對于許多公司來(lái)說(shuō)，一個(gè)噩夢(mèng)般的場(chǎng)景是發(fā)現他們所有的網(wǎng)絡(luò )流量突然掌握在不友好的力量手中。谷歌于11月12日發(fā)生這種情況，當時(shí)尼日利亞一家小型互聯(lián)網(wǎng)服務(wù)提供商的員工配置了其中一個(gè)網(wǎng)絡(luò )設備的邊界網(wǎng)關(guān)協(xié)議(BGP)過(guò)濾器，以便谷歌的流量流向尼日利亞，途中經(jīng)過(guò)俄羅斯和中國。

配置在一個(gè)多小時(shí)內得到修復，但在此期間，谷歌的內部網(wǎng)絡(luò )正在全球巡回發(fā)送他們的流量。這會(huì )影響Google搜索以及Google Cloud的運營(yíng)(請參閱圖片;右鍵單擊它并選擇“查看圖像”以查看更大版本)，以及Google客戶(hù)使用其云服務(wù)的操作。

發(fā)生的事情是，當配置錯誤發(fā)生時(shí)，尼日利亞ISP的MainOne Cable正在執行例行軟件更新。此時(shí)，路由器開(kāi)始向互聯(lián)網(wǎng)廣告宣傳它是Google流量的合適途徑。中國和俄羅斯的互聯(lián)網(wǎng)服務(wù)供應商看到了這個(gè)廣告，并采取了行動(dòng)，這最終意味著(zhù)谷歌的流量，而不是去谷歌，流向俄羅斯，在那里它被傳遞到中國，在那里大多數人死亡。

谷歌的數據在中國無(wú)處可去

中國邊緣路由器是中國“大防火墻”的一部分，只是將數據包丟棄為未經(jīng)授權的。谷歌及其服務(wù)的用戶(hù)只是失去了聯(lián)系。最初的恐懼是谷歌的網(wǎng)絡(luò )流量被劫持，但后來(lái)的調查顯示，這只是人為錯誤。調查還顯示，MainOne沒(méi)有實(shí)施任何保護措施以確保其BGP廣告正確。事實(shí)證明，俄羅斯和中國都沒(méi)有互聯(lián)網(wǎng)服務(wù)。

從那時(shí)起，MainOne已經(jīng)解決了問(wèn)題，并提出了必要的保護措施。但這并不意味著(zhù)風(fēng)險已經(jīng)消失。有線(xiàn)電視公司錯誤地做了什么可以很容易地通過(guò)將一個(gè)或多個(gè)用戶(hù)的互聯(lián)網(wǎng)流量發(fā)送到不應該去的地方的效果來(lái)完成。實(shí)際上它已經(jīng)完成，最近是為中國軍隊工作的黑客。

令人擔憂(yōu)的是，BGP配置錯誤很容易實(shí)現，而且很難修復。幸運的是，你可以通過(guò)在Twitter上觀(guān)看BGPMON來(lái)發(fā)現這種情況。這項服務(wù)是OpenDNS的一部分，很快就發(fā)現了Google重定向，這反過(guò)來(lái)又導致了它的快速修復。

但作為互聯(lián)網(wǎng)最終用戶(hù)，你幾乎無(wú)能為力。通過(guò)使用Tracert實(shí)用程序，觀(guān)察路徑，然后觀(guān)察延遲數，您可以發(fā)現流量正在發(fā)生。但是，如果您的ISP或您自己的IP地址集被劫持，那么您可以做的最好的辦法是在劫持停止之前退出使用這些IP。

單獨的ISP是另一種選擇

另一種方法是通過(guò)單獨的ISP進(jìn)行訪(fǎng)問(wèn)。雖然實(shí)施服務(wù)(例如您的主要電子商務(wù)網(wǎng)站)可能很棘手，但保持對互聯(lián)網(wǎng)和云服務(wù)的訪(fǎng)問(wèn)應該相對透明。如果您的電子商務(wù)網(wǎng)站是基于云的，那么您也可以繼續在那里運行。

當然，這樣的故障轉移策略是您必須提前安排的，但它將具有更多的用途，而不僅僅是BGP劫持。從DDoS攻擊到故障路由器配置，您的互聯(lián)網(wǎng)路徑可能會(huì )中斷。

必要的另一步是確保您的數據受到保護。當BGP問(wèn)題發(fā)生時(shí)，谷歌并不擔心數據丟失，因為它的所有數據都是加密的。這也可以為您的公司節省成本。另一個(gè)步驟是使用VPN(虛擬專(zhuān)用網(wǎng)絡(luò ))來(lái)處理任何重要的數據。

使用VPN將確保數據已加密，但它將執行更多操作。如果網(wǎng)絡(luò )地址廣告錯誤，VPN將無(wú)法連接，根本不會(huì )傳輸數據。發(fā)生這種情況是因為在設置虛擬網(wǎng)絡(luò )時(shí)，還要在另一端定義特定的IP地址。如果您已正確設置VPN，任何嘗試更改其終止位置的嘗試都將無(wú)效，因為地址不正確。

監控網(wǎng)絡(luò )應該是一個(gè)給定的

當然，您應始終監控您的網(wǎng)絡(luò )，而不僅僅是因為有意或無(wú)意地進(jìn)行網(wǎng)絡(luò )劫持嘗試。一個(gè)不錯的網(wǎng)絡(luò )監控應用程序將發(fā)現您的網(wǎng)絡(luò )尋址變化并提醒您的IT員工。該Spiceworks還在網(wǎng)絡(luò )監視器能夠處理任務(wù)，如這一點(diǎn)，它是免費的，易于理解和有效的。

有了有效的監控服務(wù)，您幾乎可以立即知道何時(shí)會(huì )對網(wǎng)絡(luò )產(chǎn)生負面影響，無(wú)論是BGP配置問(wèn)題，惡意WiFi接入點(diǎn)的出現還是內部網(wǎng)絡(luò )上未經(jīng)授權的用戶(hù)。只是看延遲數字會(huì )告訴你有些不對勁。

邊界網(wǎng)關(guān)協(xié)議是互聯(lián)網(wǎng)早期的遺產(chǎn)，當時(shí)大多數行動(dòng)都是基于信任。不幸的是，在這個(gè)惡意軟件和間諜時(shí)代，信任已成為過(guò)去，所以你需要有辦法確認網(wǎng)絡(luò )上發(fā)生的事情是你想要發(fā)生的事情。這一挑戰只會(huì )變得更加重要。