首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到20条相似文献,搜索用时 93 毫秒
1.
由于BGP协议的脆弱性,BGP前缀劫持长期以来一直对互联网产生着严重的安全威胁。检测和分析大规模的前缀劫持事件是一件十分必要但又充满挑战的工作。以2019年发生的大规模的欧洲路由泄露导致路由劫持事件为案例,提出了一种基于公共BGP数据的有效的检测和分析方法。分析结果包括如下几条:(1)这次劫持的“攻击者”为AS21217,AS4134是劫持路由传播过程中的关键点; (2)此次劫持事件导致了严重的多源AS冲突和AS-PATH路径膨胀问题;(3)此次事件的劫持类型包括劫持前缀并篡改AS路径,以及劫持子前缀并篡改AS路径2种类型;(4)检测到311个AS被感染,长度为4的感染链数量最多,且分属于3 895个AS的28 118个前缀IP段成为受害者,同时实现了一个可视化系统来展示劫持发生时的全球网络态势。这些研究结果一方面与Oracle等公司公布的结果相互印证,另一方面又对此次网络事件进行了更加详尽的补充和深入挖掘。  相似文献   

2.
基于BGP的域间路由系统是Internet的核心设施,是保证整个网络互联及正常运行的关键。然而,由于BGP协议本身缺乏必要的安全机制而极易受到攻击。例如,前缀劫持就是针对BGP缺陷而实施的一种较难防范的攻击。近年来,已发生多起BGP前缀劫持事件,造成了严重危害。本文基于GT-NetS软件构建了一个大规模域间路由系统模拟环境,并在该模拟环境中进行了多次BGP前缀劫持测试,结合测试结果分析对影响BGP前缀劫持攻击范围的有关因素进行了研究。测试表明,BGP前缀劫持造成的受害范围与攻击发起路由器所属AS的层次和度数有着直接的关系。  相似文献   

3.
互联网自治系统(AS)以在路由系统中宣告网络前缀的方式宣告IP地址块的所有权。当一个自治系统宣告了不属于它的网络前缀时,就会导致前缀劫持的发生。由于边界网关协议(BGP)本身无法验证AS和IP前缀之间的宣告关系是否真实,导致对前缀劫持的检测和判定异常困难。本文提出并实现一种基于稳定度的,构建可信AS-IP宣告关系的方法,并用于检测和判定前缀劫持。通过构建AS和IP前缀宣告关系的时间序列,计算该宣告关系在时间序列上的稳定度数值,并用于评估AS和IP前缀宣告关系的可信度。本文运用该方法对历史上发生过的大规模异常事件进行检测,实验表明,该方法能构造准确的AS和IP前缀宣告关系,并可有效地检测和判定前缀劫持事件。  相似文献   

4.
自治系统的网络管理员要想及时地发现前缀劫持非常困难。本文分析了现有方案的不足,讨论了前缀劫持问题困难的根源。考虑到互联网的自治特性,本文提出了一个基于协作的前缀劫持检测方案。该方案支持多个自治系统协作地监测BGP路由,这不仅可分摊系统的监测开销、防止泄露私有的BGP路由信息,而且还可极大地扩展单个自治系统的可监测范围,能有效地帮助网络管理员检测关于自身前缀的劫持事件。  相似文献   

5.
Co-Monitor:检测前缀劫持的协作监测机制   总被引:1,自引:0,他引:1  
刘欣  朱培栋  彭宇行 《软件学报》2010,21(10):2584-2598
在如今的互联网中,网络管理员要想及时地发现前缀劫持事件非常困难.考虑到互联网域间路由系统中存在的自治特性,提出了在多个自治系统之间协作监测前缀的思想,并由此设计了一个实时检测前缀劫持的新方法——Co-Monitor机制.在Co-Monitor中,每个参与者与其他参与者交换自定义的前缀-源自治系统映射信息,同时,利用所学到的前缀-源自治系统映射信息实时地监测本地BGP(border gateway protocol)路由更新.一旦某个参与者发现了不一致就立刻通知相关的参与者,从而可帮助参与者及时、有效地发现前缀劫持.给出了Co-Monitor机制的详细设计,评估了该机制的检测能力,并讨论了几个相关的问题.实验结果表明,只需精心选择60个参与者,就可确保Co-Monitor系统检测前缀劫持的漏检率和误检率都为0%.  相似文献   

