前缀[word doc]Co-Monitor：检测前缀劫持的协作监测机制

Co-Monitor检测前缀劫持的协作监测机制IS SN 1000—9825,CODENRUXUEW

JournalofSoftware,Vo 1.21,No.10,October2010,PP.2584—2598doi:l0.3724/SP.J.100120l0.03657

@byInstituteofSoftware,theChineseAcademyofSciences.Allrightsreserved

Co.Monitor:检测前缀劫

刘欣,,朱培栋,彭宇行

持的协作监测机制

„(国防科学技术大学计算机学院,湖南长沙410073)

(中国联通湖南分公司,湖南长沙410014)

E-mail:jos@iseas.ac.cnhnp://www.j o s.org.cn

Tbl/Fax:+86一l0.62562563

Co—Monitor:CollaborativeMonitoringMechanismforDetectingPrefixHijacks

LIUXin‟ ,ZHUPei.Dong,PENGYu—Xing

„(SchoolofComputer,NationalUniversityofDefenseTechnology,Changsha410073,China)

(Hu‟nanBranchofChinaUnicom,Changsha410014,China)

十Correspondingauthor:E-mail:xin.1 iu 【@nudt.edu.ca

LiuX,ZhuPD,PengYX.Co—Monitor:Collaborativemonitoringmechanismfordetectingprefixhijacks.

Journalo fS o ftware,2010,21(10):2584—2598.http://www.j o s.org.cn/l000—9825/3657.ht m

Abstract:Intoday‟S Internet,itisverydifficultfornetworkoperatorstodiscoverprefixh~acksintime.

ConsideringtheautonomouscharacteristicoftheInternetinter-domainroutingsystem,thispaperprovidestheideaofcollaborativemonitoringamongmultipleAutonomous Systems(ASes).Thispaperalsoexaminesthedesignofanewmethod,namedCo—Monitorthatdetectsprefixhij acksinreal—time.InCo-Monitor,everyparticipantASexchangesself-definedprefix—to—originmappinginformationwiththeothers,andtheymonitorlocalBGP(bordergatewayprotoco 1)updatesrespectively.OncesomeparticipantdiscoversthattheoriginofinformationofaBGProuteis inc ons istentwiththelearnedpre fix—to—originmappinginformation,itnotifiesrelativeparticipantsimmediately;thereby,Co—Monitorcanhelpparticipantsdetectprefixhij acksquicklyandeffectively.ThispaperpresentsthedetaileddesignofCo—Monitor,evaluatesitsdetectingcapabiliti

es,andalsodiscussesseveralrelatedproblems.TheexperimentalresultsshowthatCo—Monitor,withonlyselected60participants.isaccuratewithO%falsenegativeratioand0%falsepositiveratio.

Keywords:BGP;autonomoussystem;prefixhij acking;sourceverification;collaborativemonitoring

摘要:在如今的互联网中,网络管理员要想及时地发现前缀劫持事件非常困难.考虑到互联网域间路由系统中

存在的自治特性,提出了在多个自治系统之间协作监测前缀的思想,并由此设计了一个实时检测前缀劫持的新方法

一co—Monitor机制.在Co.Monitor中,每个参与者与其他参与者交换自定义的前缀一源自治系统映射信息,同时,利

用所学到的前缀一源自治系统映射信息实时地监测本地BGP(bordergatewayprotoco 1)路由更新.一旦某个参与者发

现了不一致就立刻通知相关的参与者,从而可帮助参与者及时,有效地发现前缀劫持.给出了Co.Monitor机制的详

+Suppo SedbytheNationalNaturalScienceFoundationofChinaGrantNos.60873214,60433040(国家自然科学基金);theNational

High—TechResearchandDevelopmentPlano fChinaunderGrantNos.2006AA01 Z213,2006AA01 Z332(国家高技术研究发展计划

(863));theResearchFoundationforPh,D.C andidateso fNationalUnivers ity

ofDefenseTechnologyofChinaunderGrantNo.B070603

(国防科学技术大学博士研究生创新资助)

Received2008--08—25;Accepted2009—05-?05

刘欣等:Co—Monitor:检测前缀劫持的协作监测机制2585

细设计,评估了该机制的检测能力,并讨论了几个相关的问题.实验结果表明,只需精心选择6O个参与者,就可确保

Co.Monitor系统检测前缀劫持的漏检率和误检率都为O%.

