Re: [新聞] 研究：中國電信長期挾持經過美國與加拿大的流量已回收

看板Gossiping作者hakugetsu (hakugetsu)時間5年前 (2018/11/04 20:53)推噓6(6推 0噓 28→)

留言34則, 5人參與討論串2/2 (看更多)

那個報告非常的好笑。說中國電信挾持網路，但一點證據都沒給出來。中國的ISP的確有挾持過別人的網路的案例，例如幾年前挾持過DNS根伺服器。的確有一些國家會透過挾持網路路由的方式去監控或者阻斷人使用某些服務。來看看那篇研究，貼了中國電信網站上的Map，然後就開始說中國電信利用加拿大等地的網路接入點去挾持韓國政府網站等。到這裡就錯誤百出了，中國電信有兩張不同的網路，一個是普通人用的，另一個是他們所謂的精品網路。眾所皆知中國網路連外非常的爛，所以他們有個精品網路叫做CN2。這個精品網路很貴，也只有CN2才有加拿大的POP。但這張網路的頻寬真的很小，根本不可能拿來挾持網站。因為這張網路都是跟別人購買頻寬(IP transit)的，頻寬也不多，拿來挾持只會讓自己的網路被塞爆然後掛掉而已。更何況那個加拿大點根本沒有任何對外購買的頻寬，應該也沒有客戶。中國電信要挾持別人，絕對是用他們普通的那張網路，頻寬多，Peering(與其他ISP互連)也多。因為你要挾持別人的網路，必然要蓋掉對方的路由，你蓋不掉的話是要怎麼挾持到呢。回來看它裡面的案例，說挾持了韓國政府的網站。稍微查了一下，韓國政府網站的IP，應該都位於 AS17841。有關AS號碼這裡就不多說，可以把他當成一個網路編號。透過HE的網路工具可以看到 https://bgp.he.net/AS17841#_graph4 AS17841的上游ISP有SK和LG這兩家電信。而SK有購買中國電信普通的那張網路的頻寬 (IP transit, AS4134) 那麼，你的上游跟中國電信購買了頻寬，連過去的路由經過中國電信不是很正常嗎？不然是買來浪費的嗎，品質差應該要跟上游ISP溝通才對啊。而且從頭到尾他都沒提出證據，就貼了一張網站上的圖，然後自己畫了幾張圖說某個網站被怎樣挾持被挾持用電腦內的tracert/traceroute 工具測試就能看出來好嗎，專業文章連這點簡單的東西都沒有給？什麼證據都不給，隨便編造一篇文章就能當成真的？ ---------- 其實 BGP 這個協議是有很多不安全的地方，特別是大規模的網路。 BGP你可以寫規則去選擇你要發送給對方的路由，以及要不要接收對方發送過來的。但是上游ISP通常針對大規模的網路，都沒有用規則過濾，或是使用很寬鬆的規則。這樣一個設定出錯就有可能挾持到別人的路由，像Google之前才因為設定錯誤，把日本電信業者的IP路由誤發送到Google的上游。然後導致日本當天大規模斷網，因為很多流量都跑去單一通道，整個塞爆了。而且Google好像還誤把別人的路由也發送給日本電信業者，然後因為每台路由器能接受的路由數量不同，有些比較老舊的設備無法支撐，就整個掛掉了。路由過濾如果都還是這麼不嚴格，其實類似的問題也會一直重演。目前也有一些 ISP開始使用 RPKI 等等機制去驗證路由，但因為很多歷史共業的問題，目前也只有少數幾家上游ISP在推。還是希望網路安全性可以提高啦。 ※ 引述《saiulbb (Becky♪＃是我的拉!)》之銘言： : 1.媒體來源: : ※ 例如蘋果日報、奇摩新聞 : ithome : 2.完整新聞標題: : ※ 標題沒有寫出來 ---> 依照板規刪除文章 : 研究：中國電信長期挾持經過美國與加拿大的流量 : 一篇研究報告指出，中國電信在北美設置10個PoP入網點，將北美地區的流量導到中國伺 : 服器，挾持、轉移、複製流量，以監控當地的流量，再重新導回正常路徑。 : 3.完整新聞內文: : ※ 社論特稿都不能貼! 