共查询到16条相似文献,搜索用时 46 毫秒
1.
由于BGP协议的脆弱性,BGP前缀劫持长期以来一直对互联网产生着严重的安全威胁。检测和分析大规模的前缀劫持事件是一件十分必要但又充满挑战的工作。以2019年发生的大规模的欧洲路由泄露导致路由劫持事件为案例,提出了一种基于公共BGP数据的有效的检测和分析方法。分析结果包括如下几条:(1)这次劫持的“攻击者”为AS21217,AS4134是劫持路由传播过程中的关键点;
(2)此次劫持事件导致了严重的多源AS冲突和AS-PATH路径膨胀问题;(3)此次事件的劫持类型包括劫持前缀并篡改AS路径,以及劫持子前缀并篡改AS路径2种类型;(4)检测到311个AS被感染,长度为4的感染链数量最多,且分属于3 895个AS的28 118个前缀IP段成为受害者,同时实现了一个可视化系统来展示劫持发生时的全球网络态势。这些研究结果一方面与Oracle等公司公布的结果相互印证,另一方面又对此次网络事件进行了更加详尽的补充和深入挖掘。 相似文献
2.
针对当前互联网上发生的BGP前缀劫持事件,分析BGP前缀劫持检测系统的通信方式,为解决BGP前缀劫持发生后产生的通信困局提供方法支撑,从而为分布式的BGP前缀劫持检测系统消息通告设计与实现提供参考.文章以当前BGP前缀劫持检测系统为背景,基于前缀劫持中受害者AS、感染者AS和未受感染者AS的通信关系,提出几种旨在打破通信困局的启发式消息宣告机制并对其各种机制的特点进行了分析. 相似文献
3.
自治系统间的IP前缀劫持是互联网安全的重大威胁.目前基于非对称密码学的前缀劫持防范机制都无可避免地面临复杂的公钥证书存储管理问题或者密钥托管问题,并且在前缀源自治系统在线验证时计算量太大,难以在实际中布署实施.本文提出的这种防范机制,采用公钥自证明签名方案进行前缀源自治系统的验证,无需公钥证书和密钥托管,可从多方面提高防范机制的性能,有望促进IP前缀劫持防范机制的实际布署实施. 相似文献
4.
前缀劫持攻击是互联网BGP域间路由系统中的首要安全威胁,至今还无有效解决该问题的方案。以前缀劫持攻击为研究对象,分析了前缀劫持攻击产生的具体原因,展现了该攻击在自治系统内部以及在自治系统之间的表现形式与影响;从前缀劫持攻击的危害程度,分析并划分了前缀劫持攻击的基本形态,讨论了各种前缀劫持攻击的基本特性。分析结果表明,子前缀劫持的危害最严重,确切前缀劫持的影响最复杂,而父前缀劫持最易被发现且危害相对较小。 相似文献
5.
前缀劫持攻击是互联网BGP域间路由系统中的首要安全威胁,至今还无有效解决该问题的方案。以前缀劫持攻击为研究对象,分析了前缀劫持攻击产生的具体原因,展现了该攻击在自治系统内部以及在自治系统之间的表现形式与影响;从前缀劫持攻击的危害程度,分析并划分了前缀劫持攻击的基本形态,讨论了各种前缀劫持攻击的基本特性。分析结果表明,子前缀劫持的危害最严重,确切前缀劫持的影响最复杂,而父前缀劫持最易被发现且危害相对较小。 相似文献
6.
提出了一种基于线索平衡二叉排序哈希树认证委分字典的安全高效的源认证(origin authentication,简称OA)方案,用于防范BGP地址前缀劫持攻击.基于Aiello和McDaniel等人提出的OA服务,通过数值区间对AS号和IP地址前缀这两种BGP前缀宣告资源进行了统一的形式化定义,采用一种方案同时解决了两种前缀宣告资源的源可信问题.该方案不仅解决了原OA服务中存在的"无效分配关系的证据量是有效分配关系证据量的两倍"的问题,而且与原OA服务相比,该方案建树所需要的总节点数降低约一半.同时,委分证据集合的平均长度更小.因此,该源认证方案效率更高. 相似文献
7.
防范前缀劫持的互联网注册机制 总被引:2,自引:2,他引:0
借鉴IRR(Internet routing registry)机制中注册路由策略的思想,提出了前缀策略(prefix policy)的概念,并由此设计了一种防范前缀劫持的方法—— E-IRR 机制.在E-IRR 中,参与者发布自己的前缀策略,同时利用其他自治系统已注册的前缀策略验证BGP路由,从而防范前缀劫持.提出了维护前缀策略有效性措施,评估了E-IRR机制的安全能力与性能.方法的主要优势是,其在前缀劫持的防范能力与安全机制的实际部署需求之间达到了一个较好平衡,可增量式地部署,并不需要对BGP协议进行任何安全扩展.现有方案都不同时具备这些特性,它们使得E-IRR有望实际可行地解决前缀劫持问题. 相似文献
8.
9.
自治系统的网络管理员要想及时地发现前缀劫持非常困难。本文分析了现有方案的不足,讨论了前缀劫持问题困难的根源。考虑到互联网的自治特性,本文提出了一个基于协作的前缀劫持检测方案。该方案支持多个自治系统协作地监测BGP路由,这不仅可分摊系统的监测开销、防止泄露私有的BGP路由信息,而且还可极大地扩展单个自治系统的可监测范围,能有效地帮助网络管理员检测关于自身前缀的劫持事件。 相似文献
10.
