http://www.zdnet.com.tw/news/comm/0,2000085675,20127779,00.htmYouTube 全球斷線2小時 巴基斯坦搞出來的
(附:有辦法防止惡搞嗎?) ZDNET 新聞專區:Declan McCullagh
2008/02/26 11:12
由 網路監測公司Keynote Systems 提供的圖表顯示
,YouTube.com的全球連線大約有1小時時間從100%掉到 0%,整個情況直到兩小時候才完全復原。(Credit: Keynote Systems)
從本週巴基斯坦國營電信公司搞斷YouTube的全球連線可看出網際網路在管理上所遭遇的一個安全老問題。
在接獲巴基斯坦電信部指示要進行
言論管制封殺 YouTube網站後,巴基斯坦電信局(Pakistan Telecom)採取更進一步的作法。不管是出於刻意或意外,
該公司向全球送出廣播(broadcast),宣稱自己才全球YouTube網際網路位址的合法目的地。 這個作法足足讓 YouTube 在週日斷線長達兩個小時,此一安全弱點的問題暴露出:
為何全球的路由器都會誤信這樣的錯誤廣播?原因是香港的PCCW(電訊盈科;提供網際網路連線給 Pakistan Telecom 公司)並沒有擋下這些誤導的傳播訊息,而現行歐美多數電信大廠則都會加以擋下。 這已經不是新問題了。先前就曾發生過一家土耳其網路供應商自己宣稱是整個網際網路,導致網路流量整個變慢,許多網站無法連結。Con Edison 意外盜取了Panix客戶的網際網路位址,Panix客戶包括 名人瑪莎的 Martha Stuart Living Omnimedia網站以及New York Daily News。而這類錯誤傳播從1997年就發生過了。
既然是老問題,為何遲遲都沒解決呢?
錯誤廣播(False broadcasts)的威力可相當於阻斷服務攻擊(denial-of-service),若是出於有心人惡意利用,則一般網友就會被引導至假的銀行、商店或信用卡網站。 要瞭解為何這個弱點很難修正,我們得先談點技術面的東西。
如何偽裝成 YouTube.com 比如說你在瀏覽器中輸入「news.com」位址好了,它是藉由網域名稱系統(Domain Name System)來轉化成一組數字形式的網際網路位址,也就是216.239.113.101。這組 IP 位址會傳給你的路由器,它會藉由一個 IP表來瞭解下一站要怎麼走最後才能抵達 news.com 伺服器。
網路供應商(即自治系統,簡稱AS)會廣播他們自己所提供的IP位址範圍。總理全球網際網路IP位址空間分配的ICANN組織則負責管理自治系統號碼的總清單,這些號碼原則上是以一次1000個以上的量,發放給各區的位址註冊組織。
ICANN的路由域服務經理Kim Davies表示,ICANN 並無法取消網路供應商的自治系統號碼。「你可以把它想成是郵遞區號一般,我們只是維護這整個編號系統,確保彼此之間沒有任何衝突。」
若自治系統提供的網址資訊是正確的,一切運作就會相安無事。但若有自治系統廣播錯誤資訊(不管是因為設定失誤還是出於人為刻意),那「歹誌就大條」了。
YouTube 就是發生這種情況,巴基斯坦認定 YouTube 有侮辱性影片而下令加以封殺,該站有影片播出先前刊登在丹麥報紙中的先知默罕默德漫畫。部分報導也指出該影片含有好幾分鐘由知名伊斯蘭教批評者 Geert Wilders 所製播的電影。
巴基斯坦大使館發言人週一表示,封殺YouTube的命令是由政府最高當局所下,之後便由巴基斯坦的電子媒體管制局主導,下令巴基斯坦電信單位遵循。
Pakistan Telecom 電信公司接獲命令後,就開始廣播自己是 YouTube 所屬208.65.15.30網路空間256個位址的正確路徑。由於這樣的路徑指示遠比正牌YouTube自己廣播的還要詳細(正牌 YouTube是廣播自己為1024台電腦的終站),也因此幾分鐘後,所有流量都開始流向這個錯誤的地方。
根據即時網路流量監控公司 Renesys,的時間表,亞太地區供應商在15秒內就開始將YouTube.com的流量導向這家巴基斯坦的 ISP(網際網路服務供應商);而其他地區的路由器也在45秒後就開始跟進了。 YouTube 也緊跟在數分鐘後開始進行反制,首先就是把自己原先廣播的1024個位址降至256個;11分鐘後,YouTube 又加入更精確的廣播,限縮至64個位址,由於依據邊界網關協議(Border Gateway Protocol),後者更為精確,因此會推翻原來巴基斯坦的版本。因此歷經兩小時的誤報後,Pakistan Telecom才終於終止該行為。此事有辦法避免嗎?
首先,Pakistan Telecom 不應該向全世界廣播它自己代管了 YouTube 的IP位址。
第二,香港的 PCCW 應該有能力辨識這樣的錯誤廣播,並加以剔除。
一位不願公開的PCCW 員工指出,誤報發生後,PCCW 就開始接到許多來自全全球ISP的電話,想瞭解到底發生什麼事情。YouTube 方面也有人打來詢問。
甚至連 Pakistan Telecom 也致電 PCCW。「我想他們大概不知道發生什麼事情。」這位員工表示。但PCCW 發言人不願針對此事發言。
目前,大型網路供應商多半會信任其他網路供應商不會惡搞,不會刻意去攔截他人的網際網路位址。若有問題發生,多半可趕快採人工介入加以修正。
但由於這類可疑廣播越來越多,業界也出現要求更積極的反制作法。
其中一項作法是,若網路位址的虛擬位址變更時,網路供應商應自動獲得通知,這是研究人員所建議的「攔截警示系統」。另外一項作法是,任何網址的變更都會在24小時內被視為嫌疑,之後才會被視為正常。 但最嚴格的反制措施大概是諸如Secure BGP這類技術,它採加密方式來確認哪些網路供應商擁有網路位址,得以合法廣播變更。只是Secure BGP從1998年就存在,至今還不算是廣為採用的標準,因為它的複雜度太高,且要讓路由器理解也需額外增加成本。
這是先前市場的看法。但歷經YouTube 這次高知名網站斷線事件後,未來業界應會加速此一流程的改善。(完/ 陳奭璁譯)