们把流量再带回到正常的IP。那意味着什么,用户访问youtube的数据,在小巴转了一
圈,又回到了youtube,可能就是加了几个ms的延时,很少有人会察觉。
如果攻击者的路由器具备篡改TTL的功能,那么即使通过traceroute也很难发现数据包
被劫持。一般技术人员根本无法察觉,唯一的方法就是像BGPmon那样检测全世界范围内的AS路由表和BGP信息。
而2018年的时候中国电信美国被指控用上面那种高级手段,劫持流量。中国电信断然否认。
而同年以色列的一名研究人员Yuval Shavitt发了一篇文章,敏感的我标题都不敢贴。
这个事情引起了美国的高度重视,从而拉开了长达一年多的调查。
214牌照
很多人可能不知道,中国有四家电信公司在美国运营:中国电信美洲公司、中国联通美洲公司、以及中信集团全资控股的“太平洋网络”(Pacific Networks)及其全资子公司ComNet USA。在美国运营那就要接受FCC监管。
根据美国通信法第214条规定,外国电信公司在美国开展国际电信业务需取得FCC颁发的业务授权。由司法部、国土安全部和国防部成员组成的一个名为“Team Telecom”(电信安全审查小组)的非正式机制负责在“214牌照”审核决定中向FCC提供有关国家安全和执法风险方面的分析评估。
司法部2020年4月9日发布正式公告,指出电信安全审查小组认定中国电信的运营涉及了“重大且不可接受的国家安全和执法风险”,建议FCC撤销和终止中国电信美洲公司的
214业务牌照。”
2020年6月9日,元老院常设调查小组委员会发布了一份有关美国政府对中资电信企业监管的一百多页的调查报告。元老院把FCC骂的狗血淋头,你们干啥吃的!
《Majority and Minority Staff Report - Threats to U.S. Networks: Oversight
of Chinese Government-Owned Carriers》
然后要求FCC按照审查小组的建议,撤销中国电信的214牌照,FCC就应尽快完成对中国
电信和其他中资企业在美业务授权问题的审查。
FCC被骂了之后,那就开始来收拾中国电信:
FCC 6月份给中国电信美国发了邮件:解释一下,给我一个理由,不取消你的执照。
中国电信的律师回复了:我们冤枉,我们无辜。
FCC 7月15号又发了一封邮件,不够,我还要。10天内给我答复。
前两天,某人的讲话,基本上确定了中国电信美国部分的未来。
现在其实不管原因,到底中国电信是不是被冤枉的,可能对结果于事无补了。
很现实的问题,就是很可能在后面几个月内, CN2-GIA会被拔插头。中国电信的几个
PoP估计也会被掐掉。
可能的影响:
1. 国内看油管会变得慢了。海外看优酷和腾讯视频估计也会卡。
2. 和国内视频通话的延迟都会变大。线路会非常不稳定。
3. 各种高质量的服务,估计都会卡的不行。
4. 在国内的留学生以后上网课会卡。
n
nova888
接近 4 年
2 楼
这尼玛标准欲加之罪。
小巴搞事,能赖在天朝头上。
掐网对天朝一点影响也没有,唯一受害者就是米华。
另外,FCC已经被三哥控制,米弟就是被轮子,弯弯阿三搞死的。
:)
b
branching
接近 4 年
3 楼
你的理解有问题吧,说的是2018年中国电信,不是小巴
【 在 nova888 (nova) 的大作中提到: 】
: 这尼玛标准欲加之罪。
: 小巴搞事,能赖在天朝头上。
: 掐网对天朝一点影响也没有,唯一受害者就是米华。
: 另外,FCC已经被三哥控制,米弟就是被轮子,弯弯阿三搞死的。
: :)
d
dlc
接近 4 年
4 楼
中国电信明显干了不可言说的肮脏事,而且被抓了实证。
嘿嘿嘿
哈哈哈
n
nova888
接近 4 年
5 楼
傻叉,你不识汉字呀?
没有任何证据证明中国电信劫持流量。
这就是一个标题党。
另外BGP不是Internet里面的唯一路由协议。其它协议,包括固定链路在ISP之间也很普遍。没什么大惊小怪的。
:)
【 在 branching(branching) 的大作中提到: 】
: 你的理解有问题吧,说的是2018年中国电信,不是小巴
k
kelvinchufei
接近 4 年
6 楼
“国内看油管会变得慢了”
哈哈
z
zhetian
接近 4 年
7 楼
既然是抓了实证,怎么不敢说清除?简直是欲加之罪何患无辞
你去原博客下边看看,这个作者被专业人士怼的满地打滚
【 在 dlc (dalaocu) 的大作中提到: 】
: 中国电信明显干了不可言说的肮脏事,而且被抓了实证。
: 嘿嘿嘿
: 哈哈哈
p
printed
接近 4 年
8 楼
2018 年的paper
https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca
别再扯专业人士了
本版发过sigcomm的不超过五个人
【 在 zhetian (叶凡) 的大作中提到: 】
: 既然是抓了实证,怎么不敢说清除?简直是欲加之罪何患无辞
: 你去原博客下边看看,这个作者被专业人士怼的满地打滚
C
Caravel
接近 4 年
9 楼
雷尼尔雪山不是高生物得,怎么什么都懂
【 在 zhetian (叶凡) 的大作中提到: 】
: 既然是抓了实证,怎么不敢说清除?简直是欲加之罪何患无辞
: 你去原博客下边看看,这个作者被专业人士怼的满地打滚
请输入帖子链接
收藏帖子
中美之间的直连网络还能撑多久?
