前缀[word doc]Co-Monitor:检测前缀劫持的协作监测机制

劫持检测  时间:2021-03-27  阅读:()

Co-Monitor检测前缀劫持的协作监测机制IS SN 1000—9825,CODENRUXUEW

JournalofSoftware,Vo 1.21,No.10,October2010,PP.2584—2598doi:l0.3724/SP.J.100120l0.03657

@byInstituteofSoftware,theChineseAcademyofSciences.Allrightsreserved

Co.Monitor:检测前缀劫

刘欣,,朱培栋,彭宇行

持的协作监测机制

„(国防科学技术大学计算机学院,湖南长沙410073)

(中国联通湖南分公司,湖南长沙410014)

E-mail:jos@iseas.ac.cnhnp://www.j o s.org.cn

Tbl/Fax:+86一l0.62562563

Co—Monitor:CollaborativeMonitoringMechanismforDetectingPrefixHijacks

LIUXin‟ ,ZHUPei.Dong,PENGYu—Xing

„(SchoolofComputer,NationalUniversityofDefenseTechnology,Changsha410073,China)

(Hu‟nanBranchofChinaUnicom,Changsha410014,China)

十Correspondingauthor:E-mail:xin.1 iu 【@nudt.edu.ca

LiuX,ZhuPD,PengYX.Co—Monitor:Collaborativemonitoringmechanismfordetectingprefixhijacks.

Journalo fS o ftware,2010,21(10):2584—2598.http://www.j o s.org.cn/l000—9825/3657.ht m

Abstract:Intoday‟S Internet,itisverydifficultfornetworkoperatorstodiscoverprefixh~acksintime.

ConsideringtheautonomouscharacteristicoftheInternetinter-domainroutingsystem,thispaperprovidestheideaofcollaborativemonitoringamongmultipleAutonomous Systems(ASes).Thispaperalsoexaminesthedesignofanewmethod,namedCo—Monitorthatdetectsprefixhij acksinreal—time.InCo-Monitor,everyparticipantASexchangesself-definedprefix—to—originmappinginformationwiththeothers,andtheymonitorlocalBGP(bordergatewayprotoco 1)updatesrespectively.OncesomeparticipantdiscoversthattheoriginofinformationofaBGProuteis inc ons istentwiththelearnedpre fix—to—originmappinginformation,itnotifiesrelativeparticipantsimmediately;thereby,Co—Monitorcanhelpparticipantsdetectprefixhij acksquicklyandeffectively.ThispaperpresentsthedetaileddesignofCo—Monitor,evaluatesitsdetectingcapabiliti

es,andalsodiscussesseveralrelatedproblems.TheexperimentalresultsshowthatCo—Monitor,withonlyselected60participants.isaccuratewithO%falsenegativeratioand0%falsepositiveratio.

Keywords:BGP;autonomoussystem;prefixhij acking;sourceverification;collaborativemonitoring

摘要:在如今的互联网中,网络管理员要想及时地发现前缀劫持事件非常困难.考虑到互联网域间路由系统中

存在的自治特性,提出了在多个自治系统之间协作监测前缀的思想,并由此设计了一个实时检测前缀劫持的新方法

一co—Monitor机制.在Co.Monitor中,每个参与者与其他参与者交换自定义的前缀一源自治系统映射信息,同时,利

用所学到的前缀一源自治系统映射信息实时地监测本地BGP(bordergatewayprotoco 1)路由更新.一旦某个参与者发

现了不一致就立刻通知相关的参与者,从而可帮助参与者及时,有效地发现前缀劫持.给出了Co.Monitor机制的详

+Suppo SedbytheNationalNaturalScienceFoundationofChinaGrantNos.60873214,60433040(国家自然科学基金);theNational

High—TechResearchandDevelopmentPlano fChinaunderGrantNos.2006AA01 Z213,2006AA01 Z332(国家高技术研究发展计划

(863));theResearchFoundationforPh,D.C andidateso fNationalUnivers ity

ofDefenseTechnologyofChinaunderGrantNo.B070603

(国防科学技术大学博士研究生创新资助)

Received2008--08—25;Accepted2009—05-?05

刘欣等:Co—Monitor:检测前缀劫持的协作监测机制2585

细设计,评估了该机制的检测能力,并讨论了几个相关的问题.实验结果表明,只需精心选择6O个参与者,就可确保

Co.Monitor系统检测前缀劫持的漏检率和误检率都为O%.

