作者:郑晓敏
互联网是由很多计算机网络组成的一个全球网络。它起源于1969年美国国防部高级研究计划署( DARPA)创建的ARPANET,创建初期仅含4个节点。经过四十多年的发展,互联网已经成为对人类社会影响深远的复杂网络。现在的互联网是一个融合计算机技术和通信技术的产物,充当各类现代商业活动的基础平台以及各类学术与交流活动的通信媒介。它改变了人类通信、工作、购物等活动方式,已经与人们的生活紧密地结合在一起。互联网是现代信息社会的重要基础设施。然而,作为互联网的基础设施,域间路由系统却面临着许多潜在的安全威胁。近年来,互联网的域间路由系统发生了多起路由安全事件,对整个互联网造成了很大的影响。例如,2008年2月,巴基斯坦电信错误地宣告了本属于Youtube的IP地址前缀208.65.15.0/24,导致全球一半以上的用户无法访问Youtube近两小时;2012年11月6日凌晨,Google的公用DNS( 8.8.8.8)被Moratel公司劫持,导致Google所有的服务在半个小时内无法使用;2014年11月,由于中国电信的配置失误,导致俄罗斯国内流量不停地被转发至中国。这些事件引起工业界和学术界的极大关注,已成为互联网领域的研究热点之一。
边界网关协议(BGP)是互联网中广泛使用的域间路由协议,其主要作用是将互联网中的独立自治系统(AS)相互连接。作为互联网的核心协议,BGP本身却存在许多安全问题。BGP没有有效机制能够证明宣告某个IP地址前缀的AS是此IP地址前缀的拥有者,如果一个AS宣告了并不属于它的IP地址前缀,则发生了IP地址前缀劫持。对近几年国内及国外公开路由数据进行分析发现,BGP网络中存在大量的IP地址前缀劫持异常,这些IP地址前缀劫持异常对于互联网安全来说是一种很大的威胁。劫持者可以通过对IP地址前缀的劫持进行多种方式的攻击:如果把通往正确地点的流量导向非法网络,可以实现流量吸附攻击;如果将合法流量吸引过来丢掉,就实现了路由黑洞攻击。以上两种攻击可以对特定网站的可达性实施干扰、抑制和阻断。如果劫持者伪造合法网站的IP地址,在伪造路由的辅助下(否则数据不能双向交互)则可以实现比假冒域名更高级的、更隐蔽的Web网站钓鱼,造成用户私密信息的泄露。
找到一种方法有效发现和判定lP地址前缀劫持显得尤为重要。为此,本文提出一种AS-IP宣告关系真实性评估方法.并通过真实的路由数据验证了方法的有效性。1 lP地址前缀安全研究现状
前缀劫持在互联网中造成了很大的安全危害,但长久以来并未有好的解决办法。造成IP地址前缀劫持很难发现的原因主要有以下两个方面:1)对于受到前缀劫持影响的AS,当且仅当被劫持的IP地址前缀传递到它所在的AS域才能发现前缀劫持,但提供商出于自身利益会优先选择客户路由,所以受到前缀劫持影响的AS很难发现前缀劫持;2)对于网络中的其他AS,由于边界网关协议BGP)缺乏安全机制验证IP地址前缀的宣告者是否确实拥有此地址,从而导致这些AS即使接收到劫持路由,也无法判断是否确实发生了前缀劫持。针对以上原因,前缀劫持防范也采取了不同的手段,一种是对协议本身增加有效的安全机制,利用协议对AS-IP宣告关系进行认证;另一种是实施路由安全监测,通过监测整个网络实现对IP地址前缀的保护。
1.1 BGP安全框架
目前BGP安全框架主要包括两种,一种是通过密码学原理对BGP协议进行拓展加密,用来验证BGP路由的正确性。这类框架主要有S-BGP、soBGP和ps-BGP。另一种则是以pg BGP和IRv为代表的轻量级路由安全协议拓展机制。
