委內瑞拉的路由異常事件概述
2026 年 1 月初,觀察到由委內瑞拉國營電信公司 CANTV 操作的 AS8048 出現了異常的網路路由行為。這些異常由紅隊工程師 Graham Helton 在其博客 Low End Orbit 提出,基於公開可用的 BGP 資料進行分析。
隨後,Cloudflare 發布了針對相同路由事件的技術分析,提供了不同的觀點。Cloudflare 指出,觀察到的模式與 BGP 路由洩漏相符,這種事件經常發生於網際網路,通常是由配置或政策錯誤而非故意干預所致。
BGP 異常的困難解讀
BGP 是允許自治系統(AS)交換路由資訊的協議,決定了全球網際網路上的流量流向。它在數十年前設計,當時網路規模較小,運營者之間的合作和信任是基礎。因此,BGP 的設計至今仍受限於這些初期假設。
BGP 缺乏原生機制來:
- 加密驗證某 AS 是否被授權宣告某個前置碼
- 驗證所宣告的 AS 路徑是否反映真實的商業或路由關係
因此,當路由資料顯示出現意外的路徑、重複的 AS 前置或可達性突然變化時,協議本身無法確定其意圖。對於 BGP 來說,一個無害的錯誤配置和惡意操縱看起來相同。
路由洩漏:常見的全球性故障
路由洩漏是 BGP 最常見的故障模式之一。當一個 AS 無意中宣告了超出其預期範圍的路由時,就會發生路由洩漏。典型的例子包括從一個上游供應商學習到的路由被輸出到另一個供應商,或者內部或客戶路由被更廣泛地傳播。
路由洩漏不需要攻擊者。單一配置錯誤,結合路由生態系統中其他地方的寬鬆政策,就足以影響到遠超出原始網路的流量。其影響可能包括性能下降、延遲增加、數據包丟失、部分中斷或跨區域的大規模流量轉移。由於 BGP 是全球性和轉遞性的,即使是小錯誤也能廣泛傳播。
為何「不良」路由仍然傳播
一些路由異常引起注意,因為它們看似適得其反,例如過多的 AS 路徑前置使路由變得不具吸引力而非增加吸引力。
這顯示了 BGP 的一個關鍵限制:協議不評估路由是否合理。只要公告在語法上有效並通過本地政策檢查,它就可以被傳播。BGP 不理解意圖、質量或預期的拓撲。沒有強有力的過濾和驗證,不良或異常路徑仍然可能遍布網際網路。
BGP 的核心安全漏洞
BGP 的安全限制已經被充分理解且由來已久。
首先,缺乏原生的驗證。傳統的 BGP 允許任何 AS 對幾乎任何前置碼宣告可達性。信任是隱含的,而驗證是外部的。
其次,政策強制執行是分散的。前置過濾、最大前置限制和嚴格的出口政策在一致應用時是有效的,但在運營商之間的部署和維護卻存在很大差異。
第三,安全擴展僅部分採用。RPKI 啟用路由起源的加密驗證,允許網路確認起源 AS 是否被授權宣告給定的前置碼,這顯著減少了簡單的前置碼劫持。然而,RPKI 不驗證完整的 AS 路徑,且不防止路由洩漏。