原创 雷尼尔 雷尼尔雪山2020 今天
中国电信面对的挑战
按照现在剧本的发展,下面一步就是中美之间直连的网络要断了。
比如中国电信的CN2-GIA线路。。。
如果中国电信的214牌照被吊销了,那么不仅仅CN2-GIA线路,中国电信在北美的大量接入点都要废了。
按照7月15号最新的FCC给中国电信的邮件,估计中国电信的214牌照可能保不住了。
因为事情特别敏感,我就尽量脱敏的去说。
其实这个事情FCC和中国电信美国之间来来回回大半年了。而一切都要从BGP劫持说起。
什么是BGP劫持
这个涉及非常多的技术细节,我只讲简单的概念。另外事情也非常敏感,我只说大家已经公认的事情,有些指控直接找原始论文去看。
大家概念中的互联网是理想中的网络,平的 。但是实际上互联网是一个一个寨子组成
的分布式网络,整个互联网并没有网络中心。这一个个寨子就是大大小小不同的ISP。
这些些寨子都是有头有脸的企业,都是独立管辖自己寨子里面的事情,又叫
Autonomous system 简称AS。
这些寨子互相连接,通过BGP协议告诉对方自己寨子里都包括哪些IP地址段,自己的AS
编号(AS Number)以及一些其他的信息。而互联网的IP地址分配是中心化的,ICANN这个机构把IP地址大段分给Regional Internet Registries(RIR),区域互联网注册管
理机构。RIR再把IP地址段细分后分给ISP们。
大部分情况下,AS Number和分给该AS什么IP段是没有任何关系的。但是路由的时候,
这两者就建立的关系。
在默认情况下,到达同一目的地,BGP只走单条路径,并不希望在多 条路径之间执行负载均衡。BGP 的每条路由都带有路径属性,对于通过比较路径属性来选择最 优路径,
BGP 需要在多条路径之间按照一定的顺序比较属性,当多条 路由的同一属性完全相同
时,需要继续比较顺序中的下一条属性。直 至选出最佳路由为止。
理论上来讲,我在西雅图,要给纽约的朋友发条消息,最佳的路由,就是美国本土内的一条路径,如果我的消息经过了俄罗斯再绕道去了纽约。这条路径就会有问题,
然而路径怎么规划,都是仰仗与bgp的路由表来确定的,按理说,这写东西应该非常安
全对不对?然而实际上,BGP协议里虽然有一些简单的安全认证的部分,但是对于两个
已经成功建立BGP连接的AS来说,基本会无条件的相信对方AS所传来的信息,包括对方
声称所拥有的IP地址范围。
结果这里埋下了大坑。
举个例子,当初小巴是如何一举黑掉油管的。
2008年,有人在油管上放了一段不太健康的视频,小巴很生气,决定把油管给ban掉。
他们采用的办法呢,就是黑洞路的办法:
在路由器里加上static route 把youtube的一个网段,弄到了null0接口。
结果小巴的工程师水平不行,居然把该路由器上的静态路由表添加到BGP的路由表了。
而BGP把这条路由向其他AS的路由器同步了,因为不同AS之间是相互信任的,结果就坏
事了。最先中枪的是HK的电讯盈科,然后接着被逐渐同步到了全世界。
这时互联网的大部分用户想上Youtube的时候数据包都跑到巴基斯坦了,结果当然是打
不开了(因为进来就被弄到null0了)。
Youtube发现后,重新用BGP声明了对该IP段和其他IP段的所有权,成功刷新了部分ISP
路由器的路由表。然后youtube的访问被恢复了。。
但是,这就暴露了一个严重问题,如果不是小巴的工程师把流量带到黑洞去了,如果他们把流量再带回到正常的IP。那意味着什么,用户访问youtube的数据,在小巴转了一
圈,又回到了youtube,可能就是加了几个ms的延时,很少有人会察觉。
如果攻击者的路由器具备篡改TTL的功能,那么即使通过traceroute也很难发现数据包
被劫持。一般技术人员根本无法察觉,唯一的方法就是像BGPmon那样检测全世界范围内的AS路由表和BGP信息。
而2018年的时候中国电信美国被指控用上面那种高级手段,劫持流量。中国电信断然否认。
而同年以色列的一名研究人员Yuval Shavitt发了一篇文章,敏感的我标题都不敢贴。
这个事情引起了美国的高度重视,从而拉开了长达一年多的调查。
214牌照
很多人可能不知道,中国有四家电信公司在美国运营:中国电信美洲公司、中国联通美洲公司、以及中信集团全资控股的“太平洋网络”(Pacific Networks)及其全资子公司ComNet USA。在美国运营那就要接受FCC监管。
根据美国通信法第214条规定,外国电信公司在美国开展国际电信业务需取得FCC颁发的业务授权。由司法部、国土安全部和国防部成员组成的一个名为“Team Telecom”(电信安全审查小组)的非正式机制负责在“214牌照”审核决定中向FCC提供有关国家安全和执法风险方面的分析评估。
司法部2020年4月9日发布正式公告,指出电信安全审查小组认定中国电信的运营涉及了“重大且不可接受的国家安全和执法风险”,建议FCC撤销和终止中国电信美洲公司的
214业务牌照。”
2020年6月9日,元老院常设调查小组委员会发布了一份有关美国政府对中资电信企业监管的一百多页的调查报告。元老院把FCC骂的狗血淋头,你们干啥吃的!