S-BGP是BBN公司于2000年提出的一种BGP协议安全拓展机制,它主要使用公钥证书与数字签名技术来验证BGP路由的正确性。S-BGP采用集中式的层次信任模型,并设计了两套树状PKI( public key infrastructure)结构:一套用于发放地址前缀所有权证书,另一套则用于发放BGP路由器实体证书和自治系统号(AS号)听有权证书。soBGP由White等人提出,与S-BGP类似.-oBGP也基于PKI认证,但它只定义了一套PKI一与S-BCP的分层PKI结构不同,soBGP采用Web-of-Trust模型,这使得PKI更容易部署。ps-BGP由Wan等人于2005年提出,它定义了一个前缀声明列表用来存储自己及其邻居AS宣告的IP地址前缀,通过对邻居的前缀声明列表进行查询来判读AS宣告路由信息的真实性。
以上基于加密的BGP安全框架由于实现复杂以及路由器开销大等原因并没有得到大量部署,因此相对简单的多协议安全机制被相继提出,如pg BGP、IRV等。pg BGP由Ka rlin等人于2005年提出。pg BGP认为在一段时间内稳定的路由为正常路由,并且信任此路由;若路由在短时间内不稳定,则此路由是可疑路由。只有当它稳定出现一段时间后,才能将它置为正常。IRV由Goodell等人于2003年提出。IRV的主要思路是构建一个增量查询服务器来实现对其他AS的策略查询。对于每个AS,IRV都需要设立一个增量查询服务器,用来确保其他AS可以查询到其配置策略,而这些查询服务器同时也形成了一个分布式查询系统。这些轻量级路由安全协议拓展机制虽然减少了路由器的开销,但安全性也随之降低。
综上所述,无论是基于加密的安全框架还是非加密的安全框架都没有得到广泛部署。造成这些问题的主要原因是这些机制都需要对原有的BGP协议进行更改,在BGP协议广泛使用的今天,这些方式代价过于高昂,并且很难被广大ISP所接受。为此,更多研究人员开始关注BGP安全监测技术的研究。相比于BGP安全框架,BGP安全监测不需要修改原有路由协议,只需要布置相应的监测节点,因而得到广泛应用。
1.2 BGP路由监测
相比于路由安全协议拓展机制的难以部署,路由监测系统以其不用修改BCP协议的优点得到了广泛的使用。路由监测系统通过建立一个分析服务器对采集到的整个网络的路由表进行分析,可以有效检测出整个网络的多种路由异常,通过对网络管理员及时反馈路由异常可以极大减小路由异常对整个网络的危害。
国内外学者针对BGP路由监测已经做了一些研究工作,如Oregon大学的RouteViews项目㈣、RIPE RIS项目、Telstra公司的CIDR报告、Cymru公司的Bogon路由服务器项目、Renesys公司的路由智能服务、LixiaZhang等开发的PHAS系统以及OpenDNS公司提供的BGP Mon服务。RouteViews项目提供了全球的路由信息数据,并通过一个可视化工具BGPlay来动态显示在给定的时间段内到某一前缀的路由变化情况;RIS项目从不同的采集节点采集了世界范围内的路由信息,以供学术研究或其他用途;Bogon路由服务器项目可以发现出现在公共
路由表中的私有或未分配前缀;PHAS系统可以监测IP地址前缀所有权宣告的变化,并通过电子邮件通知注册用户,然而PHAS系统只提供对较少类型异常的监测,并且依赖已注册的信息,对于注册信息没有涉及的内容则不进行监测;BGP Mon从RouteViews和RIS获得BGP update和RIB Table数据,使用PHAS系统进行分析,实时提供被劫持的前缀以及不应该出现在路由表中的AS,并且将检测结果在世界各地的分布情况进行可视化。
