共查询到15条相似文献,搜索用时 187 毫秒
1.
基于BGP的域间路由系统是下一代互联网的关键基础设施.本文系统地分析了下一代互联网域间路由系统的脆弱性,建立了下一代互联网域间路由的攻击模型对各种攻击目标和攻击方式进行描述,并从多个层次对BGP-4和BGP4+的安全能力进行分析与比较.此外,我们给出了路由攻击检测系统方案,该方法可有效实现域间路由系统的安全控制 相似文献
2.
互联网域间路由系统安全态势评估 总被引:2,自引:0,他引:2
基于边界网关协议BGP的互联网域间路由系统缺乏必要的安全机制,面临严重的安全威胁.尽管人们对BGP路由系统的安全问题进行了详尽研究,但是很少量化该系统的安全态势,并且网络管理员也确实需要有用的安全态势信息来感知自治系统(AS)的路由安全状况.为了解决这个问题,分析了互联网域间路由系统的层次特性,提出了一个基于BGP异常路由的安全评估模型.该方法的基本思想是基于BGP路由系统的层次特性构造路由状态树,准确地刻画BGP路由系统中各路由实体之间的层次关系、存储和表达每个实体的路由安全状态;并根据所检测的异常路由计算每个实体的路由安全状态.实验测试表明,该模型能同时评估BGP路由器、自治系统和互联网域间路由系统的安全威胁态势,可为网络管理员提供直观的安全态势曲线. 相似文献
3.
针对域间路由系统的低速率拒绝服务攻击(Low-rate denial of service against BGP,BGP-LDoS)通过引起级联失效造成域间路由系统整体瘫痪。研究BGP-LDoS攻击威胁下域间路由系统级联失效的传播机理、影响因素是应对和防范该攻击的基础。通过分析域间路由系统的结构特性以及BGP-LDoS攻击过程,提出这一种基于传染病动力学的BGP-LDoS威胁传播模型BGP-SIS。将系统中每个节点的状态划分为易感态、感染态,利用传染病动力学模型SIS对攻击所造成的级联失效过程进行描述,推导攻击威胁下域间路由系统的最终状态。利用仿真实验对模型及推论的有效性进行验证。实验结果表明BGP-SIS能够有效描述和预测BGP-LDoS攻击下域间路由系统级联失效的传播规律,可为域间路由系统检测和防御BGP-LDoS攻击提供借鉴和参考。 相似文献
4.
基于边界网关协议(BGP)的域间路由系统已经成为Internet的核心路由设施,但由于BGP本身缺乏安全机制,很容易受到各种人为配置错误或者恶意攻击的影响。我们开发的域间路由监测系统可以从4个层次实现对域间路由的安全监测,分别是Internet、国家网络、特定ISP和特定路由。本文详细介绍了多层次域间路由安全监测系统的组成结构、软件结构、设计思想、实现技术和测试结果。 相似文献
5.
基于BGP的域间路由系统是Internet的核心设施,是保证整个网络互联及正常运行的关键。然而,由于BGP协议本身缺乏必要的安全机制而极易受到攻击。例如,前缀劫持就是针对BGP缺陷而实施的一种较难防范的攻击。近年来,已发生多起BGP前缀劫持事件,造成了严重危害。本文基于GT-NetS软件构建了一个大规模域间路由系统模拟环境,并在该模拟环境中进行了多次BGP前缀劫持测试,结合测试结果分析对影响BGP前缀劫持攻击范围的有关因素进行了研究。测试表明,BGP前缀劫持造成的受害范围与攻击发起路由器所属AS的层次和度数有着直接的关系。 相似文献
6.
BGP协议安全是域间路由安全的核心问题之一,其关键问题就是如何确保每个AS发布BGP路由信息的正确性和完效的部署。本文建立了完整的BGP威胁模型,对当前提出的BGP安全机制进行了系统的分析,针对域间路由安全中的关键问题提出了一些新的研究思路。 相似文献
7.
基于BGP协议构造的域间路由系统是因特网的基础设施,面临多种恶意攻击的威胁且易受人为错误的影响,安全监测是增强域间路由健康和安全的重要手段。本文介绍了域间路由监测的可视化系统ISPView的设计与实现,采用改进的磁场-弹簧的力学模型实现网络拓扑图的动态展示。将算法应用于ISPView中,可以展示不同粒度下的网络拓扑结构,动态显示路由系统的安全状态,实现对域间路由的异常行为的安全监测。 相似文献
8.
BGP4是最主要的域间路由协议,BGP4 是对BGP4进行扩展之后支持IPv6的,对于它的互操作性测试很重要.本文首先介绍了互操作性测试的目的,分析了BGP4以及BGP4 的功能、路由类型以及数据包种类.根据BGP4的说明生成了协议的输入输出有限状态机,基于该模型生成了部分BGP4 的互操作性测试套.然后对于协议的不同实现进行了互操作性测试设计与实践,最后给出了结论以及下一步的研究工作. 相似文献
9.
