前缀[word doc]Co-Monitor:检测前缀劫持的协作监测机制

劫持检测  时间:2021-03-27  阅读:()

Co-Monitor检测前缀劫持的协作监测机制IS SN 1000—9825,CODENRUXUEW

JournalofSoftware,Vo 1.21,No.10,October2010,PP.2584—2598doi:l0.3724/SP.J.100120l0.03657

@byInstituteofSoftware,theChineseAcademyofSciences.Allrightsreserved

Co.Monitor:检测前缀劫

刘欣,,朱培栋,彭宇行

持的协作监测机制

„(国防科学技术大学计算机学院,湖南长沙410073)

(中国联通湖南分公司,湖南长沙410014)

E-mail:jos@iseas.ac.cnhnp://www.j o s.org.cn

Tbl/Fax:+86一l0.62562563

Co—Monitor:CollaborativeMonitoringMechanismforDetectingPrefixHijacks

LIUXin‟ ,ZHUPei.Dong,PENGYu—Xing

„(SchoolofComputer,NationalUniversityofDefenseTechnology,Changsha410073,China)

(Hu‟nanBranchofChinaUnicom,Changsha410014,China)

十Correspondingauthor:E-mail:xin.1 iu 【@nudt.edu.ca

LiuX,ZhuPD,PengYX.Co—Monitor:Collaborativemonitoringmechanismfordetectingprefixhijacks.

Journalo fS o ftware,2010,21(10):2584—2598.http://www.j o s.org.cn/l000—9825/3657.ht m

Abstract:Intoday‟S Internet,itisverydifficultfornetworkoperatorstodiscoverprefixh~acksintime.

ConsideringtheautonomouscharacteristicoftheInternetinter-domainroutingsystem,thispaperprovidestheideaofcollaborativemonitoringamongmultipleAutonomous Systems(ASes).Thispaperalsoexaminesthedesignofanewmethod,namedCo—Monitorthatdetectsprefixhij acksinreal—time.InCo-Monitor,everyparticipantASexchangesself-definedprefix—to—originmappinginformationwiththeothers,andtheymonitorlocalBGP(bordergatewayprotoco 1)updatesrespectively.OncesomeparticipantdiscoversthattheoriginofinformationofaBGProuteis inc ons istentwiththelearnedpre fix—to—originmappinginformation,itnotifiesrelativeparticipantsimmediately;thereby,Co—Monitorcanhelpparticipantsdetectprefixhij acksquicklyandeffectively.ThispaperpresentsthedetaileddesignofCo—Monitor,evaluatesitsdetectingcapabiliti

es,andalsodiscussesseveralrelatedproblems.TheexperimentalresultsshowthatCo—Monitor,withonlyselected60participants.isaccuratewithO%falsenegativeratioand0%falsepositiveratio.

Keywords:BGP;autonomoussystem;prefixhij acking;sourceverification;collaborativemonitoring

摘要:在如今的互联网中,网络管理员要想及时地发现前缀劫持事件非常困难.考虑到互联网域间路由系统中

存在的自治特性,提出了在多个自治系统之间协作监测前缀的思想,并由此设计了一个实时检测前缀劫持的新方法

一co—Monitor机制.在Co.Monitor中,每个参与者与其他参与者交换自定义的前缀一源自治系统映射信息,同时,利

用所学到的前缀一源自治系统映射信息实时地监测本地BGP(bordergatewayprotoco 1)路由更新.一旦某个参与者发

现了不一致就立刻通知相关的参与者,从而可帮助参与者及时,有效地发现前缀劫持.给出了Co.Monitor机制的详

+Suppo SedbytheNationalNaturalScienceFoundationofChinaGrantNos.60873214,60433040(国家自然科学基金);theNational

High—TechResearchandDevelopmentPlano fChinaunderGrantNos.2006AA01 Z213,2006AA01 Z332(国家高技术研究发展计划

(863));theResearchFoundationforPh,D.C andidateso fNationalUnivers ity

ofDefenseTechnologyofChinaunderGrantNo.B070603

(国防科学技术大学博士研究生创新资助)

Received2008--08—25;Accepted2009—05-?05

刘欣等:Co—Monitor:检测前缀劫持的协作监测机制2585

细设计,评估了该机制的检测能力,并讨论了几个相关的问题.实验结果表明,只需精心选择6O个参与者,就可确保

Co.Monitor系统检测前缀劫持的漏检率和误检率都为O%.