6.
随着互联网规模的急剧扩大,边界网关协议(BGP,border gateway protocol)在域间路由系统中的作用愈加重要。BGP本身存在很大的安全隐患,导致前缀劫持、AS_PATH劫持及路由泄露攻击事件频频发生,给互联网造成了严峻的安全威胁。目前,国内外针对路由泄露的介绍及安全研究机制相对较少。对 BGP 路由泄露进行了详细研究,介绍了 BGP 内容、路由策略及制定规则,分析了重大路由泄露安全事件及发生路由泄露的6种类型,并比较了当前针对路由泄露的安全机制和检测方法,最后对路由泄露安全防范机制提出了新的展望。  相似文献   

7.
路由劫持是当前Internet域间路由系统(BGP)所面临的最严重的安全威胁之一,但目前仍缺乏有效的防护手段.将自治系统(autonomous system,简称AS)基于BGP路由信息自我发现路由劫持的概率定义为对路由劫持的免疫能力,对该免疫能力进行了建模,并给出了AS自我免疫的充分条件和必要条件以及该免疫能力的上界.实验结果发现,80%以上的AS对路由劫持完全没有免疫能力,仅不超过0.26%的AS具有大于85%的免疫能力.对AS免疫过程的进一步分析,揭示了造成AS免疫能力低下的提供商栅栏现象——提供商优先选择客户路由,从而阻止了劫持路由向被劫持者的传播.为了克服提供商栅栏,提高AS的免疫能力,设计了协同监测机制,并提出了一种计算复杂度较低的启发式协同邻居选取策略.该机制无需修改BGP协议,可增量部署.实验结果表明,仅与25个自治系统进行协同,就可以将对路由劫持的免疫能力提高到高于95%的水平.  相似文献   

8.
防范前缀劫持的互联网注册机制   总被引:2,自引:2,他引:0  
刘欣  朱培栋  彭宇行 《软件学报》2009,20(3):620-629
借鉴IRR(Internet routing registry)机制中注册路由策略的思想,提出了前缀策略(prefix policy)的概念,并由此设计了一种防范前缀劫持的方法—— E-IRR 机制.在E-IRR 中,参与者发布自己的前缀策略,同时利用其他自治系统已注册的前缀策略验证BGP路由,从而防范前缀劫持.提出了维护前缀策略有效性措施,评估了E-IRR机制的安全能力与性能.方法的主要优势是,其在前缀劫持的防范能力与安全机制的实际部署需求之间达到了一个较好平衡,可增量式地部署,并不需要对BGP协议进行任何安全扩展.现有方案都不同时具备这些特性,它们使得E-IRR有望实际可行地解决前缀劫持问题.  相似文献   

9.
BGP面临的前缀劫持攻击会严重破坏互联网网络的可靠性。引入信任技术,构建自治系统的前缀信誉模型(Autonomous System Prefix Reputation Model,简写为"AS-PRM")来评估自治系统发起真实前缀可达路由通告行为的信任度。从而,自治系统可选择相对前缀信誉好的自治系统发起的前缀可达路由通告,来抑制前缀劫持攻击的发生。AS-PRM模型根据多个前缀劫持攻击检测系统的检测结果(考虑了误报、漏报率),基于beta信誉系统,计算自治系统的前缀信誉,并遵循"慢升快降"原则,更新前缀信誉。最后,仿真实验验证了模型的有效性。  相似文献   

