通信人家园

标题: 中美之间的直连网络还能撑多久？ [查看完整版帖子] [打印本页]

时间: 2020-8-10 14:15

作者: coupfree 标题: 中美之间的直连网络还能撑多久？

原创雷尼尔雷尼尔雪山2020 今天

中国电信面对的挑战

按照现在剧本的发展，下面一步就是中美之间直连的网络要断了。比如中国电信的CN2-GIA线路。如果中国电信的214牌照被吊销了，那么不仅仅CN2-GIA线路，中国电信在北美的大量接入点都要废了。按照7月15号最新的FCC给中国电信的邮件，估计中国电信的214牌照可能保不住了。其实这个事情FCC和中国电信美国之间来来回回大半年了。而一切都要从BGP劫持说起。

什么是BGP劫持
这个涉及非常多的技术细节，我只讲简单的概念。另外事情也非常敏感，我只说大家已经公认的事情，有些指控直接找原始论文去看。大家概念中的互联网是理想中的网络，平的。但是实际上互联网是一个一个寨子组成的分布式网络，整个互联网并没有网络中心。这一个个寨子就是大大小小不同的ISP。这些些寨子都是有头有脸的企业，都是独立管辖自己寨子里面的事情，又叫Autonomous system 简称AS。

这些寨子互相连接，通过BGP协议告诉对方自己寨子里都包括哪些IP地址段，自己的AS编号（AS Number）以及一些其他的信息。而互联网的IP地址分配是中心化的，ICANN这个机构把IP地址大段分给Regional Internet Registries（RIR），区域互联网注册管理机构。RIR再把IP地址段细分后分给ISP们。大部分情况下，AS Number和分给该AS什么IP段是没有任何关系的。但是路由的时候，这两者就建立的关系。

在默认情况下，到达同一目的地，BGP只走单条路径，并不希望在多条路径之间执行负载均衡。BGP 的每条路由都带有路径属性，对于通过比较路径属性来选择最优路径，BGP 需要在多条路径之间按照一定的顺序比较属性，当多条路由的同一属性完全相同时，需要继续比较顺序中的下一条属性。直至选出最佳路由为止。

理论上来讲，我在西雅图，要给纽约的朋友发条消息，最佳的路由，就是美国本土内的一条路径，如果我的消息经过了俄罗斯再绕道去了纽约。这条路径就会有问题，然而路径怎么规划，都是仰仗与bgp的路由表来确定的，按理说，这写东西应该非常安
全对不对？然而实际上，BGP协议里虽然有一些简单的安全认证的部分，但是对于两个已经成功建立BGP连接的AS来说，基本会无条件的相信对方AS所传来的信息，包括对方声称所拥有的IP地址范围。

结果这里埋下了大坑。举个例子，当初小巴是如何一举黑掉油管的。2008年，有人在油管上放了一段不太健康的视频，小巴很生气，决定把油管给ban掉。他们采用的办法呢，就是黑洞路的办法：在路由器里加上static route 把youtube的一个网段，弄到了null0接口。

结果小巴的工程师水平不行，居然把该路由器上的静态路由表添加到BGP的路由表了。而BGP把这条路由向其他AS的路由器同步了，因为不同AS之间是相互信任的，结果就坏事了。最先中枪的是HK的电讯盈科，然后接着被逐渐同步到了全世界。

这时互联网的大部分用户想上Youtube的时候数据包都跑到巴基斯坦了，结果当然是打不开了（因为进来就被弄到null0了）。

Youtube发现后，重新用BGP声明了对该IP段和其他IP段的所有权，成功刷新了部分ISP路由器的路由表。然后youtube的访问被恢复了。https://www.cnet.com/news/how-pakistan-knocked-youtube-offline-and-how-to-make-sure-it-never-happens-again/

但是，这就暴露了一个严重问题，如果不是小巴的工程师把流量带到黑洞去了，如果他们把流量再带回到正常的IP。那意味着什么，用户访问youtube的数据，在小巴转了一圈，又回到了youtube，可能就是加了几个ms的延时，很少有人会察觉。

