前缀[word doc]Co-Monitor:检测前缀劫持的协作监测机制

劫持检测  时间:2021-03-27  阅读:()

Co-Monitor检测前缀劫持的协作监测机制IS SN 1000—9825,CODENRUXUEW

JournalofSoftware,Vo 1.21,No.10,October2010,PP.2584—2598doi:l0.3724/SP.J.100120l0.03657

@byInstituteofSoftware,theChineseAcademyofSciences.Allrightsreserved

Co.Monitor:检测前缀劫

刘欣,,朱培栋,彭宇行

持的协作监测机制

„(国防科学技术大学计算机学院,湖南长沙410073)

(中国联通湖南分公司,湖南长沙410014)

E-mail:jos@iseas.ac.cnhnp://www.j o s.org.cn

Tbl/Fax:+86一l0.62562563

Co—Monitor:CollaborativeMonitoringMechanismforDetectingPrefixHijacks

LIUXin‟ ,ZHUPei.Dong,PENGYu—Xing

„(SchoolofComputer,NationalUniversityofDefenseTechnology,Changsha410073,China)

(Hu‟nanBranchofChinaUnicom,Changsha410014,China)

十Correspondingauthor:E-mail:xin.1 iu 【@nudt.edu.ca

LiuX,ZhuPD,PengYX.Co—Monitor:Collaborativemonitoringmechanismfordetectingprefixhijacks.

Journalo fS o ftware,2010,21(10):2584—2598.http://www.j o s.org.cn/l000—9825/3657.ht m

Abstract:Intoday‟S Internet,itisverydifficultfornetworkoperatorstodiscoverprefixh~acksintime.

ConsideringtheautonomouscharacteristicoftheInternetinter-domainroutingsystem,thispaperprovidestheideaofcollaborativemonitoringamongmultipleAutonomous Systems(ASes).Thispaperalsoexaminesthedesignofanewmethod,namedCo—Monitorthatdetectsprefixhij acksinreal—time.InCo-Monitor,everyparticipantASexchangesself-definedprefix—to—originmappinginformationwiththeothers,andtheymonitorlocalBGP(bordergatewayprotoco 1)updatesrespectively.OncesomeparticipantdiscoversthattheoriginofinformationofaBGProuteis inc ons istentwiththelearnedpre fix—to—originmappinginformation,itnotifiesrelativeparticipantsimmediately;thereby,Co—Monitorcanhelpparticipantsdetectprefixhij acksquicklyandeffectively.ThispaperpresentsthedetaileddesignofCo—Monitor,evaluatesitsdetectingcapabiliti

es,andalsodiscussesseveralrelatedproblems.TheexperimentalresultsshowthatCo—Monitor,withonlyselected60participants.isaccuratewithO%falsenegativeratioand0%falsepositiveratio.

Keywords:BGP;autonomoussystem;prefixhij acking;sourceverification;collaborativemonitoring

摘要:在如今的互联网中,网络管理员要想及时地发现前缀劫持事件非常困难.考虑到互联网域间路由系统中

存在的自治特性,提出了在多个自治系统之间协作监测前缀的思想,并由此设计了一个实时检测前缀劫持的新方法

一co—Monitor机制.在Co.Monitor中,每个参与者与其他参与者交换自定义的前缀一源自治系统映射信息,同时,利

用所学到的前缀一源自治系统映射信息实时地监测本地BGP(bordergatewayprotoco 1)路由更新.一旦某个参与者发

现了不一致就立刻通知相关的参与者,从而可帮助参与者及时,有效地发现前缀劫持.给出了Co.Monitor机制的详

+Suppo SedbytheNationalNaturalScienceFoundationofChinaGrantNos.60873214,60433040(国家自然科学基金);theNational

High—TechResearchandDevelopmentPlano fChinaunderGrantNos.2006AA01 Z213,2006AA01 Z332(国家高技术研究发展计划

(863));theResearchFoundationforPh,D.C andidateso fNationalUnivers ity

ofDefenseTechnologyofChinaunderGrantNo.B070603

(国防科学技术大学博士研究生创新资助)

Received2008--08—25;Accepted2009—05-?05

刘欣等:Co—Monitor:检测前缀劫持的协作监测机制2585

细设计,评估了该机制的检测能力,并讨论了几个相关的问题.实验结果表明,只需精心选择6O个参与者,就可确保

Co.Monitor系统检测前缀劫持的漏检率和误检率都为O%.

