這個27年前的互聯(lián)網(wǎng)協(xié)議讓數(shù)據(jù)任由劫持，搞定它就可以搞定整個互聯(lián)網(wǎng)

三張餐巾協(xié)議

那是在1989年，當(dāng)兩名工程師在共進(jìn)午餐的時候，互聯(lián)網(wǎng)的擴(kuò)展日益嚴(yán)重，一些問題已經(jīng)變得可怕起來，曾經(jīng)是計(jì)算機(jī)科學(xué)家眼中新奇事物的網(wǎng)絡(luò)，如今已膨脹成龐然大物，越來越逼近互聯(lián)網(wǎng)最基本協(xié)議中那堵堅(jiān)硬的數(shù)學(xué)壁壘。

隨著系統(tǒng)崩潰的預(yù)期隱約出現(xiàn)，兩人開始在被番茄醬弄臟的餐巾背面粗略梳理解決方案火花，一張寫不下又接著畫上了第二張、第三張。這被發(fā)明人昵稱為“三張餐巾協(xié)議”的東西，將迅速引發(fā)互聯(lián)網(wǎng)革命。盡管還有揮之不去的問題，工程師們將自己弄出的東西視為一種臨時的快速修補(bǔ)，一旦出現(xiàn)更好的選擇便立馬更換的那種。

27年后，智能手機(jī)占領(lǐng)人類世界，黑客活動泛濫成災(zāi)。但“三張餐巾協(xié)議”依然在導(dǎo)引著全球網(wǎng)絡(luò)上的長距離通信流量——盡管關(guān)鍵安全問題的警告逐年緊張。三張餐巾協(xié)議雖然只是一個臨時彌補(bǔ)方案，但卻成絲毫沒有看到被替換的跡象。

發(fā)明人之一雅科夫·雷西特說：“短期解決方案很容易伴隨我們很長時間，長久解決方案幾乎從不會出現(xiàn)。這是我的經(jīng)驗(yàn)總結(jié)。”

 

雅科夫·雷西特

將我們沉浸在視聽消費(fèi)世界中時，互聯(lián)網(wǎng)看起來設(shè)計(jì)得跟賽車一樣優(yōu)雅。但其實(shí)它更像是科學(xué)怪人弗蘭肯斯坦拼出來的怪物而不是法拉利，更接近一堆臨時部件拼湊成的大雜燴——因?yàn)橹辽龠€能用，所以茍延殘喘。

其后果每時每刻都在網(wǎng)絡(luò)空間中上演，黑客們利用老舊的防護(hù)脆弱的系統(tǒng)來詐騙、盜取、監(jiān)視以前根本不敢想的廣大領(lǐng)域。他們利用的漏洞，從技術(shù)上說都是眾所周知的古早漏洞，僅僅因?yàn)闃I(yè)界喜歡追著問題修復(fù)而不是直接替換掉腐朽東西的愛好而存活。

專精路由安全的計(jì)算機(jī)科學(xué)家蘭迪·布什說：“來到互聯(lián)網(wǎng)，你就來到了黑客城。長期以來，所有這些東西都缺乏正式的規(guī)范，就是一堆修修補(bǔ)補(bǔ)的油漆和膩?zhàn)印?rdquo;

這就是“三張餐巾協(xié)議”的故事，更正式的叫法是“邊界網(wǎng)關(guān)協(xié)議”，或BGP。

存在重大安全隱患的BGP

在最基本層次上，BGP幫助路由器決定怎么將大量數(shù)據(jù)在組成互聯(lián)網(wǎng)的連接巨網(wǎng)中傳送。可能的路徑千千萬，有的又慢又曲折，有的快速而直接，BGP干的，就是為路由器挑一條路走提供信息——甚至在沒有互聯(lián)網(wǎng)完整地圖也沒有導(dǎo)引流量的交警存在的情況下。

 

依賴單個網(wǎng)絡(luò)持續(xù)共享可用數(shù)據(jù)連接信息的BGP的誕生，幫助互聯(lián)網(wǎng)不斷膨脹成了今天這個全球性網(wǎng)絡(luò)。但BGP也讓大量數(shù)據(jù)流任人劫持，只要有所需的技術(shù)和接入點(diǎn)就行。