10.
刘欣  刘华富 《微机发展》2015,(2):131-134,139
前缀劫持攻击是互联网BGP域间路由系统中的首要安全威胁,至今还无有效解决该问题的方案。以前缀劫持攻击为研究对象,分析了前缀劫持攻击产生的具体原因,展现了该攻击在自治系统内部以及在自治系统之间的表现形式与影响;从前缀劫持攻击的危害程度,分析并划分了前缀劫持攻击的基本形态,讨论了各种前缀劫持攻击的基本特性。分析结果表明,子前缀劫持的危害最严重,确切前缀劫持的影响最复杂,而父前缀劫持最易被发现且危害相对较小。  相似文献   

11.
The Internet not only facilitates our daily activities, such as communication, entertainment and shopping but also serves as the enabling technology for many critical services, including finance, manufacturing, healthcare and transportation. On the other hand, a wide spectrum of attacks targets its communication infrastructure to disable or disrupt the network connectivity and traffic flow until recovery processes take place. Attacking all autonomous systems (ASes) in the Internet is typically beyond the capability of an adversary. Therefore, targeting a small number of ASes which results in the highest impact is the best strategy for attackers. Similarly, it is important for network practitioners to identify, fortify and secure those critical ASes to mitigate the impact of the attacks. In this study we introduce an intuitive and effective measure, IP address spatial path stress centrality, to assess and identify the critical ASes in the Internet. We compare IP address spatial path stress centrality to the three well-known and widely used centrality measures, namely customer-cone size, node degree and betweenness. We demonstrate that the proposed measure incorporates business relations and IP address spaces to achieve a better measure for identifying the critical ASes in the Internet.  相似文献   

12.
Thousands of competing autonomous systems (ASes) must cooperate with each other to provide global Internet connectivity. Each AS has independent economic objectives and retains autonomy in setting their routing policies independently to maximize its profit. However, such autonomy enables ASes to produce conflicting routing polices and thus raises route oscillations between them (i.e., routing divergence). This paper studies the basic problem of routing divergence by investigating real ISP pricing data. We first demonstrate that routing divergences occur under economic dependency cycles, i.e., provider–customer cycles, of different ASes which are raised by economic conflicts between themselves. We then propose a provable cycle-breaking routing mechanism to detect and solve economic conflicts and route divergence. We show that every cycle-breaking strategy allows ASes to maximize their own profits to converge to a Nash equilibrium with a profit-sharing mechanism derived from the coalition game concept of Shapley value. At the Nash equilibrium point, the cycle-breaking strategies maximize ASes’ profits and encourage ASes so as to ensure divergence-free routing.  相似文献   

13.
Multipath interdomain routing has been proposed to enable flexible traffic engineering for transit Autonomos Systems (ASes). Yet, there is a lack of solutions providing maximal path diversity and backwards compatibility at the same time. The BGP-XM (Border Gateway Protocol-eXtended Multipath) extension presented in this paper is a complete and flexible approach to solve many of the limitations of previous BGP multipath solutions. ASes can benefit from multipath capabilities starting with a single upgraded router, and without any coordination with other ASes. BGP-XM defines an algorithm to merge into regular BGP updates information from paths which may even traverse different ASes. This algorithm can be combined with different multipath selection algorithms, such as the K-BESTRO (K-Best Route Optimizer) tunable selection algorithm proposed in this paper. A stability analysis and stable policy guidelines are provided. The performance evaluation of BGP-XM, running over an Internet-like topology, shows that high path diversity can be achieved even for limited deployments of the multipath mechanism. Further results for large-scale deployments reveal that the extension is suitable for large deployment since it shows a low impact in the AS path length and in the routing table size.  相似文献   

14.
提出了一种使用BGP路由表对自治系统进行分类的方法。按照自治系统在Internet中所起的作用,将Internet层次模型分为5层。利用多个BGP路由表生成自治系统拓扑图,根据BGP路由表中自治系统路径的结构特点和传输自治系统的拓扑特点,结合随机扰动方法,对自治系统进行层次分类。与同类算法对比表明,该算法简洁有效。  相似文献   

