跳至主要內容

什麼是 ASN?掌握網際網路幕後掌控者的「身分識別證」

2008 年 2 月 24 日,巴基斯坦電信公司的一個設定錯誤,在短短幾分鐘內就讓全球數百萬用戶完全無法連上 YouTube。

當時巴基斯坦政府下令在國內封鎖 YouTube。當地的電信公司(代號 AS17557)為了執行命令,修改了內部路由表,把所有往 YouTube 的流量導向一個不存在的「黑洞」。

然而,他們不小心把這個錯誤的路由資訊傳送給了上游的全球網路供應商。在短短幾分鐘內,這條錯誤的路徑就像傳染病一樣擴散到全球的網路節點。

全球的路由器都相信了這條捷徑,紛紛把用戶想看 YouTube 的封包,通通送到巴基斯坦的那個黑洞裡。

這場長達數小時的網路災難,完美展示了現代網際網路底層運作的脆弱與奧妙。而要理解這一切是怎麼發生的,我們必須先認識網際網路背後最核心的集體單位:自治系統(Autonomous System,簡稱 AS),以及它們的專屬身分證——自治系統編號(Autonomous System Number,簡稱 ASN)。

什麼是自治系統(AS)?

網際網路並不是一個單一、巨大的網路,而是由成千上萬個大大小小的獨立網路互相連結而成的。

這些獨立網路可能屬於中華電信、亞馬遜(Amazon)、Google,或者是某家大型大學或跨國企業。在網路世界中,這些由單一組織管理、擁有自主控制權的網路集合,就被稱為「自治系統」(Autonomous System)。

如果把網際網路比喻成全球航空網,那麼每個自治系統就像是不同的國家。

每個國家內部有自己的公路、鐵路和地方法規。國家內部的交通(網域內部的封包傳送)由該國自己決定。但當你要從台灣飛往美國,你就必須通過國際航線,這時就需要遵守國際民航協定。

在網路上,這些「國家」之間要互相溝通,就需要透過特定的協定。而要讓其他網路知道你的存在,你的自治系統就必須擁有一個全球唯一的號碼,這就是 ASN。

那麼,這些網路在日常運作中,又是如何與我們熟知的上網服務連結在一起的呢?

ASN 的角色:網路世界的「身分識別證」

每個自治系統在加入全球網際網路時,都會被分配到一個專屬的 ASN。這個編號就像是網路世界中的身分證字號或國家代碼。

最早在 RFC 1930 標準規範中,ASN 是由 16 位元(16-bit)二進位構成,這意味著全球最多只能有 65,536 個號碼。隨著網路爆發性成長,就像我們在 IPv4 與 IPv6 的變革 中面臨的 IP 枯竭問題一樣,16 位元的 ASN 很快就不夠用了。

於是,網際網路工程任務組(IETF)在 RFC 4893 中引進了 32 位元(32-bit)的 ASN,將可用號碼一口氣擴充到超過 42 億個。截至今天,全球已有超過 115,000 個活躍的 ASN 正在運作。

有些我們耳熟能詳的科技巨頭,旗下就擁有非常著名的 ASN:

  • AS15169:Google
  • AS16509:亞馬遜 AWS
  • AS13335:Cloudflare

當你向當地的 網際網路服務供應商(ISP) 申請寬頻上網時,你的電腦會獲得一個 IP 地址。這個 IP 地址其實隸屬於該 ISP 所擁有的某個 ASN 範疇內。

以下簡單展示使用者如何透過不同自治系統(AS)的跳轉,最終連接到目標伺服器:

使用者裝置

本地網路營運商 AS-100

過渡網路 AS-200

目標伺服器網路 AS-300

網頁伺服器

當你理解了網路是由這些大大小小的自治系統拼接而成後,接下來的問題就是:這些系統是怎麼決定要把封包送往哪一條路徑的?

BGP 路由:自治系統之間的導航系統

在自治系統之間,用來交換路由資訊的橋樑叫做「邊界網關協定」(Border Gateway Protocol,簡稱 BGP)。

如果說 TCP/IP 協定 負責定義資料封包如何打包與拆封,那麼 BGP 就是決定這些封包該走哪條路前往目的地的導航地圖。

BGP 是一種「路徑向量」(Path Vector)協定。它在規劃路線時,關注的不是個別的 IP 地址,而是「ASN 的序列」。

當你想從你的電腦發送資料到 Google 的伺服器時,BGP 路由器會查看它的路由表,尋找一條經過最少 AS 節點的路徑。這就像是坐捷運時,我們會傾向選擇轉乘次數最少的路線一樣。

一條典型的 BGP 路徑看起來會像這樣:

發送端 -> AS100 -> AS200 -> AS300 -> 接收端

這也是為什麼巴基斯坦電信當年的事故會波及全球。

當時,AS17557(巴基斯坦電信)對外宣稱:「所有去往 YouTube(AS36561)的路徑,走我這裡是最快的!」由於 BGP 協定本質上建立在各網路節點間的信任之上,全球的路由器在未經嚴格驗證的情況下接收了這個宣告,導致全球流量瞬間湧向巴基斯坦,造成癱瘓。

這種事件在網路上被稱為「BGP 綁架」(BGP Hijacking)。雖然現在各國電信商已經加強了安全機制(如 RPKI 驗證),但這依然證明了 ASN 與 BGP 在網路世界中牽一髮動全身的影響力。

既然 ASN 決定了 IP 流量的走向,那我們日常在查詢 IP 資訊時,又能從中看出什麼端倪?

如何透過 ASN 查詢 IP 的幕後擁有者

在日常的網路管理、資安防護甚至數位廣告分析中,光是知道一個 IP 地址是不夠的。

IP 地址會變動,也會被重新分配。但是,ASN 卻是相對穩固的。透過將 IP 地址對應到 ASN,我們可以直接看穿這台設備背後真正的「網路託管者」是誰。

當你使用 whoip.tw 等工具查詢一個 IP 地址時,你會獲得以下幾項關鍵資訊:

  1. IP 範疇:該 IP 隸屬於哪一個子網段。
  2. ASN:承載該 IP 的自治系統編號(例如 AS13335)。
  3. AS 名稱:該系統註冊的組織名稱(例如 Cloudflare, Inc.)。
  4. 地理位置:該 AS 註冊的國家與地區。

這在實際應用中非常有用。例如,如果你發現網站的後台有大量來自某一特定 ASN(如屬於某虛擬主機商的 AS)的异常存取,那極有可能是機器人爬蟲或惡意攻擊,此時直接封鎖該 ASN 區段,會比一個一個封鎖變動的 IP 地址要有效率得多。

此外,許多的 IP 地理位置定位技術 也是基於 ASN 資訊與電信商資料來進行交叉比對的,這能幫助網站更精確地判斷使用者的來源。

下次當你連上網路,看著網頁在毫秒內載入完成時,不妨想像一下:你的資料封包正在成千上萬個 ASN 之間,進行著一場驚心動魄、由 BGP 導航的跨國星際旅行。