关键词:边界网关协议;自治系统;前缀劫持;宣告方验证;协作监测

中图法分类号:TP393文献标识码:A

互联网由许多相互连接的自治系统(autonomoussystem,简称AS)组成,这些自治系统使用边界网关协议

(bordergatewayprotocol,简称BGP)交换各自的网络层可达信息I】 ].每当一个自治系统向外宣告一条BGP路由,

它就会把自己的自治系统号附加在该路由的ASPATH属性的尾端,最初宣告该路由的A治系统被称为该路由

的源自治系统(originAS),其自治系统号就位于该路由的ASPATH属性的最右端.BGP协议规定,BGP发言人必

须无条件地相信其他发言人宣告或传递的路由.因而,一个自治系统可随意地发布他自治系统拥有的前缀,从

而形成前缀劫持攻击.这种路由攻击的关键特征是BGP路由中的前缀与源自治系统的对应关系f或称为前缀源

信~t(prefixorigins))不合法【2】 .

前缀劫持是当前BGP路由系统所面临的一个严重的安全威胁,轻则增加路由器负载,重则影响络连通性.

实际观察表明,前缀劫持现象确实经常发生,许多大规模的网络瘫痪事故都与此相关pJ.值得注意的是,还有许

多小型的前缀劫持(只涉及到几个前缀)很少被报道或是难以察觉,它们的安全威胁也不容忽视.举例而言,2005

年5月7日,Google中断了近1小时的网络服务,Google事后的解释是错误配置DN S服务器所致l6J.然而,Wan

等人在研究后发现,网络运营商Cogent(AS174)在事故期间宣告了Google(AS15169)的前缀64.233.161.0/24,他

们进而推测Cogent对Google实施的前缀劫持攻击很可能是此次事故的真正原因】 .另一个小型的前缀劫持事

件更具有代表性,它就是曾在互联网上引起轩然大波的Yo uTub e服务中断事件.2008年2月24日,由于宗教冲

突原因,巴基斯坦电信管理局(PakistanTele comAuthority)命令巴基斯坦的网络运营商阻塞YouTube(AS36561)

的前缀208.65.153.0/24.但是,巴基斯坦电信(AS17557)泄露了相关路由,并通过香港的电讯盈科(As3491)存互联

网上广为扩散,这次前缀劫持事件造成Yo uTub e服务中断了两个多小时J.

近年来,无论是工业界还是学术界都非常关注BGP路由系统中的前缀劫持问题.然而,网络运营商要想及时

地发现前缀劫持事件依然十分困难.现有的检测方案要么不够实用,要么能力不足,详见本文第1节.我们认为,

实用而又有效的前缀劫持检测方案不应忽视BGP路由系统的自治特性:在保护各个自治系统的路由信息私密

性的前提下,不仅要能帮助网络管理员便捷地获取其他自治系统的相关信息,还要能帮助其列外贡献本地路由

域中的相关信息,使它们能够互利互惠地完成各自的前缀劫持检测任务.

