[发明专利]域间前缀劫持检测与定位方法

说明书

技术领域

本发明涉及域间网络安全领域，特别涉及一种域间前缀劫持检测与定位方法。

背景技术

目前，Internet和较大的网络服务提供者(ISP)的网络被分成大量的自治系统(Autonomous System，AS)，由自治系统来定义管理区域和作用于自治系统范围内的路由策略。如今的互联网由25000多个自治系统组成，这些自治系统通过边界网关协议(BGP)传递路由更新信息。BGP协议运行在各个自治系统的边界路由器上，它通过各个自治系统的边界路由器之间所交换的AS级路由可达性信息来完成域间路由，从而实现各个自治系统之间网络信息的可达。根据BGP协议，每个自治系统的边界路由器在工作过程中会定时向自己的邻居宣告路由更新报文，在所述的路由更新报文中，包括有最新的网络前缀信息的宣告与撤销。其他自治系统中的路由器在收到这些路由更新报文后，会根据其中的网络前缀信息选择最优路由。

BGP协议在Internet上的广泛应用使得它已经成为当前域间路由协议的事实标准。但是BGP协议在制定之初并没有充分考虑安全机制，而在当前运营BGP协议时，也未充分启用相应的保护机制，这使得当前的互联网络中存在潜在的或现实的安全威胁。在域间安全领域，由于BGP协议自身的不足所带来的安全威胁尤为突出，其中的基于BGP的域间前缀劫持攻击更已经成为当前互联网络中最难以防范的安全威胁。

所述的域间前缀劫持是指：从属于某个自治系统的边界路由器通过BGP向外发布了不属于自身前缀信息的更新报文或者对外发布虚假的最优选路，导致了真实网络的不可达。以图1所示的互联网拓扑图为例，在该网络中包含有A、B、C、D、E、F等多个自治系统。假设其中的自治系统F拥有前缀信息192.168.3.1/255，自治系统C若要与自治系统F中的该前缀通信，在正常情况下需要通过路径[C、B、A、F]。如果自治系统E也向外宣告前缀信息192.168.3.1/255属于自己(即发生了域间前缀劫持)，那么根据最短路由的特性，当自治系统C与前缀192.168.3.1/255通信时，路由路径会变为[C、D、E]。由于前缀192.168.3.1/255实际在自治系统F中，因此，自治系统C无法与该前缀通信。域间前缀劫持发生的一个重要原因是接收路由更新报文的自治系统无法对所接收到的路由更新报文的正确性加以检验。

域间前缀劫持的发生会对互联网络产生重大的危害，轻则导致部分运营商受到影响，严重时能导致一个国家、甚至全球骨干网络的瘫痪。例如2004年12月24日，土耳其ISP服务提供商TTNet通过BGP向外发送了完整的互联网路由信息。由于TTNet外发的路由信息中声称他们是互联网上最好的路由，这一错误导致来自亚马逊、微软、雅虎和CNN网站全部选择该ISP作为最佳路由，这导致当天上午大部分的互联网流量流入到土耳其，时间达数小时之久，产生极其严重的后果。再如2008年2月，巴基斯坦电信局(Pakistan Telecom)在试图限制本国用户访问YouTube网站时，由于配置错误，使得它通过BGP向香港的ISP服务提供商PCCW发送了新的路由信息。该路由信息声称，它有最佳的路由到达YouTube。此后PCCW在互联网上传播了错误的路由信息，导致在接下来的二个小时内，世界各地的大多数YouTube用户都无法访问其网站。

针对前缀劫持所带来的巨大危害，当前业界提出了两大类型的解决方法。一种类型的解决方法是对BGP的安全协议进行扩展，该类方法以S-BGP和soBGP为代表，它们利用PKI技术可以严格保证BGP路由安全。但由于协议开销等问题，运营商普遍难以接受这些方案。为避免S-BGP等强类型安全路由协议在实际应用中遇到的困境，近年来又提出了Listen-Whisper以及psBGP等机制。这些机制以降低安全能力为代价大量削减协议开销。然而，这些方案也未被运营商所接受。迄今为止依然没有一个BGP协议安全扩展方案被运营商实际广泛地应用。