国内对域间路由监测的研究比国外稍晚一些,主要的监测系统有清华大学唐敏等设计的Argus路由监控分析系统和国防科学技术大学的RouSSeau系统。Argus采用被动监听方式获取实时的BGP和OSPF路由信息作为底层分析数据,实现了域间、域内拓扑的实时发现和自动生成,并能够利用分析技术生成相应的网络性能基本指标,如路由消息流量分布图、BGP收敛时间等。但该系统仅能粗略反映指定时间区间内的路由变化分布,并不能精确反映网络运行状况,并且其工作重心在于网络的运行维护与前缀劫持的监测,并没有对路由中出现的路径异常进行监测。ReaSSeau系统分析从国内采集的路由表和路由报文,从中发现可能存在的路由异常,并将异常统计结果和详细信息可视化。目前,RouSSeau系统能够提供对IPv4的支持,在具体的异常定义方面还有待改善。
1.3 AS-IP匹配关系
路由监测系统虽然得到广泛部署及应用,但其运行需要一个准确的知识库作为异常监测的标准,知识库的正确性直接决定了监测结果的正确性。由于没有一个权威机构能够提供AS-IP的准确的匹配关系,导致路由监测系统的发展受到了阻碍。
互联网上AS号及IP地址由IANA统一进行管理,并由AfriNIC、APNIC、ARIN、LACNIC、RIPE NCC进行分配。由于商业关系的复杂性,IP地址及AS号的所有者的变换并不能及时反馈到地址管理部门,使得通过管理机构构建AS-IP的准确匹配关系非常困难。AS-IP匹配关系的获取国内外均有研究。Fixedorbitr211提供AS-IP匹配关系的查询,但其准确性有待验证。CAIDA提供了AS-IP宣告关系的下载,利用RouteViews项目中的单个路由表实时更新宣告关系,但不能提供准确的匹配关系。燕强提出了一种基于稳定度的可信关系获取方法,根据历史路由的宣告信息生成时间序列,并计算稳定度,但此方法的效果受到监测节点选取的影响,生成的可信关系可能存在误判。
本文针对以上研究的不足,基于Rousseau路由监测系统的知识库构建需求,提出了一种基于空间一致性和时间稳定性的AS-IP宣告关系真实性评估方法,对域间路由网络中的AS-IP宣告关系进行真实性验证,通过时空多维度的稳定度计算避免部分监测节点因受到前缀劫持的影响而造成的数据不准确。
2 AS-IP匹配关系知识库构建
本文构建AS-IP匹配关系知识库主要通过运营商提供及宣告关系提取两种方式进行。
1)运营商提供AS-IP匹配信息
域间路由监测系统主要为互联网中的众多运营商提供服务,域间路由监测系统对运营商的特定网络的前缀劫持监测需要运营商提供AS-IP匹配信息。运营商也很关心自己所拥有的IP地址前缀以及途经自己AS的网络路径是否安全,因此运营商提供的AS-IP匹配信息可以认为是准确的AS-IP匹配关系,可直接添加至可信数据库,供监测分析使用。
2) AS-IP宣告关系提取
通过运营商并不能获取所有IP地址前缀的归属AS信息,事实上运营商仅提供极少量的AS-IP匹配关系,对于其他无法获得准确归属信息的IP地址前缀,需要通过路由数据中的宣告关系进行判断。在BGP网络中,AS将属于自己的IP地址前缀宣告给其邻居AS,同时将自己学习的宣告信息存入路由表,通过对路由表的实时分析,可以提取网络中某个IP地址前缀的归属AS。
由于BGP没有有效的机制证明宣告某个IP地址前缀的AS是此前缀的拥有者,即无法确认AS-IP的宣告关系是可信的,因此需要对宣告关系进行真实性评估。本文提出了一种基于空间一致性和时间稳定性的宣告关系真实性评估方法,可以有效地从宣告关系中提取出准确的AS-IP匹配关系。
3宣告关系真实性评估