由此,本文把每个自治系统对本地路由域的监测能力视为一种资源,提出了协作监测前缀的思想,进而设计

了一种实时检测前缀劫持的新方法一一co—Monitor机制.在Co—Monitor中,每个参与其中的自治系统需要与其

他参与者交换自定义的前缀一源自治系统映射信息,同时利用所学到的全局的前缀源自治系统映射信息实时监

测本地BOP路由更新.一旦某个参与者发现了不一致就立刻通知相关的参与者.通过这种方式,Co.Monitor机制

就可以帮助参与者及时地发现前缀劫持.本文提出的Co.Monitor机制具有以下5个特点:1)位于互联的应用

层‟除了需要通过哑iBGP会话采集BGP路由外”,不需要对现有的互联网路由基础设施作任何改变,这便于实

际应用与增量部署;2)利用宣告方验证前缀的思想获得了当前最实用,最准确的前缀劫持判断能力,这样就可

保证检测前缀劫持的误检率(falsepositiveratio)~至0%;3)利用协作监测前缀的思想可显着扩展每个参与者

的路由监测范围,从而极大地降低检测前缀劫持的漏检率(falsenegativeratio);4)每个参与者只需负责监测本

地路由域中的BGP路由器,这种方式分摊了整个系统的监测开销,因而不存在现有BGP监测系统那样严峻的可

扩展性问题;5)各个参与者交换的只是自定义的前缀一源自治系统映射信息,传递的消息中也只含有相关BGP

路由的前缀源变化信息,都不涉及具体的BGP路由,因而不会泄漏任何自治系统的私密信息.现有的前缀劫持检

测方案都不同时具备这些优势,这使得它可以帮助网络管理员实时,有效地检测前缀劫持事件.

“哑BGP会话是指只用于接收而不宣告路由更新的BGP会话.通过这种会话可在采集BGP路由数据时不影响BGP路由系统

2586JournalofSoftware软件Vo 1.21,No,10,October2010

本文的工作不能取代完整的互联网域问路由安全方案.我们没有考虑ASPATH或其他BGP属性的验证问

题.特别地,Co.Monitor机制不能检测由于篡改ASPATH属性而形成的类似于前缀劫持的路由攻击,该机制也

不能主动地防范前缀劫持.Co.Monitor机制仅面向自治系统的网络管理员,帮助他们快速响应前缀劫持事件.

本文第1节介绍相关工作.第2节概述Co—Monitor机制检测前缀劫

持的基本原理.第3节详述CoMonitor

机制的设计方案,其中包括关键前缀,实体认证,消息定义,消息传递,成员管理,拓扑维护与消息抑制等内

容.第4节评估Co—Monitor机制检测前缀劫持的能力.第5节讨论相关问题.最后总结全文.

1相关工作

从实施前缀劫持检测的位置来看,相关工作大致可归为两类:一类是在路由接收方实施的方案[9-17]另一类

是在路由宣告方实施的方案[8-.前一类方案是当前研究的主流,还可进一步细分为防范方案和推断方案.防范

方案多是扩展BGP协议的安全增强机制,比如S-BGP[,soBGP[1 o】和psBGP¨ll等,尽管它们在理论上可以较好地

解决前缀劫持问题,但考虑到协议开销,协议扩展以及设备升级等现实问题,这类方案并不实用;而推断方案可

增量部署且不必改动底层的路由设施,但推断结果的漏检率和误检率还有待降低[15,16].第2类方案较少,但比较

实用,多是当前正在运作的BGP监测系统,比如窥镜服务器(1 ookingglasses)u,RIPE的MyASN公共服务L2oJ

以及Renesys公司的Gradus商业服务[21]等.在日常的网络管理中,网络运营商主要使用这类工具诊断BGP路由

的各种问题.本文的Co—Monitor机制属于第2类方案,从提升网络运营商前缀监测能力的角度开展研究.