《Majority and Minority Staff Report - Threats to U.S. Networks: Oversight
of Chinese Government-Owned Carriers》
然后要求FCC按照审查小组的建议,撤销中国电信的214牌照,FCC就应尽快完成对中国
电信和其他中资企业在美业务授权问题的审查。
FCC被骂了之后,那就开始来收拾中国电信:
FCC 6月份给中国电信美国发了邮件:解释一下,给我一个理由,不取消你的执照。
中国电信的律师回复了:我们冤枉,我们无辜。
FCC 7月15号又发了一封邮件,不够,我还要。10天内给我答复。
前两天,某人的讲话,基本上确定了中国电信美国部分的未来。
现在其实不管原因,到底中国电信是不是被冤枉的,可能对结果于事无补了。
很现实的问题,就是很可能在后面几个月内, CN2-GIA会被拔插头。中国电信的几个
PoP估计也会被掐掉。
可能的影响:
1. 国内看油管会变得慢了。海外看优酷和腾讯视频估计也会卡。
2. 和国内视频通话的延迟都会变大。线路会非常不稳定。
3. 各种高质量的服务,估计都会卡的不行。
4. 在国内的留学生以后上网课会卡。
这尼玛标准欲加之罪。
小巴搞事,能赖在天朝头上。
掐网对天朝一点影响也没有,唯一受害者就是米华。
另外,FCC已经被三哥控制,米弟就是被轮子,弯弯阿三搞死的。
:)
你的理解有问题吧,说的是2018年中国电信,不是小巴
【 在 nova888 (nova) 的大作中提到: 】
: 这尼玛标准欲加之罪。
: 小巴搞事,能赖在天朝头上。
: 掐网对天朝一点影响也没有,唯一受害者就是米华。
: 另外,FCC已经被三哥控制,米弟就是被轮子,弯弯阿三搞死的。
: :)
中国电信明显干了不可言说的肮脏事,而且被抓了实证。
嘿嘿嘿
哈哈哈
傻叉,你不识汉字呀?
没有任何证据证明中国电信劫持流量。
这就是一个标题党。
另外BGP不是Internet里面的唯一路由协议。其它协议,包括固定链路在ISP之间也很普遍。没什么大惊小怪的。
:)
【 在 branching(branching) 的大作中提到: 】
: 你的理解有问题吧,说的是2018年中国电信,不是小巴
“国内看油管会变得慢了”
哈哈
既然是抓了实证,怎么不敢说清除?简直是欲加之罪何患无辞
你去原博客下边看看,这个作者被专业人士怼的满地打滚
【 在 dlc (dalaocu) 的大作中提到: 】
: 中国电信明显干了不可言说的肮脏事,而且被抓了实证。
: 嘿嘿嘿
: 哈哈哈
2018 年的paper
https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca
别再扯专业人士了
本版发过sigcomm的不超过五个人
【 在 zhetian (叶凡) 的大作中提到: 】
: 既然是抓了实证,怎么不敢说清除?简直是欲加之罪何患无辞
: 你去原博客下边看看,这个作者被专业人士怼的满地打滚
雷尼尔雪山不是高生物得,怎么什么都懂
【 在 zhetian (叶凡) 的大作中提到: 】
: 既然是抓了实证,怎么不敢说清除?简直是欲加之罪何患无辞
: 你去原博客下边看看,这个作者被专业人士怼的满地打滚