由于网络中各种错误配置及主动攻击行为的存在,导致从路由表中提取的宣告关系并不一定是准确的AS-IP匹配关系。本文通过对不同时间的多个路由表中的宣告关系进行分析,构建宣告关系矩阵,对宣告关系矩阵依次进行空间一致性以及时间稳定性计算,从而得到宣告关系的稳定度,最后根据宣告关系稳定度对宣告关系真实性进行评估。
3.1宣告关系矩阵
本文采用从RouteViews获取的公开路由表作为数据来源,每个路由表中都包含了世界范围内40多个监测节点的路由信息,路由表每两小时更新一次,可以保证数据的可靠性。
路由数据的AS-IP宣告关系矩阵的生成主要分为两步:首先对某一时刻的路由表进行分析,对其中的每个IP地址前缀生成一个空间宣告序列;然后,将同- IP地址前缀在不同时间的空间宣告序列按时间排序,就生成了该IP地址前缀的宣告关系矩阵。其中,某一时刻的路由表中某个IP地址前缀的空间宣告序列的生成方法如下:
1)对路由表中的监测节点进行提取(在采集到的路由表中,AS路径最左侧的AS为监测节点),根据监测节点的个数生成一个全为0的序列。例如,路由表中若存在40个监测节点,则生成40位全为0的宣告序列。
2)分析AS对路由表中某个IP地址前缀的宣告关系并对宣告序列进行更新。具体方法为:若在某个监测节点的路由数据中出现了该IP地址前缀的宣告,且宣告者为AS1,则将宣告序列中该监测节点位置的0置为1;若另一监测节点的路由数据中也出现了该IP地址前缀的宣告,但宣告者为AS2,则将宣告序列中此监测节点位置的0置为-l;如果监测节点的路由数据中并未出现该IP地址前缀的宣告,则宣告序列中该监测节点位置仍为0。例如,表l给出了某一时刻路由表中的部分路由数据,由表l中的部分路由数据可以判断监测节点集合为293、11537. 3549、5056,我们首先生成一个长度为4的宣告序列0000在表1的第一条路由数据中,监测节点293监测到IP地址前缀1.2.4.0/24的宣告者为24151,所以将宣告序列中监测节点293的位置(第1位)置为1。同理,第二条路由数据中,监测节点1 1537也监测到IP地址前缀1.2.4.0/24的宣告者为24151,所以宣告序列第2位也为l。第三条路由数据中,监测节点3549监测到IP地址前缀1.2.4.0/24的宣告者为24409,其监测结果与其他监测节点不同,所以将宣告序列第3位改为一1。监测节点5056并未监测到IP地址前缀1.2.4.0/24,所以宣告序列的最后1位仍为0。这样就生成了IP地址前缀1.2.4.0/24在该时刻的宣告序列11-1 0,此宣告序列的宣告者为24151。
对不同时刻的路由表使用相同的方法进行处理,并按时间顺序将针对某-IP地址前缀生成的宣告序列排序,由最早时刻路由表生成的宣告序列排在第一行,由最新时刻路由表生成的宣告序列排在最后一行,这样就生成了针对该IP地址前缀的宣告关系矩阵。表2为针对lP地址前缀1.2.4.0/24生成的宣告关系矩阵。
表2中IP地址前缀1.2.4.0/24的宣告关系矩阵表示,在时刻1(矩阵第1行)前两个监测节点监测到了24151对此IP地址前缀的宣告,第三个监测节点监测到的宣告者不是24151最后一个监测节点没有监测到宣告者对此IP地址前缀的宣告。在时刻2、3、4(矩阵第2~4行),前三个监测节点监测到了2415I对IP地址前缀1.2.4.0/24的宣告,最后一个监测节点仍然没有监测到宣告者对此IP地址前缀的宣告。