15.
Internet由多个自治系统相互连接而成,AS间的互联结构体现了Internet的宏观结构。研究AS间的连接关系可以辅助分析网络特性。该文研究了Internet AS级拓扑发现,实现了一个Internet AS级拓扑发现系统。该系统分析BGP路由表得到Internet AS级拓扑并直观显示出来。分析了AS级拓扑的度分布属性,分析结果显示生成的拓扑具有幂律分布特性。  相似文献   

16.
给出了一种适用于通信领域的基于前后台的消息调试与过滤方案,该方案采用消息代理通信的方式屏蔽前后台软硬件平台的异构性,在消息跟踪和记录模块中引入消息过滤机制,在后台消息的显示和打印输出中引入消息分级机制。基于该方案建立的嵌入式软件开发平台,实现了对面向通信领域的应用软件模块中消息的有效调试、测试、跟踪和监控,大大提高了此类软件的开发效率和可靠性。  相似文献   

17.
在多Agent分布式系统中,如何实现多Agent通讯是一个重要问题。以消息传输的方式实现多Agent系统的通讯,讨论了消息的XML格式封装和解析机制,以及基于消息优先级的消息传送同步控制算法,实现了消息的可靠有效传输。最后给出了可重用的系统仿真框架,并用Java语言得以实现验证。  相似文献   

18.
BGP路由策略对路由稳定性的影响分析   总被引:3,自引:0,他引:3  
在Internet中,域间的路由是由域间路由协议控制的。边界网关协议(BGP)是广泛使用的用于在各个自治系统之间交换网络可达信息的域间路由协议。BGP允许每个自治系统实施各种本地路由策略。用以进行路由的选择和传播。然而,不同的自治系统所制定的本地路由策略可能存在潜在的冲突,从而导致路由的振荡。该文给出了一个BGP的抽象模型,并通过实例分析BGP路由策略对路由稳定性的影响。  相似文献   

19.
Kin-Hon  Michael  Ning  George  Stylianos   《Computer Communications》2007,30(18):3757-3777
This paper addresses the issue of provisioning end-to-end bandwidth guarantees across multiple Autonomous Systems (ASes). We first review a cascaded model for negotiating and establishing service level agreements for end-to-end bandwidth guarantees between ASes. We then present a network dimensioning system that uses traffic engineering mechanisms for the provisioning of end-to-end bandwidth guarantees. The network dimensioning system solves two problems: (1) the economic problem of how to determine the optimum amount of bandwidth that needs to be purchased from adjacent downstream ASes at a minimum total cost; (2) given the available bandwidth resources within and beyond the AS as a result of (1), the engineering problem of how to assign bandwidth guaranteed routes to the predicted traffic while optimizing the network resource utilization. We formulate both as integer-programming problems and prove them to be NP-hard. An efficient genetic algorithm and an efficient greedy-penalty heuristic are, respectively, used to solve the two problems and we show that these perform significantly better than simple heuristic and random approaches.  相似文献   

20.
目前,国外大多数采用GPS通信相对比北斗通信精度更加准确,为了能够提高北斗的大大推广与使用,北斗短报文通信在国内展开一系列的应用。北斗在国内的优势主要体现在方方面面。例如,北斗短报文通信在生活中,军用方面等起着不可替代的作用。通信抄表中,海上船员健康监测中,泥石流监测系统中。[1]根据北斗短报文的广泛应用,分析北斗短报文通信的基本性能,设计了基于Labwindows/CVI的上位机北斗短报文通信软件,软件与系统硬件的传输由Visual C++开发的串口通信调用RS232接口驱动程序完成。进行完成北斗短报文的通信,能够完成自检信息和IC地址的检测,根据用户的操作可以每间隔60秒进行一次接收与发送通信。最终通过测试顺利完成了基于Labwindows/CVI的上位机北斗短报文通信。  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号