第2章Internet单播路由祥解.ppt

* * * * * * * * i-BGP e-BGP 的理解 优选e-BGP路径 * * * * * * * * * * 2008年2月巴基斯坦国营电信公司搞断YouTube的全球连线可看出互联网在管理上所遭遇的一个安全老问题。 　在接获巴基斯坦电信部指示要进行言论管制封杀YouTube网站后，巴基斯坦电信局 （Pakistan Telecom）采取更进一步的作法。不管是出于刻意或意外，该公司向全球送出广播（broadcast），宣称自己才是全球YouTube互联网地址的合法目的地。 　这个作法足足让YouTube 在周日断线长达两个小时，此一安全弱点的问题暴露出：为何全球的路由器都会误信这样的错误广播？原因是香港的PCCW（提供互联网连线给Pakistan Telecom 公司）并没有挡下这些误导的传播信息，而现行欧美多数电信大厂则都会加以挡下。 这已经不是新问题了。先前就曾发生过一家土耳其运营商自己宣称是整个互联网，导致网路流量整个变慢，许多网站无法连接。Con Edison 意外盗取了Panix客户的互联网地址，Panix客户包括 名人玛莎的 Martha Stuart Living Omnimedia网站以及New York Daily News。而这类错误传播从1997年就发生过了。 既然是老问题，为何迟迟都没解决呢？错误广播（False broadcasts）的威力可相当于阻断服务攻击（denial-of-service），若是出於有心人恶意利用，则一般网友就会被引导至假的银行、商店或信用卡网站。 要了解为何这个弱点很难修正，我们得先谈点技术面的东西。 如何伪装成YouT？ 　 比如说你在浏览器中输入地址好了，它是借由域名系统（Domain Name System）来转化成一组数字形式的互联网地址，也就是01。这组IP 位址会传给你的路由器，它会借由一个IP表来了解下一站要怎么走最后才能抵达 服务器。 　互联网供应商（即自治系统，简称AS）会广播他们自己所提供的IP地址范围。管理全球互联网IP地址空间分配的ICANN组织则负责管理自治系统号码的总清单，这些号码原则上是以一次1000个以上的量，发放给各区的位址注册组织。 　ICANN的路由域服务经理Kim Davies表示，ICANN 并无法取消网络供应商的自治系统号码。你可以把它想成是邮递区号一般，我们只是维护这整个编号系统，确保彼此之间没有任何冲突。 　若自治系统提供的网址资讯是正确的，一切运作就会相安无事。但若有自治系统广播错误信息（不管是因为设定失误还是出于人为刻意），那歹志就大条了。 　YouTube 就是发生这种情况，巴基斯坦认定YouTube有侮辱性视频而下令加以封杀，该站有视频播出先前刊登在丹麦报纸中的先知默罕默德漫画。部分报道也指出该视频含有好几分钟由知名伊斯兰教批评者 Geert Wilders 所制播的视频。 　巴基斯坦大使馆发言人周一表示，封杀YouTube的命令是由政府最高当局所下，之后便由巴基斯坦的电子媒体管制局主导，下令巴基斯坦电信单位遵循。 　Pakistan Telecom 电信公司接获命令後，就开始广播自己是YouTube 所属.0网络空间256个地址的正确路径。由于这样的路径指示远比正牌YouTube自己广播的还要详细（正牌YouTube是广 播自己为1024台电脑的终站），也因此几分钟后，所有流量都开始流向这个错误的地方。 　根据即时网路流量监控公司Renesys的时间表，亚太地区供应商在15秒内就开始将YouT的流量导向这家巴基斯坦的 ISP（互联网服务供应商）；而其他地区的路由器也在45秒后就开始跟进了。 　YouTube 也紧跟在数分钟后开始进行反制，首先就是把自己原先广播的1024个地址降至256个；11分钟后，YouTube 又加入更精确的广播，限缩至64个地址，由于依据边界网关协议（Border Gateway Protocol），后者更为精确，因此会推翻原来巴基斯坦的版本。因此历经两小时的误报后，Pakistan Telecom才终于终止该行为。 　此事有办法避免吗？ 　首先，Pakistan Telecom 不应该向全世界广播它自己托管了YouTube 的IP地址。第二，香港PCCW 应该有能力识别这样的错误广播，并加以剔除。 　一位不愿公开的PCCW 员工指出，误报发生後，PCCW 就开始接到许多来自全全球ISP的电话，想了解到底发生什么事情。YouTube 方面也有人打来询问。 　甚至连Pakistan Telecom 也致电 PCCW。我想他们大概不知道发生什么事情。这位员工表示。但PCCW 发言人不愿针对此事发言。 　目前，大型互联网供