域間路由系統(tǒng)安全監(jiān)測關(guān)鍵技術(shù)

蕭益民

摘 要：域間路由系統(tǒng)作為整個(gè)互聯(lián)網(wǎng)的支柱，其安全性正面臨嚴(yán)峻考驗(yàn)。目前，數(shù)據(jù)信息真實(shí)性和完整性得不到保證，配置故障比比皆是，系統(tǒng)冗余性低下，系統(tǒng)規(guī)模不斷擴(kuò)大，造成管理難度逐漸增加，域間路由系統(tǒng)安全監(jiān)測尤為重要。本文主要對(duì)域間路由系統(tǒng)面臨的威脅進(jìn)行了分析，并探討了增強(qiáng)其安全性的策略。

關(guān)鍵詞：域間路由；安全監(jiān)測；技術(shù)

中圖分類號(hào)： TP392 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1673-1069（2016）27-139-2

0 引言

域間路由系統(tǒng)作為互聯(lián)網(wǎng)上最為關(guān)鍵的基礎(chǔ)設(shè)施，其作用主要是為了使各互聯(lián)網(wǎng)間的信息能相互通達(dá)，從而保障全球信息的共享。域間路由器系統(tǒng)的使用范圍非常廣，其他系統(tǒng)與其沒有可比性，當(dāng)受到攻擊的時(shí)候，會(huì)造成無法估量的破壞。本文首先對(duì)域間路由系統(tǒng)面臨的安全問題進(jìn)行了探討，并對(duì)用包過濾機(jī)制增強(qiáng)域間路由系統(tǒng)的安全進(jìn)行了詳細(xì)的闡述，然后結(jié)合現(xiàn)有的MPLS技術(shù)、TCPMD5機(jī)制探討了它們?nèi)绾卧鰪?qiáng)域間路由系統(tǒng)的安全。

1 域間路由系統(tǒng)的安全問題探究

域間路由系統(tǒng)存在諸多安全缺陷，很容易受到各方面的強(qiáng)烈攻擊，和用戶主機(jī)直接遭受破壞相比，其有更加強(qiáng)大的隱蔽性，擁有更大的破壞力，嚴(yán)重威脅了整個(gè)互聯(lián)網(wǎng)的安全。文章首先對(duì)各種危害進(jìn)行了系統(tǒng)的分類。詳情見圖1。

1.1 協(xié)議的脆弱性

1.1.1 中間人攻擊

BGP沒有對(duì)對(duì)等實(shí)體的身份進(jìn)行認(rèn)證，這為位于對(duì)等實(shí)體間的中間人攻擊者提供了破壞機(jī)會(huì)。中間人攻擊者一般通過源地址欺騙方式對(duì)全網(wǎng)進(jìn)行大規(guī)模的攻擊。一般情況下，路由器在轉(zhuǎn)發(fā)報(bào)文的時(shí)候，只根據(jù)報(bào)文的目的、地址查路由表，而忽視了報(bào)文的源地址。因此，這樣就可能面臨一種危險(xiǎn)，如果一個(gè)攻擊者向一臺(tái)目標(biāo)計(jì)算機(jī)發(fā)出一個(gè)報(bào)文，而把報(bào)文的源地址填寫為第三方的一個(gè)IP 地址，這樣這個(gè)報(bào)文在到達(dá)目標(biāo)計(jì)算機(jī)后，目標(biāo)計(jì)算機(jī)便可能向毫無知覺的第三方計(jì)算機(jī)回應(yīng)。這樣，這個(gè)回應(yīng)可能對(duì)第三方計(jì)算機(jī)造成了干擾，達(dá)到攻擊的目的。同時(shí)，目標(biāo)計(jì)算機(jī)也可能直接作為被攻擊的目標(biāo)。攻擊者首先通過監(jiān)聽路由器A和B之間的通信，獲取A和B的重要信息，如IP地址、AS號(hào)以及路由表等，然后將竊取的報(bào)文路徑屬性，進(jìn)行修改并加入偽造的路由信息，之后轉(zhuǎn)發(fā)。這種行為不僅可以達(dá)到路由黑洞的目的，而且可以達(dá)到擾亂整個(gè)互聯(lián)網(wǎng)流量行為的目的。