关键词:边界网关协议;自治系统;前缀劫持;宣告方验证;协作监测

中图法分类号:TP393文献标识码:A

互联网由许多相互连接的自治系统(autonomoussystem,简称AS)组成,这些自治系统使用边界网关协议

(bordergatewayprotocol,简称BGP)交换各自的网络层可达信息I】 ].每当一个自治系统向外宣告一条BGP路由,

它就会把自己的自治系统号附加在该路由的ASPATH属性的尾端,最初宣告该路由的A治系统被称为该路由

的源自治系统(originAS),其自治系统号就位于该路由的ASPATH属性的最右端.BGP协议规定,BGP发言人必

须无条件地相信其他发言人宣告或传递的路由.因而,一个自治系统可随意地发布他自治系统拥有的前缀,从

而形成前缀劫持攻击.这种路由攻击的关键特征是BGP路由中的前缀与源自治系统的对应关系f或称为前缀源

信~t(prefixorigins))不合法【2】 .

前缀劫持是当前BGP路由系统所面临的一个严重的安全威胁,轻则增加路由器负载,重则影响络连通性.

实际观察表明,前缀劫持现象确实经常发生,许多大规模的网络瘫痪事故都与此相关pJ.值得注意的是,还有许

多小型的前缀劫持(只涉及到几个前缀)很少被报道或是难以察觉,它们的安全威胁也不容忽视.举例而言,2005

年5月7日,Google中断了近1小时的网络服务,Google事后的解释是错误配置DN S服务器所致l6J.然而,Wan

等人在研究后发现,网络运营商Cogent(AS174)在事故期间宣告了Google(AS15169)的前缀64.233.161.0/24,他

们进而推测Cogent对Google实施的前缀劫持攻击很可能是此次事故的真正原因】 .另一个小型的前缀劫持事

件更具有代表性,它就是曾在互联网上引起轩然大波的Yo uTub e服务中断事件.2008年2月24日,由于宗教冲

突原因,巴基斯坦电信管理局(PakistanTele comAuthority)命令巴基斯坦的网络运营商阻塞YouTube(AS36561)

的前缀208.65.153.0/24.但是,巴基斯坦电信(AS17557)泄露了相关路由,并通过香港的电讯盈科(As3491)存互联

网上广为扩散,这次前缀劫持事件造成Yo uTub e服务中断了两个多小时J.

近年来,无论是工业界还是学术界都非常关注BGP路由系统中的前缀劫持问题.然而,网络运营商要想及时

地发现前缀劫持事件依然十分困难.现有的检测方案要么不够实用,要么能力不足,详见本文第1节.我们认为,

实用而又有效的前缀劫持检测方案不应忽视BGP路由系统的自治特性:在保护各个自治系统的路由信息私密

性的前提下,不仅要能帮助网络管理员便捷地获取其他自治系统的相关信息,还要能帮助其列外贡献本地路由

域中的相关信息,使它们能够互利互惠地完成各自的前缀劫持检测任务.

