扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
CNET科技资讯网2月26日国际报道 从本周巴基斯坦国营电信公司搞断YouTube的全球连线可看出互联网在管理上所遭遇的一个安全老问题。
在接获巴基斯坦电信部指示要进行言论管制封杀YouTube网站后,巴基斯坦电信局(Pakistan Telecom)采取更进一步的作法。不管是出于刻意或意外,该公司向全球送出广播(broadcast),宣称自己才是全球YouTube互联网地址的合法目的地。
这张由互联网监测公司Keynote Systems 提供的图表显示,YouTube.com的全球连线大约有1小时时间从100%掉到 0%,整个情况直到两小时候才完全复原。
这个作法足足让YouTube 在周日断线长达两个小时,此一安全弱点的问题暴露出:为何全球的路由器都会误信这样的错误广播?原因是香港的PCCW(提供互联网连线给Pakistan Telecom 公司)并没有挡下这些误导的传播信息,而现行欧美多数电信大厂则都会加以挡下。
这已经不是新问题了。先前就曾发生过一家土耳其网路供应商自己宣称是整个互联网,导致网路流量整个变慢,许多网站无法连结。Con Edison 意外盗取了Panix客户的互联网地址,Panix客户包括 名人玛莎的 Martha Stuart Living Omnimedia网站以及New York Daily News。而这类错误传播从1997年就发生过了。
既然是老问题,为何迟迟都没解决呢?错误广播(False broadcasts)的威力可相当于阻断服务攻击(denial-of-service),若是出於有心人恶意利用,则一般网友就会被引导至假的银行、商店或信用卡网站。
要了解为何这个弱点很难修正,我们得先谈点技术面的东西。
如何伪装成YouTube.com
比如说你在浏览器中输入news.com地址好了,它是借由域名系统(Domain Name System)来转化成一组数字形式的互联网地址,也就是216.239.113.101。这组IP 位址会传给你的路由器,它会借由一个IP表来了解下一站要怎么走最后才能抵达news.com 服务器。
互联网供应商(即自治系统,简称AS)会广播他们自己所提供的IP地址范围。总理全球互联网IP地址空间分配的ICANN组织则负责管理自治系统号码的总清单,这些号码原则上是以一次1000个以上的量,发放给各区的位址注册组织。
ICANN的路由域服务经理Kim Davies表示,ICANN 并无法取消网络供应商的自治系统号码。你可以把它想成是邮递区号一般,我们只是维护这整个编号系统,确保彼此之间没有任何冲突。
若自治系统提供的网址资讯是正确的,一切运作就会相安无事。但若有自治系统广播错误信息(不管是因为设定失误还是出于人为刻意),那歹志就大条了。
YouTube 就是发生这种情况,巴基斯坦认定YouTube有侮辱性视频而下令加以封杀,该站有视频播出先前刊登在丹麦报纸中的先知默罕默德漫画。部分报道也指出该视频含有好几分钟由知名伊斯兰教批评者 Geert Wilders 所制播的视频。
巴基斯坦大使馆发言人周一表示,封杀YouTube的命令是由政府最高当局所下,之后便由巴基斯坦的电子媒体管制局主导,下令巴基斯坦电信单位遵循。
Pakistan Telecom 电信公司接获命令後,就开始广播自己是YouTube 所属208.65.15.3.0网络空间256个地址的正确路径。由于这样的路径指示远比正牌YouTube自己广播的还要详细(正牌YouTube是广播自己为1024台电脑的终站),也因此几分钟后,所有流量都开始流向这个错误的地方。
根据即时网路流量监控公司Renesys的时间表,亚太地区供应商在15秒内就开始将YouTube.com的流量导向这家巴基斯坦的 ISP(互联网服务供应商);而其他地区的路由器也在45秒后就开始跟进了。
YouTube 也紧跟在数分钟后开始进行反制,首先就是把自己原先广播的1024个地址降至256个;11分钟后,YouTube 又加入更精确的广播,限缩至64个地址,由于依据边界网关协议(Border Gateway Protocol),后者更为精确,因此会推翻原来巴基斯坦的版本。因此历经两小时的误报后,Pakistan Telecom才终于终止该行为。
此事有办法避免吗?
首先,Pakistan Telecom 不应该向全世界广播它自己托管了YouTube 的IP地址。第二,香港PCCW 应该有能力识别这样的错误广播,并加以剔除。
一位不愿公开的PCCW 员工指出,误报发生後,PCCW 就开始接到许多来自全全球ISP的电话,想了解到底发生什么事情。YouTube 方面也有人打来询问。
甚至连Pakistan Telecom 也致电 PCCW。我想他们大概不知道发生什么事情。这位员工表示。但PCCW 发言人不愿针对此事发言。
目前,大型互联网供应商多半会信任其他网络供应商不会恶搞,不会刻意去拦截他人的互联网地址。若有问题发生,多半可赶快采人工介入加以修正。
但由于这类可疑广播越来越多,业界也出现要求更积极的反制作法。
其中一项作法是,若互联网地址的虚拟地址变更时,网络供应商应自动获得通知,这是研究人员所建议的拦截警示系统。另外一项作法是,任何网址的变更都会在24小时内被视为嫌疑,之后才会被视为正常。
但最严格的反制措施大概是诸如Secure BGP这类技术,它采加密方式来确认哪些网路供应商拥有网路位址,得以合法广播变更。只是Secure BGP从1998年就存在,至今还不算是广为采用的标准,因为它的复杂度太高,且要让路由器理解也需额外增加成本。
这是先前市场的看法。但历经YouTube 这次高知名网站断线事件後,未来业界应会加速此一流程的改善。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。