Google 的路由劫持是如何发生的？

本周一，在大约一个半小时内，Google 的流量被路由经过了俄罗斯和中国，受影响的服务包括了 G Suite、Google Search 和 Google Analytics，由于中国有防火长城，Google 的流量进入到了路由黑洞，进去了就出不来了，这一劫持事故影响了无数 Google 用户。那么，这一事故是如何发生的？ThousandEyes 的跟踪发现，在部分地方 www.google.com 域名被解析到了 216.58.192.0/19 IP 段内，其 AS 路径包括了 TransTelecom (AS 20485) 、China Telecom (AS 4809) 和 MainOne (AS 37282)。这次路由泄漏认为源自尼日利亚 MainOne 和中国电信之间的 BGP 对等关系，MainOne 通过 IXPN 与 Google 有对等关系，能直接路由到 Google，但这一路由被泄露给了中国电信，可能是错误配置或者是恶意行动，中国电信将这些泄漏的路由通过俄罗斯的 TransTelecom 传播到了其它流量转运服务商。这次事故再次凸显了基于信任链的 BGP 的设计缺陷。