共查询到16条相似文献,搜索用时 125 毫秒
1.
边界网关协议(BGP路由)在路由表中存放的路由数据可以反映互联网规模、运行的状态、及路由体系结构的演化,是互联网基础研究的重要组成部分,域间网络路由通过BGP路由信息交换来完成,但是,BGP协议设计存在一些重要的安全漏洞,容易导致前缀劫持、路由泄漏、以及各类针对互联网的拒绝服务攻击,本文主要分析BGP在不同域间路由传播的主要特性,研究探讨BGP在域间传播面临的主要安全威胁,进而对各种增强BGP域间安全传播的技术和方案进行合理分类和详尽研究,最终对BGP的未来安全研究进行相关分析与展望. 相似文献
2.
互联网域间路由系统安全态势评估 总被引:2,自引:0,他引:2
基于边界网关协议BGP的互联网域间路由系统缺乏必要的安全机制,面临严重的安全威胁.尽管人们对BGP路由系统的安全问题进行了详尽研究,但是很少量化该系统的安全态势,并且网络管理员也确实需要有用的安全态势信息来感知自治系统(AS)的路由安全状况.为了解决这个问题,分析了互联网域间路由系统的层次特性,提出了一个基于BGP异常路由的安全评估模型.该方法的基本思想是基于BGP路由系统的层次特性构造路由状态树,准确地刻画BGP路由系统中各路由实体之间的层次关系、存储和表达每个实体的路由安全状态;并根据所检测的异常路由计算每个实体的路由安全状态.实验测试表明,该模型能同时评估BGP路由器、自治系统和互联网域间路由系统的安全威胁态势,可为网络管理员提供直观的安全态势曲线. 相似文献
3.
4.
基于BGP协议构造的域间路由系统是因特网的基础设施。域间路由系统面临多种恶意攻击的成胁且易受人为错误的影响。本文提出BGP攻击树(Attack-Tree)模型,并应用该模型构造域间路由系统的安全性测试套件,不但能够全面地对BGP进行安全性测试,而且便于测试案例的生成和系统实现。测试过程就是对树的标记过程,本文为此提出了着
色算法。利用生成的测试案例,对BGP目标系统进行安全测试实验。结果表明,这种方法能有效地发现BGP潜在的安全漏洞,为ISP运营商增强路由系统安全提供依据。 相似文献
色算法。利用生成的测试案例,对BGP目标系统进行安全测试实验。结果表明,这种方法能有效地发现BGP潜在的安全漏洞,为ISP运营商增强路由系统安全提供依据。 相似文献
5.
基于边界网关协议(BGP)的域间路由系统已经成为Internet的核心路由设施,但由于BGP本身缺乏安全机制,很容易受到各种人为配置错误或者恶意攻击的影响。我们开发的域间路由监测系统可以从4个层次实现对域间路由的安全监测,分别是Internet、国家网络、特定ISP和特定路由。本文详细介绍了多层次域间路由安全监测系统的组成结构、软件结构、设计思想、实现技术和测试结果。 相似文献
6.
随着互联网规模的急剧扩大,边界网关协议(BGP,border gateway protocol)在域间路由系统中的作用愈加重要。BGP本身存在很大的安全隐患,导致前缀劫持、AS_PATH劫持及路由泄露攻击事件频频发生,给互联网造成了严峻的安全威胁。目前,国内外针对路由泄露的介绍及安全研究机制相对较少。对 BGP 路由泄露进行了详细研究,介绍了 BGP 内容、路由策略及制定规则,分析了重大路由泄露安全事件及发生路由泄露的6种类型,并比较了当前针对路由泄露的安全机制和检测方法,最后对路由泄露安全防范机制提出了新的展望。 相似文献
7.
针对域间路由系统的低速率拒绝服务攻击(Low-rate denial of service against BGP,BGP-LDoS)通过引起级联失效造成域间路由系统整体瘫痪。研究BGP-LDoS攻击威胁下域间路由系统级联失效的传播机理、影响因素是应对和防范该攻击的基础。通过分析域间路由系统的结构特性以及BGP-LDoS攻击过程,提出这一种基于传染病动力学的BGP-LDoS威胁传播模型BGP-SIS。将系统中每个节点的状态划分为易感态、感染态,利用传染病动力学模型SIS对攻击所造成的级联失效过程进行描述,推导攻击威胁下域间路由系统的最终状态。利用仿真实验对模型及推论的有效性进行验证。实验结果表明BGP-SIS能够有效描述和预测BGP-LDoS攻击下域间路由系统级联失效的传播规律,可为域间路由系统检测和防御BGP-LDoS攻击提供借鉴和参考。 相似文献
8.
