橙色可能是新的黑色,但它不是你想在你的互联网公司的仪表盘上看到的颜色。这是新的坏习惯。
周三,Optus仪表盘上的多个面板发出橙色的光,而这些特定的面板发出橙色的光表明,该公司全国范围内的中断是由臭名昭著的麻烦的“边境网关协议”造成的,世界各地的互联网公司都使用该协议将互联网流量路由到最终目的地。
这需要一些解释,但值得了解,因为BGP是互联网工作的核心。
当你访问网页或发送电子邮件时,你发送和接收的数据被分解成更小的数据块,称为“数据包”。
每个数据包都列出了发送者的网络地址和接收者的网络地址。网络地址是数字,例如“8.8.8.8”(b谷歌的众多地址之一),它在因特网上唯一地标识一个公司的网络。
但是,为了让Optus这样的网络提供商知道发往“8.8.8.8”的数据包需要转发到美国,在那里它们将从一个网络转发到另一个网络,直到几毫秒后,它们最终到达谷歌,世界各地的网络彼此共享属于它们的地址。
这是BGP执行的任务之一。它是网络如何与其他网络共享其网络上的地址。
像Optus这样的网络供应商运行着一个BGP路由器网,跟踪哪些地址需要转发到哪些海外和本地网络(记住,互联网不是一个网络,而是一个网络的网络),并与世界各地的其他BGP路由器共享自己的地址。
BGP是互联网的核心,但要正确使用它是出了名的棘手。
去年3月,Twitter(现在的X)遭遇了45分钟的中断,原因是俄罗斯互联网服务提供商RTComm错误地配置了它的BGP路由器,因此它们向全世界“宣布”它们现在是Twitter的一些欧洲互联网地址的官方目的地。
原本打算去Twitter服务器的流量最终在俄罗斯进入了死胡同,给Twitter用户一个错误,直到RTComm宣布纠正,这个纠正传播到世界各地的BGP路由器。
当时,思科系统的网络情报公司thousand deyes表示,很难知道RTComm是否故意“劫持”了Twitter的流量,或者这只是BGP意外配置错误的又一个案例。
“重要的是要明白BGP的意外错误配置并不罕见,并且考虑到ISP撤回路由,RTComm很可能无意对Twitter的服务造成全球性影响,”千眼在博客中写道。
“也就是说,某些地区的互联网服务提供商已经使用BGP的本地化操作来根据本地访问策略阻止流量,”它写道。
Optus等公司防止其互联网地址被蓄意甚至意外劫持的一种方法是在路由通知上使用加密签名,因此当另一个网络提供商收到带有某个地址的流量将被路由到某个网络的通知时,他们可以检查该通知是否已由该地址的授权所有者正确签名。
周三,每当有人打电话询问Optus的网络状态时,全球各地的仪表盘上就会出现这种被称为资源公钥基础设施(RPKI)的签名系统发出橙色的光。
Optus部分网络的RPKI状态显示了数十条错误配置的路由,如上图所示。
在这个阶段,究竟是Optus不小心配置错了自己的BGP路由器,还是别人不小心做错了,还是别人故意做错了,还有待观察。
目前还不清楚Optus的BGP问题是导致宕机的原因,还是宕机的症状。
请继续关注。