2026-03-30 00:10:01 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档以瑞士采用SCION替代BGP为引，剖析了BGP协议信任缺陷及APT组织的隐蔽窃取手段。重点阐述SS7与BGP联动攻击、SDN控制平面溃败及合法拦截系统滥用等风险，揭示全球电信基础设施的结构性脆性。结论指出防御需下沉至网络层，构建零信任通信骨架以应对底层崩塌。 综合评分： 88 文章分类： 网络安全,威胁情报,漏洞分析

cover_image

协议的黄昏：全球电信基础设施的结构性脆性与隐形崩塌

黑屋运维黑屋运维

漕河泾小黑屋

2026年3月26日 11:16 上海

引言：瑞士的“路由革命”与全球的“协议惯性”

2026 年 3 月，瑞士官方宣布其国家级金融核心网全面落地SCION (Scalable, Control, and Isolation on Next-Generation Networks)协议，正式替代运行超过 40 年的BGP (Border Gateway Protocol)。这一举动在全球网络安全与运营商领域引发了深远震动，却在更广泛的视野里近乎无声。瑞士央行与证券交易所选择放弃 BGP，并非因为其性能不足，而是因为 BGP 已经成为全球关键基础设施中最脆弱的环节之一 [1]。

长期以来，安全从业者的目光多聚焦于应用层漏洞与终端安全，却往往忽略了支撑互联网运转的底层路由协议及其背后的电信基础设施。然而，这正是APT (Advanced Persistent Threat)组织开展国家级流量拦截与情报窃取的“主战场”。

本文旨在提出一个核心观点：全球电信网正处于一种基于“协议惯性”的虚假安全中，现有的防御体系在物理层与逻辑层的“重合点”上存在致命盲区。我们将深入剖析 BGP 的原罪、APT 组织的战术演进，以及跨协议联动攻击、SDN 控制平面溃败和合法拦截系统滥用等技术深渊，最终揭示全球基础设施所面临的结构性脆性。

第一部分：BGP 的原罪与 APT 的战术演进

BGP 协议诞生于 1989 年，其设计初衷是实现自治系统 (AS) 之间路由信息的快速交换，以保证全球互联网的互联互通。然而，BGP 的核心缺陷在于其原生的信任机制：它默认信任任何邻居宣告的路由信息，缺乏有效的源认证与路径验证机制 [1]。这种“先天不足”为攻击者提供了巨大的操作空间，使其成为互联网安全长达四十年的顽疾。

1. 历年典型攻击案例回顾

下表总结了过去二十年间涉及 BGP 的重大安全事件，其中不乏国家级背景的影子，这些事件不仅仅是“事故”，更是 APT 组织利用的“机会” [2]：

APT 组织的战术演进：从破坏到隐形窃取

早期的 BGP 攻击多表现为“路由劫持” (Hijacking) 或“路由泄露” (Route Leak)，旨在造成大面积断网。然而，现代 APT 组织（如Turla、Salt Typhoon）的手段更为隐蔽 [3]。他们不再追求破坏，而是通过亚前缀劫持 (Sub-prefix Hijacking)或路径操纵 (Path Manipulation)，将目标流量“悄无声息”地引向其控制的节点进行深度包检测 (DPI) 或解密，随后再将其转发回正常路径。这种攻击在外部看来几乎无感，却能实现长期、稳定的情报获取 [3]。

第二部分：技术深渊：跨协议联动与核心网的溃败

当前的安全防御体系中，电信基础设施往往处于“黑盒”状态。以下三个领域是 APT 组织利用底层协议漏洞，实现跨层、跨域攻击的关键技术深渊。

SS7 与 BGP 的“幽灵握手”：从定位到流量收割

大多数安全分析将信令网（SS7/Diameter）与路由协议（BGP）分开讨论，但顶尖 APT 组织早已实现了二者的深度联动 [4]。这种跨协议联动攻击，使得攻击者能够精确地定位目标，并实施精准的流量收割。

•定位阶段 (SS7/GTP)：攻击者通过全球信令网发送AnyTimeInterrogation (ATI)或SendRoutingInfo (SRI)请求，获取目标移动终端的当前服务交换机（MSC/SGSN）地址 [4]。这些请求可以伪造源地址，使得追踪变得异常困难。

