YouTube 全球斷線2小時 巴基斯坦搞出來的（附：有辦法防止惡搞嗎？）

4則回應

分享

    

這張由 網路監測公司Keynote Systems 提供的圖表顯示，YouTube.com的全球連線大約有1小時時間從100%掉到 0%，整個情況直到兩小時候才完全復原。(Credit: Keynote Systems)

從本週巴基斯坦國營電信公司搞斷YouTube的全球連線可看出網際網路在管理上所遭遇的一個安全老問題。

在接獲巴基斯坦電信部指示要進行言論管制封殺 YouTube網站後，巴基斯坦電信局（Pakistan Telecom）採取更進一步的作法。不管是出於刻意或意外，該公司向全球送出廣播（broadcast），宣稱自己才全球YouTube網際網路位址的合法目的地。

這個作法足足讓 YouTube 在週日斷線長達兩個小時，此一安全弱點的問題暴露出：為何全球的路由器都會誤信這樣的錯誤廣播？原因是香港的PCCW（電訊盈科；提供網際網路連線給 Pakistan Telecom 公司）並沒有擋下這些誤導的傳播訊息，而現行歐美多數電信大廠則都會加以擋下。

這已經不是新問題了。先前就曾發生過一家土耳其網路供應商自己宣稱是整個網際網路，導致網路流量整個變慢，許多網站無法連結。Con Edison 意外盜取了Panix客戶的網際網路位址，Panix客戶包括 名人瑪莎的 Martha Stuart Living Omnimedia網站以及New York Daily News。而這類錯誤傳播從1997年就發生過了。

既然是老問題，為何遲遲都沒解決呢？錯誤廣播（False broadcasts）的威力可相當於阻斷服務攻擊（denial-of-service），若是出於有心人惡意利用，則一般網友就會被引導至假的銀行、商店或信用卡網站。

要瞭解為何這個弱點很難修正，我們得先談點技術面的東西。

如何偽裝成 YouTube.com

比如說你在瀏覽器中輸入「news.com」位址好了，它是藉由網域名稱系統（Domain Name System）來轉化成一組數字形式的網際網路位址，也就是216.239.113.101。這組 IP 位址會傳給你的路由器，它會藉由一個 IP表來瞭解下一站要怎麼走最後才能抵達 news.com 伺服器。

網路供應商（即自治系統，簡稱AS）會廣播他們自己所提供的IP位址範圍。總理全球網際網路IP位址空間分配的ICANN組織則負責管理自治系統號碼的總清單，這些號碼原則上是以一次1000個以上的量，發放給各區的位址註冊組織。

ICANN的路由域服務經理Kim Davies表示，ICANN 並無法取消網路供應商的自治系統號碼。「你可以把它想成是郵遞區號一般，我們只是維護這整個編號系統，確保彼此之間沒有任何衝突。」

若自治系統提供的網址資訊是正確的，一切運作就會相安無事。但若有自治系統廣播錯誤資訊（不管是因為設定失誤還是出於人為刻意），那「歹誌就大條」了。

YouTube 就是發生這種情況，巴基斯坦認定 YouTube 有侮辱性影片而下令加以封殺，該站有影片播出先前刊登在丹麥報紙中的先知默罕默德漫畫。部分報導也指出該影片含有好幾分鐘由知名伊斯蘭教批評者 Geert Wilders 所製播的電影。

巴基斯坦大使館發言人週一表示，封殺YouTube的命令是由政府最高當局所下，之後便由巴基斯坦的電子媒體管制局主導，下令巴基斯坦電信單位遵循。

Pakistan Telecom 電信公司接獲命令後，就開始廣播自己是 YouTube 所屬208.65.15.30網路空間256個位址的正確路徑。由於這樣的路徑指示遠比正牌YouTube自己廣播的還要詳細（正牌 YouTube是廣播自己為1024台電腦的終站），也因此幾分鐘後，所有流量都開始流向這個錯誤的地方。

根據即時網路流量監控公司 Renesys,的時間表，亞太地區供應商在15秒內就開始將YouTube.com的流量導向這家巴基斯坦的 ISP（網際網路服務供應商）；而其他地區的路由器也在45秒後就開始跟進了。

YouTube 也緊跟在數分鐘後開始進行反制，首先就是把自己原先廣播的1024個位址降至256個；11分鐘後，YouTube 又加入更精確的廣播，限縮至64個位址，由於依據邊界網關協議（Border Gateway Protocol），後者更為精確，因此會推翻原來巴基斯坦的版本。因此歷經兩小時的誤報後，Pakistan Telecom才終於終止該行為。(請接續閱讀下一頁：如何避免？)