可信任是下一代互联网的重要特征.目前,互联网的路由系统只按照分组的目的IP地址转发分组,携带虚假源IP地址的伪造分组也会被传输到目的地,这会在威胁接收方安全的同时,隐藏发送方的真实身份.可信任互联网的路由系统不仅需要能够正确地转发分组,而且能够验证分组来自正确的发送方.基于路由的域间分布式分组过滤是过滤伪造分组的有效方法.提出了BGP的路由选择通知功能扩展,为域间分组过滤提供过滤标准.在扩展的支持下,边界路由器能够鉴别进入本自治系统的分组的真实性,过滤掉伪造其他自治系统地址的分组.模拟结果表明,路由选择通知不会对BGP正常的路由功能产生负面影响,选择合理的路由选择时钟参数,可以在同时取得较小带宽开销和较快收敛速度的情况下,为域间分布式分组过滤提供支持. 相似文献
9.
基于BGP的域间路由系统是Internet的核心设施,是保证整个网络互联及正常运行的关键。然而,由于BGP协议本身缺乏必要的安全机制而极易受到攻击。例如,前缀劫持就是针对BGP缺陷而实施的一种较难防范的攻击。近年来,已发生多起BGP前缀劫持事件,造成了严重危害。本文基于GT-NetS软件构建了一个大规模域间路由系统模拟环境,并在该模拟环境中进行了多次BGP前缀劫持测试,结合测试结果分析对影响BGP前缀劫持攻击范围的有关因素进行了研究。测试表明,BGP前缀劫持造成的受害范围与攻击发起路由器所属AS的层次和度数有着直接的关系。 相似文献
10.
BGP4+协议一致性测试系统设计与实现* 总被引:1,自引:0,他引:1
BGP4+是一种在自治系统间运行的动态路由协议,其功能是在自治系统间交换网络层可达信息。IPv6协议作为下一代互联网最有竞争力的核心协议成为研究热点。BGP4+是IPv6最重要的路由协议,已经在路由器等网络设备中得到广泛实现。如何保证各网络设备协议实现的一致性,是保证各设备可以互连、互操作的关键。在介绍BGP4+的基础上,设计并实现了BGP4+的协议一致性测试系统,并对一基于FreeBSD平台的BGP4+一致性测试实现的结果进行了分析。 相似文献
11.
基于BGP协议构造的域间路由系统是因特网的基础设施,面临多种恶意攻击的威胁且易受人为错误的影响,安全监测是增强域间路由健康和安全的重要手段。本文介绍了域间路由监测的可视化系统ISPView的设计与实现,采用改进的磁场-弹簧的力学模型实现网络拓扑图的动态展示。将算法应用于ISPView中,可以展示不同粒度下的网络拓扑结构,动态显示路由系统的安全状态,实现对域间路由的异常行为的安全监测。 相似文献
12.
BGP协议安全是域间路由安全的核心问题之一,其关键问题就是如何确保每个AS发布BGP路由信息的正确性和完效的部署。本文建立了完整的BGP威胁模型,对当前提出的BGP安全机制进行了系统的分析,针对域间路由安全中的关键问题提出了一些新的研究思路。 相似文献
13.
The border gateway protocol (BGP) has become the indispensible infrastructure of the Internet as a typical inter-domain routing protocol. However, it is vulnerable to misconfigurations and malicious attacks since BGP does not provide enough authentication mechanism to the route advertisement. As a result, it has brought about many security incidents with huge economic losses. Exiting solutions to the routing security problem such as S-BGP, So-BGP, Ps-BGP, and RPKI, are based on the Public Key Infrastructure and face a high security risk from the centralized structure. In this paper, we propose the decentralized blockchain-based route registration framework-decentralized route registration system based on blockchain (DRRS-BC). In DRRS-BC, we produce a global transaction ledge by the information of address prefixes and autonomous system numbers between multiple organizations and ASs, which is maintained by all blockchain nodes and further used for authentication. By applying blockchain, DRRS-BC perfectly solves the problems of identity authentication, behavior authentication as well as the promotion and deployment problem rather than depending on the authentication center. Moreover, it resists to prefix and subprefix hijacking attacks and meets the performance and security requirements of route registration. 相似文献
14.
15.
《中国科学:信息科学(英文版)》2012,(10):2358-2368
The inter-domain routing system faces many serious security threats because the border gateway protocol(BGP) lacks effective security mechanisms.However,there is no solution that satisfies the requirements of a real environment.To address this problem,we propose a new model based on immune theory to monitor the inter-domain routing system.We introduce the dynamic evolution models for the "self" and detection cells,and construct washout and update mechanisms for the memory detection cells.Furthermore,borrowing an idea from immune network theory,we present a new coordinative method to identify anomalous nodes in the inter-domain routing system.In this way,the more nodes working with their own information that join the coordinative network,the greater is the ability of the system to identify anomalous nodes through evaluation between nodes.Because it is not necessary to modify the BGP,the ITMM is easy to deploy and inexpensive to implement.The experimental results confirm the method’s ability to detect abnormal routes and identify anomalous nodes in the inter-domain routing system. 相似文献