日前，一家俄羅斯電信運營商在兩個多小時內(nèi)短暫地通告自己是Twitter

流量的目的地，這可能是一起意外事件，也可能是一起企圖劫持流量的事件。

據(jù)悉，當(dāng)日早些時候，俄羅斯運營商RTComm.ru開始通告104.244.42.0/24，這正是Twitter所使用的前綴。對此，國際IT網(wǎng)絡(luò)安全培訓(xùn)組織表示，劫持邊界網(wǎng)關(guān)協(xié)議(BGP)前綴是阻止訪問的一種方式，但它也可以用來攔截發(fā)送到相應(yīng)IP地址的流量。

流量被加持，根源在不安全協(xié)議

事件發(fā)生后，美國聯(lián)邦通信委員會(FCC)在調(diào)查公告特別指出，俄羅斯網(wǎng)絡(luò)之前的行為很可疑。FCC寫道：“俄羅斯網(wǎng)絡(luò)運營商之前被懷疑過利用BGP的漏洞來劫持流量，包括在未給出解釋的情況下通過俄羅斯重定向流量?！?/p>

該事件再度暴露了BGP的固有缺陷。作為一種歷史悠久的協(xié)議，BGP(邊界網(wǎng)關(guān)協(xié)議)于1990年首次發(fā)布并應(yīng)用于互聯(lián)網(wǎng)世界，與許多互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議一樣，BGP設(shè)計當(dāng)初并未考慮到更多的安全性，因而通過BGP劫持可用于破壞網(wǎng)絡(luò)或攔截流量。

BGP劫持是指攻擊者惡意改變互聯(lián)網(wǎng)流量的路由。攻擊者通過錯誤地宣布他們實際上并不擁有的IP地址組(稱為IP前綴)的所有權(quán)來實現(xiàn)這一點。通俗來講，BGP劫持就像是有人在高速公路上改變所有的標(biāo)志，將汽車指向錯誤的出口。

由于BGP劫持，互聯(lián)網(wǎng)流量可能被監(jiān)控或攔截。通常來看，流量只會占用不必要的長路徑，從而增加延遲;但在糟糕的情況下，BGP劫持會作為中間人攻擊的一部分將用戶重定向到虛假網(wǎng)站以竊取數(shù)據(jù)。

部署SSL證書，實現(xiàn)HTTPS傳輸加密

BGP協(xié)議是用來控制信息流量在互聯(lián)網(wǎng)流動的，是全球服務(wù)器提供商(SP)和本地服務(wù)器提供商給用戶們提供的。BGP協(xié)議雖然解決了人與服務(wù)器的交流問題，但同時也面臨著信息泄露、流量被劫持等隱患。

隨著互聯(lián)網(wǎng)的高速發(fā)展和全民網(wǎng)絡(luò)安全意識的逐步增強，越來越多的網(wǎng)站開始采用HTTPS這一更為安全的網(wǎng)絡(luò)傳輸協(xié)議。HTTPS通過為服務(wù)器部署SSL證書而得來，相比于其他網(wǎng)絡(luò)傳輸協(xié)議，HTTPS不僅可以提供更加優(yōu)質(zhì)的信息保密，還可以防止流量被劫持。

當(dāng)網(wǎng)站部署SSL證書，升級為HTTPS協(xié)議后，假設(shè)網(wǎng)絡(luò)黑客劫持了網(wǎng)站域名解析，瀏覽器由于證書校驗不通過，假站點返回的內(nèi)容也不能正常展示，所以黑客的劫持就沒有意義。

值得注意的是，只安裝了DV類型證書的網(wǎng)站會被通過BGP劫持導(dǎo)致SSL功能失效，攻擊者甚至可以通過BGP劫持來申請DV類型證書。因此，一些重要領(lǐng)域如政府、金融類網(wǎng)站應(yīng)當(dāng)使用EV/OV型等更高級的SSL證書，以提升網(wǎng)站安全防護等級。這樣一來，即使遇到SSL證書被劫持的情況，用戶只要不隨意信任來源不明的證書，就能牢牢掌握網(wǎng)站大門的鑰匙，從而保證網(wǎng)站數(shù)據(jù)和流量的安全和完整。

此外，每個SSL證書都包含有關(guān)證書所有者唯一的身份驗證信息，可以幫助訪問者快速識別服務(wù)器的真實身份，避免被釣魚網(wǎng)站欺詐。同時，SSL證書還可幫助網(wǎng)站更好地保護網(wǎng)站數(shù)據(jù)獨享，以及給予網(wǎng)站更高的搜索引擎權(quán)重。

需要說明的是，要為網(wǎng)站部署SSL證書，必須要向權(quán)威機構(gòu)申請。即那些已經(jīng)通過WebTrust國際安全審計認(rèn)證，受各類操作系統(tǒng)、主流移動設(shè)備和瀏覽器信任的第三方電子認(rèn)證服務(wù)機構(gòu)。

此外，在中國還需要有兩個附加項，那就是要拿到工信部許可的《電子認(rèn)證服務(wù)許可證》和國家密碼管理局頒發(fā)的《電子認(rèn)證服務(wù)使用密碼許可證》，因為只有這樣的權(quán)威電子認(rèn)證機構(gòu)，才有權(quán)利簽發(fā)各類數(shù)字證書。

當(dāng)前，HTTPS依然是非常有效的流量劫持防范措施之一，無論是網(wǎng)絡(luò)服務(wù)提供商還是廣大網(wǎng)民，為保障自己的帳戶安全和個人權(quán)益，都要形成使用HTTPS訪問網(wǎng)站的習(xí)慣和意識，重要的網(wǎng)站更要及時部署權(quán)威機構(gòu)頒發(fā)的SSL證書，才能確保網(wǎng)站關(guān)鍵數(shù)據(jù)的安全和完整。