关键词:边界网关协议;自治系统;前缀劫持;宣告方验证;协作监测

中图法分类号:TP393文献标识码:A

互联网由许多相互连接的自治系统(autonomoussystem,简称AS)组成,这些自治系统使用边界网关协议

(bordergatewayprotocol,简称BGP)交换各自的网络层可达信息I】 ].每当一个自治系统向外宣告一条BGP路由,

它就会把自己的自治系统号附加在该路由的ASPATH属性的尾端,最初宣告该路由的A治系统被称为该路由

的源自治系统(originAS),其自治系统号就位于该路由的ASPATH属性的最右端.BGP协议规定,BGP发言人必

须无条件地相信其他发言人宣告或传递的路由.因而,一个自治系统可随意地发布他自治系统拥有的前缀,从

而形成前缀劫持攻击.这种路由攻击的关键特征是BGP路由中的前缀与源自治系统的对应关系f或称为前缀源

信~t(prefixorigins))不合法【2】 .

前缀劫持是当前BGP路由系统所面临的一个严重的安全威胁,轻则增加路由器负载,重则影响络连通性.

实际观察表明,前缀劫持现象确实经常发生,许多大规模的网络瘫痪事故都与此相关pJ.值得注意的是,还有许

多小型的前缀劫持(只涉及到几个前缀)很少被报道或是难以察觉,它们的安全威胁也不容忽视.举例而言,2005

年5月7日,Google中断了近1小时的网络服务,Google事后的解释是错误配置DN S服务器所致l6J.然而,Wan

等人在研究后发现,网络运营商Cogent(AS174)在事故期间宣告了Google(AS15169)的前缀64.233.161.0/24,他

们进而推测Cogent对Google实施的前缀劫持攻击很可能是此次事故的真正原因】 .另一个小型的前缀劫持事

件更具有代表性,它就是曾在互联网上引起轩然大波的Yo uTub e服务中断事件.2008年2月24日,由于宗教冲

突原因,巴基斯坦电信管理局(PakistanTele comAuthority)命令巴基斯坦的网络运营商阻塞YouTube(AS36561)

的前缀208.65.153.0/24.但是,巴基斯坦电信(AS17557)泄露了相关路由,并通过香港的电讯盈科(As3491)存互联

网上广为扩散,这次前缀劫持事件造成Yo uTub e服务中断了两个多小时J.

近年来,无论是工业界还是学术界都非常关注BGP路由系统中的前缀劫持问题.然而,网络运营商要想及时

地发现前缀劫持事件依然十分困难.现有的检测方案要么不够实用,要么能力不足,详见本文第1节.我们认为,

实用而又有效的前缀劫持检测方案不应忽视BGP路由系统的自治特性:在保护各个自治系统的路由信息私密

性的前提下,不仅要能帮助网络管理员便捷地获取其他自治系统的相关信息,还要能帮助其列外贡献本地路由

域中的相关信息,使它们能够互利互惠地完成各自的前缀劫持检测任务.

