日前，一家俄羅斯電信運(yùn)營(yíng)商在兩個(gè)多小時(shí)內(nèi)短暫地通告自己是Twitter

流量的目的地，這可能是一起意外事件，也可能是一起企圖劫持流量的事件。

據(jù)悉，當(dāng)日早些時(shí)候，俄羅斯運(yùn)營(yíng)商RTComm.ru開(kāi)始通告104.244.42.0/24，這正是Twitter所使用的前綴。對(duì)此，國(guó)際IT網(wǎng)絡(luò)安全培訓(xùn)組織表示，劫持邊界網(wǎng)關(guān)協(xié)議(BGP)前綴是阻止訪問(wèn)的一種方式，但它也可以用來(lái)攔截發(fā)送到相應(yīng)IP地址的流量。

流量被加持，根源在不安全協(xié)議

事件發(fā)生后，美國(guó)聯(lián)邦通信委員會(huì)(FCC)在調(diào)查公告特別指出，俄羅斯網(wǎng)絡(luò)之前的行為很可疑。FCC寫道：“俄羅斯網(wǎng)絡(luò)運(yùn)營(yíng)商之前被懷疑過(guò)利用BGP的漏洞來(lái)劫持流量，包括在未給出解釋的情況下通過(guò)俄羅斯重定向流量。”

該事件再度暴露了BGP的固有缺陷。作為一種歷史悠久的協(xié)議，BGP(邊界網(wǎng)關(guān)協(xié)議)于1990年首次發(fā)布并應(yīng)用于互聯(lián)網(wǎng)世界，與許多互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議一樣，BGP設(shè)計(jì)當(dāng)初并未考慮到更多的安全性，因而通過(guò)BGP劫持可用于破壞網(wǎng)絡(luò)或攔截流量。

BGP劫持是指攻擊者惡意改變互聯(lián)網(wǎng)流量的路由。攻擊者通過(guò)錯(cuò)誤地宣布他們實(shí)際上并不擁有的IP地址組(稱為IP前綴)的所有權(quán)來(lái)實(shí)現(xiàn)這一點(diǎn)。通俗來(lái)講，BGP劫持就像是有人在高速公路上改變所有的標(biāo)志，將汽車指向錯(cuò)誤的出口。

由于BGP劫持，互聯(lián)網(wǎng)流量可能被監(jiān)控或攔截。通常來(lái)看，流量只會(huì)占用不必要的長(zhǎng)路徑，從而增加延遲;但在糟糕的情況下，BGP劫持會(huì)作為中間人攻擊的一部分將用戶重定向到虛假網(wǎng)站以竊取數(shù)據(jù)。

部署SSL證書(shū)，實(shí)現(xiàn)HTTPS傳輸加密

BGP協(xié)議是用來(lái)控制信息流量在互聯(lián)網(wǎng)流動(dòng)的，是全球服務(wù)器提供商(SP)和本地服務(wù)器提供商給用戶們提供的。BGP協(xié)議雖然解決了人與服務(wù)器的交流問(wèn)題，但同時(shí)也面臨著信息泄露、流量被劫持等隱患。

隨著互聯(lián)網(wǎng)的高速發(fā)展和全民網(wǎng)絡(luò)安全意識(shí)的逐步增強(qiáng)，越來(lái)越多的網(wǎng)站開(kāi)始采用HTTPS這一更為安全的網(wǎng)絡(luò)傳輸協(xié)議。HTTPS通過(guò)為服務(wù)器部署SSL證書(shū)而得來(lái)，相比于其他網(wǎng)絡(luò)傳輸協(xié)議，HTTPS不僅可以提供更加優(yōu)質(zhì)的信息保密，還可以防止流量被劫持。

當(dāng)網(wǎng)站部署SSL證書(shū)，升級(jí)為HTTPS協(xié)議后，假設(shè)網(wǎng)絡(luò)黑客劫持了網(wǎng)站域名解析，瀏覽器由于證書(shū)校驗(yàn)不通過(guò)，假站點(diǎn)返回的內(nèi)容也不能正常展示，所以黑客的劫持就沒(méi)有意義。

值得注意的是，只安裝了DV類型證書(shū)的網(wǎng)站會(huì)被通過(guò)BGP劫持導(dǎo)致SSL功能失效，攻擊者甚至可以通過(guò)BGP劫持來(lái)申請(qǐng)DV類型證書(shū)。因此，一些重要領(lǐng)域如政府、金融類網(wǎng)站應(yīng)當(dāng)使用EV/OV型等更高級(jí)的SSL證書(shū)，以提升網(wǎng)站安全防護(hù)等級(jí)。這樣一來(lái)，即使遇到SSL證書(shū)被劫持的情況，用戶只要不隨意信任來(lái)源不明的證書(shū)，就能牢牢掌握網(wǎng)站大門的鑰匙，從而保證網(wǎng)站數(shù)據(jù)和流量的安全和完整。

此外，每個(gè)SSL證書(shū)都包含有關(guān)證書(shū)所有者唯一的身份驗(yàn)證信息，可以幫助訪問(wèn)者快速識(shí)別服務(wù)器的真實(shí)身份，避免被釣魚(yú)網(wǎng)站欺詐。同時(shí)，SSL證書(shū)還可幫助網(wǎng)站更好地保護(hù)網(wǎng)站數(shù)據(jù)獨(dú)享，以及給予網(wǎng)站更高的搜索引擎權(quán)重。

需要說(shuō)明的是，要為網(wǎng)站部署SSL證書(shū)，必須要向權(quán)威機(jī)構(gòu)申請(qǐng)。即那些已經(jīng)通過(guò)WebTrust國(guó)際安全審計(jì)認(rèn)證，受各類操作系統(tǒng)、主流移動(dòng)設(shè)備和瀏覽器信任的第三方電子認(rèn)證服務(wù)機(jī)構(gòu)。

此外，在中國(guó)還需要有兩個(gè)附加項(xiàng)，那就是要拿到工信部許可的《電子認(rèn)證服務(wù)許可證》和國(guó)家密碼管理局頒發(fā)的《電子認(rèn)證服務(wù)使用密碼許可證》，因?yàn)橹挥羞@樣的權(quán)威電子認(rèn)證機(jī)構(gòu)，才有權(quán)利簽發(fā)各類數(shù)字證書(shū)。

當(dāng)前，HTTPS依然是非常有效的流量劫持防范措施之一，無(wú)論是網(wǎng)絡(luò)服務(wù)提供商還是廣大網(wǎng)民，為保障自己的帳戶安全和個(gè)人權(quán)益，都要形成使用HTTPS訪問(wèn)網(wǎng)站的習(xí)慣和意識(shí)，重要的網(wǎng)站更要及時(shí)部署權(quán)威機(jī)構(gòu)頒發(fā)的SSL證書(shū)，才能確保網(wǎng)站關(guān)鍵數(shù)據(jù)的安全和完整。