造成這種情況的主要原因在于，BGP與互聯(lián)網(wǎng)上很多關(guān)鍵系統(tǒng)一樣，是自動信任用戶的——小網(wǎng)絡(luò)上可行，但全球性的網(wǎng)絡(luò)就根本是在坐等攻擊了。

幫助路由器決定怎樣在互聯(lián)網(wǎng)上發(fā)送數(shù)據(jù)的規(guī)則。網(wǎng)絡(luò)依賴于BGP消息的傳輸，來決定數(shù)據(jù)包在億萬可能路徑中到達(dá)指定目的地的最佳路徑。BGP中存在重大安全缺陷，有待其升級版協(xié)議BGPSEC的修復(fù)。

劫持已經(jīng)成了專家都難以解釋的網(wǎng)絡(luò)日常：丹佛市兩臺計(jì)算機(jī)之間的通信怎么就繞道走了7000英里之外的冰島路線？巴基斯坦一家公司是怎么讓YouTube崩潰的？為什么五角大樓敏感數(shù)據(jù)會流經(jīng)北京？

對于這些問題，技術(shù)上就可以解決，但全都?xì)w結(jié)到了一個事實(shí)：BGP在信譽(yù)系統(tǒng)(honor system)上運(yùn)行，讓數(shù)據(jù)以奇怪的方式在神秘人的控制下全球流動。

對BGP固有風(fēng)險的警告自該協(xié)議誕生之初就存在了。哥倫比亞大學(xué)計(jì)算機(jī)科學(xué)家史蒂夫·貝羅文說：“路由安全是個問題，從概念上就很容易看穿。但從工程上解決那是相當(dāng)?shù)碾y。”

雷西特，這位曾在前蘇聯(lián)玩過地下?lián)u滾的移民，稱他與共同發(fā)明人科克·勞菲德，在1989年1月一個工程會議午餐中寫下BGP雛形時，“安全問題根本沒上桌”。

那是一個黑客行為非常少見，黑客人數(shù)也甚為稀少的時代。勞菲德回憶道：“互聯(lián)網(wǎng)早期，讓程序跑起來才是主要目標(biāo)。根本沒概念人們還會用這個干壞事。安全在當(dāng)時不是什么大問題。”

 

科克·勞菲德

現(xiàn)在的大問題，是互聯(lián)網(wǎng)出故障的可能性。瘋狂擴(kuò)張中的停頓可能會傷害到網(wǎng)絡(luò)用戶，以及提供設(shè)備及服務(wù)的公司的利潤。雷西特當(dāng)時在藍(lán)色巨人IBM工作，勞菲德是為了硬件制造商思科公司的元老級員工。

勞菲德說：“我們需要賣出路由器，有著強(qiáng)烈的經(jīng)濟(jì)動機(jī)來讓這場盛宴持續(xù)下去。當(dāng)雅科夫和我拿出解決方案，而且看起來似乎能用，人們很樂于接受——因?yàn)闆]有別的選擇。”

其他路由協(xié)議開發(fā)工作也在進(jìn)行。BGP勝出是因?yàn)樗鼔蚝唵危芙鉀Q眼前的問題，且被證明足以應(yīng)付互聯(lián)網(wǎng)領(lǐng)土不斷翻倍情況下的數(shù)據(jù)流通。全球網(wǎng)絡(luò)都接納了該協(xié)議，給了它一個穩(wěn)固的超然地位。

一旦技術(shù)被廣泛部署，就幾乎不可能被取代，因?yàn)楹芏嘤脩簦夹g(shù)公司付費(fèi)用戶，都依賴于它們，不愿意再花錢購買新的硬件或軟件。其結(jié)果，可能是過時技術(shù)的穩(wěn)步發(fā)展，往上疊加了一層又一層。就好像今天最重要的銀行金庫，建立在稻草和泥土構(gòu)成的地基上一樣。

巴基斯坦人搞崩YouTube

充斥著不安全感的網(wǎng)上世界里，BGP的問題是最令人迷惑的。想知道為什么？網(wǎng)絡(luò)性能研究公司Dyn的道格·梅多利可以告訴你。他的工作就是研究互聯(lián)網(wǎng)這個不斷顛覆人類認(rèn)知的人造物上發(fā)生的驚異事件。

