BGP劫持

　BGP 劫持(BGP Hijacking) 是指攻擊者(或錯誤設定的網路) 竄改 BGP(邊界閘道協定，Border Gateway Protocol) 路由資訊，讓原本應該通往合法網路的資料流量，被錯誤地導向攻擊者或其他非授權的網路。簡單來說，這就像網際網路的「導航系統被入侵」，資料被引導到錯誤的地方。

　我們可以想像，BGP 就像全球網際網路的「導航系統」，當我們從台灣寄一封電子郵件到美國伺服器時，BGP 負責告訴網路「該走哪條路最有效率」；然而，如果有人惡意竄改這個導航資訊，告訴大家「去美國的信件請先送到我這裡」，那所有流量就會先經過攻擊者的伺服器，而這就是「BGP 劫持 (BGP Hijacking)」，駭客透過假冒路由廣播，攔截、竊聽或中斷原本合法的資料傳輸。

　也就是說，BGP 劫持就像駭客在全球網際網路的「導航系統」中植入假路標，讓資料流量「迷路」甚至被竊取。

BGP 是什麼？

　BGP(Border Gateway Protocol，邊界閘道協定) 是網際網路中負責「交換路由資訊」的關鍵協定，用來讓不同的 自治系統(AS，Autonomous System)  彼此溝通與決定資料傳輸的最佳路徑。簡單來說，BGP 就是整個網際網路的「導航中樞」，負責規劃資料要經過哪條路線、透過哪個網路才能抵達目的地，因此 BGP 是整個網際網路的「導航地圖」。

BGP 劫持的運作方式

　BGP 是自治系統(AS) 間交換「哪個 IP 段該從哪裡到達」的協定，路由選擇以最長前綴匹配(longest-prefix match) 與 多種屬性為準則，因此，如果某個 AS 廣播了一個更精確或被其他路由器接受的路由，這條路徑會被採用，流量就會跟著走。

另外，BGP 始終會傾向使用最短或最具體的路徑到達所需的 IP 位址，那麼要成功做到 BGP 劫持，路由宣告就必須...

• 透過宣告比以前其他 自治系統(AS) 更小的 IP 位址範圍，提供更加具體的路線。

• 提供一條通往某些 IP 位址區塊的較短路徑。

假設，在正常情況下，AS 65000 宣布 198.51.100.0/24 (合法擁有者)，那麼 劫持流程就會是這樣：

1. 攻擊者在 AS 65001 發出 BGP Announcement，假稱擁有 198.51.100.0/24 (或更精確 /25)。

2. 周邊路由器接收到這個公告，更新路由表(若未作過濾或驗證)。

3. 許多網路因為 BGP 選路機制，會把發往 198.51.100.0/24 的流量導向 AS 65001。

4. 攻擊者可攔截、監聽或改寫流量，或直接丟棄造成中斷。

▲BGP劫持路徑 (BGP 的決策不是單純「最短路徑」，而是會優先 更精確的前綴，並考量 AS_PATH 長度 與各種路由屬性與政策。因此攻擊者通常透過宣告更精確前綴或更吸引人的 AS_PATH 使其路由被採用。)

常見的 BGP 劫持手法

【偽造 原始廣播者】
攻擊者 AS 廣播「我擁有某個 IP 前綴」的路由資訊，許多路由器不會或沒能力驗證該廣播是否真實，於是接受該路由並轉發流量給攻擊者。

【更精確前綴】
原本合法網段是 203.0.113.0/24，攻擊者廣播 203.0.113.0/25(或 /26) 等更精確子網，因為 BGP 採 最長前綴匹配(longest-prefix match)，多數網路會選擇更精確的路由，流量被導向攻擊者。
※愈精確優先(/24 比 /16 更精確)。

【AS-PATH 操作(路徑操控)】
攻擊者透過改寫或短化 AS_PATH，讓其路由看起來是「更短、更吸引人」的路由，某些情況下攻擊者會「prepending」使自己看起來像中繼，或相反地移除中繼以路徑更短。
※較短的 AS_PATH 通常被偏好。

【路由洩漏(Route Leak)或錯誤設定】
非惡意情況下，ISP 或合作夥伴誤把內部路由廣播到外部，導致流量被導離，這跟惡意劫持的結果類似，但原因是配置錯誤。

【中間人(Intercept) 與黑洞(Blackholing)】
攻擊者接收到流量後，可選擇 轉發到真正目的地以攔截/修改，或丟棄流量造成服務中斷。

被 BGP 劫持會發生什麼事

　當一個 IP 網段或自治系統(AS) 的路由被劫持後，整個網際網路上其他 BGP 路由器會誤以為攻擊者的路由才是正確的，導致資料流量被導向錯誤的地方，因此的結果可能會出現以下幾種情形。