哈希函数在数字签名以及完整性检验方面被广泛使用.本文从攻击应用的角度出发,首先介绍了哈希函数的近似碰撞攻击进展,总结了目前利用两种近似碰撞攻击技术实现的碰撞应用,给出了近似碰撞攻击实现单一类型或者多种文件类型的碰撞技术.然后,首次利用选择前缀攻击实现了MP3-PDF-JPEG文件的碰撞攻击应用.该攻击利用MP3本身结构的稳定性,将MP3文件分割解决了JPEG文件中注释段长度过短的问题,突破了MP3文件的字节长度限制.并利用PDF自下向上解析的特点将三种文件结合,利用PDF中自带的流对象和JPEG中的注释段构造新的文件结构,通过两次选择前缀攻击可实现碰撞应用.为了验证结论的正确性,实现了三种文件的MD5碰撞实例,评估三种文件的SHA-1碰撞实例的攻击复杂度约为264.4.所提出的碰撞应用方法可以适用于任意MD结构的哈希函数. 相似文献
11.
The de facto inter-domain routing protocol, Border Gateway Protocol (BGP), plays a critical role in the reliability of the Internet routing system. However, the system may also be devastated by forged BGP routes that are generated by malicious attacks or mis-configurations. This security problem has attracted considerable attention, and although several solutions has been proposed, none of them have been widely deployed due to weaknesses such as high computational cost or potential security vulnerability. This paper proposes Fast Secure BGP (FS-BGP), an efficient mechanism that can secure AS-paths and prevent prefix hijacking by signing critical AS-path segments. We prove that FS-BGP achieves a similar level of security as S-BGP, but with much higher efficiency. Compared with S-BGP, the cost of signing and verification in FS-BGP can be reduced by orders of magnitude, as demonstrated in our experiments using BGP UPDATE data collected from real backbone routers. Indeed, the signing and verification can be accomplished as fast as the most bursty BGP UPDATE arrivals, which implies that FS-BGP will hardly delay the propagation of routing information. 相似文献
12.
Co-Monitor:检测前缀劫持的协作监测机制 总被引:1,自引:0,他引:1
在如今的互联网中,网络管理员要想及时地发现前缀劫持事件非常困难.考虑到互联网域间路由系统中存在的自治特性,提出了在多个自治系统之间协作监测前缀的思想,并由此设计了一个实时检测前缀劫持的新方法——Co-Monitor机制.在Co-Monitor中,每个参与者与其他参与者交换自定义的前缀-源自治系统映射信息,同时,利用所学到的前缀-源自治系统映射信息实时地监测本地BGP(border gateway protocol)路由更新.一旦某个参与者发现了不一致就立刻通知相关的参与者,从而可帮助参与者及时、有效地发现前缀劫持.给出了Co-Monitor机制的详细设计,评估了该机制的检测能力,并讨论了几个相关的问题.实验结果表明,只需精心选择60个参与者,就可确保Co-Monitor系统检测前缀劫持的漏检率和误检率都为0%. 相似文献
13.
自治网络中信任信誉模型的安全现状研究 总被引:1,自引:0,他引:1
随着P2P网络、Ad hoc、无线传感器网络的深入研究,信任和信誉成为保障这类自治网络安全的一个重要手段.虽然信任信誉系统在自治网络中起到了重要的作用,但其采用了间接推荐等技术,给信任信誉带来很多安全问题.介绍了信任信誉模型的相关概念,总结了目前对信任信誉模型的新攻击手段,并针对这些攻击,比较分析了在自治网络环境中具备一定防御能力的典型信任信誉模型的各自防御方法、防御效果以及性能情况.最后,在分析了现有研究存在的主要问题的基础上,展望了今后提高信任信誉模型安全性研究的主要方向. 相似文献
14.
该文介绍了一个增大的AS图表示法,它将自治系统(AS)的相互关系分类为:客户-供应商关系、兄弟关系、同属关系。同时给出了从BGP路由表中推理出AS相互关系的启发式算法。 相似文献
15.
信任在人类社会的合作中起着非常重要的作用,在诸多领域也受到了广泛的关注。在开放多Agent系统(MAS)的研究中,引入了信任的方法,用于解决交互伙伴的选择问题。信誉与信任密切相关,可以视信誉为信任的信息来源之一,信誉系统是用于完成信任评价的机制。MAS中信任研究应担负起发现计算实体之间信任的一般规律的重任。讨论了信任和信誉模型研究的内容、要求以及应用。在技术层面,信任表示有认知和数值两种观点,形成了集中式、分布式和混合式的体系结构,用于信任的汇总包括统计、概率、信念理论及模糊推理等方法。群体信誉、信息不准确、信息贫乏、异构模型互操作等问题有待进一步深入研究。 相似文献
16.
《国际计算机数学杂志》2012,89(6):727-742
Existence of the optimal prefix codes is shown in this paper. Relationship between the optimal prefix code and the Huffman code is also discussed. We prove that all Huffman codes are optimal prefix codes and conversely optimal prefix codes need not be Huffman codes. Especially, the problem of whether the optimal prefix code has to be maximal is presented. Although for information source alphabets of being not greater than four letters we show that an optimal prefix code must be maximal, it remains to be an open problem in general. As seen from Huffman codes, optimal prefix codes are used not only for statistical modeling but also for dictionary methods. Moreover, it is obtained that the complexity of breaking an optimal prefix code is NP-complete from the viewpoint of computational difficulty. 相似文献