他和他的同事每天發(fā)送4.5億的 trace route 指令來跟蹤互聯(lián)網(wǎng)流量路由，嘗試解開這一團(tuán)亂麻。他將這些松散的 trace route 數(shù)據(jù)集，比作揭示更大能量波動的片塵抖動。

某天，梅多利想搞清為什么有些中國互聯(lián)網(wǎng)流量會途經(jīng)白俄羅斯。又某天，本應(yīng)傳送到英國原子武器研究機(jī)構(gòu)(AWE)的流量詭異地流經(jīng)了烏克蘭。梅多利覺得，兩起案例可能都是失誤的結(jié)果，但沒辦法確定是不是真的意外錯誤。

梅多利說：“這種事經(jīng)常發(fā)生。一切皆有可能。”梅多利是一名退役空軍軍官，短發(fā)干練，方形眼鏡透著睿智。

互聯(lián)網(wǎng)流量的突發(fā)繞行，即便是無意的，也有可能給整個網(wǎng)絡(luò)帶來大麻煩。最著名的事件發(fā)生在2008年2月，當(dāng)時巴基斯坦政府判定某段描述先知穆罕穆德的視頻應(yīng)被和諧，于是一家巴基斯坦互聯(lián)網(wǎng)提供商就試圖封禁YouTube。

不過，具體執(zhí)行的時候出了岔子，該公司將其BGP消息錯誤配置到了整個互聯(lián)網(wǎng)。結(jié)果就是，YouTube的全球流量幾乎全部都被發(fā)送到了巴基斯坦。數(shù)據(jù)重壓搞崩了服務(wù)器，YouTube因此宕機(jī)2小時。

但BGP的更大問題，是故意劫持的可能性。

2014年2月到5月間，一名黑客通過一系列短暫劫持，成功控制了流向多個互聯(lián)網(wǎng)公司的流量，包括亞馬遜和阿里巴巴。他的目的是為了偷取比特幣。Dell SecureWorks 報告，這起黑客事件被發(fā)現(xiàn)時，價值83000美元的比特幣已經(jīng)消失了——從被劫持的互聯(lián)網(wǎng)流量中神秘溜走。

專家稱，此類重定向會在網(wǎng)絡(luò)中留下證據(jù)，Dyn之類的分析服務(wù)可以進(jìn)行追蹤，但技術(shù)很高明的攻擊者能夠在操縱BGP時隱藏自己的身份。而且即便劫持的源頭很明顯，辨明其動機(jī)目的也很困難。

2010年4月美國軍方流量神秘流經(jīng)中國18分鐘事件，就是BGP不安全性長期歷史中被研究得最仔細(xì)的一起，但專家們依然對其是否故意爭論不休。事件源于中國電信發(fā)出了一條BGP消息，稱可向全球萬千網(wǎng)絡(luò)提供最好的路由，包括美國的16000個。

因?yàn)槿狈︱?yàn)證中國電信這條BGP消息真實(shí)性的機(jī)制，全球路由器都開始將數(shù)據(jù)發(fā)往中國，受影響路由器包括位于地球另一面的美國軍方——陸軍、海軍、空軍、海軍陸戰(zhàn)隊(duì)，統(tǒng)統(tǒng)中招。

那條BGP消息被修正了，Dyn和其他研究公司的結(jié)論是：這更像是一個意外。但那十分明顯的劫持容易度，以及防止復(fù)發(fā)的有效防護(hù)措施的缺乏，還是引起你了美國官方的警惕。

政府可利擁該戰(zhàn)術(shù)來分析軍隊(duì)數(shù)據(jù)，找出口令、加密通信等等。或者，甚至可以干脆拷貝下所有數(shù)據(jù)留待以后慢慢分析。專家警告，BGP劫持就像黑客界的興奮劑，可使數(shù)據(jù)盜竊增幅到難以想象的規(guī)模。

另一個隱患

BGP還潛藏有另一個危險的可能性，梅多利稱之為“反烏托邦可能性”：或許在國際沖突邁向網(wǎng)絡(luò)空間的時刻，某些網(wǎng)絡(luò)有意宣稱控制了互聯(lián)網(wǎng)上不屬于它們的區(qū)段。

這種舉動會混淆世界上的路由器，不得不在面對同樣的互聯(lián)網(wǎng)地址時在幾個相互沖突的主張中選擇。整個網(wǎng)絡(luò)，無法鑒別真?zhèn)危凰毫殉筛髯詾檎念I(lǐng)地。

