BGP劫持事件導致全球約200家CDN供應商流量導向俄羅斯

• 發布日期：109-04-10
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 BGP劫持事件導致全球約200家CDN供應商流量導向俄羅斯https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16381
全球網路由數萬個網際網路自治系統(Autonomous System, AS)組成，多數由網路服務供應商(如ISP業者等)或大型企業(如Google等)建立，透過邊界閘道協定(Border Gateway Protocol, BGP)決定AS間傳輸最佳路徑彼此互連；BGP為去中心化之網際網路協定，藉由IP路由表與網路前綴(Network Prefix)資訊，完成AS間之傳輸。BGP劫持(BGP Hijacking)係藉由破壞路由器內之全球BGP路由表(Global BGP Routing Table)，造成流量被導向錯誤目的地。

BGP流量監控業者BGPmon.net於美西時間2020/4/1晚間7時28分，偵測發現全球網路內容遞送服務(Content Delivery Network, CDN)供應商發生BGP劫持事件，歷時約一小時。俄羅斯國營電信營運商Rostelecom之編號AS12389宣告全球約8千個網路前綴為其所有，其中包括Google、Amazon、CloudFlare、GoDaddy、臉書(Facebook)及Line等200家CDN供應商之流量都被導向俄羅斯。

BGPmon.net創辦人Andree Toonk表示，此次BGP劫持事件起因可能是Rostelecom誤將用於同一AS中之iBGP(Internal/Interior BGP)路由表，寫至用於不同AS中之eBGP (External/Exterior BGP)路由表中，當Rostelecom上游廠商採用新路由表並於網際網路上重新廣播(Re-broadcast)時，此失誤便於幾秒內影響全球，導致BGP劫持事件。