技術領域

本發明涉及域間網絡安全領域，特別涉及一種面向誤配置的域間前綴劫持檢測方法。

背景技術

目前，Internet和較大的網絡服務提供者(ISP)的網絡被分成大量的自治系統(Autonomous?System，AS)，由自治系統來定義管理區域和作用于自治系統范圍內的路由策略。如今的互聯網由25?000多個自治系統組成，這些自治系統通過邊界網關協議(BGP)傳遞路由更新信息。BGP協議運行在各個自治系統的邊界路由器上，它通過各個自治系統的邊界路由器之間所交換的AS級路由可達性信息來完成域間路由，從而實現各個自治系統之間網絡信息的可達。根據BGP協議，每個自治系統的邊界路由器在工作過程中會定時向自己的鄰居宣告路由更新報文，在所述的路由更新報文中，包括有最新的網絡前綴信息的宣告與撤銷。其他自治系統中的路由器在收到這些路由更新報文后，會根據其中的網絡前綴信息選擇最優路由。

BGP協議在Internet上的廣泛應用使得它已經成為當前域間路由協議的事實標準。但是BGP協議在制定之初并沒有充分考慮安全機制，而在當前運營BGP協議時，也未充分啟用相應的保護機制，這使得當前的互聯網絡中存在潛在的或現實的安全威脅。在域間安全領域，由于BGP協議自身的不足所帶來的安全威脅尤為突出，其中的基于BGP的域間前綴劫持攻擊更已經成為當前互聯網絡中最難以防范的安全威脅。

所述的域間前綴劫持是指：從屬于某個自治系統的邊界路由器通過BGP向外發布了不屬于自身前綴信息的更新報文或者對外發布虛假的最優選路，導致了真實網絡的不可達。以圖1所示的互聯網拓撲圖為例，在該網絡中包含有A、B、C、D、E、F、G等多個自治系統。假設其中的自治系統F擁有前綴信息202.194.10.1/8，自治系統C若要與自治系統F中的該前綴通信，在正常情況下需要通過路徑[C、B、A、F]。如果自治系統E?由于某種原因向外宣告前綴信息202.194.10.1/16屬于自己(即發生了域間前綴劫持)，那么根據最短路由的特性，當自治系統C與前綴202.194.10.1/8通信時，路由路徑會變為[C、D、E]。由于前綴202.194.10.1/8實際在自治系統F中，因此，自治系統C無法與該前綴通信。這種改變同樣會對自治系統B、D造成影響。

域間前綴劫持的發生會對互聯網絡產生重大的危害，輕則導致部分運營商受到影響，嚴重時能導致一個國家、甚至全球骨干網絡的癱瘓。例如2004年12月24日，土耳其ISP服務提供商TTNet通過BGP向外發送了完整的互聯網路由信息。由于TTNet外發的路由信息中聲稱他們是互聯網上最好的路由，這一錯誤導致來自亞馬遜、微軟、雅虎和CNN網站全部選擇該ISP作為最佳路由，這導致當天上午大部分的互聯網流量流入到土耳其，時間達數小時之久，產生極其嚴重的后果。再如2008年2月，巴基斯坦電信局(Pakistan?Telecom)在試圖限制本國用戶訪問YouTube網站時，由于配置錯誤，使得它通過BGP向香港的ISP服務提供商PCCW發送了新的路由信息。該路由信息聲稱，它有最佳的路由到達YouTube。此后PCCW在互聯網上傳播了錯誤的路由信息，導致在接下來的二個小時內，世界各地的大多數YouTube用戶都無法訪問其網站。

對現實生活中所發生的網絡安全事件進行分析可以知道，絕大多數的域間前綴劫持的發生是由于管理人員或路由器軟件的誤配置，而不是外部人員的惡意攻擊。這與大型的ISP運營商對于域間網絡的安全防護極為重視，有足夠的財力與物力有效阻斷外部的惡意攻擊有關。而對于本網絡中的誤配置，或者由于關注程度不夠、或者由于所需配置數據量較大，因而時有發生。

鑒于現實生活中的上述情況，如果各個AS能夠自動檢測本區域內的誤配置，將能夠極大地降低發生域間前綴劫持的風險，真正提高骨干網絡的網絡安全。但在現有技術中，缺少由各個AS自動檢測本區域內誤配置的相關方法。

發明內容

本發明的目的是克服誤配置所造成的域間前綴劫持，從而提供一種面向誤配置的域間前綴劫持檢測方法。

為了實現上述目的，本發明提供了一種網絡系統，包括至少一個自治系統，其特征在于，所述自治系統包括邊界路由器和監測探針；其中，所述監測探針包括有用于存儲所在自治系統中的前綴信息的網絡前綴信息列表；

所述監測探針獲取邊界路由器發出的路由更新報文后，分析路由更新報文中的條目，并將該條目中的前綴信息與網絡前綴信息列表中的前綴信息進行比較；根據比較結果需要對網絡前綴信息列表中的前綴信息進行添加或更改前，主動檢測相關條目的合法性。