【转】谷歌网络服务宕机,中国电信背锅

前言

上周日,谷歌旗下的云服务、YouTube 等网络服务在全球范围内均发生了数小时的宕机,外媒称因遭到来自中国电信 IP 的 BGP 劫持导致故障发生。虽然这次事件为中国电信带来了 “ 宝贵 ” 的谷歌流量,但是黑锅我们真的不背。

谷歌网络服务宕机,中国电信背锅
谷歌网络服务宕机,中国电信背锅

概述

本次事件是由一家名为 Main One 的西非电信公司进行网络更新引发的。Main One 是位于尼日利亚拉各斯的一家商业 ISP 供应商,在葡萄牙和南非之间运营着一条海底电缆。

该公司表示:

由于更新时采用了错误配置,导致 Google 的流量被重定向至中国电信,持续时间长达 74 分钟。在这期间,全球范围内的用户再尝试连接 Google 、YouTube 、Spotify 和 Nest 等网络服务时,流量会通过一个名为 TransTelekom 的俄罗斯 ISP 供应商重定向至中国电信,中国电信无法解析这些莫名其妙的流量和请求,因此导致宕机事件。

解构

Main One 提供了一些具体的细节。他们在进行网络更新时,由于误操作导致 BGP 过滤器配置错误,将一部分原来只属于某个网段的线路配置加入了另一个网段中,致其骨干网将针对 Google 服务的请求经过层层节点全部定向至中国电信 IP 。

为什么一家西非 ISP 供应商的失误会影响到北半球的美国?

主要原因是 Main One 通过位于尼日利亚拉哥斯的 IXPN 公司与谷歌建立了点对点流量共享和交换协议,当 Main One 导入了错误的配置信息时,相关路由信息也会被谷歌自动获取和投入使用,谷歌的全网流量会通过 TransTelecom 传输到 NTT 和其他中转 ISP ,最后被重定向至中国电信。本次事件主要发生在商业级 ISP 链路上,消费级 ISP 链路几乎不受影响。谷歌也表示没有任何服务器或数据受到影响。

后话

这一事件进一步凸显了互联网架构的一个基础性弱点。BGP 的设计初衷是为正常的商业 ISP 供应商和其他实体之间构建可以信任的网络链路,降低鉴别和过滤信息的复杂程度。而当今互联网服务提供商和国家之间的商业和地缘政治关系将 BGP 的薄弱点暴露了出来。虽然存在 ROA 等验证方法,但很少有 ISP 全面部署。

即使像谷歌这样拥有大量资源的公司也无法免受这种 BGP 故障的影响,大多数没有 Google 这么雄厚资源的企业可能无法快速定位和解决问题。

参考链接

  • https://www.theregister.co.uk/2018/11/14/nigerian_telco_bgp/
  • https://blog.thousandeyes.com/internet-vulnerability-takes-down-google/

 

转载自:

  • https://www.freebuf.com/news/189313.html
打赏作者
这里是 “ CCIE 工程师社区 ” 官方的捐款通道,您是否可以考虑请我们喝杯咖啡呢?

您的支持将鼓励我们继续创作!

[微信] 扫描二维码打赏

[支付宝] 扫描二维码打赏

Was this article helpful?

Related Articles

Leave A Comment?

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据