关键词:边界网关协议;自治系统;前缀劫持;宣告方验证;协作监测

中图法分类号:TP393文献标识码:A

互联网由许多相互连接的自治系统(autonomoussystem,简称AS)组成,这些自治系统使用边界网关协议

(bordergatewayprotocol,简称BGP)交换各自的网络层可达信息I】 ].每当一个自治系统向外宣告一条BGP路由,

它就会把自己的自治系统号附加在该路由的ASPATH属性的尾端,最初宣告该路由的A治系统被称为该路由

的源自治系统(originAS),其自治系统号就位于该路由的ASPATH属性的最右端.BGP协议规定,BGP发言人必

须无条件地相信其他发言人宣告或传递的路由.因而,一个自治系统可随意地发布他自治系统拥有的前缀,从

而形成前缀劫持攻击.这种路由攻击的关键特征是BGP路由中的前缀与源自治系统的对应关系f或称为前缀源

信~t(prefixorigins))不合法【2】 .

前缀劫持是当前BGP路由系统所面临的一个严重的安全威胁,轻则增加路由器负载,重则影响络连通性.

实际观察表明,前缀劫持现象确实经常发生,许多大规模的网络瘫痪事故都与此相关pJ.值得注意的是,还有许

多小型的前缀劫持(只涉及到几个前缀)很少被报道或是难以察觉,它们的安全威胁也不容忽视.举例而言,2005

年5月7日,Google中断了近1小时的网络服务,Google事后的解释是错误配置DN S服务器所致l6J.然而,Wan

等人在研究后发现,网络运营商Cogent(AS174)在事故期间宣告了Google(AS15169)的前缀64.233.161.0/24,他

们进而推测Cogent对Google实施的前缀劫持攻击很可能是此次事故的真正原因】 .另一个小型的前缀劫持事

件更具有代表性,它就是曾在互联网上引起轩然大波的Yo uTub e服务中断事件.2008年2月24日,由于宗教冲

突原因,巴基斯坦电信管理局(PakistanTele comAuthority)命令巴基斯坦的网络运营商阻塞YouTube(AS36561)

的前缀208.65.153.0/24.但是,巴基斯坦电信(AS17557)泄露了相关路由,并通过香港的电讯盈科(As3491)存互联

网上广为扩散,这次前缀劫持事件造成Yo uTub e服务中断了两个多小时J.

近年来,无论是工业界还是学术界都非常关注BGP路由系统中的前缀劫持问题.然而,网络运营商要想及时

地发现前缀劫持事件依然十分困难.现有的检测方案要么不够实用,要么能力不足,详见本文第1节.我们认为,

实用而又有效的前缀劫持检测方案不应忽视BGP路由系统的自治特性:在保护各个自治系统的路由信息私密

性的前提下,不仅要能帮助网络管理员便捷地获取其他自治系统的相关信息,还要能帮助其列外贡献本地路由

域中的相关信息,使它们能够互利互惠地完成各自的前缀劫持检测任务.

由此,本文把每个自治系统对本地路由域的监测能力视为一种资源,提出了协作监测前缀的思想,进而设计

了一种实时检测前缀劫持的新方法一一co—Monitor机制.在Co—Monitor中,每个参与其中的自治系统需要与其

他参与者交换自定义的前缀一源自治系统映射信息,同时利用所学到的全局的前缀源自治系统映射信息实时监

测本地BOP路由更新.一旦某个参与者发现了不一致就立刻通知相关的参与者.通过这种方式,Co.Monitor机制

就可以帮助参与者及时地发现前缀劫持.本文提出的Co.Monitor机制具有以下5个特点:1)位于互联的应用

层‟除了需要通过哑iBGP会话采集BGP路由外”,不需要对现有的互联网路由基础设施作任何改变,这便于实

际应用与增量部署;2)利用宣告方验证前缀的思想获得了当前最实用,最准确的前缀劫持判断能力,这样就可

保证检测前缀劫持的误检率(falsepositiveratio)~至0%;3)利用协作监测前缀的思想可显着扩展每个参与者

的路由监测范围,从而极大地降低检测前缀劫持的漏检率(falsenegativeratio);4)每个参与者只需负责监测本

地路由域中的BGP路由器,这种方式分摊了整个系统的监测开销,因而不存在现有BGP监测系统那样严峻的可

扩展性问题;5)各个参与者交换的只是自定义的前缀一源自治系统映射信息,传递的消息中也只含有相关BGP

路由的前缀源变化信息,都不涉及具体的BGP路由,因而不会泄漏任何自治系统的私密信息.现有的前缀劫持检

测方案都不同时具备这些优势,这使得它可以帮助网络管理员实时,有效地检测前缀劫持事件.