流量被攔截或監聽

攻擊者可以讓流量經過自己控制的伺服器，形成中間人攻擊(MITM, Man-in-the-Middle)，這代表攻擊者可以監看使用者的上網行為與請求內容、竊取帳號密碼、金融交易資料或修改或注入惡意內容(例如廣告、惡意代碼)。

舉例來說，使用者以為自己正在連到銀行網站，但流量其實先經過攻擊者的伺服器，因此雖然畫面看起來正常，但資料早已被竊聽。

流量被導錯或黑洞化

有些劫持不是為了監聽，而是直接讓資料走錯路或消失，這稱為 Blackhole(黑洞)。

• 資料封包傳到攻擊者 AS 後就被丟棄。

• 對使用者來說，網站「無法連上」或「速度異常緩慢」。

• 對企業來說，這等同於服務中斷或癱瘓。

舉個例子，DNS 伺服器 IP 被劫持，導致全球部分地區查詢不到該網站。

流量繞道(延遲大幅上升)

即使攻擊者沒有惡意，只是錯誤設定(Route Leak)，也會導致網路繞遠路(例如原本應該走亞洲路由，結果繞到歐洲再回來)、連線延遲、封包遺失增加，或視訊會議、即時交易、遊戲服務等效能下降。

網站信任與品牌受損

被劫持後，如果使用者資料外洩或被導向釣魚網站，則會損害企業品牌與信譽、引發用戶恐慌、投訴或媒體報導，在金融、政府、電商等產業甚至可能違反合規規範。

造成全球級連鎖反應

BGP 是分散式系統，一旦有一個大型 ISP 被劫持或錯誤廣播，其他路由器可能「信任」這條錯誤路線並跟著更新、短時間內可能影響全球上百個網路節點，另外歷史也曾出現過 「一個國家的網路流量被導向另一個國家」 的實際案例。

BGP 劫持真實案例

　在現實情況下，BGP劫持的案例有許多。例如在 2018 年，攻擊者透過 BGP 劫持 Amazon Route 53 的路由，將使用者原本要連到 MyEtherWallet 網站的流量，導向釣魚網站，這個結果讓許多試圖登入加密貨幣網站的使用者都被重新導向由駭客控制的虛假釣魚網站，導致使用者的錢包憑證被竊取，而駭客也因此成功竊取了數十萬美元的加密貨幣。

　另外，無意造成的 BGP 劫持的情況也曾發生。例如在 2008 年，巴基斯坦政府為了封鎖 YouTube，要求國內 ISP 封鎖 YouTube IP，結果錯誤 BGP 廣播，全球 YouTube 流量被導向巴基斯坦 ISP，導致全球用戶無法連線 YouTube 並且發生跨國網路中斷事件。

　在 2020 年，也曾發生全球 BGP劫持事件。BGP流量監控業者 BGPmon.net 偵測發現全球網路內容遞送服務(CDN) 供應商發生 BGP 劫持事件，歷時約一小時。俄羅斯國營電信營運商 Rostelecom 之編號 AS12389 宣告全球約 8 千個網路前綴為其所有，其中包括 Google、Amazon、CloudFlare、GoDaddy、Facebook 及 Line 等 200 家 CDN 供應商之流量都被導向俄羅斯。

　BGPmon.net 創辦人 Andree Toonk 表示，此次BGP劫持事件起因可能是 Rostelecom 誤將用於同一 AS 中之 iBGP (Internal/Interior BGP)路由表，寫至用於不同 AS 中之 eBGP (External/Exterior BGP) 路由表中，當 Rostelecom 上游廠商採用新路由表並於網際網路上重新廣播(Re-broadcast)時，此失誤便於幾秒內影響全球，導致 BGP 劫持事件。

資料來源：刑事警察大隊｜BGP劫持事件導致全球約200家CDN供應商流量導向俄羅斯

如何防範 BGP 劫持？

　BGP 劫持的防範是一個路由層級的問題，大多數使用者甚至一般網路服務提供者，無法單靠端點或本地網路就完全阻止，除了持續監控路由外，使用者和單一網路幾乎無法直接阻止 BGP 劫持。防護主要依靠 ISP 和上游網路層級的措施，搭配使用者端的加密、驗證與安全策略，才能降低風險。

為什麼使用者 / 一般網路很難阻止？

• BGP 是自治系統(AS)間的協定，決定資料從哪個網路到哪個網路傳送。

• 流量經過多個 AS 才到目的地，而這些 AS 的路由決策對你不可控。

• 換句話說，使用者無法直接決定網際網路上別人的路由選擇。

網路層 / ISP 防護

1. RPKI：驗證 IP 前綴與 AS 的權限。

2. 前綴 & AS 過濾：只接受可信任來源。

3. 路由監控與告警：即時發現異常。

4. 多重上游 / 多路由供應商：減少單一路徑劫持風險。

5. 全球合作倡議（MANRS）：遵守安全路由規範。

使用者層防護

• 加密通訊 (HTTPS/TLS/VPN)

• DNSSEC / 安全 DNS

• 多重驗證 (2FA、多簽交易)