如果攻击者的路由器具备篡改TTL的功能，那么即使通过traceroute也很难发现数据包被劫持。一般技术人员根本无法察觉，唯一的方法就是像BGPmon那样检测全世界范围内的AS路由表和BGP信息。

而2018年的时候中国电信美国被指控用上面那种高级手段，劫持流量。中国电信断然否认。而同年以色列的一名研究人员Yuval Shavitt发了一篇文章，https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca这个事情引起了美国的高度重视，从而拉开了长达一年多的调查。

214牌照
很多人可能不知道，中国有四家电信公司在美国运营：中国电信美洲公司、中国联通美洲公司、以及中信集团全资控股的“太平洋网络”（Pacific Networks）及其全资子公司ComNet USA。在美国运营那就要接受FCC监管。

根据美国通信法第214条规定，外国电信公司在美国开展国际电信业务需取得FCC颁发的业务授权。由司法部、国土安全部和国防部成员组成的一个名为“Team Telecom”（电信安全审查小组）的非正式机制负责在“214牌照”审核决定中向FCC提供有关国家安全和执法风险方面的分析评估。

司法部2020年4月9日发布正式公告，指出电信安全审查小组认定中国电信的运营涉及了“重大且不可接受的国家安全和执法风险”，建议FCC撤销和终止中国电信美洲公司的214业务牌照。”

2020年6月9日，元老院常设调查小组委员会发布了一份有关美国政府对中资电信企业监管的一百多页的调查报告。元老院把FCC骂的狗血淋头，你们干啥吃的！《Majority and Minority Staff Report - Threats to U.S. Networks: Oversight
of Chinese Government-Owned Carriers》

然后要求FCC按照审查小组的建议，撤销中国电信的214牌照，FCC就应尽快完成对中国电信和其他中资企业在美业务授权问题的审查。FCC被骂了之后，那就开始来收拾中国电信：FCC 6月份给中国电信美国发了邮件：解释一下，给我一个理由，不取消你的执照。中国电信的律师回复了：我们冤枉，我们无辜。
FCC 7月15号又发了一封邮件，不够，我还要。10天内给我答复。
前两天，某人的讲话，基本上确定了中国电信美国部分的未来。

现在其实不管原因，到底中国电信是不是被冤枉的，可能对结果于事无补了。

很现实的问题，就是很可能在后面几个月内， CN2-GIA会被拔插头。中国电信的几个PoP估计也会被掐掉。

https://www.zdnet.com/article/china-has-been-hijacking-the-vital-internet-backbone-of-western-countries/

时间: 2020-8-10 14:46

作者: 马云的云

光跟美国断网有啥用。全球网状网，BGP互联，只要还有别的路由可达，就一样可以BGP广播啊。

时间: 2020-8-10 14:48

作者: 马云的云

再说了，互联网本来就是不安全的。

需要安全的，一定要端到端安全（主机到主机安全），别信任中间的任何一个网络。

要不为啥有一堆的3层、4层加密协议呢？

时间: 2020-8-10 14:49

作者: 马云的云

政客不懂网络技术、蓝领工人也不懂，但是硅谷IT精英都懂啊，红脖这种说法不是贻笑大方吗？

时间: 2020-8-10 14:53

作者: Ebates

马云的云发表于 2020-8-10 14:48
再说了，互联网本来就是不安全的。

需要安全的，一定要端到端安全（主机到主机安全），别信任中间的任何 ...

海底光纤互联互通属于通信国际合作,有100多年历史了,包括一战和二战也没听说中断,所以这个贴子纯属胡扯

美国在中国有大量的跨国公司实体,也有通信需求,这根本不需要担心.

只是监管要求本国的敏感企业和个人数据需要存储在本土数据中心服务器上,中美都一致的政策要求.至于非敏感的中小企业数据,比如外贸企业营销站点,更不需要担心了,分分秒秒复制一个出来.