由此,本文把每个自治系统对本地路由域的监测能力视为一种资源,提出了协作监测前缀的思想,进而设计

了一种实时检测前缀劫持的新方法一一co—Monitor机制.在Co—Monitor中,每个参与其中的自治系统需要与其

他参与者交换自定义的前缀一源自治系统映射信息,同时利用所学到的全局的前缀源自治系统映射信息实时监

测本地BOP路由更新.一旦某个参与者发现了不一致就立刻通知相关的参与者.通过这种方式,Co.Monitor机制

就可以帮助参与者及时地发现前缀劫持.本文提出的Co.Monitor机制具有以下5个特点:1)位于互联的应用

层‟除了需要通过哑iBGP会话采集BGP路由外”,不需要对现有的互联网路由基础设施作任何改变,这便于实

际应用与增量部署;2)利用宣告方验证前缀的思想获得了当前最实用,最准确的前缀劫持判断能力,这样就可

保证检测前缀劫持的误检率(falsepositiveratio)~至0%;3)利用协作监测前缀的思想可显着扩展每个参与者

的路由监测范围,从而极大地降低检测前缀劫持的漏检率(falsenegativeratio);4)每个参与者只需负责监测本

地路由域中的BGP路由器,这种方式分摊了整个系统的监测开销,因而不存在现有BGP监测系统那样严峻的可

扩展性问题;5)各个参与者交换的只是自定义的前缀一源自治系统映射信息,传递的消息中也只含有相关BGP

路由的前缀源变化信息,都不涉及具体的BGP路由,因而不会泄漏任何自治系统的私密信息.现有的前缀劫持检

测方案都不同时具备这些优势,这使得它可以帮助网络管理员实时,有效地检测前缀劫持事件.

“哑BGP会话是指只用于接收而不宣告路由更新的BGP会话.通过这种会话可在采集BGP路由数据时不影响BGP路由系统

2586JournalofSoftware软件Vo 1.21,No,10,October2010

本文的工作不能取代完整的互联网域问路由安全方案.我们没有考虑ASPATH或其他BGP属性的验证问

题.特别地,Co.Monitor机制不能检测由于篡改ASPATH属性而形成的类似于前缀劫持的路由攻击,该机制也

不能主动地防范前缀劫持.Co.Monitor机制仅面向自治系统的网络管理员,帮助他们快速响应前缀劫持事件.

本文第1节介绍相关工作.第2节概述Co—Monitor机制检测前缀劫

持的基本原理.第3节详述CoMonitor

机制的设计方案,其中包括关键前缀,实体认证,消息定义,消息传递,成员管理,拓扑维护与消息抑制等内

容.第4节评估Co—Monitor机制检测前缀劫持的能力.第5节讨论相关问题.最后总结全文.

1相关工作

从实施前缀劫持检测的位置来看,相关工作大致可归为两类:一类是在路由接收方实施的方案[9-17]另一类

是在路由宣告方实施的方案[8-.前一类方案是当前研究的主流,还可进一步细分为防范方案和推断方案.防范

方案多是扩展BGP协议的安全增强机制,比如S-BGP[,soBGP[1 o】和psBGP¨ll等,尽管它们在理论上可以较好地

解决前缀劫持问题,但考虑到协议开销,协议扩展以及设备升级等现实问题,这类方案并不实用;而推断方案可

增量部署且不必改动底层的路由设施,但推断结果的漏检率和误检率还有待降低[15,16].第2类方案较少,但比较

实用,多是当前正在运作的BGP监测系统,比如窥镜服务器(1 ookingglasses)u,RIPE的MyASN公共服务L2oJ

以及Renesys公司的Gradus商业服务[21]等.在日常的网络管理中,网络运营商主要使用这类工具诊断BGP路由

的各种问题.本文的Co—Monitor机制属于第2类方案,从提升网络运营商前缀监测能力的角度开展研究.