由此,本文把每个自治系统对本地路由域的监测能力视为一种资源,提出了协作监测前缀的思想,进而设计

了一种实时检测前缀劫持的新方法一一co—Monitor机制.在Co—Monitor中,每个参与其中的自治系统需要与其

他参与者交换自定义的前缀一源自治系统映射信息,同时利用所学到的全局的前缀源自治系统映射信息实时监

测本地BOP路由更新.一旦某个参与者发现了不一致就立刻通知相关的参与者.通过这种方式,Co.Monitor机制

就可以帮助参与者及时地发现前缀劫持.本文提出的Co.Monitor机制具有以下5个特点:1)位于互联的应用

层‟除了需要通过哑iBGP会话采集BGP路由外”,不需要对现有的互联网路由基础设施作任何改变,这便于实

际应用与增量部署;2)利用宣告方验证前缀的思想获得了当前最实用,最准确的前缀劫持判断能力,这样就可

保证检测前缀劫持的误检率(falsepositiveratio)~至0%;3)利用协作监测前缀的思想可显着扩展每个参与者

的路由监测范围,从而极大地降低检测前缀劫持的漏检率(falsenegativeratio);4)每个参与者只需负责监测本

地路由域中的BGP路由器,这种方式分摊了整个系统的监测开销,因而不存在现有BGP监测系统那样严峻的可

扩展性问题;5)各个参与者交换的只是自定义的前缀一源自治系统映射信息,传递的消息中也只含有相关BGP

路由的前缀源变化信息,都不涉及具体的BGP路由,因而不会泄漏任何自治系统的私密信息.现有的前缀劫持检

测方案都不同时具备这些优势,这使得它可以帮助网络管理员实时,有效地检测前缀劫持事件.

“哑BGP会话是指只用于接收而不宣告路由更新的BGP会话.通过这种会话可在采集BGP路由数据时不影响BGP路由系统

2586JournalofSoftware软件Vo 1.21,No,10,October2010

本文的工作不能取代完整的互联网域问路由安全方案.我们没有考虑ASPATH或其他BGP属性的验证问

题.特别地,Co.Monitor机制不能检测由于篡改ASPATH属性而形成的类似于前缀劫持的路由攻击,该机制也

不能主动地防范前缀劫持.Co.Monitor机制仅面向自治系统的网络管理员,帮助他们快速响应前缀劫持事件.

本文第1节介绍相关工作.第2节概述Co—Monitor机制检测前缀劫

持的基本原理.第3节详述CoMonitor

机制的设计方案,其中包括关键前缀,实体认证,消息定义,消息传递,成员管理,拓扑维护与消息抑制等内

容.第4节评估Co—Monitor机制检测前缀劫持的能力.第5节讨论相关问题.最后总结全文.

1相关工作

从实施前缀劫持检测的位置来看,相关工作大致可归为两类:一类是在路由接收方实施的方案[9-17]另一类

是在路由宣告方实施的方案[8-.前一类方案是当前研究的主流,还可进一步细分为防范方案和推断方案.防范

方案多是扩展BGP协议的安全增强机制,比如S-BGP[,soBGP[1 o】和psBGP¨ll等,尽管它们在理论上可以较好地

解决前缀劫持问题,但考虑到协议开销,协议扩展以及设备升级等现实问题,这类方案并不实用;而推断方案可

增量部署且不必改动底层的路由设施,但推断结果的漏检率和误检率还有待降低[15,16].第2类方案较少,但比较

实用,多是当前正在运作的BGP监测系统,比如窥镜服务器(1 ookingglasses)u,RIPE的MyASN公共服务L2oJ

以及Renesys公司的Gradus商业服务[21]等.在日常的网络管理中,网络运营商主要使用这类工具诊断BGP路由

的各种问题.本文的Co—Monitor机制属于第2类方案,从提升网络运营商前缀监测能力的角度开展研究.

