技術領域

本發明涉及域間網絡安全領域，特別涉及一種域間前綴劫持檢測與定位方法。

背景技術

目前，Internet和較大的網絡服務提供者(ISP)的網絡被分成大量的自治系統(Autonomous?System，AS)，由自治系統來定義管理區域和作用于自治系統范圍內的路由策略。如今的互聯網由25000多個自治系統組成，這些自治系統通過邊界網關協議(BGP)傳遞路由更新信息。BGP協議運行在各個自治系統的邊界路由器上，它通過各個自治系統的邊界路由器之間所交換的AS級路由可達性信息來完成域間路由，從而實現各個自治系統之間網絡信息的可達。根據BGP協議，每個自治系統的邊界路由器在工作過程中會定時向自己的鄰居宣告路由更新報文，在所述的路由更新報文中，包括有最新的網絡前綴信息的宣告與撤銷。其他自治系統中的路由器在收到這些路由更新報文后，會根據其中的網絡前綴信息選擇最優路由。

BGP協議在Internet上的廣泛應用使得它已經成為當前域間路由協議的事實標準。但是BGP協議在制定之初并沒有充分考慮安全機制，而在當前運營BGP協議時，也未充分啟用相應的保護機制，這使得當前的互聯網絡中存在潛在的或現實的安全威脅。在域間安全領域，由于BGP協議自身的不足所帶來的安全威脅尤為突出，其中的基于BGP的域間前綴劫持攻擊更已經成為當前互聯網絡中最難以防范的安全威脅。

所述的域間前綴劫持是指：從屬于某個自治系統的邊界路由器通過BGP向外發布了不屬于自身前綴信息的更新報文或者對外發布虛假的最優選路，導致了真實網絡的不可達。以圖1所示的互聯網拓撲圖為例，在該網絡中包含有A、B、C、D、E、F等多個自治系統。假設其中的自治系統F擁有前綴信息192.168.3.1/255，自治系統C若要與自治系統F中的該前綴通信，在正常情況下需要通過路徑[C、B、A、F]。如果自治系統E也向外宣告前綴信息192.168.3.1/255屬于自己(即發生了域間前綴劫持)，那么根據最短路由的特性，當自治系統C與前綴192.168.3.1/255通信時，路由路徑會變為[C、D、E]。由于前綴192.168.3.1/255實際在自治系統F中，因此，自治系統C無法與該前綴通信。域間前綴劫持發生的一個重要原因是接收路由更新報文的自治系統無法對所接收到的路由更新報文的正確性加以檢驗。

域間前綴劫持的發生會對互聯網絡產生重大的危害，輕則導致部分運營商受到影響，嚴重時能導致一個國家、甚至全球骨干網絡的癱瘓。例如2004年12月24日，土耳其ISP服務提供商TTNet通過BGP向外發送了完整的互聯網路由信息。由于TTNet外發的路由信息中聲稱他們是互聯網上最好的路由，這一錯誤導致來自亞馬遜、微軟、雅虎和CNN網站全部選擇該ISP作為最佳路由，這導致當天上午大部分的互聯網流量流入到土耳其，時間達數小時之久，產生極其嚴重的后果。再如2008年2月，巴基斯坦電信局(Pakistan?Telecom)在試圖限制本國用戶訪問YouTube網站時，由于配置錯誤，使得它通過BGP向香港的ISP服務提供商PCCW發送了新的路由信息。該路由信息聲稱，它有最佳的路由到達YouTube。此后PCCW在互聯網上傳播了錯誤的路由信息，導致在接下來的二個小時內，世界各地的大多數YouTube用戶都無法訪問其網站。

針對前綴劫持所帶來的巨大危害，當前業界提出了兩大類型的解決方法。一種類型的解決方法是對BGP的安全協議進行擴展，該類方法以S-BGP和soBGP為代表，它們利用PKI技術可以嚴格保證BGP路由安全。但由于協議開銷等問題，運營商普遍難以接受這些方案。為避免S-BGP等強類型安全路由協議在實際應用中遇到的困境，近年來又提出了Listen-Whisper以及psBGP等機制。這些機制以降低安全能力為代價大量削減協議開銷。然而，這些方案也未被運營商所接受。迄今為止依然沒有一個BGP協議安全擴展方案被運營商實際廣泛地應用。