通常.网络运营商会自愿设立窥镜服务器,供他人受限地查询本地BGP路由¨.这些数量庞大的窥镜服务

器是网络管理员在诊断BGP路由时最常用的工具.但是,网络运营商若要及时地发现前缀劫持,窥镜服务器的作

用还很有限:首先,窥镜服务器提供的路由查询服务不是一种标准的服务,并且,由于担心内部路由信息泄露,许

多网络运营商对窥镜服务器进行了限制,比如,只允许手工访问等;其次,选择窥镜服务器很有技巧,即使是有经

验的网络管理员也需要主动地访问许多窥镜服务器才可能发现前缀劫持,这个过程会耗费大量的时间和精力;

最后,正是由于前两个原因,人们往往只是在出现前缀劫持,并引起了网络连通性故障以后,才注意到问题的存

在.显然,这种”拉模式”的手工检测方式太过原始,难以帮助网络管理员快速地响应前缀劫持问题.

为减轻网络管理员的负担,业界开发了几个基于”推模式”的BGP监测系统,比如MyASN,Gradus和

PHAS(prefixh~ackalertsystem)[]等.现有的这些BGP监测系统的体系结构基本相似:它们都由第三方机构设

立,都要求与多个自治系统的BGP路由器建立多跳步的哑eBGP会话,集中地采集,分析BGP路由更新,并提

供集中式的路由监测服务.这种集中式的体系结构主要存在3个缺陷:1)系统的监测能力严重地受制于系统的

CloudCone 新增洛杉矶优化线路 年付17.99美元且简单线路测试

CloudCone 商家在以前的篇幅中也有多次介绍到,这个商家也蛮有意思的。以前一直只有洛杉矶MC机房,而且在功能上和Linode、DO、Vultr一样可以随时删除采用按时计费模式。但是,他们没有学到人家的精华部分,要这样的小时计费,一定要机房多才有优势,否则压根没有多大用途。这不最近CloudCone商家有点小变化,有新人洛杉矶优化线路,具体是什么优化的等会我测试看看线路。内存CPU硬盘流量价格...

LightNode(7.71美元),免认证高质量香港CN2 GIA

LightNode是一家位于香港的VPS服务商.提供基于KVM虚拟化技术的VPS.在提供全球常见节点的同时,还具备东南亚地区、中国香港等边缘节点.满足开发者建站,游戏应用,外贸电商等应用场景的需求。新用户注册充值就送,最高可获得20美元的奖励金!成为LightNode的注册用户后,还可以获得属于自己的邀请链接。通过你的邀请链接带来的注册用户,你将直接获得该用户的消费的10%返佣,永久有效!平台目前...

青果网络618:洛杉矶CN2 GIA/东京CN2套餐年付199元起,国内高防独服套餐66折

青果网络怎么样?青果网络隶属于泉州市青果网络科技有限公司,青果网络商家成立于2015年4月1日,拥有工信部颁发的全网IDC/ISP/IP-VPN资质,是国内为数不多具有IDC/ISP双资质的综合型云计算服务商。青果网络是APNIC和CNNIC地址分配联盟成员,泉州市互联网协会会员单位,信誉非常有保障。目前,青果网络商家正式开启了618云特惠活动,针对国内外机房都有相应的优惠。点击进入:青果网络官方...

劫持检测为你推荐
netshwinsockresetwin7系统我在输入netsh winsock reset后错误代码11003求大神解决上不了网sns网站有哪些中国都有哪些sns网站?还有它们都是哪个类型的?大飞资讯手机出现热点资讯怎么关闭购物车在超市、商场中为什么需要使用购物车呢?温州商标注册温州商标注册?温州商标注册温州注册公司在哪里注册瞄准的拼音碰的拼音是什么青岛网通测速中国联通宽带,青岛地区咋样,与网通有啥区别可信网站网站备案了,还要验证可信网站吗?他们有什么区别社区动力如何大力加强社区基层党组织建设
vps是什么意思 免费域名解析 photonvps webhostingpad 海外服务器 空间打开慢 patcha 本网站服务器在美国 蜗牛魔方 jsp空间 tna官网 免费phpmysql空间 天翼云盘 东莞服务器 台湾google ebay注册 华为k3 supercache 电信宽带测速软件 阿里dns 更多