中国ISPがインターネットの約10%をハイジャックか?

2010/4/10-1

追記:2010年11月に「中国がインターネットトラフィックの15%をハイジャックした」というニュースが世界中で流れていますが、この「15%のトラフィック」という表現には大きな誤解があります。BGPハイジャックが発生したのは事実ですが、ソースとなっている報告書とニュース報道の違いや、実測データとニュースで登場する「15%のトラフィック」の違いが指摘されています。それらに関しては、「中国がインターネットの15%をハイジャック」の嘘 をご覧下さい。

BGPmon.net Blog: Chinese ISP hijacked 10% of the Internet」という記事で、中国のISPが世界の10%分近い経路を吸いこんでしまったと解説されています。 恐らく単なるオペミスによる経路リークなのでしょうが、約3万7千経路がハイジャックされたようです。 (ハイジャックされた経路は「こちら」をご覧下さい)

今回、ハイジャックされた経路の多くは中国国内のネットワークのものだったようですが、 dell.com, cnn.com, www.amazon.de, www.rapidshare.com, www.geocities.jpなどが含まれるそうです。

BGPmon.net Blogによると、以下の地域が影響を受けたとされています。


BGPmon.netより

BGPmon.netによると、間違ったBGP広告は以下の時間帯に送信されていたようです。

The first announcement was detected at 2010-04-08 17:54:31 (UTC), the last ‘hijack’ announcement was at 2010-04-08 18:10:14.

この問題が発生していたのは、日本時間では4月9日の午前1時頃だと思われるのですが、丁度そのころTwitter上では「Googleにつながらない!」と言っている人々が居ました。 私もリアルタイムに、これは見ていたのですが、私の環境からはGoogleに繋がってました。


http://twitpic.com/1e2t99 より

今回の事件の原因を考えると、逆に「繋がらない!」と叫んでいた方々のISPの経路が中国に吸い込まれていたのかもしれません。 繋がらなかったのはGoogleじゃなくて、繋がらないと発言していた方々だったりするのでしょうか? ただし、Twitterには繋がっていたようなので、Googleに届く筈の「ISPへの経路」が「中国へ」となっていたのでしょうか? Twitter上での「Google繋がらない」の件は、ちょっと良くわかりませんが、時間があまりにピッタリなんですよね。。。

時間を見ると、どうも中国によるBGPハイジャック時間と合っている気がします。

Googleにつながらなくなった 12:59 AM Apr 9th
http://twitter.com/Sn0wNight/status/11830330116

こ....これは誰のサイバー攻撃だっ!あ、もしやのメンテなう的な? http://twitpic.com/1e2t99 1:02 AM Apr 9th
http://twitter.com/Sn0wNight/status/11830483880

さっきのGoogleに接続できない障害はなんだったんだろうか。 1:18 AM Apr 9th
http://twitter.com/Sn0wNight/status/11831211806

NANOGメーリングリストでの議論

NANOGのメーリングリストで「中国からのBGP経路ハイジャックだぁ!」という話題でメールが色々と飛び交っています。 中国のISPが、アメリカのISPの経路を流してしまったようです。

NANOGメーリングリストのスレッドとしては「China prefix hijack」と「BGP hijack from 23724 -> 4134 China?」というタイトルで流れています(NANOG ML Archive 2010 Apr)。

China prefix hijackのスレッドは、次のような内容で開始されています。


Just half an hour ago China Telecom hijacked one of our prefixes:

Your prefix:          X.Y.Z.0/19:
Prefix Description:   NETNAME
Update time:          2010-04-08 15:58 (UTC)
Detected by #peers:   1
Detected prefix:      X.Y.Z.0/19
Announced by:         AS23724 (CHINANET-IDC-BJ-AP IDC, China 
Telecommunications Corporation)
Upstream AS:          AS4134 (CHINANET-BACKBONE No.31,Jin-rong Street)
ASpath:               39792 4134 23724 23724

Luckily it had to be limited as only one BGPmon peer saw it. Anyone else 
noticed it?

もう一つのスレッドの「BGP hijack from 23724 -> 4134 China?」は、次のような内容で開始されています。


We just got Cyclops alerts showing several of our prefixes sourced from
AS23474 propagating through AS4134.  Anyone else?

aut-num:      AS23724
as-name:      CHINANET-IDC-BJ-AP
descr:        IDC, China Telecommunications Corporation
country:      CN

aut-num:      AS4134
as-name:      CHINANET-BACKBONE
descr:        No.31,Jin-rong Street
descr:        Beijing
descr:        100032
country:      CN

今のところ、NANOGメーリングリストでは実害は報告されていないように見えます。 18分ほどで変な経路は消えたという報告もありました(参考)。

実際のところはわかりませんが、恐らくは単なるオペレーションミスなのだろうと私は思いました。 今回の事例はあまりに大量ですし、EGP → IGP → EGPという感じで、AS内部の経路だと勘違いして、間違って外部から得た経路をredstributeしてしまうという形なのかも知れません。

陰謀論登場

NANOGのメーリングリストでは「これって中国が色々試してるんじゃない?」というのや、以下のように「単なる間違いか意図的かな?」というメールもありました。

Just wondering if this was a "Fat fingered" mistake or intentional...

