对于许多公司来说，一个噩梦般的场景是发现他们所有的网络流量突然都掌握在不友好势力手中。这发生在11月12日的谷歌，当时尼日利亚一家小型互联网服务提供商的员工配置了其中一台网络设备的边界网关协议(BGP)过滤器，让谷歌的流量流向尼日利亚，途中经过俄罗斯和中国。

配置在一个多小时内修复，但与此同时，谷歌的内部网络正在世界各地巡回发送他们的流量。这将影响谷歌搜索和谷歌云运营(见图；右键点击选择“查看图片”查看更大版本)，以及谷歌客户使用其云服务的操作。

(相关资料图)

发生配置错误时，尼日利亚ISP的MainOne Cable正在执行例行软件更新。此时，路由器开始向互联网做广告，称这是一种适合谷歌流量的方式。中国和俄罗斯的互联网服务提供商看到这个广告后采取了行动，这最终意味着谷歌流量没有去谷歌，而是去了俄罗斯，在那里被传输到中国，在那里大多数人都死了。

谷歌的数据在中国无处可去。

中国的边缘路由器是中国“大防火墙”的一部分，它只丢弃未经授权的数据包。谷歌及其服务的用户刚刚失去联系。最初的担心是谷歌的网络流量被劫持，但后来的调查显示，这只是人为错误。调查还显示，MainOne没有实施任何保护措施来确保其BGP广告是正确的。原来，俄罗斯和中国都没有互联网服务。

此后，MainOne解决了这个问题，并提出了必要的保护措施。但这并不意味着风险已经消失。有线电视公司做错的事情，很容易通过将一个或多个用户的互联网流量发送到他们不应该去的地方来完成。其实已经完成了。最近，是一个为中国军队工作的黑客。

令人担忧的是，BGP配置错误很容易实现，也很难修复。幸运的是，你可以在推特上看BGPMON找到这种情况。这项服务是OpenDNS的一部分，谷歌重定向很快被发现，这反过来导致了它的快速修复。

但是作为互联网的最终用户，你几乎无能为力。通过使用Tracert实用程序，观察路径，然后观察延迟次数，您可以看到流量正在发生。但是，如果您的ISP或您自己的IP地址集被劫持，您能做的最好的事情就是在劫持停止之前停止使用这些IP。

单独的ISP是另一种选择。

另一种方法是通过单独的互联网服务提供商进行访问。虽然实现服务，如您的主要电子商务网站，可能会很棘手，但保持对互联网和云服务的访问应该相对透明。如果你的电商网站是基于云的，你可以继续在那里运行。

当然，这样的故障转移策略必须提前安排，但它的用途将不止于BGP劫持。从分布式拒绝服务攻击到错误的路由器配置，您的互联网路径可能会中断。

另一个必要的步骤是确保您的数据受到保护。当BGP出现问题时，谷歌并不担心数据丢失，因为它的所有数据都是加密的。它还可以为您的公司节省成本。另一个步骤是使用虚拟专用网络来处理任何重要的数据。

使用虚拟专用网将确保数据加密，但它会做得更多。如果网络地址公布不正确，虚拟专用网将无法连接，也不会传输数据。这是因为在建立虚拟网络时，会在另一端定义一个特定的IP地址。如果您正确设置了虚拟专用网络，任何更改其终止位置的尝试都将无效，因为地址不正确。

监控网络应该是给定的。

当然，您应该始终监控您的网络，而不仅仅是因为有意或无意地试图劫持网络。一个好的网络监控应用程序会发现您的网络地址的变化，并提醒您的信息技术人员。Spiceworks还能够在网络监视器上处理任务，因为它是免费的，易于理解和有效的。

有了有效的监控服务，你几乎可以立即知道它什么时候会对网络产生负面影响，无论是BGP配置问题、恶意WiFi接入点的出现还是内部网络上的非授权用户。光看延迟数字就会告诉你有问题。

网关协议是互联网的早期遗产，当时大多数行为都基于信任。不幸的是，在这个恶意软件和间谍的时代，信任已经成为过去，所以你需要有一种方法来确保互联网上发生的事情是你想要发生的。这一挑战只会变得更加重要。