通常.网络运营商会自愿设立窥镜服务器,供他人受限地查询本地BGP路由¨.这些数量庞大的窥镜服务

器是网络管理员在诊断BGP路由时最常用的工具.但是,网络运营商若要及时地发现前缀劫持,窥镜服务器的作

用还很有限:首先,窥镜服务器提供的路由查询服务不是一种标准的服务,并且,由于担心内部路由信息泄露,许

多网络运营商对窥镜服务器进行了限制,比如,只允许手工访问等;其次,选择窥镜服务器很有技巧,即使是有经

验的网络管理员也需要主动地访问许多窥镜服务器才可能发现前缀劫持,这个过程会耗费大量的时间和精力;

最后,正是由于前两个原因,人们往往只是在出现前缀劫持,并引起了网络连通性故障以后,才注意到问题的存

在.显然,这种”拉模式”的手工检测方式太过原始,难以帮助网络管理员快速地响应前缀劫持问题.

为减轻网络管理员的负担,业界开发了几个基于”推模式”的BGP监测系统,比如MyASN,Gradus和

PHAS(prefixh~ackalertsystem)[]等.现有的这些BGP监测系统的体系结构基本相似:它们都由第三方机构设

立,都要求与多个自治系统的BGP路由器建立多跳步的哑eBGP会话,集中地采集,分析BGP路由更新,并提

供集中式的路由监测服务.这种集中式的体系结构主要存在3个缺陷:1)系统的监测能力严重地受制于系统的

物语云-VPS-美国洛杉矶VPS无限流量云windows大带宽100M不限流量 26/月起

物语云计算怎么样?物语云计算(MonogatariCloud)是一家成立于2016年的老牌国人商家,主营国内游戏高防独服业务,拥有多家机房资源,产品质量过硬,颇有一定口碑。本次带来的是特惠活动为美国洛杉矶Cera机房的不限流量大带宽VPS,去程直连回程4837,支持免费安装Windows系统。值得注意的是,物语云采用的虚拟化技术为Hyper-v,因此并不会超售超开。一、物语云官网点击此处进入物语云...

tmhhost:暑假快乐,全高端线路,VPS直接8折,200G高防,美国gia日本软银韩国cn2香港cn2大带宽

tmhhost为2021年暑假开启了全场大促销,全部都是高端线路的VPS,速度快有保障。美国洛杉矶CN2 GIA+200G高防、洛杉矶三网CN2 GIA、洛杉矶CERA机房CN2 GIA,日本软银(100M带宽)、香港BGP直连200M带宽、香港三网CN2 GIA、韩国双向CN2。本次活动结束于8月31日。官方网站:https://www.tmhhost.com8折优惠码:TMH-SUMMER日本...

华为云年中聚惠618活动,新用户专区,云服务器低至88元/年,3年仅580.98元,热销抢购中,最后2天!

华为云怎么样?华为云用在线的方式将华为30多年在ICT基础设施领域的技术积累和产品解决方案开放给客户,致力于提供稳定可靠、安全可信、可持续创新的云服务,做智能世界的“黑土地”,推进实现“用得起、用得好、用得放心”的普惠AI。华为云作为底座,为华为全栈全场景AI战略提供强大的算力平台和更易用的开发平台。本次年终聚惠618活动相当给力,1核2G内存1m云耀云服务器仅88元/年起,送主机安全基础版套餐,...

劫持检测为你推荐
ISBNessdell服务器bios设置dell R410服务器 bios设置参数如何恢复出厂设置?波音737起飞爆胎为什么很少见到飞机轮胎爆胎?支持http大飞资讯伯乐资讯是什么公司滴滴估值500亿滴滴拉屎 App 为何能估值 100 亿美金?是怎么计算出来的抢米网怎么样才能在小米官方网站抢到手机?温州商标注册温州注册公司在哪里注册瞄准的拼音碰的拼音是什么即时通平台有好的放单平台吗?
国内最好的虚拟主机 vps侦探 拜登买域名批特朗普 wordpress主机 瓦工 国外主机 cve-2014-6271 国外空间服务商 win8.1企业版升级win10 165邮箱 linux服务器维护 美国免费空间 绍兴电信 t云 网通服务器 西安服务器托管 广州虚拟主机 万网空间 摩尔庄园注册 大化网 更多