“哑BGP会话是指只用于接收而不宣告路由更新的BGP会话.通过这种会话可在采集BGP路由数据时不影响BGP路由系统

2586JournalofSoftware软件Vo 1.21,No,10,October2010

本文的工作不能取代完整的互联网域问路由安全方案.我们没有考虑ASPATH或其他BGP属性的验证问

题.特别地,Co.Monitor机制不能检测由于篡改ASPATH属性而形成的类似于前缀劫持的路由攻击,该机制也

不能主动地防范前缀劫持.Co.Monitor机制仅面向自治系统的网络管理员,帮助他们快速响应前缀劫持事件.

本文第1节介绍相关工作.第2节概述Co—Monitor机制检测前缀劫

持的基本原理.第3节详述CoMonitor

机制的设计方案,其中包括关键前缀,实体认证,消息定义,消息传递,成员管理,拓扑维护与消息抑制等内

容.第4节评估Co—Monitor机制检测前缀劫持的能力.第5节讨论相关问题.最后总结全文.

1相关工作

从实施前缀劫持检测的位置来看,相关工作大致可归为两类:一类是在路由接收方实施的方案[9-17]另一类

是在路由宣告方实施的方案[8-.前一类方案是当前研究的主流,还可进一步细分为防范方案和推断方案.防范

方案多是扩展BGP协议的安全增强机制,比如S-BGP[,soBGP[1 o】和psBGP¨ll等,尽管它们在理论上可以较好地

解决前缀劫持问题,但考虑到协议开销,协议扩展以及设备升级等现实问题,这类方案并不实用;而推断方案可

增量部署且不必改动底层的路由设施,但推断结果的漏检率和误检率还有待降低[15,16].第2类方案较少,但比较

实用,多是当前正在运作的BGP监测系统,比如窥镜服务器(1 ookingglasses)u,RIPE的MyASN公共服务L2oJ

以及Renesys公司的Gradus商业服务[21]等.在日常的网络管理中,网络运营商主要使用这类工具诊断BGP路由

的各种问题.本文的Co—Monitor机制属于第2类方案,从提升网络运营商前缀监测能力的角度开展研究.

通常.网络运营商会自愿设立窥镜服务器,供他人受限地查询本地BGP路由¨.这些数量庞大的窥镜服务

器是网络管理员在诊断BGP路由时最常用的工具.但是,网络运营商若要及时地发现前缀劫持,窥镜服务器的作

用还很有限:首先,窥镜服务器提供的路由查询服务不是一种标准的服务,并且,由于担心内部路由信息泄露,许

多网络运营商对窥镜服务器进行了限制,比如,只允许手工访问等;其次,选择窥镜服务器很有技巧,即使是有经

验的网络管理员也需要主动地访问许多窥镜服务器才可能发现前缀劫持,这个过程会耗费大量的时间和精力;

最后,正是由于前两个原因,人们往往只是在出现前缀劫持,并引起了网络连通性故障以后,才注意到问题的存

在.显然,这种”拉模式”的手工检测方式太过原始,难以帮助网络管理员快速地响应前缀劫持问题.

为减轻网络管理员的负担,业界开发了几个基于”推模式”的BGP监测系统,比如MyASN,Gradus和

PHAS(prefixh~ackalertsystem)[]等.现有的这些BGP监测系统的体系结构基本相似:它们都由第三方机构设

立,都要求与多个自治系统的BGP路由器建立多跳步的哑eBGP会话,集中地采集,分析BGP路由更新,并提

供集中式的路由监测服务.这种集中式的体系结构主要存在3个缺陷:1)系统的监测能力严重地受制于系统的