1.1.2 拒絕服務(wù)攻擊

針對(duì)域間路由系統(tǒng)的拒絕服務(wù)攻擊的方式分為兩種。一種是基于 TCP 協(xié)議的漏洞；另一種是基于BGP協(xié)議本身的漏洞?；赥CP的拒絕服務(wù)攻擊主要是利用了TCP三次握手的缺陷，攻擊者通過向合法的路由器的179端口發(fā)送大量的SYN請(qǐng)求，消耗網(wǎng)絡(luò)的帶寬和被攻擊路由器的資源，使得被攻擊的路由器與其他合法路由器的正常的通信延遲或者中斷。在BGP協(xié)議中BGP對(duì)等體可以隨時(shí)用NOTIFICATION消息來切斷對(duì)等體之間的連接。因此，攻擊者可通過冒充網(wǎng)絡(luò)中的路由器向其他的路由器發(fā)送 NOTIFICATION消息，使得被攻擊的路由器與對(duì)等體間的通信中斷。由于BGP依賴長久持續(xù)的TCP會(huì)話并設(shè)置較大的滑動(dòng)窗口來運(yùn)作，當(dāng)BGP Session被中斷時(shí)，BGP應(yīng)用程序會(huì)重新啟動(dòng)并嘗試與它的連接對(duì)方重建一個(gè)連接并重建路由表，這就會(huì)導(dǎo)致一個(gè)輕微的服務(wù)損失攻擊頻度越高損失越大。如果攻擊者在網(wǎng)絡(luò)中通告大量的路由信息，就很有可能引起路由表數(shù)量的激增甚至爆炸。

1.2 實(shí)現(xiàn)的脆弱性

實(shí)現(xiàn)的脆弱性主要是由于系統(tǒng)部署不合理和受所處環(huán)境因素的制約引起的。首先，病毒的傳播能造成整個(gè)互聯(lián)網(wǎng)路由的不穩(wěn)定。此外，在大型的IP網(wǎng)絡(luò)中BGP不能很好地實(shí)現(xiàn)流量的負(fù)載分擔(dān)。

1.2.1 路由收斂問題

路由收斂問題包括兩個(gè)方面：一是是否收斂；二是收斂的時(shí)間問題。BGP通過搜索每個(gè)可能的自治系統(tǒng)路徑，從最短路徑到較長路徑直到最后收斂為止。搜索每個(gè)可能的自治系統(tǒng)路徑的速率取決于最小廣播間隔，該間隔即為新的路由信息被允許在系統(tǒng)中傳輸?shù)乃俾省?/p>

1.2.2 病毒傳播

CodeRed1病毒傳播和Nimda病毒傳播給全球范圍路由帶來了不良影響。雖然病毒傳播沒有直接感染路由器，在病毒傳播感染的過程中，網(wǎng)絡(luò)應(yīng)用流量過大、管理工作站的感染等，使BGP和整個(gè)Internet的路由受到嚴(yán)重影響。

1.2.3 流量分布不均衡

大型IP網(wǎng)絡(luò)設(shè)計(jì)的基本方法是通過多條等價(jià)鏈路來分擔(dān)流量的負(fù)載。IGP能夠很好地支持等價(jià)路徑的負(fù)載分擔(dān)，但是BGP引入路由不能配合IGP實(shí)現(xiàn)等價(jià)路徑的負(fù)載分擔(dān)，很容易導(dǎo)致流量分布的不均衡的現(xiàn)象出現(xiàn)。