AS-IP的宣告关系矩阵可以表示出不同时间和空间的AS-IP宣告关系,但构建可信的AS-IP匹配关系还需要对宣告关系矩阵进行一系列的运算,生成一个可以代表宣告关系稳定度的值。本文通过对宣告关系的空间一致性和时间稳定性进行分析,获得稳定度,以此来对AS-IP宣告关系的真实性进行评估。
3.2空间一致性
当IP地址前缀劫持发生时,提供商出于自身利益会优先选择客户路由,导致攻击路由不会在网络中广泛传播。对大量宣告关系矩阵进行分析发现,有很多监测节点在很长一段时间内并没有特定IP地址前缀的宣告(宣告关系矩阵一列都为0),或者IP地址前缀的宣告者不一定是该IP地址前缀的真正拥有者(宣告关系矩阵一列都为一1)。这些现象都表明,仅通过时间稳定性来判断AS-IP宣告关系是不准确的。
本文提出空间一致性检验方法来弥补时间稳定性检验方法的不足,通过空间一致性检验可以有效避免单个监测节点的片面性,并且可以有效提高AS-IP宣告关系真实性评估的准确性。空间一致性检验方法通过对宣告关系矩阵进行了空间一致性运算,最终生成一个空间稳定度向量,以此来体现不同时刻宣告关系的稳定度。空间稳定度向量的具体生成方法如公式(1)所示。
公式(1)中,a为宣告关系矩阵,i,j分别代表行和列,β代表最终生成的空间稳定度向量。使用公式(1)对表2中的宣告关系矩阵进行运算,最终生成的空间稳定度向量为
,β中的每一位均小于l。
3.3时间稳定性
前缀劫持现象是短暂的,仅通过对某一时刻的路由数据进行分析进而确定AS-IP宣告关系是不准确的。在宣告关系上,不同时间点的宣告关系的可信度并不相同,越新出现的宣告关系其可信度越高,且赋予其越高的权重。如果在最新的路由表中没有出现某个AS对某个IP地址前缀的宣告,很有可能是该宣告关系已被取消或者改变,在此之前的多次宣告并不能证明该宣告关系可信,所以只有在一段时间内保持稳定的宣告关系才是可信的宣告关系。这里对3.2节中计算生成的空间稳定度向量进行时间稳定性计算,将计算生成的宣告关系稳定度作为评估宣告关系真实性的标准。
时间稳定性计算主要通过对空间稳定度向量进行加权平均来实现,即对于空间稳定度向量中的第n位,将其乘以n的平方,这样可以有效提高最新宣告关系的权重。加权平均的具体实现方法如公式(2)、公式(3)所示。
式中,D代表权重向量,p为由公式(1)计算出的空间稳定度向量,w为最终生成的稳定度。对表2中宣告者24151与IP地址前缀1.2.4.0/24的宣告关系进行计算,该宣告关系的最终稳定度为0.977。
4实验结果及分析
将本文方法与燕强的使用单个监测节点的基于时间稳定性的方法进行对比来验证本文方法的有效性,并通过分析稳定度来反映IP地址前缀劫持情况。
4.1宣告关系真实性评估
本文选择RouteViews项目中2015年5月17日-18日每天0、6、12、18时的路由表数据作为实验数据。对实验数据分别使用本文方法和基于时间稳定性的方法进行稳定度计算,本文方法选取了路由表中全部的42个监测节点,基于时间稳定性的方法选取了8个不同的监测节点。两种方法的稳定度阈值均设置为0.9。
图1展示了通过这两种方法所获取的宣告关系总数及评估后认为可信的宣告关系数量。图1中最左边的条柱展示的是用本文方法对42个监测节点的路由数据进行计算所获取的宣告关系总数及评估后认为可信的宣告关系数量,其他条柱为8个监测节点使用基于时间稳定性的方法所获取的宣告关系总数及评估后认为可信的宣告关系数量。从图1中可以看出,监测节点的选取对基于时间稳定性的方法影响很大,错误的监测节点选取有可能导致最终无法得到有效数据。例如,监测节点5056仅能获取285条宣告关系,条柱高度很低,因此在图1中无法有效表示出来。由图1也可以看出,通过本文方法所获取的IP地址前缀数量要远多于基于时间稳定性的方法所获取的IP地址前缀数量。