时间: 2020-8-10 15:06

作者: cnqq9999

不清楚

时间: 2020-8-11 03:17

作者: Richbunny

不要怕，红脖只懂应用层的毛衣战比如A屁屁、鸡站什么的，深一点的技术问题就不懂了，而且操作层面不愿意搞这些扯皮的事，两郭防长不是通电话了嘛，美其名曰，管控风险；说白了，不干架。

时间: 2020-8-11 08:06

作者: wongsang

马云的云发表于 2020-8-10 14:48
再说了，互联网本来就是不安全的。

需要安全的，一定要端到端安全（主机到主机安全），别信任中间的任何 ...

那到底中国电信劫持没劫持

时间: 2020-8-11 09:13

作者: 大脚纤

被元老院骂惨的FCC还有机会改主意吗

时间: 2020-8-11 11:08

作者: 马云的云

wongsang 发表于 2020-8-11 08:06
那到底中国电信劫持没劫持

就算有也可能是误操作，因为劫持了也没用，一堆垃圾数据，只会增加自己路由器的转发压力，何必呢？

时间: 2020-8-11 11:14

作者: yz98061

wongsang 发表于 2020-8-11 08:06
那到底中国电信劫持没劫持

不是故意劫持，但是这个事情出了几次了，路由过滤没做好，电信运维反应水平还慢，去年把欧洲一大堆流量往电信绕了一圈，电信故障反应速度业界倒数第一，隔壁论坛都有人发现电信路由异常了，电信都不知道

时间: 2020-8-11 11:26

作者: yz98061

wongsang 发表于 2020-8-11 08:06
那到底中国电信劫持没劫持

blogs.oracle.com/internetintelligence/large-european-routing-leak-sends-traffic-through-china-telecom

去年这事情都上新闻了，外国人全是骂电信辣鸡不做过滤和最大前缀的，其实就是个外国小运营商把电信坑了。同样的事情是2017年谷歌路由泄露到Verizon，然后Verizon也没过滤，导致日本的网络直接瘫痪

时间: 2020-8-11 12:50

作者: coffee198375

撑到鹰酱撑不住为止。。。。

时间: 2020-8-12 08:42

作者: wongsang

马云的云发表于 2020-8-11 11:08
就算有也可能是误操作，因为劫持了也没用，一堆垃圾数据，只会增加自己路由器的转发压力，何必呢？

那抢劫犯也可以说误操作了

时间: 2020-8-12 14:06

作者: initialdp114

wongsang 发表于 2020-8-12 08:42
那抢劫犯也可以说误操作了

抢劫犯要么劫财，要么劫色，您听说过劫垃圾的么? 前面那位兄弟说得很明显了。

时间: 2020-8-12 15:24

作者: sakura911

Ebates 发表于 2020-8-10 14:53
海底光纤互联互通属于通信国际合作,有100多年历史了,包括一战和二战也没听说中断,所以这个贴子纯属胡扯
...

懂王做的出人意料的事情还少吗？大选之前，能打的牌可能都会挨个打一圈。永远不能以常理推断现在的美国『不可能』做某事。

时间: 2020-8-12 15:33

作者: wongsang

initialdp114 发表于 2020-8-12 14:06
抢劫犯要么劫财，要么劫色，您听说过劫垃圾的么? 前面那位兄弟说得很明显了。

在我国持刀抢劫，威胁到受害人安全，即使是抢垃圾都是犯罪。
不能说你抢劫物不值钱的东西就合理化抢劫这个行为。

时间: 2020-8-13 09:46

作者: 120758285

中国电信不可能劫持的，因为他没这个能力分析，要来干嘛？倒是误操作有可能。因为AS是去到省一级的，那个不负责任的鸟，审核不严格到是有可能。像极巴基斯坦那种。美帝因为网络设计缺陷，而要电信背锅，像极上级对下级了，下级：锅我背，你别断我呀。

时间: 2020-8-20 14:55

作者: xuqz

欲加之罪何患无辞

时间: 2020-8-28 23:21

作者: xiaohan917

信息时代,谁都不可能把自己变成孤岛的

通信人家园 (https://www.txrjy.com/)