TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เมื่อวันจันทร์ที่ผ่านมาได้เกิดเหตุ BGP Leak ทำให้ผู้ใช้งานบางรายไม่สามารถเข้าใช้บริการของ Google ได้ราว 2 ชั่วโมงประกอบด้วย G Suite และบริการคลาวด์อื่นๆ เพราะทราฟฟิคได้วิ่งไปยังรัสเซีย ไนจีเรีย และจีน ซึ่งถูกดร็อปทิ้งไป อย่างไรก็ตามยังไม่มีหลักฐานแน่ชัดพอจะสรุปว่าเป็นการถูกโจมตีหรือแค่การตั้งค่าผิดพลาดที่ไม่ได้ตั้งใจ
BGP hijacking และ BGP Leak (อาจถูกเรียกว่า Prefix Hijacking, Route Hijacking หรือ IP Hijacking) เกิดขึ้นได้โดยมีการประกาศความเป็นเจ้าของกลุ่ม IP Address หรือ IP Prefix อย่างผิดพลาดหรือเกิดการโจมตีซึ่งผลลัพธ์ทำให้ทราฟฟิคเกิดเปลี่ยนทางไปยังเส้นทางอื่นได้ สามารถอ่านรายละเอียดเจาะลึกได้ที่นี่
ThousandEyes บริษัทที่ทำเรื่องของการติดตามข้อมูลเครือข่ายได้เผยว่าเมื่อวันจันทร์ที่ผ่านมาทราฟฟิคบริการของ Google Search, G Suite และคลาวด์อื่นๆ ได้วิ่งออกไปยัง TransTelecom ผู้ให้บริการในรัสเซีย, MainOne ISP ในประเทศไนจีเรีย และ China Telecom ทำให้ทราฟฟิคถูกดร็อปทิ้งไป โดย ThousandEyes กล่าวว่า “จากการวิเคราะห์เราพบว่าต้นกำเนิดของการรั่วไหลคือช่วงระหว่างการทำ BGP Peering ของผู้ให้บริการของไนจีเรียที่ชื่อ MainOne และ China Telecom โดย MainOne มีการทำ Peering กับ Google ผ่านทาง IXPN (internet exchange point of Nigeria) ใน Lagos รวมถึงมีการทำเร้าต์ตรงไปยัง Google ด้วย” ขณะเดียวกันผู้เชี่ยวชาญด้านการติดตามข้อมูลเครือข่ายอีกรายที่ชื่อ BGPmon รายงานเหตุการณ์ครั้งนี้ว่ากระทบทราฟฟิคของ Google กว่า 212 Prefix
โดย Google อ้างว่าสามารถแก้ไขเหตุการณ์ได้เวลาประมาณ 14.35 PST ซึ่งกินเวลาราว 2 ชั่วโมงจากที่พบว่ามีการประกาศไอพีอย่างไม่ปกติ จนถึงขณะนี้ยังไม่มีสามารถหาหลักฐานสรุปได้ว่าเป็นการโจมตีหรือการตั้งค่าพิดพลาด อย่างไรก็ตามก็เป็นการตอกย้ำว่า BGP Leak นั้นเป็นปัญหาที่ป้องกันได้ยากและช่วงหลังก็มีการเกิดขึ้นเป็นข่าวใหญ่ๆ หลายหนในรอบหลายปีมานี้ด้วย
ที่มา : https://www.securityweek.com/google-services-inaccessible-due-bgp-leak และ https://www.darkreading.com/vulnerabilities—threats/google-traffic-temporarily-rerouted-via-russia-china/d/d-id/1333257