陰謀論に対してPaul Vixie氏が「こういう間違いは過去に誰でもやったでしょ?Googleと中国の問題があるからって、みんなビビってるの?」という感じに茶化すと、それに対して以下のように「個々の事例ではなく全体像を見て行くと中国のネット検閲に関連していると推測できる」というような返答が来たりしてました。

On Apr 10, 2010, at 12:17 AM, Paul Vixie wrote:
> are we all freaking out especially much because this is coming from china today, and we suppose there must be some kind of geopolitical intent because china-vs-google's been in the news a lot today?

There's been a fair amount of speculation that at least some of these incidents may be related to censorship mechanisms, and a further tendency to conflate them, rather than looking more closely at the dynamics of each occurrence.

「中国なんてフィルタしちゃえよ!」

今回の件に関連して、NANOGのメーリングリスト中で「中国への経路なんてルータで全部フィルタしてるよ」という意見が出てました。

さらにその中で、「あれだけ通信に対しての制限があるのに、SSHサーバへの攻撃やSPAMなどは、中国のネット検閲を超えてくるのは何でだろうか?」という疑いの表現も述べられていました。

I'm starting to wonder if someone is 'testing the waters' in China to see what they can get away with. I hate to be like this, but there's a reason why I have all of China filtered on my routers.

Amazing how much SSH hammering, spam, and other nastiness went away within minutes of the filtering going in place.

There comes a point where 'accidental' and 'isolated incident' become "we no care" and "spam not illegal". And no, i'm not quoting that to mock, but rather repeat exactly what admins in China send to me in response to abuse reports and blocking in the AHBL.

それに対して「Google社員も同じような事を考えたと思うよ」という意見も出てました。

I think the folks at Google have been down the same path.

次の発言のように「フィルタリストを共有してくれ!」というような流れになり、「オレもくれ!」という賛同者が数人でてました。

Is it possible for you to share that filter list you have for china? im getting bogged down by those ssh-bruts as well coming in from china.

さっきFCCとComcastの件で盛り上がってなかったっけ?」というような流れを揶揄する意見も出てはいました。 全体的に、中国インターネットに対して不信感が溜まって来てるんだなぁと感じたスレッドでした。

So basically, the idea is to disconnect China's Internet even more than what it inflicts to itself? How fun. What was the FCC/Comcast case about again?

I'm totally against this practice, but if you (stupidly) want to apply it, do it for good.

一連のメールを読んでいると、中国とインターネットというコンテキストは、今後さらに険悪なムードになっていくような気がしてきました。

今後、こういうのが増えるのでしょうか。。。

今回のNANOGメーリングリストでの議論は、単にBGP監視システムのアラートを拾って「何だろう?」と思った程度のものであり、今のところ深刻な実害はメーリングリスト内で報告されていません。

昨晩Twitter上で見た「Googleの障害」も、もしかしたら関連するのかも知れませんが、「あれ?何か繋がらないぞ」と言っているうちに「何か治ったぞ」という雰囲気だった気がします。 まあ、インターネットの障害なんてそんなものだと思います。 だって攻撃が来ても生き延びるシステムを意図して設計されたわけですから(笑)。

NANOGのメーリングリストを見ていると、なだめる人が登場してはいますが、今回の18分程度のBGPハイジャックに関して陰謀論っぽいのが出たり、過激な発言が出たりしています。

NANOGメーリングリストに対して、間違った経路を流した中国のISPが一言「てへ。やっちゃった。ごめんね(はーと)」というのをフォーマルに謝罪文として書けば印象が変わって来る話だろうと思うのですが、「顔が見えない」ので結局は変な方向へと議論が進んでしまったのかも知れません。

Google撤退に端を発している中国関連インターネットニュースですが、どうも不穏な空気を感じる今日この頃です。

(なお、念のため書いておきますが、私はネット版万里の長城は嫌いです。ただ、以前からチラホラ発生しているような「事件」が違った視点で見られている事が多くなって来たという感想を持っているというだけです)

恐らく直接は関連してないけど話題的には関連

最近のエントリ

過去記事

過去記事一覧

IPv6基礎検定

YouTubeチャンネルやってます!