這將成為互聯(lián)網(wǎng)版本的“核戰(zhàn)”——難以想象，但確實(shí)存在技術(shù)可能性的仇恨升級，至少在相對和平的年代難以想象。互聯(lián)網(wǎng)作為無縫全球性網(wǎng)絡(luò)運(yùn)作的影響是不可逆的。

“傳承？或許。阻擋互聯(lián)網(wǎng)發(fā)展？想都別想。”

ARPANET：美國國防部高級研究計(jì)劃局(ARPA)研發(fā)了互聯(lián)網(wǎng)的前身ARPANET。1969年建立，最終連接了超過100所大學(xué)和軍事機(jī)構(gòu)，今日互聯(lián)網(wǎng)的先驅(qū)。

 

深陷泥潭，群鱷環(huán)繞

BGP的締造者不是快速上馬粗略概念再在現(xiàn)實(shí)世界測試中不斷修正的第一人。速度、敏捷和實(shí)用主義是早期互聯(lián)網(wǎng)開發(fā)的標(biāo)志，驅(qū)動了互聯(lián)網(wǎng)的指數(shù)級增長及其勝過競爭技術(shù)的能力，其他競爭技術(shù)相對更正式，也更笨重。

大衛(wèi)·克拉克，監(jiān)管互聯(lián)網(wǎng)協(xié)議發(fā)展多年的麻省理工學(xué)院科學(xué)家，在1992年廣被引用的一次演講中形成了這個想法，稱：“國王、總統(tǒng)、投票，我們統(tǒng)統(tǒng)拒絕。我們相信粗略的共識和能運(yùn)行的代碼”——也就是能管用的解決方案廣受歡迎。

互聯(lián)網(wǎng)用戶飛速增長終將引發(fā)安全威脅——越來越多的用戶中還包括了與70、80年代首批擁抱現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的學(xué)院派科學(xué)家動機(jī)不同的人，但該思潮可不總是鼓勵為了安全威脅而做長遠(yuǎn)打算。

雷西特和勞菲德創(chuàng)建BGP的時候，就已經(jīng)出現(xiàn)了幾起嚴(yán)重事件。但凌虐當(dāng)今網(wǎng)絡(luò)世界的那種經(jīng)常性的高風(fēng)險的黑客活動，尚未開始。網(wǎng)絡(luò)戰(zhàn)這種想法，當(dāng)時僅僅存在于科幻小說中。

但網(wǎng)絡(luò)工程師面對的問題，就相當(dāng)現(xiàn)實(shí)而緊迫了。ARPANET將在20年內(nèi)被關(guān)停。其他主要網(wǎng)絡(luò)也在“循環(huán)”的深淵中掙扎，數(shù)據(jù)一圈圈轉(zhuǎn)來轉(zhuǎn)去，在完全消失之前耗空計(jì)算資源。

但最大的問題，還是互聯(lián)網(wǎng)規(guī)模的嚴(yán)格數(shù)學(xué)極限——寫進(jìn)BGP前身“外部網(wǎng)關(guān)協(xié)議(EGP)”中的上限。該協(xié)議只能處理限定數(shù)額的網(wǎng)絡(luò)地址，甚至僅超出1個地址都會造成系統(tǒng)掉線。

退休網(wǎng)絡(luò)研究員諾爾·齊阿帕說：“每個人都深陷泥潭，只想著快點(diǎn)脫離困境。他們沒時間面向長遠(yuǎn)了。”

BGP是個及時的改進(jìn)，讓互聯(lián)網(wǎng)得以繼續(xù)膨脹，為后來的WWW鋪平道路。雷西特和勞菲德，還有其他一些人，還在驚訝于他們的發(fā)明竟能撐如此之久。他們曾想過BGP能搞定數(shù)千可能路徑的尋徑問題，但現(xiàn)在，可能路徑已是他們當(dāng)年預(yù)想的百倍。

雷西特說：“這未來，已經(jīng)超出了我們最狂野的想象。”

IP地址表示特定互聯(lián)網(wǎng)連接的獨(dú)特數(shù)字碼。就像物理街道地址一樣，IP地址對投遞數(shù)據(jù)包到該去的地方非常重要。

 

沒有地圖的網(wǎng)絡(luò)