•路由劫持阶段 (BGP)：一旦确认目标流量经过的特定骨干网节点，攻击者便在 BGP 层实施亚前缀劫持 (Sub-prefix Hijacking)。与全网劫持不同，这种攻击仅针对目标所在的特定 AS 路径，宣告一个更长的掩码（如 /24 或 /32），从而在不引起大规模告警的情况下，将目标流量重定向到攻击者控制的节点 [2]。

•流量剥离与回注：劫持后的流量在恶意节点经过 DPI 镜像后，利用GTP 隧道重封装技术，将原始数据包原封不动地发回目标 MSC [4]。整个过程对用户和运营商的上层应用几乎无感。

结论：这种攻击在物理上是跨国的，在协议上是跨层的。现有的 RPKI 只能验证 BGP 宣告的合法性，却无法感知底层信令网发起的针对性诱导 [5]。

SDN 控制平面的“黑盒陷阱”：集中化带来的单点溃败

随着电信骨干网向SDN (软件定义网络)转型，网络控制平面（Control Plane）从分布式的路由器硬件转移到了集中的软件控制器上。这一转变虽然提高了灵活性，却制造了一个前所未有的高价值攻击锚点 [6]。

在Salt Typhoon对某大型电信运营商的渗透中，攻击者并非逐一攻破路由器，而是通过利用管理协议（如 SNMPv2c 的弱共同体字符串或 NETCONF 的认证绕过）直接接管了 SDN 控制器 [3]。

•静默重定向：攻击者在控制器上注入恶意流表（Flow Table），使得特定用户的流量在不改变 BGP 路由表的情况下，在交换机内部完成“透明重定向” [6]。

•日志擦除：由于控制器掌握着全网设备的审计日志流，攻击者可以实时拦截并修改发送至 SOC 的 Syslog，实现真正的“全网隐身” [6]。

3. 合法拦截系统 (LI)：国家级后门的“二次寄生”

这是基础设施中最黑暗的角落。为了满足法律合规，全球电信网强制部署了CALEA (美国)或ETSI LI (欧洲)标准的拦截网关。这些系统被设计为具有“绝对权限”且“不可审计” [7]。

•HI2/HI3 接口劫持：合法拦截标准定义了两个核心接口：HI2（传送拦截指令/元数据）和 HI3（传送拦截内容）。APT 组织通过渗透运营商的拦截网关，利用 HI2 协议中缺乏双向强认证的漏洞，伪造执法部门的指令 [7]。

•拦截请求的“镜像化”：攻击者在系统中插入一条“永久拦截”指令，将所有目标流量镜像至其控制的外部 IP。由于拦截操作在路由器底层通过硬件加速实现，这种流量分发不会产生任何延迟，甚至连运营商的资深网管也无法察觉 [7]。

技术讽刺：我们为了安全而强制留下的“后门”，成了攻击者最稳固的堡垒[8]。

第三部分：结构性脆性：全球基础设施的薄弱状态

全球基础设施目前正处于一种**“结构性脆性”**状态，其薄弱并非偶然，而是其底层逻辑在设计之初就已注定的宿命。具体表现为：

第四部分：协议的黄昏与未来的抉择

我们必须承认一个残酷的技术现实：现有的全球电信网是建立在“邻居是可信的”这一过时假设之上的。这种信任已经不可修补。瑞士转向 SCION 协议，本质上是对这种“结构性脆性”的绝望回应，它在路由层实践零信任 (Zero Trust)原则——通过多路径验证、隔离域划分与强加密签名，将路由的控制权从不可信的邻居手中夺回 [1]。

对于安全研究人员而言，真正的盲点不在于某个 CVE 漏洞，而在于这些协议交织处的真空地带。如果我们的防御逻辑仍然停留在“加固应用层、检测病毒包”，那么在基础设施这个维度上，我们早已彻底战败。全球基础设施的薄弱并非偶然，而是其底层逻辑在设计之初就已注定的宿命。

协议的黄昏已至。我们不能再假设“底层网络是安全的”。未来的防御重心应当从单纯的应用防护，下沉至对 BGP 路径的实时监控、对核心网络设备管理平面的加固，以及对 RIR 等关键管理凭据的最高等级保护。更重要的是，我们需要重新审视并设计下一代网络协议，摆脱历史的包袱，构建一个真正基于“不信任”原则的全球通信骨架。否则，我们修补的将只是一个注定坍塌的旧文明废墟上的裂痕。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：漕河泾小黑屋黑屋运维黑屋运维《协议的黄昏：全球电信基础设施的结构性脆性与隐形崩塌》