巴基斯坦恶搞YouTube全球断线2小时 该如何防止？

CNET科技资讯网2月26日国际报道 从本周巴基斯坦国营电信公司搞断YouTube的全球连线可看出互联网在管理上所遭遇的一个安全老问题。

在接获巴基斯坦电信部指示要进行言论管制封杀YouTube网站后，巴基斯坦电信局（Pakistan Telecom）采取更进一步的作法。不管是出于刻意或意外，该公司向全球送出广播（broadcast），宣称自己才是全球YouTube互联网地址的合法目的地。

　　这张由互联网监测公司Keynote Systems 提供的图表显示，YouTube.com的全球连线大约有1小时时间从100%掉到 0%，整个情况直到两小时候才完全复原。

这个作法足足让YouTube 在周日断线长达两个小时，此一安全弱点的问题暴露出：为何全球的路由器都会误信这样的错误广播？原因是香港的PCCW（提供互联网连线给Pakistan Telecom 公司）并没有挡下这些误导的传播信息，而现行欧美多数电信大厂则都会加以挡下。

这已经不是新问题了。先前就曾发生过一家土耳其网路供应商自己宣称是整个互联网，导致网路流量整个变慢，许多网站无法连结。Con Edison 意外盗取了Panix客户的互联网地址，Panix客户包括 名人玛莎的 Martha Stuart Living Omnimedia网站以及New York Daily News。而这类错误传播从1997年就发生过了。

既然是老问题，为何迟迟都没解决呢？错误广播（False broadcasts）的威力可相当于阻断服务攻击（denial-of-service），若是出於有心人恶意利用，则一般网友就会被引导至假的银行、商店或信用卡网站。

要了解为何这个弱点很难修正，我们得先谈点技术面的东西。

如何伪装成YouTube.com

比如说你在浏览器中输入news.com地址好了，它是借由域名系统（Domain Name System）来转化成一组数字形式的互联网地址，也就是216.239.113.101。这组IP 位址会传给你的路由器，它会借由一个IP表来了解下一站要怎么走最后才能抵达news.com 服务器。

互联网供应商（即自治系统，简称AS）会广播他们自己所提供的IP地址范围。总理全球互联网IP地址空间分配的ICANN组织则负责管理自治系统号码的总清单，这些号码原则上是以一次1000个以上的量，发放给各区的位址注册组织。

ICANN的路由域服务经理Kim Davies表示，ICANN 并无法取消网络供应商的自治系统号码。你可以把它想成是邮递区号一般，我们只是维护这整个编号系统，确保彼此之间没有任何冲突。

若自治系统提供的网址资讯是正确的，一切运作就会相安无事。但若有自治系统广播错误信息（不管是因为设定失误还是出于人为刻意），那歹志就大条了。

YouTube 就是发生这种情况，巴基斯坦认定YouTube有侮辱性视频而下令加以封杀，该站有视频播出先前刊登在丹麦报纸中的先知默罕默德漫画。部分报道也指出该视频含有好几分钟由知名伊斯兰教批评者 Geert Wilders 所制播的视频。

巴基斯坦大使馆发言人周一表示，封杀YouTube的命令是由政府最高当局所下，之后便由巴基斯坦的电子媒体管制局主导，下令巴基斯坦电信单位遵循。

Pakistan Telecom 电信公司接获命令後，就开始广播自己是YouTube 所属208.65.15.3.0网络空间256个地址的正确路径。由于这样的路径指示远比正牌YouTube自己广播的还要详细（正牌YouTube是广播自己为1024台电脑的终站），也因此几分钟后，所有流量都开始流向这个错误的地方。

根据即时网路流量监控公司Renesys的时间表，亚太地区供应商在15秒内就开始将YouTube.com的流量导向这家巴基斯坦的 ISP（互联网服务供应商）；而其他地区的路由器也在45秒后就开始跟进了。

YouTube 也紧跟在数分钟后开始进行反制，首先就是把自己原先广播的1024个地址降至256个；11分钟后，YouTube 又加入更精确的广播，限缩至64个地址，由于依据边界网关协议（Border Gateway Protocol），后者更为精确，因此会推翻原来巴基斯坦的版本。因此历经两小时的误报后，Pakistan Telecom才终于终止该行为。

此事有办法避免吗？

首先，Pakistan Telecom 不应该向全世界广播它自己托管了YouTube 的IP地址。第二，香港PCCW 应该有能力识别这样的错误广播，并加以剔除。

一位不愿公开的PCCW 员工指出，误报发生後，PCCW 就开始接到许多来自全全球ISP的电话，想了解到底发生什么事情。YouTube 方面也有人打来询问。

甚至连Pakistan Telecom 也致电 PCCW。我想他们大概不知道发生什么事情。这位员工表示。但PCCW 发言人不愿针对此事发言。

目前，大型互联网供应商多半会信任其他网络供应商不会恶搞，不会刻意去拦截他人的互联网地址。若有问题发生，多半可赶快采人工介入加以修正。

但由于这类可疑广播越来越多，业界也出现要求更积极的反制作法。

其中一项作法是，若互联网地址的虚拟地址变更时，网络供应商应自动获得通知，这是研究人员所建议的拦截警示系统。另外一项作法是，任何网址的变更都会在24小时内被视为嫌疑，之后才会被视为正常。

但最严格的反制措施大概是诸如Secure BGP这类技术，它采加密方式来确认哪些网路供应商拥有网路位址，得以合法广播变更。只是Secure BGP从1998年就存在，至今还不算是广为采用的标准，因为它的复杂度太高，且要让路由器理解也需额外增加成本。

这是先前市场的看法。但历经YouTube 这次高知名网站断线事件後，未来业界应会加速此一流程的改善。