互聯(lián)網(wǎng)是由網(wǎng)絡(luò)組成的網(wǎng)絡(luò)，每個網(wǎng)絡(luò)都有物理的、現(xiàn)實(shí)世界的表征——存放在北京、上海之類地方數(shù)據(jù)中心一排排機(jī)架中的服務(wù)器。各個網(wǎng)絡(luò)還有由各自控制下的IP地址塊構(gòu)建的線上房地產(chǎn)，標(biāo)志著他們在網(wǎng)絡(luò)空間的地盤。

最大型的網(wǎng)絡(luò)，由威瑞森和AT&T等電信巨頭運(yùn)營的那些，通常都承載著最重的數(shù)據(jù)負(fù)載。他們是網(wǎng)絡(luò)空間中的航空公司，有能力通過光纖進(jìn)行快速長距離流量傳送，再交付給更小型的網(wǎng)絡(luò)。小型網(wǎng)絡(luò)，比如一所大學(xué)的計(jì)算機(jī)系統(tǒng)或一家本地互聯(lián)網(wǎng)提供商，則更像是社區(qū)小道，通常負(fù)責(zé)送流量最后一程，投遞到個人計(jì)算機(jī)或智能手機(jī)之類其他設(shè)備。

網(wǎng)絡(luò)眾多，大小不一，缺乏單一實(shí)體進(jìn)行流量導(dǎo)引——這種架構(gòu)的結(jié)果，就是一張巨大的連接網(wǎng)絡(luò)，兩點(diǎn)間發(fā)送數(shù)據(jù)的通路選擇無限之多。BGP幫助路由器從中挑出一條，盡管網(wǎng)絡(luò)總在變化，熱門路徑經(jīng)常被流量阻塞。

問題是：沒！有！地！圖！采用BGP的路由器，基于它們在網(wǎng)絡(luò)空間中的鄰居提供的信息做出路由選擇，它們的鄰居也是從自己的鄰居那里找來的信息，以此類推。只要BGP“廣告”消息中包含的信息是準(zhǔn)確的，這種方式就可行。

任何錯誤信息都能幾乎即時在互聯(lián)網(wǎng)上擴(kuò)散，因?yàn)楦緵]有對發(fā)出這些“廣告”的路由器的誠實(shí)性甚至身份的驗(yàn)證機(jī)制。重復(fù)發(fā)送錯誤信息的網(wǎng)絡(luò)可能會被注意到，其他網(wǎng)絡(luò)的運(yùn)營者可以嘗試用“過濾”技術(shù)封鎖此類麻煩制造者。但這種防護(hù)通常很容易被擊破。

這么明顯的問題，在如今這種更加安全敏感的社會中是不會被容忍的。勞菲德說：“如果有人拿出一份沒考慮到欺騙的設(shè)計(jì)，那絕對會被打回去重做。”

無論起因是故意欺騙還是意外事故，結(jié)果都是一樣的：互聯(lián)網(wǎng)流量被轉(zhuǎn)移，通常偏差出幾千英里。有時候最終還能拐上通往正確目的地的道路，只是有點(diǎn)傳輸延遲。有時候，數(shù)據(jù)是被黑客偷走了。有時候，就像遇到了網(wǎng)絡(luò)空間中的百慕大三角似的，流量就那么神秘消失了。

難以替換

盡管在創(chuàng)建BGP的時候雷西特和勞菲德沒有關(guān)注這一危險，至少有另外一名網(wǎng)絡(luò)工程師確實(shí)很擔(dān)憂。拉迪亞·帕爾曼，因另一個重要網(wǎng)絡(luò)協(xié)議的發(fā)明而被尊稱為“互聯(lián)網(wǎng)之母”的女性，在1988年——雷西特和勞菲德拿出BGP的前一年，寫了一份預(yù)言性的MIT博士論文。她預(yù)測，基于網(wǎng)絡(luò)空間中鄰近節(jié)點(diǎn)誠實(shí)性和準(zhǔn)確度的協(xié)議，注定是不安全的。

她和其他幾名批評家更中意給路由器繪制主要連接地圖的選項(xiàng)——類似全球空中交通圖的網(wǎng)絡(luò)空間版。帕爾曼還傾向于使用密碼學(xué)來驗(yàn)證網(wǎng)絡(luò)的身份，限制潛在的欺騙，控制過失造成的破壞。

