本篇文章更新時間:2026/01/06
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知。
一介資男的 LINE 社群開站囉!歡迎入群聊聊~
如果本站內容對你有幫助,歡迎使用 BFX Pay 加密貨幣 或 新台幣 贊助支持。
從委內瑞拉大停電看見網路戰陰影:BGP 異常背後的攻防軌跡
副標題:讀《Radar #16: Week of 01/05/2026》的一些思考
編輯前言:這期來自 Low Orbit Security 的《Radar #16》特別引起我的注意。作者從委內瑞拉政局動盪期間的「BGP 異常」切入,帶出一段極值得深思的網路攻防觀察。對於想理解現代軍事行動如何結合網路戰的人來說相當有啟發性。
核心觀點 (Key Takeaways)
- 作者觀察到委內瑞拉大停電與多次爆炸事件之前,CANTV(AS8048)出現異常的 BGP route leak 與路由變化。
- 多個重要 IP 前綴被「意外」地透過不常見的 AS path 傳遞,其中包括 Sparkle 與 GlobeNet,而 Sparkle 更被列為未實作完整 BGP 安全措施的供應商。
- 這些前綴涉及關鍵基礎設施(銀行、郵件伺服器、電信),時機及規模都十分敏感,顯示背後可能存在目的性操作。
深入解析
文章從美國將 SPACECOM、CYBERCOM 等單位「整合效果以開路」的記者會發言開始,提出一個耐人尋味的觀點:現代軍事部署前,網路空間的『熱身動作』已經成為常態。換句話說,攻擊者不需要直接入侵,也能透過調整網路路由取得情報優勢。
作者指出:
當 BGP 流量從 A 點到 B 點,中間可以被導向 C 點。如果你控制了 C 點,即使只是幾小時,你都能收集大量情報。
我特別注意到文章解析的三個異常:
- AS 路徑不尋常:CANTV(AS8048)在 AS path 中被重複 10 次,這非常違反 BGP 的「短路徑優先」邏輯,看起來像是刻意「避免讓流量走向 CANTV」。
- 前綴集中於 200.74.224.0/20:WHOIS 查詢顯示這些 IP 來自 Dayco Telecom,亦即多家關鍵基礎設施服務都在其上。
- Cloudflare Radar 僅顯示異常但未列出前綴:作者用 bgpdump 及 RIPE 的 MRT 資料補齊了缺失的細節。
這些跡象加總起來,形成一條耐人尋味的時間線:
- Jan 2:BGP route leak
- Jan 3 06:00:美軍抵達馬杜羅官邸
- Jan 3 08:29:馬杜羅被押上 USS Iwo Jima
這種「網路異常先行 → 實體行動接著發生」的節奏,讓人很難忽視背後可能的意圖。
子標題解析
1. 為什麼 BGP 是攻擊者的最佳切入點?
BGP 本質上是基於信任的協定,只要你能讓別人相信某個路由由你負責,中間人攻擊就變得可能。作者提到 Sparkle 未實作 RPKI filtering,這等於是開了一扇門讓路由錯置(route leak)更容易發生。
2. 異常是否代表攻擊?
作者沒有下定論,也特別強調「BGP 異常經常發生」。但時機、範圍、受影響的目標(銀行、ISP、郵件系統)都敏感到令人不禁推論其背後可能存在目的性操作。這種深度分析提供了觀察現代網路戰的框架,而不是輕率推測。
筆者心得與啟發
讀完這篇,我最大的感受是:現代衝突不再只是飛彈與軍艦,而是先從網路路由開始。
我們往往以為網路戰是入侵、植入惡意軟體、破壞系統,但這篇文章提醒我:單純的路由操弄就足以改變情報流向,甚至為實體軍事行動鋪路。
對安全從業者來說,我認為有三個啟示:
- 監控 BGP 不該只是營運層面的任務,而是資安的一環。
- RPKI 等安全機制不只是「好看」而是真正能阻擋操作空間的基礎設施。
- 公開資料(Cloudflare、RIPE、bgpdump)其實可以還原大量行為痕跡,善用公開情報是一項能力。
如果你對「網路如何參與地緣政治」有興趣,這期 Radar 絕對值得細讀。這也是我喜歡 Low Orbit Security 的原因:它不是在講八卦,而是提供能理解世界變化的技術視角。