違者刪除(政治類水桶3個月)，貼廣告也會被刪除喔! : 文/陳曉莉 | 2018-10-29發表 : 軍事網路專家協會（Military Cyber Professionals Association）在最新一期的《軍事 : 網路事務》期刊中發表一研究報告，指出中國國營的中國電信長期利用架設在美國與加拿 : 大的入網點（Point of Presence，PoP）挾持並監控通過當地的流量。 : 全球網路是由數萬個自治系統（Autonomous System，AS）所組成，多半是由網路服務供 : 應商（ISP）或大型組織（如Google）所建立，它們之間是透過邊界閘道協定（Border : Gateway Protocol，BGP）進行交流，BGP的優點之一是富有彈性，若傳輸路徑太過擁擠就 : 可變更流量路徑，但它同時也成為駭客入侵的管道，將流量導至惡意伺服器，要成功挾持 : BGP並不容易，因此現階段大多數的BGP挾持活動都是跨國駭客集團或是政府支持下的成果 : 。 : 至於PoP的任務則在於重新引導AS的流量，根據該報告，中國電信在北美地區設立了10個 : PoP，將通過北美地區的流量導至中國伺服器，此一動作讓中國電信得以挾持、轉移並複 : 製流量內容，再將流量轉回正常路徑，由於延遲時間很短，因而不容易被察覺。 : 研究發現，這幾年以來，中國電信長期轉移與監控特定流量，例如2016年2月開始轉移從 : 加拿大到南韓政府的流量，時間長達半年，同年10月開始監控從美國到英美銀行米蘭總部 : 的流量，去年則曾監控從瑞典及挪威連至美國新聞組織的流量，亦數度挾持從泰國大型金 : 融組織存取郵件伺服器的流量。 : 相較於中國電信的PoP可以進駐北美地區，中國自己的網路卻是封鎖的，在中國境內之有3 : 個大型的網路閘道，它們分別座落於北京、上海及香港，儘管在香港的網路交換中心可進 : 行全球網路的交換，且許多國際企業在香港也設有PoP，但該網路與中國是隔離的，且中 : 國並不允許外商於境內設置PoP，極力避免中國流量遭到外國挾持。 : 研究人員認為，中國國家主席習近平在2015年時與當時的美國總統歐巴馬（Barack Obama : ）簽署一項協議，承諾雙方政府將不會支援竊取彼此智慧財產權的網路間諜行動，但該協 : 議僅限於軍方的支援，中國政府透過中國電信發動攻擊，技術上來說並未觸犯協議，還能 : 達到獲取各種資訊的目的。 : 軍事網路專家協會屬於教育性的非營利組織，並非隸屬於美國軍事單位，因而在報告中強 : 調其觀點並不代表美國國防部或美國海軍的觀點。 : 4.完整新聞連結 (或短網址): : ※ 當新聞連結過長時，需提供短網址方便網友點擊 : https://www.ithome.com.tw/news/126683 : 5.備註: : ※ 一個人一天只能張貼一則新聞，被刪或自刪也算額度內，超貼者水桶，請注意 : 阿都有長牆了還有監控流量的必要嗎？有沒有網路鄉民大大可以解釋一下？ ----- Sent from JPTT on my OnePlus ONEPLUS A5010. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 110.28.143.25 ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1541336014.A.CAD.html

推

fatdoghusky

11/04 20:54, 5年前 , 1^F

11/04 20:54, 1^F

→

patentstm

11/04 21:36, 5年前 , 2^F

11/04 21:36, 2^F

推

atwin0613

11/04 21:37, 5年前 , 3^F

11/04 21:37, 3^F