但BGP勢不可擋。“人們一旦慣于使用，就特別難以替換了。”帕爾曼說道。她對研究其他更好解決方案的工程師們沒能快速推出成品感到失望。“很不幸，其他研究小組沒有感受到緊迫性。BGP那幫人首先部署了起來。”

雷西特和其他人一直在改進(jìn)BGP，在1994年實(shí)現(xiàn)了該協(xié)議的最終版本。數(shù)據(jù)劫持已經(jīng)開始發(fā)生，對更安全替代品的需求開始顯現(xiàn)，但數(shù)年的工作都沒能產(chǎn)出任何一個能取代BGP的產(chǎn)品。

與雷西特一起改良BGP的工程師托尼·李說：“所有這些提案都未能實(shí)現(xiàn)。”

對BGP固有安全風(fēng)險的關(guān)注，在2001年911恐怖襲擊之后開始上升。互聯(lián)網(wǎng)創(chuàng)立最主要的架構(gòu)師，計(jì)算機(jī)科學(xué)家溫頓·賽弗，連同另一名網(wǎng)絡(luò)先鋒史蒂芬·肯特，敦促聯(lián)邦政府采取行動。他們在白宮旁的艾森豪威爾辦公廳，面見了小布什總統(tǒng)的網(wǎng)絡(luò)安全特別顧問理查德·克拉克。

克拉克很快召集行業(yè)高管展開商討，希望能拿出具體行動方案，但他們沒能感受到賽弗和肯特的那種緊迫感。歷經(jīng)多年，進(jìn)展寥寥。

肯特回憶道：“他們基本上就是在說，‘不是什么大問題’。我們嘗試了，人們不買賬啊。”

克拉克在最近的訪談中稱，他對科技行業(yè)的傲慢冷漠回應(yīng)毫不驚訝。他在早前幾年就被波士頓著名黑客組織L0pht秘密告知了BGP的風(fēng)險性，該黑客組織曾尖銳警告聯(lián)邦官方互聯(lián)網(wǎng)超級不安全。

這使得克拉克向其他白宮官員和業(yè)內(nèi)巨頭傳達(dá)了對BGP的擔(dān)憂。在他2008年出的書《政府讓你們失望了》中，他描述了與某業(yè)內(nèi)高管的會談場景：當(dāng)克拉克追問BGP風(fēng)險時，這位高管甚至請他將該協(xié)議的名稱寫到紙上。

克拉克在書中記敘了該高管的話：“我感覺從未聽聞過這個東西。不過既然你說存在有影響到我們路由器的漏洞，我會去核實(shí)一下的。”

克拉克在書中表達(dá)了自己的驚訝：生產(chǎn)使用了BGP的產(chǎn)品，并因此獲利數(shù)十億元的大公司的高管，竟然沒聽說BGP？克拉克并未在書中暴露該高管的名字。

不過，在《華盛頓郵報》的一次采訪中，克拉克透露稱那次會面的對象是約翰·錢伯斯——當(dāng)時全球最值錢公司思科公司的首席執(zhí)行官。思科同時也是用BGP通信的路由器市場上具統(tǒng)治地位的公司。

思科對此未發(fā)表任何評論。

1989年，雅科夫·雷西特和科克·勞菲德在3張餐巾上起草出了在互聯(lián)網(wǎng)上路由數(shù)據(jù)的方案。昵稱“3張餐巾協(xié)議”，官方名稱邊界網(wǎng)關(guān)協(xié)議(BGP)的東西，原本只是為了救急，卻至今仍在導(dǎo)引著網(wǎng)絡(luò)空間中的數(shù)據(jù)流動。雷西特對這些草圖的重造可在此看出。

沒人愿意為安全買單

業(yè)界懷疑論根植于安全無益業(yè)務(wù)這一想法。沒人喜歡被黑，但公司在法律上無須為此擔(dān)責(zé)。相反，防護(hù)措施卻有成本相伴，比如功能受限、性能拖慢、配件或軟件價格上漲等等，沒人喜歡承受這些開銷。

前網(wǎng)絡(luò)硬件制造商3Com創(chuàng)始人羅伯特·梅特卡夫就曾說，嘗試了諸如內(nèi)置加密之類附加安全功能的產(chǎn)品的公司，發(fā)現(xiàn)在有其他更便宜更好用的選擇的情況下，客戶對這些附加了安全功能的產(chǎn)品沒什么興趣。