实验结果表明在路由表中绝大多数(99.14%)的IP地址前缀宣告是真实可信的。但由于单个监测节点的片面性,存在一个监测节点监测到某个IP地址前缀在一段时间内始终被劫持的可能,这会导致结果的不准确。例如,对监测节点11686的数据用基于时间稳定性的方法进行分析计算,得到IP地址前缀2.16.0.0/23的拥有者为4436,其他监测节点用同样方法的数据分析结果表明该IP地址前缀的拥有者为3257。这说明网络中确实存在部分监测节点长时间受到前缀劫持影响的现象,用基于时间稳定性的方法对网络中的宣告关系进行评估并不准确。表3对比了使用本文方法和使用基于时间稳定性的方法评估出的可信宣告关系。
通过对比分析发现,监测节点11686在使用基于时间稳定性的方法进行宣告关系真实性评估时出现了407条错误的可信关系,而通过本文方法所获取的IP地址前缀的宣告者与IP地址前缀的真实拥有者一致。综合不同监测节点的结果可以得出,本文方法能够排除个别监测节点受到的劫持影响,能够对IP地址前缀宣告关系进行准确评估,并生成真实的AS-IP匹配关系数据库。
4.2前缀劫持的发现
如果网络中出现大规模IP地址前缀劫持现象,AS-IP宣告关系的稳定度就会大幅下降。由于本文方法在宣告关系矩阵构建过程中考虑到了不同宣告关系的影响,所以本文方法可以检测出前缀劫持现象的发生。实验通过分析已知发生了大规模前缀劫持事件的路由数据,对本文的前缀劫持监测方法进行了验证。
实验采用国内某运营商2010年4月8日2时至16时的路由数据,监测节点为4134、4837、9394,稳定度阈值设置为0.9。监测结果如图2所示。
由图2可以看出,系统正常运行时,系统的稳定度保持在0.95以上。当大规模前缀劫持发生时,3个监测节点均受到前缀劫持影响,导致系统的稳定度迅速下降至0.4以下o当前缀劫持结束后,系统稳定度缓慢回升。由此可见,本文方法可有效实现对前缀劫持的监测。
5结束语
本文通过对历史路由数据进行分析,提出了一种基于空间一致性和时间稳定性的AS-IP宣告关系真实性评估方法,并对RouteViews及国内某运营商的路由数据进行了分析检测,结果表明本文方法比使用单个监测节点的基于时间稳定性的方法更优越。本文方法能够有效排除单个监测节点受到的前缀劫持影响,并准确评估出宣告关系真实性。
本文全部工作都集中在IPv4上,并没有涉及IPv6,但IPv6作为互联网发展的趋势,应该得到重视。接下来需要根据本文提出的宣告关系评估方法对IPv6的宣告关系进行评估,并生成知识库,为域间路由监测系统提供知识基础。
6摘要:
在BGP网络中,如果一个自治系统(AS)宣告了并不属于它的IP地址前缀,则发生了IP地址前缀劫持。造成IP地址前缀劫持很难发现的原因主要有以下两个方面:1)对于受到前缀劫持影响的AS,当且仅当被劫持的IP地址前缀传递到它所在的AS域才能发现前缀劫持;2)对于网络中的其他AS,由于边界网关协议(BGP)缺乏安全机制验证lP地址前缀的宣告者是否确实拥有此地址,从而导致这些AS即使接收到劫持路由,也无法判断是否确实发生了前缀劫持。针对以上问题,文章提出了一种AS-IP宣告关系真实性评估方法,通过生成历史路由表的宣告关系矩阵,基于空间一致性和时间稳定性来计算AS-IP宣告关系的稳定度,以判断宣告关系的真实性,并生成AS-IP匹配关系知识库。文章对RouteViews及国内运营商的路由数据进行了分析检测,实验结果表明,文章方法不但能够有效判断宣告关系真实性,生成AS -IP匹配关系知识库,而且可以有效发现前缀劫持