大规模BGP-LDoS(Low-rate DoS attack against BGP sessions)攻击是造成域间路由系统大范围相继故障的一种典型且有效的技术手段。在分析BGP-LDoS攻击技术及特性的基础上,提出一种基于生灭过程理论的相继故障模型。将域间路由系统的所有节点视为一个单种群,将BGP-LDoS攻击下的路由节点故障传播过程视为种群的生灭过程,即各个节点在正常态和故障态之间的迁移。通过构建的故障传播主方程,形式化描述节点故障在域间路由系统中的级联传播。理论分析和实验结果都验证了该模型能够有效描述BGP-LDoS攻击导致的域间路由系统节点故障传播过程,可为域间路由系统相继故障预防与控制技术的研究提供理论支持。 相似文献
10.
提出了一种系统实现协议健壮性测试的新方法。该方法通过深入分析BGP的路由信息处理过程,建立场景模型来描述决策过程和更新过程的应用环境和控制参数,并基于该模型提出了健壮性测试案例生成方法。该方法是通信协议测试和软件测试相结合,具有良好的应用发展前景。路由协议BGP的实际测试应用表明,该方法避免了组合爆炸问题,生成的反向测试集的检错能力是正向测试集的2.3倍。 相似文献
11.
《中国科学:信息科学(英文版)》2012,(10):2358-2368
The inter-domain routing system faces many serious security threats because the border gateway protocol(BGP) lacks effective security mechanisms.However,there is no solution that satisfies the requirements of a real environment.To address this problem,we propose a new model based on immune theory to monitor the inter-domain routing system.We introduce the dynamic evolution models for the "self" and detection cells,and construct washout and update mechanisms for the memory detection cells.Furthermore,borrowing an idea from immune network theory,we present a new coordinative method to identify anomalous nodes in the inter-domain routing system.In this way,the more nodes working with their own information that join the coordinative network,the greater is the ability of the system to identify anomalous nodes through evaluation between nodes.Because it is not necessary to modify the BGP,the ITMM is easy to deploy and inexpensive to implement.The experimental results confirm the method’s ability to detect abnormal routes and identify anomalous nodes in the inter-domain routing system. 相似文献
12.
边界网关协议BGP是当前因特网域间路由协议的事实标准,基于策略的路由选择过程使它不再是严格意义上的距离矢量协议,也不再具有距离矢量协议的收敛性。Varadhan指出,自治系统各自为政的策略配置方式会导致全局策略冲突,引起永久性的路由振荡。针对该问题,Griffin利用稳定路径问题SPP模型形式化地抽象出BGP协议行为,并以此为基础提出了一种分布式的策略冲突检测算法,尽管该算法完全避免了传统方法的缺陷,但仍然存在泄漏策略信息、对BGP协议改动太大以及浪费网络资源的问题。本文提出了一种基于安全多方计算的检测路由策略冲突的方法,用于在怀疑BGP路由发生振荡时,动态地检测系统中是否存在策略冲突。该方法采纳了Griffin的理论基础,同时由于巧妙地运用了安全多方计算协议,可以完全解决Griffin算法的问题,具有很好的实用性。 相似文献
13.
14.
The Border Gateway Protocol (BGP) is the de facto inter-domain routing protocol in the Internet, thus it plays a crucial role in current communications. Unfortunately, it was conceived without any internal security mechanism, and hence is prone to a number of vulnerabilities and attacks that can result in large scale outages in the Internet. In light of this, securing BGP has been an active research area since its adoption. Several security strategies, ranging from a complete replacement of the protocol up to the addition of new features in it were proposed, but only minor tweaks have found the pathway to be adopted. More recently, the IETF Secure Inter-Domain Routing (SIDR) Working Group (WG) has put forward several recommendations to secure BGP. In this paper, we survey the efforts of the SIDR WG including, the Resource Public Key Infrastructure (RPKI), Route Origin Authorizations (ROAs), and BGP Security (BGPSEC), for securing the BGP protocol. We also discuss the post SIDR inter-domain routing unresolved security challenges along with the deployment and adoption challenges of SIDR’s proposals. Furthermore, we shed light on future research directions in managing the broader security issues in inter-domain routing. The paper is targeted to readers from the academic and industrial communities that are not only interested in an updated article accounting for the recent developments made by the Internet standardization body toward securing BGP (i.e., by the IETF), but also for an analytical discussion about their pros and cons, including promising research lines as well. 相似文献
15.
BGP安全机制的研究 总被引:1,自引:0,他引:1
边界网关协议(BGP)是目前域间路由事实上的标准,但是该协议缺少必要的安全机制,存在很多漏洞,面临许多安全威胁,如某个被误配置或控制的BGP路由器可能会导致大规模网络中断。BBN公司提出的S-BGP协议在原有BGP的基础上扩展了一套安全机制,能有效地防范绝大部分安全威胁。论文详细分析了S-BGP协议的安全机制及其实现,对S-BGP的性能开销进行了分析,并通过路由实验进一步验证了S-BGP的安全能力;分析了S-BGP在实际应用中实现集中式证书认证PKI的复杂性,并提出了一种分布式前缀起源认证模型,最后对这两种PKI认证模型进行了比较。 相似文献