1.3 操作的脆弱性

操作的脆弱性是操作人員的錯(cuò)誤行為導(dǎo)致的，系統(tǒng)中有20%-70%的故障由人為操作引起。例如著名的AS7007事件。由于對(duì)AS7007配置了錯(cuò)誤的BGP，使得路由器的信息瞬間增多，并迅速在網(wǎng)絡(luò)上傳播，導(dǎo)致很多路由器出現(xiàn)故障甚至崩潰瓦解。目前影響比較嚴(yán)重的錯(cuò)誤配置是輸出錯(cuò)誤配置和地址起源錯(cuò)誤配置，輸出錯(cuò)誤配置是指路由器輸出本該過濾掉的路由，地址起源錯(cuò)誤配置是指AS偶然將某條地址前綴注入全局BGP表。這種錯(cuò)誤是可以避免的，而且對(duì)終端用戶的影響并不大。

2 防范措施

目前針對(duì)BGP的安全缺陷涌現(xiàn)了多種安全擴(kuò)展方案，其多數(shù)都采用了信息認(rèn)證的方式，目前所提出的基于PKI（Public Key Infrastructure）認(rèn)證的安全機(jī)制中S-BGP是當(dāng)前研究中最為完整、最具代表性的安全機(jī)制。我們主要分析了用包過濾防護(hù)技術(shù)增強(qiáng)域間路由系統(tǒng)的安全，并闡述了MPLS技術(shù)和TCPMD5機(jī)制在增強(qiáng)域間路由系統(tǒng)安全方面的益處。

2.1 包過濾防護(hù)

實(shí)施包過濾的依據(jù)主要是端口、IP、AS號(hào)、流量。端口過濾指僅允許對(duì)179端口的訪問，IP地址和AS號(hào)限制，只允許具有合法地址的用戶訪問該路由器，流量限制指對(duì)自治系統(tǒng)內(nèi)的每個(gè)路由器發(fā)送數(shù)據(jù)包的流量加以限制，正常BGP數(shù)據(jù)包的長度應(yīng)不大于4096 Byte。持續(xù)的通過觀察多個(gè)點(diǎn)的路由更新情況推斷網(wǎng)絡(luò)的狀態(tài)，在每個(gè)自治系統(tǒng)內(nèi)的邊界路由器端部署檢測防御系統(tǒng)。包過濾防護(hù)模型的結(jié)構(gòu)如圖2所示。

2.2 MPLS技術(shù)

MPLS技術(shù)就是多協(xié)議標(biāo)記交換技術(shù)。它的優(yōu)勢是能在一個(gè)無連接的網(wǎng)絡(luò)中導(dǎo)進(jìn)連接模式，同時(shí)，還能降低網(wǎng)絡(luò)的經(jīng)濟(jì)成本，在提供IP業(yè)務(wù)時(shí)能確保安全，具有流量工程能力，使信息傳輸大大提高，同時(shí)也有效避免了路由黑洞。

2.3 TCPMD5機(jī)制

TCPMD5機(jī)制中的MD5算法是相對(duì)安全的，而且共享密鑰受到了嚴(yán)密的保護(hù)，很難被破解，TCPMD5確保了消息的完整性和對(duì)等體身份的真實(shí)性，有效地抵御了中間人攻擊和拒絕服務(wù)攻擊。

3 結(jié)束語

隨著我國計(jì)算機(jī)技術(shù)的迅猛發(fā)展，人們對(duì)于路由器的要求也越來越高，從而，保證由無數(shù)臺(tái)路由器所組成的網(wǎng)絡(luò)的安全日益受到社會(huì)的關(guān)注。在這些成千上萬的路由器中，邊界路由器的作用更為重要。本文主要對(duì)域間路由系統(tǒng)的安全威脅進(jìn)行了全面的分析，并提出了相應(yīng)的解決技術(shù)。隨著S-BGP技術(shù)的不斷完善以及BGP技術(shù)與其他網(wǎng)絡(luò)防護(hù)技術(shù)的融合，更安全可靠和更加廣泛的BGP服務(wù)將被應(yīng)用到Internet中。

參 考 文 獻(xiàn)

[1] 李春秀.域間路由生存性關(guān)鍵技術(shù)研究[D].北京郵電大學(xué)，2015.

[2] 趙宸.安全域間路由協(xié)議關(guān)鍵技術(shù)的研究[D].北京郵電大學(xué)，2013.

[3] 景全亮.域間路由安全監(jiān)測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].首都師范大學(xué)，2014.