中美之间的直连网络还能撑多久？

coupfree

原创 雷尼尔  雷尼尔雪山2020  今天

中国电信面对的挑战


按照现在剧本的发展，下面一步就是中美之间直连的网络要断了。比如中国电信的CN2-GIA线路。如果中国电信的214牌照被吊销了，那么不仅仅CN2-GIA线路，中国电信在北美的大量接入点都要废了。按照7月15号最新的FCC给中国电信的邮件，估计中国电信的214牌照可能保不住了。其实这个事情FCC和中国电信美国之间来来回回大半年了。而一切都要从BGP劫持说起。

什么是BGP劫持
这个涉及非常多的技术细节，我只讲简单的概念。另外事情也非常敏感，我只说大家已经公认的事情，有些指控直接找原始论文去看。大家概念中的互联网是理想中的网络，平的 。但是实际上互联网是一个一个寨子组成的分布式网络，整个互联网并没有网络中心。这一个个寨子就是小小不同的ISP。这些些寨子都是有头有脸的企业，都是独立管辖自己寨子里面的事情，又叫Autonomous system 简称AS。

这些寨子互相连接，通过BGP协议告诉对方自己寨子里都包括哪些IP地址段，自己的AS编号（AS Number）以及一些其他的信息。而互联网的IP地址分配是中心化的，ICANN这个机构把IP地址大段分给Regional Internet Registries（RIR），区域互联网注册管理机构。RIR再把IP地址段细分后分给ISP们。 大部分情况下，AS Number和分给该AS什么IP段是没有任何关系的。但是路由的时候，这两者就建立的关系。

在默认情况下，到达同一目的地，BGP只走单条路径，并不希翼在多 条路径之间实行负载均衡。BGP 的每条路由都带有路径属性，对于通过比较路径属性来选择最 优路径，BGP 需要在多条路径之间按照一定的顺序比较属性，当多条 路由的同一属性完全相同时，需要继续比较顺序中的下一条属性。直 至选出最佳路由为止。

理论上来讲，我在西雅图，要给纽约的朋友发条消息，最佳的路由，就是美国本土内的一条路径，如果我的消息经过了俄罗斯再绕道去了纽约。这条路径就会有问题，然而路径怎么规划，都是仰仗与bgp的路由表来确定的，按理说，这写东西应该非常安
全对不对？然而实际上，BGP协议里虽然有一些简单的安全认证的部分，但是对于两个已经成功建立BGP连接的AS来说，基本会无条件的相信对方AS所传来的信息，包括对方声称所拥有的IP地址范围。

结果这里埋下了大坑。举个例子，当初小巴是如何一举黑掉油管的。2008年，有人在油管上放了一段不太健康的视频，小巴很生气，决定把油管给ban掉。他们采用的办法呢，就是黑洞路的办法：在路由器里加上static route 把youtube的一个网段，弄到了null0接口。

结果小巴的工程师水平不行，居然把该路由器上的静态路由表添加到BGP的路由表了。而BGP把这条路由向其他AS的路由器同步了，因为不同AS之间是相互信任的，结果就坏事了。最先中枪的是HK的电讯盈科，然后接着被逐渐同步到了全世界。

这时互联网的大部分用户想上Youtube的时候数据包都跑到巴基斯坦了，结果当然是打不开了（因为进来就被弄到null0了）。

Youtube发现后，重新用BGP声明了对该IP段和其他IP段的所有权，成功刷新了部分ISP路由器的路由表。然后youtube的访问被恢复了。https://www.cnet.com/news/how-pakistan-knocked-youtube-offline-and-how-to-make-sure-it-never-happens-again/

但是，这就暴露了一个严重问题，如果不是小巴的工程师把流量带到黑洞去了，如果他们把流量再带回到正常的IP。那意味着什么，用户访问youtube的数据，在小巴转了一圈，又回到了youtube，可能就是加了几个ms的延时，很少有人会察觉。

如果攻击者的路由器具备篡改TTL的功能，那么即使通过traceroute也很难发现数据包被劫持。一般技术人员根本无法察觉，唯一的方法就是像BGPmon那样检测全世界范围内的AS路由表和BGP信息。

而2018年的时候中国电信美国被指控用上面那种高级手段，劫持流量。中国电信断然否认。而同年以色列的一名研究人员Yuval Shavitt发了一篇文章，https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca这个事情引起了美国的高度重视，从而拉开了长达一年多的调查。

214牌照
很多人可能不知道，中国有四家电信企业在美国运营：中国电信美洲企业、中国联通美洲企业、以及中信集团全资控股的“太平洋网络”（Pacific Networks）及其全资子公司ComNet USA。在美国运营那就要接受FCC监管。

根据美国通信法第214条规定，外国电信企业在美国开展国际电信业务需取得FCC颁发的业务授权。由司法部、国土安全部和国防部成员组成的一个名为“Team Telecom”（电信安全审查小组）的非正式机制负责在“214牌照”审核决定中向FCC提供有关国家安全和执法风险方面的分析评估。


司法部2020年4月9日发布正式公告，指出电信安全审查小组认定中国电信的运营涉及了“重大且不可接受的国家安全和执法风险”，建议FCC撤销和终止中国电信美洲企业的214业务牌照。”

2020年6月9日，元老院常设调查小组委员会发布了一份有关美国政府对中资电信企业监管的一百多页的调查报告。元老院把FCC骂的狗血淋头，你们干啥吃的！《Majority and Minority Staff Report - Threats to U.S. Networks: Oversight
of Chinese Government-Owned Carriers》

然后要求FCC按照审查小组的建议，撤销中国电信的214牌照，FCC就应尽快完成对中国电信和其他中资企业在美业务授权问题的审查。FCC被骂了之后，那就开始来收拾中国电信：FCC 6月份给中国电信美国发了邮件：说明一下，给我一个理由，不取消你的执照。中国电信的律师回复了：大家冤枉，大家无辜。
FCC 7月15号又发了一封邮件，不够，我还要。10天内给我答复。
前两天，某人的讲话，基本上确定了中国电信美国部分的未来。

现在其实不管原因，到底中国电信是不是被冤枉的，可能对结果于事无补了。

很现实的问题，就是很可能在后面几个月内， CN2-GIA会被拔插头。中国电信的几个PoP估计也会被掐掉。



https://www.zdnet.com/article/china-has-been-hijacking-the-vital-internet-backbone-of-western-countries/