BGP Hijacking 一直都是一個不可小看的問題，而且這種事情其實在 1997 年就有出現過了（不過當時是 leak），然後接著大約是在 2008-2009 左右，BlackHat 和 DEFCON 有人提出來講。

我們來講幾個比較明顯的，會受到 BGP Hijacking 影響的問題。

較常受到 BGP 狹持影響的服務

HTTPS

我們這一系列的文章，一開始即講了 HTTPS。裡面有提到說，我們要使一個網域的憑證有效，必須要找憑證授權中心來幫我們簽憑證（除非授權中心把私鑰用某種方式先給我們，但這樣很不好）。
憑證授權，要經過認證。認證有三種，分別是 DV（網域認證）、OV（組織驗證，要電話審核，要網域等等）和 EV（加強版驗證，比 OV 更麻煩）。
這邊只考慮 DV (網域認證) 的狀況，不考慮 OV 和 EV。一來是因為 DV 常用，二來是因為這兩個不受 BGP 狹持影響，再來，這攻擊只要 DV 過了就成功了。

DV 簽憑證，程序大概是這樣的：

1. 去某家授權中心的站辦帳號
2. 發出「憑證簽署申請」
3. 授權中心通常會有幾種方式，讓你可以確認你真的有這個網域

• WHOIS
• 在網域上架個網頁
• DNS TXT紀錄

4. 付對方錢（免錢的狀況下就不用付錢），對方幫你簽憑證，憑證拿回來用

HTTPS? 怎麼個流程?

我們來用 BGP 狹持的方式來思考。BGP 狹持可以把別人的網段蓋掉，然後把流量導向自己的網段。
那依據各種認證方式的不同，有可能會發生幾種狀況：

1. 直接把受害者網域的 BGP 給蓋掉，幫他架個站，然後幫他買憑證
2. 把受害者網域的權威 DNS 之 BGP 蓋掉，自己架個 DNS，幫他寫 DNS
3. 把受害者網域的 WHOIS 伺服器之 BGP 蓋掉，自己架個 WHOIS，幫他寫 WHOIS

無論如何，基本上都會成功讓授權中心認為你真的有那個網域，然後你就可以把 BGP 狹持先撤掉，你手上還是會有一張有效的憑證，棒棒。
這時候你就可以那這張憑證，幫人做一下中間人了。（扣除對方有做 pinning 的狀況）

這流程也可以反過來，把授權中心的 BGP 蓋掉。不過，因為沒有私鑰，簽不了憑證，大概也只能騙對方錢。

加密貨幣

加密貨幣也很容易受到 BGP 狹持的影響。因為加密貨幣通常是由網路上的節點來確認某交易是否合法，所以只要你控制了超過一半以上的算力，你就可以為所欲為。

Maria 和 Aviv 等人 有提出一篇 paper，專門講述這個問題。

這篇 paper 主要敘述了兩種可能的問題，分別是

1. 將網路切割成二或多個部分
2. 或是延遲區塊更新的時間（加密貨幣的每個區塊都有時間限制）

不管是哪一個，都能影響一個加密貨幣網路的可信任度。

BGP 狹持，可能的防禦方式

講了這麼多，重點只有一句。BGP 狹持所帶來的風險，是不能小看的。
目前常見的防禦方式，主要有分為兩種：

1. 每個 AS 針對收到的 BGP 宣告做篩選，不理會不合理的數值（例如根本不屬於對方 AS 的網段，或是奇怪的 CIDR 數值）
2. BGPSec，跟 DNSSEC 或 HTTPS 一樣，採用公鑰驗證

不過，不管是哪兩種方式，目前都還是需要每一間 ISP 等等機構都配合，才能奏效。