全球互联网路由前缀疑似劫持事件分析

BGP路由地址前缀劫持的典型特征是两个AS同时宣告了某个IP地址前缀。但是，这一现象并不是判断BGP路由前缀劫持的充分条件。由于互联网中存在多宿主路由、分布式拒绝服务（distributed denial of service，DDoS）劫持清洗等各种情况，一个IP地址前缀由多个AS宣告也可能是一种正常行为，因此检测系统需要利用丰富的领域知识和规则过滤合法多来源自治系统（multiple origin AS ，MOAS）事件。但是，由于互联网分布式自治的特点，要准确过滤所有合法MOAS事件是不可能的，而检测系统的目的是发现可疑现象并向运行人员预警，因此这些检测到的事件称为疑似劫持事件。

本报告分析了2023年1月~2023年12月的疑似BGP路由前缀劫持事件，揭露了这一年疑似BGP劫持事件的总体特点，并对典型的劫持事件进行深入分析。

分析事件的来源为路由劫持监测平台BGPWatch。BGPWatch是清华大学网络研究院Dragonlab实验室自主开发的一套基于MOAS事件的前缀劫持事件检测系统，于2021年10月上线。该系统利用丰富的领域知识和规则过滤合法MOAS事件，从而筛选疑似前缀劫持事件，同时根据被劫持前缀和受害者AS的重要性对事件进行评级。此外，系统还提供事件分析和回放功能。

BGPWatch通报的劫持事件由劫持者AS信息、受害者AS信息、被劫持前缀信息、劫持时间、劫持等级和劫持回放等字段构成。图1所示为一个路由劫持事件示例。事件的等级规则如下：当被劫持前缀包含的TOP1M域名数量大于5时，该事件等级为high level（高级）；当劫持前缀包含的TOP1M域名数量大于1小于5，或者受害者AS是IDC/CDN（internet data center/ content delivery network，互联网数据中心/内容分发网络），或者顶级ICP（internet content provider，网络内容服务商）时,该事件等级为middle level（中级），否则该事件等级为low level（低级）。

图1 一个路由劫持事件示例

2023年01月01日~2023年12月31日，BGPWatch系统报告的劫持事件历史曲线如图2所示。蓝色线为每日劫持事件的数量折线图，橙色线为过滤了持续时间小于3分钟的劫持事件图（考虑BGP收敛时间在3分钟左右）。

如蓝色曲线所示，系统报告了8840个劫持事件，其中有24天没有产生劫持事件。平均每天有24条报告，中位数为6.0，最大值为4981,方差为72430.33。

如橙色曲线所示，对于大于等于3分钟的疑似劫持事件，系统报告了4026个劫持事件。平均每天有12.43条报告，中位数为4.0，最大值为1670,方差为8607.45。

图2 BGPWatch系统报告的劫持事件历史曲线

可以看出，超过99%的日期通报的劫持事件数量都低于100，过滤掉3分钟以下的事件之后，整体分布情况基本没有变化，只是在数量上有所下降。

考虑BGP收敛时间在3分钟左右，报告后续的统计数据只针对大于等于3分钟的疑似劫持事件。

每日攻击事件数量TOP10如图3所示。

图3 每日攻击事件数量TOP10

表1 每日攻击事件数量TOP10

每日攻击事件数量的CDF分布如图4所示。每日劫持事件报告的数量分布基本满足幂律分布。

图4 每日攻击事件数量的CDF分布

3.2 持续时间分布

持续时间的平均值为0天4小时9分钟，中位数为14.0分钟，方差为297214.62，最小值为3分钟，最大值为2873分钟。注意，本系统将时长超过48小时的MOAS事件当作是正常事件，因为劫持事件发生后，管理员会迅速反应，所以劫持的时间一般不会超过48小时。如图5所示, 可以看出80%的劫持事件持续时间小于500分钟(8.33小时)。

图5 持续时间的CDF分布

图6 IPv4被劫持前缀的长度分布

IPv6被劫持前缀的长度分布如图7所示。长度为32的前缀占比接近50%。

图7 IPv6被劫持前缀的长度分布

系统根据劫持事件造成的危害将劫持事件分为高危、中危、低危3档。在全部1348次事件中，共有高危害事件37次，中危害事件775次。

图8 劫持事件级别统计

每天平均发生高危害事件0.18次，中位数为0次，方差为0.71。去掉所有报告为0的日期后，每天平均发生高危害事件1.64次，中位数为1.0次，方差为4.01。所有高危害事件的受害者前缀拥有的TOP1M域名数量的平均值为57.58个，中位数为27.0个。高危、中危、全部事件历史曲线图如图9所示。