“沒人想買安全版。我們做了，也賣了，但無人問津。”

2010年4月美國軍方流量途徑北京之后，修復(fù)BGP的步伐就加快了。主要推動力來自于國土安全部(DHS)，2010-2014年間投入了800萬美元，用于開發(fā)和部署安全BGP技術(shù)。“這是我們在加強(qiáng)每個人都在使用的核心互聯(lián)網(wǎng)服務(wù)整體安全上所做出的持續(xù)努力中的一部分。”DHS發(fā)言人稱。

邁向更好BGP安全的第一步，是網(wǎng)絡(luò)安全密鑰新系統(tǒng)，能在網(wǎng)絡(luò)空間中驗(yàn)證路由器身份，明確日常負(fù)責(zé)處理哪些網(wǎng)絡(luò)的流量導(dǎo)引工作。

一旦此類系統(tǒng)就位，巴基斯坦互聯(lián)網(wǎng)提供商收獲所有YouTube流量的事就難以發(fā)生了。路由器將直接忽略錯誤的BGP消息，得出這些消息有誤不用理會的結(jié)論。

但讓網(wǎng)絡(luò)運(yùn)營者參與進(jìn)來已被證明很難。很多已經(jīng)應(yīng)用過濾技術(shù)來限制對錯誤BGP消息的暴露面。該方法只能提供部分防護(hù)，但比使用密鑰要簡單得多。很多網(wǎng)絡(luò)運(yùn)營者對采取進(jìn)一步措施，比如采用安全的新路由協(xié)議BGPSEC代替BGP，十分冷漠。

很多網(wǎng)絡(luò)工程師稱，即便經(jīng)歷了1/4個世紀(jì)遭遇了無數(shù)的劫持，BGP依然值得稱頌——因?yàn)槠涑晒h(yuǎn)大于失敗。它幫助互聯(lián)網(wǎng)成為真正全球性的、無縫的、改變世界的通信技術(shù)，沒有任何超越一切的機(jī)構(gòu)能夠規(guī)定誰能用怎么用。

這種對互聯(lián)網(wǎng)而言比任何一個協(xié)議都更基本的分散決策方式，還意味著安全改善需要由網(wǎng)絡(luò)、站點(diǎn)運(yùn)營者、用戶做出的很多個人行為。每一個都得衡量改變的價值，然后選擇繼續(xù)還是放棄。

現(xiàn)已退休的雷西特說：“做安全就會有相應(yīng)的代價。問題在于：誰來支付？除非網(wǎng)絡(luò)運(yùn)營者能看出安全收益通常都會比支出要大，否則他們不會做任何動作。”

勞菲德也是個懷疑論者。“如果安全的缺失會對業(yè)務(wù)造成巨大損失，很多人都會對問題的修復(fù)感興趣的。在這一點(diǎn)上，人們會掃清障礙，保持比壞人領(lǐng)先一步。”

實(shí)現(xiàn)新BGP安全措施的熱心程度，全球各地是不一樣的。在歐洲和中東，約9%的網(wǎng)絡(luò)已經(jīng)邁出了采納密鑰在網(wǎng)絡(luò)空間中標(biāo)識自身的第一步。拉丁美洲做得更好，24%的網(wǎng)絡(luò)采納了密鑰。北美洲和非洲做得差得多，只有不到1%。全球總體來看，包括亞洲，約為5%。

目標(biāo)自然是100%。沒人知道這一過程會要多久。

波士頓大學(xué)計(jì)算機(jī)科學(xué)副教授，專研路由安全問題的沙朗·戈德伯格說：“看到5%這個數(shù)字你可能會發(fā)笑，但你知道需要做多少工作才走到這一步嗎？”

對于完全部署要花多久的問題，她坦率地說：“5年，10年，還是20年，我不知道。”

目前為止——在帕爾曼、貝羅文、肯特、克拉克和其他很多人多年警告之后，或許最有說服力的統(tǒng)計(jì)數(shù)據(jù)，就是加密網(wǎng)絡(luò)密鑰新系統(tǒng)保護(hù)下的互聯(lián)網(wǎng)流量百分比：0。