[发明专利]面向误配置的域间前缀劫持检测方法

说明书

技术领域

本发明涉及域间网络安全领域，特别涉及一种面向误配置的域间前缀劫持检测方法。

背景技术

目前，Internet和较大的网络服务提供者(ISP)的网络被分成大量的自治系统(Autonomous System，AS)，由自治系统来定义管理区域和作用于自治系统范围内的路由策略。如今的互联网由25 000多个自治系统组成，这些自治系统通过边界网关协议(BGP)传递路由更新信息。BGP协议运行在各个自治系统的边界路由器上，它通过各个自治系统的边界路由器之间所交换的AS级路由可达性信息来完成域间路由，从而实现各个自治系统之间网络信息的可达。根据BGP协议，每个自治系统的边界路由器在工作过程中会定时向自己的邻居宣告路由更新报文，在所述的路由更新报文中，包括有最新的网络前缀信息的宣告与撤销。其他自治系统中的路由器在收到这些路由更新报文后，会根据其中的网络前缀信息选择最优路由。

BGP协议在Internet上的广泛应用使得它已经成为当前域间路由协议的事实标准。但是BGP协议在制定之初并没有充分考虑安全机制，而在当前运营BGP协议时，也未充分启用相应的保护机制，这使得当前的互联网络中存在潜在的或现实的安全威胁。在域间安全领域，由于BGP协议自身的不足所带来的安全威胁尤为突出，其中的基于BGP的域间前缀劫持攻击更已经成为当前互联网络中最难以防范的安全威胁。

所述的域间前缀劫持是指：从属于某个自治系统的边界路由器通过BGP向外发布了不属于自身前缀信息的更新报文或者对外发布虚假的最优选路，导致了真实网络的不可达。以图1所示的互联网拓扑图为例，在该网络中包含有A、B、C、D、E、F、G等多个自治系统。假设其中的自治系统F拥有前缀信息202.194.10.1/8，自治系统C若要与自治系统F中的该前缀通信，在正常情况下需要通过路径[C、B、A、F]。如果自治系统E 由于某种原因向外宣告前缀信息202.194.10.1/16属于自己(即发生了域间前缀劫持)，那么根据最短路由的特性，当自治系统C与前缀202.194.10.1/8通信时，路由路径会变为[C、D、E]。由于前缀202.194.10.1/8实际在自治系统F中，因此，自治系统C无法与该前缀通信。这种改变同样会对自治系统B、D造成影响。

域间前缀劫持的发生会对互联网络产生重大的危害，轻则导致部分运营商受到影响，严重时能导致一个国家、甚至全球骨干网络的瘫痪。例如2004年12月24日，土耳其ISP服务提供商TTNet通过BGP向外发送了完整的互联网路由信息。由于TTNet外发的路由信息中声称他们是互联网上最好的路由，这一错误导致来自亚马逊、微软、雅虎和CNN网站全部选择该ISP作为最佳路由，这导致当天上午大部分的互联网流量流入到土耳其，时间达数小时之久，产生极其严重的后果。再如2008年2月，巴基斯坦电信局(Pakistan Telecom)在试图限制本国用户访问YouTube网站时，由于配置错误，使得它通过BGP向香港的ISP服务提供商PCCW发送了新的路由信息。该路由信息声称，它有最佳的路由到达YouTube。此后PCCW在互联网上传播了错误的路由信息，导致在接下来的二个小时内，世界各地的大多数YouTube用户都无法访问其网站。

对现实生活中所发生的网络安全事件进行分析可以知道，绝大多数的域间前缀劫持的发生是由于管理人员或路由器软件的误配置，而不是外部人员的恶意攻击。这与大型的ISP运营商对于域间网络的安全防护极为重视，有足够的财力与物力有效阻断外部的恶意攻击有关。而对于本网络中的误配置，或者由于关注程度不够、或者由于所需配置数据量较大，因而时有发生。

鉴于现实生活中的上述情况，如果各个AS能够自动检测本区域内的误配置，将能够极大地降低发生域间前缀劫持的风险，真正提高骨干网络的网络安全。但在现有技术中，缺少由各个AS自动检测本区域内误配置的相关方法。

发明内容

本发明的目的是克服误配置所造成的域间前缀劫持，从而提供一种面向误配置的域间前缀劫持检测方法。

为了实现上述目的，本发明提供了一种网络系统，包括至少一个自治系统，其特征在于，所述自治系统包括边界路由器和监测探针；其中，所述监测探针包括有用于存储所在自治系统中的前缀信息的网络前缀信息列表；

所述监测探针获取边界路由器发出的路由更新报文后，分析路由更新报文中的条目，并将该条目中的前缀信息与网络前缀信息列表中的前缀信息进行比较；根据比较结果需要对网络前缀信息列表中的前缀信息进行添加或更改前，主动检测相关条目的合法性。