图9 高危、中危、全部事件历史曲线图

365天中，有36天产生了高危事件，占到了总数的10.14%。且高危事件数量与当天的事件总数呈正相关。

每日高危、中危、全部事件的CDF分布如图10所示。

图10 每日高、中、全部事件的CDF分布图

每日高危害事件数量TOP10数据如图11所示。按照受害者前缀所包含TOP1M域名数量排序，危害程度TOP10事件的数据如表4所示。

图11 危害程度TOP10事件

表3 危害程度TOP10事件

每日攻击者和受害者AS数量历史曲线如图12所示。

经去重，攻击者和受害者AS在CAIDA上的AS排名分布如图13所示。可以看出，受害者AS排名明显比攻击者AS排名靠前。

图13 攻击者和受害者AS在CAIDA上的AS排名分布

3.5 劫持事件的国家/地区分布

在所有劫持事件中，国家/地区作为受害者的事件数量分布如图14所示。

图14 国家/地区作为受害者的事件数量分布

在所有劫持事件中，国家/地区作为攻击者的事件数量分布如图15所示。

按照攻击者AS数量、受害者AS数量统计，巴西拥有数量最多的攻击者AS，和数量第一的受害者AS,此外，美国、土耳其、英国、印度、伊朗在攻击者和受害者国家AS数量中排名前列。

3.6 劫持事件影响范围

系统通过多个观察点采集数据，在攻击者宣告劫持的前缀后，该宣告会在互联网中进行扩散。但是，由于目前RPKI的部署及最短路径选择等因素的影响，劫持宣告并不能扩散到所有的观察点。

大部分劫持事件都被多个观察点捕获到，如图16所示。

图16 劫持事件影响到的观察点比例分布CDF图

将（攻击者AS，日期）作为指纹，合并并统计数据可以得到3239次攻击事件。其中有1198（36.99%）起事件，存在超过一半观察点观察到劫持。有252（7.78%）起事件，所有观测点都观测到了劫持事件。图 17为按照（攻击者AS，日期）统计的劫持事件。图 18为（攻击者AS，日期）作为指纹的劫持事件影响到的观察点比例分布。

图17 将（攻击者AS，日期）作为指纹的劫持事件数量历史曲线

受影响比例的累计分布统计图

图18 将（攻击者AS，日期）作为指纹的劫持事件影响到的观察点比例分布

4.1 UTC 2023年8月29日AS266970劫持AS37963事件

图19 AS37963（ALIBABA-CN-NET）被劫持事件

系统显示2408:4000::/22托管了TOP1M域名，如图19所示。该前缀承载着大量的流量，一旦被成功劫持，影响会十分巨大，不过所幸劫持的影响范围不大，此次事件仅被RIPE RRC00中的4个观测点观测到。

查询BGPWatch系统中该AS的邻居关系信息显示，攻击者AS266970一共有1个上游AS，即AS61678（BR），如图20所示。

图20 攻击者AS266970的邻居关系

BGPwatch的路由回放显示，攻击者宣告的虚假路由被AS61678（BR）接受并向外传播，如图21所示。

图21 AS266970劫持事件的路由路径传播

值得一提的是，在2023年8月29日期间，BGPWatch监测到AS266970发起了1659条劫持事件，受害的国家多达29个，按照劫持数量排序，分别是巴西、美国、墨西哥、印度、南非、加拿大、阿根廷、巴拉圭、荷兰、中国、英国、爱尔兰、西班牙、捷克、伊朗、印尼、以色列、德国、葡萄牙、索马里、科特迪瓦、尼日利亚、意大利、多哥、马里、摩洛哥、哥伦比亚、日本、香港，如图22所示。

图22 被AS266970劫持事件影响的国家

相关新闻:

https://twitter.com/Qrator_Radar/status/1696415719330615410 

图23 2022同2023每日劫持事件数量对比图

可以看出，2023在8月份的时候，每日劫持事件数量明显增多，其他时间点每日劫持数量变化不大。

2023年被劫持的IPv4前缀长度同2022年的数据对比变化不大，最多的依旧是/24，其次/23和/22比去年数量有所增加。如图24所示。

图24 被劫持的IPv4前缀长度分布图

被劫持的IPv6前缀长度分布统计图

图25 被劫持的IPv6前缀长度分布图

2023年被劫持的IPv6前缀长度最多的的是/48，占比45.2%，比去年同比增加了35%左右，其次/29占比31.51%，比去年增长了30%最有，同时/32的数量比去年减少35%左右。如图25所示。

2022年高危事件94个，2023年高危事件59个，与去年相比，高危害事件发生次数与占比更少，中危害事件发生次数和低危害事件发生次数增加较多。如图26所示。

如图27所示，与2022年相比，2023年被劫持最多的国家为巴西，占比47%。其中，美国、土耳其、英国、印度、伊朗、德国的被劫持事件数量比2022有所增加，中国、俄罗斯、荷兰被劫持事件数量与2022相比有减少。

图27 2023和2022年国家/地区作为受害者的事件数量分布

如图28所示，2022年发出劫持事件最多的国家是美国，2023年发出事件最多的国家是巴西。其中，美国、土耳其、英国、印度、伊朗、阿根廷、德国发动的劫持事件数量与2022年相比有所增加，中国、摩尔多瓦、以色列、乌克兰、印尼发动劫持事件数量与2022年相比有所减少。

我们对2023年的BGP路由前缀疑似劫持事件进行了分析，从历史曲线、每日事件数量分布、事件持续时间分布、被劫持前缀长度分布、危害程度分布、危害程度TOP10的事件、事件的国家/地区分布、事件的影响范围等角度进行分析，方便读者对BGP路由劫持的当前状况有整体了解。