通常.网络运营商会自愿设立窥镜服务器,供他人受限地查询本地BGP路由¨.这些数量庞大的窥镜服务

器是网络管理员在诊断BGP路由时最常用的工具.但是,网络运营商若要及时地发现前缀劫持,窥镜服务器的作

用还很有限:首先,窥镜服务器提供的路由查询服务不是一种标准的服务,并且,由于担心内部路由信息泄露,许

多网络运营商对窥镜服务器进行了限制,比如,只允许手工访问等;其次,选择窥镜服务器很有技巧,即使是有经

验的网络管理员也需要主动地访问许多窥镜服务器才可能发现前缀劫持,这个过程会耗费大量的时间和精力;

最后,正是由于前两个原因,人们往往只是在出现前缀劫持,并引起了网络连通性故障以后,才注意到问题的存

在.显然,这种”拉模式”的手工检测方式太过原始,难以帮助网络管理员快速地响应前缀劫持问题.

为减轻网络管理员的负担,业界开发了几个基于”推模式”的BGP监测系统,比如MyASN,Gradus和

PHAS(prefixh~ackalertsystem)[]等.现有的这些BGP监测系统的体系结构基本相似:它们都由第三方机构设

立,都要求与多个自治系统的BGP路由器建立多跳步的哑eBGP会话,集中地采集,分析BGP路由更新,并提

供集中式的路由监测服务.这种集中式的体系结构主要存在3个缺陷:1)系统的监测能力严重地受制于系统的

Hosteons:洛杉矶/纽约/达拉斯免费升级10Gbps端口,KVM年付21美元起

今年1月的时候Hosteons开始提供1Gbps端口KVM架构VPS,目前商家在LET发布消息,到本月30日之前,用户下单洛杉矶/纽约/达拉斯三个地区机房KVM主机可以从1Gbps免费升级到10Gbps端口,最低年付仅21美元起。Hosteons是一家成立于2018年的国外VPS主机商,主要提供VPS、Hybrid Dedicated Servers及独立服务器租用等,提供IPv4+IPv6,支持...

御云(RoyalYun):香港CN2 GIA VPS仅7.9元每月起,美国vps仅8.9/月,续费同价,可叠加优惠

御云怎么样?炎炎暑期即将来临,御云(royalyun)香港、美国服务器开启大特惠模式。御云是新成立的云服务提供商,主要提供香港、美国的云服务器,不久将开启虚拟主机业务。我们的香港和美国主机采用CN2 GIA线路。目前,香港cn2 gia vps仅7.9元每月起,美国vps仅8.9/月,续费同价,可叠加优惠,香港云服务器国内延迟一般在50ms左右,是搭建网站的最佳选择,但是请不要用于违法用途。点击进...

Boomer.Host(年付3.5美)休斯敦便宜VPS

Boomer.Host是一家比较新的国外主机商,虽然LEB自述 we’re now more than 2 year old,商家提供虚拟主机和VPS,其中VPS主机基于OpenVZ架构,数据中心为美国得克萨斯州休斯敦。目前,商家在LET发了两款特别促销套餐,年付最低3.5美元起,特别提醒:低价低配,且必须年付,请务必自行斟酌确定需求再入手。下面列出几款促销套餐的配置信息。CPU:1core内存:...

劫持检测为你推荐
thinksns什么是thinkphpphpmyadmin下载phpmyadmin怎么安装,求网站空间商帮助。字节跳动回应TikTok易主每天每夜要结束了主持人问关于抄袭的问题,权志龙很认真的回答不想说的,想在以后做好的那段话的音乐叫什重庆网站制作重庆网站制作,哪家公司服务,价格都比较好?piaonimai这位主播叫什么300051三五互联请问300051三五互联还会继续盘升吗?可信网站可信网站认证怎么做?贵不?价格大概是多少?武林官网欢go客户端一般在哪里下载是官方的?申请400电话400电话如何办理?drupal教程drupal框架初学,请问开发流程是怎么样的,这个框架是对本体做修改,是不是说最后的成品就是这个d
cn域名价格 hawkhost优惠码 omnis kddi Hello图床 gateone 名片模板psd debian6 css样式大全 青果网 卡巴斯基永久免费版 gg广告 促正网秒杀 网站木马检测工具 秒杀汇 cdn加速原理 paypal注册教程 万网空间管理 starry 贵阳电信测速 更多