日前,一家俄罗斯电信运营商在两个多小时内短暂地通告自己是Twitter
流量的目的地,这可能是一起意外事件,也可能是一起企图劫持流量的事件。
据悉,当日早些时候,俄罗斯运营商RTComm.ru开始通告104.244.42.0/24,这正是Twitter所使用的前缀。对此,国际IT网络安全培训组织表示,劫持边界网关协议(BGP)前缀是阻止访问的一种方式,但它也可以用来拦截发送到相应IP地址的流量。
流量被加持,根源在不安全协议
事件发生后,美国联邦通信委员会(FCC)在调查公告特别指出,俄罗斯网络之前的行为很可疑。FCC写道:“俄罗斯网络运营商之前被怀疑过利用BGP的漏洞来劫持流量,包括在未给出解释的情况下通过俄罗斯重定向流量。”
该事件再度暴露了BGP的固有缺陷。作为一种历史悠久的协议,BGP(边界网关协议)于1990年首次发布并应用于互联网世界,与许多互联网的基础协议一样,BGP设计当初并未考虑到更多的安全性,因而通过BGP劫持可用于破坏网络或拦截流量。
BGP劫持是指攻击者恶意改变互联网流量的路由。攻击者通过错误地宣布他们实际上并不拥有的IP地址组(称为IP前缀)的所有权来实现这一点。通俗来讲,BGP劫持就像是有人在高速公路上改变所有的标志,将汽车指向错误的出口。
由于BGP劫持,互联网流量可能被监控或拦截。通常来看,流量只会占用不必要的长路径,从而增加延迟;但在糟糕的情况下,BGP劫持会作为中间人攻击的一部分将用户重定向到虚假网站以窃取数据。
部署SSL证书,实现HTTPS传输加密
BGP协议是用来控制信息流量在互联网流动的,是全球服务器提供商(SP)和本地服务器提供商给用户们提供的。BGP协议虽然解决了人与服务器的交流问题,但同时也面临着信息泄露、流量被劫持等隐患。
随着互联网的高速发展和全民网络安全意识的逐步增强,越来越多的网站开始采用HTTPS这一更为安全的网络传输协议。HTTPS通过为服务器部署SSL证书而得来,相比于其他网络传输协议,HTTPS不仅可以提供更加优质的信息保密,还可以防止流量被劫持。
当网站部署SSL证书,升级为HTTPS协议后,假设网络黑客劫持了网站域名解析,浏览器由于证书校验不通过,假站点返回的内容也不能正常展示,所以黑客的劫持就没有意义。
值得注意的是,只安装了DV类型证书的网站会被通过BGP劫持导致SSL功能失效,攻击者甚至可以通过BGP劫持来申请DV类型证书。因此,一些重要领域如政府、金融类网站应当使用EV/OV型等更高级的SSL证书,以提升网站安全防护等级。这样一来,即使遇到SSL证书被劫持的情况,用户只要不随意信任来源不明的证书,就能牢牢掌握网站大门的钥匙,从而保证网站数据和流量的安全和完整。
此外,每个SSL证书都包含有关证书所有者唯一的身份验证信息,可以帮助访问者快速识别服务器的真实身份,避免被钓鱼网站欺诈。同时,SSL证书还可帮助网站更好地保护网站数据独享,以及给予网站更高的搜索引擎权重。
需要说明的是,要为网站部署SSL证书,必须要向权威机构申请。即那些已经通过WebTrust国际安全审计认证,受各类操作系统、主流移动设备和浏览器信任的第三方电子认证服务机构。
此外,在中国还需要有两个附加项,那就是要拿到工信部许可的《电子认证服务许可证》和国家密码管理局颁发的《电子认证服务使用密码许可证》,因为只有这样的权威电子认证机构,才有权利签发各类数字证书。
当前,HTTPS依然是非常有效的流量劫持防范措施之一,无论是网络服务提供商还是广大网民,为保障自己的帐户安全和个人权益,都要形成使用HTTPS访问网站的习惯和意识,重要的网站更要及时部署权威机构颁发的SSL证书,才能确保网站关键数据的安全和完整。
