基于域间路由的分布式分组过滤有效性研究

消除伪造源地址分组是互联网安全可信的内在要求.基于路由的分布式分组过滤具有良好的效果,但是目前对其有效性缺乏严密的理论分析.基于域间路由传播和互联网拓扑的分层特征,建立路由传播数模型和理想AS图模型,以此为工具分析了基于域间路由的最大过滤和半最大过滤有效性.结论印证并从理论上解释了前人研究中的实验结果.最大过滤能够消除绝大多数的伪造分组,虽然无法达到100％,但可以将伪造成功的自治系统数量限制为互联网AS路径的平均长度.在理想AS图上,半最大过滤与最大过滤的有效性相同,但是存储和计算开销要小很多,为实际中部署半最大过滤提供了理论依据.理论模型分析揭示了基于域间路由的分布式分组过滤的内在优缺点,有助于设计辅助措施和在整个互联网全面而合理地部署.     

防范前缀劫持的互联网注册机制

借鉴IRR(Internet routing registry)机制中注册路由策略的思想,提出了前缀策略(prefix policy)的概念,并由此设计了一种防范前缀劫持的方法—— E-IRR 机制.在E-IRR 中,参与者发布自己的前缀策略,同时利用其他自治系统已注册的前缀策略验证BGP路由,从而防范前缀劫持.提出了维护前缀策略有效性措施,评估了E-IRR机制的安全能力与性能.方法的主要优势是,其在前缀劫持的防范能力与安全机制的实际部署需求之间达到了一个较好平衡,可增量式地部署,并不需要对BGP协议进行任何安全扩展.现有方案都不同时具备这些特性,它们使得E-IRR有望实际可行地解决前缀劫持问题.     

互联网码号资源公钥基础设施(RPKI)研究综述

由于缺乏内建安全认证机制,边界网关协议(Border Gateway Protocol,BGP)容易遭受前缀劫持、路径伪造和路由泄露等异常路由攻击.互联网码号资源公钥基础设施(Resource Public Key Infrastructure,RPKI)正是针对BGP协议这一缺陷而提出的安全解决方案,其技术框架的标准...     

基于国际视图的域间路由异常监测

域间路由安全监测方案由于部署方便和系统整体开销较小,在增强路由系统安全性方面得到了广泛应用。文章针对目前国内的监测方案在感知国内互联网路由安全态势方面的不足,提出基于国际视图的监测方法,并设计了相应的异常监测算法。异常监测算法包括国家级非法宣告前缀异常监测算法和国家级多源冲突异常监测算法。这是对目前监测方案的有力补充。该方法可以有效监测到国外AS对国内路由的劫持;同时评估国内非法宣告前缀对整个Internet的影响和在整个Internet上的扩散情况。     

基于OpenFlow架构的域内源地址验证方法

源地址验证对网络安全、管理和计量都有重要意义.清华大学提出包括接入子网、域内和域间三个层次的源地址验证体系结构.其中域内用到一种基于集中计算路径的方法,但在传统网络环境限制下,其实现遇到很多问题.本文将利用软件定义网络对网络革新的便捷支持,基于OpenFlow网络对域内源地址验证方法进行重新设计与实现,并提出两种方案.一种是在已有路由表的基础上计算出域内任意两个子前缀间的路径并生成源地址前缀、目的地址前缀和入接口三元组作为过滤规则;另一种方案是重新设计新的路由算法,生成同时具有路由功能和验证源地址功能的四元组(源地址前缀、目的地址前缀、入接口和出接口)流表.并分别对两种方案做出对比,给出实验结果.     

防范路由劫持的协同监测方法

路由劫持是当前Internet域间路由系统（BGP）所面临的最严重的安全威胁之一,但目前仍缺乏有效的防护手段.将自治系统（autonomous system,简称AS）基于BGP路由信息自我发现路由劫持的概率定义为对路由劫持的免疫能力,对该免疫能力进行了建模,并给出了AS自我免疫的充分条件和必要条件以及该免疫能力的上界.实验结果发现,80%以上的AS对路由劫持完全没有免疫能力,仅不超过0.26%的AS具有大于85%的免疫能力.对AS免疫过程的进一步分析,揭示了造成AS免疫能力低下的提供商栅栏现象——提供商优先选择客户路由,从而阻止了劫持路由向被劫持者的传播.为了克服提供商栅栏,提高AS的免疫能力,设计了协同监测机制,并提出了一种计算复杂度较低的启发式协同邻居选取策略.该机制无需修改BGP协议,可增量部署.实验结果表明,仅与25个自治系统进行协同,就可以将对路由劫持的免疫能力提高到高于95%的水平.     

Hidra:一个分级域间路由架构

Internet域间路由系统的扩展性面临着严峻挑战.主要表现在全球路由表膨胀和路由更新频繁.分析发现造成全球路由表膨胀的根本原因是标识自治系统位置的IP前缀数目不可控,造成路由更新频繁的根本原因是扁平的域间路由结构.基于此,文中提出了一个分级域间路由架构Hidra(Hierarchical inter-domain routing architec-ture).Hidra的核心思想是隔离网络边界与核心:"相对稳定"的核心网络位于高阶路由层,运行高阶域间路由协议,以维持核心网络的可达性;在"变化相对剧烈"的边界,引入一个低阶映射层和相应的映射服务,以维持边界网络与核心网络之间的可达性.因为与不稳定的边界网络隔离,核心网络路由的稳定性增强.Hidra引入一个标识传送自治系统位置的域间路由标识(Routing IDentity,RID).它由传送自治系统及其提供商自治系统唯一确定,显著降低了全球路由表的规模.     

基于前缀路由策略的无线传感器网络任播路由协议

无线传感器网络经常出现节点、链路暂时性失效的现象,而重新建立通信树需要消耗大量资源。针对这一问题,提出一种基于前缀路由策略的无线传感器网络任播路由协议。该协议采用一个轻量级的路由发现过程以构建新的任播路径,并采用基于前缀标签的单播查询方法。与广播相比,单播查询可以避免在网络中充斥大量路由消息包;前缀标签可以帮助协议快速找到路径较短的新的任播路径。与传统标签方法相比,该协议 的前缀标签开销(存储大小)有所增加,但增加幅度不大(不超过log₂₃倍)。实验证明,相比于传统的基于通信树的任播路由协议,当查找新的替代任播路径时,该协议具有较低的路由查询开销(消息包数量)、较强的路由查询能力和较优的端对端传输时延性能。     

UDP地址欺骗剖析及其对策

目前UDP协议在Internet上被广泛应用，但是UDP数据包易于伪造，其本身存在重大的安全隐患。对伪造数据报头中的源地址和端口的UDP地址欺骗的入侵行为进行了分析并提出了一种通过添加IP记录路由选项的方法来防止UDP地址欺骗，研究结果表明，这种方法可以一定程度上防止UDP地址欺骗的入侵行为。     

BGP路由泄露研究

随着互联网规模的急剧扩大,边界网关协议（BGP,border gateway protocol）在域间路由系统中的作用愈加重要。BGP本身存在很大的安全隐患,导致前缀劫持、AS_PATH劫持及路由泄露攻击事件频频发生,给互联网造成了严峻的安全威胁。目前,国内外针对路由泄露的介绍及安全研究机制相对较少。对 BGP 路由泄露进行了详细研究,介绍了 BGP 内容、路由策略及制定规则,分析了重大路由泄露安全事件及发生路由泄露的6种类型,并比较了当前针对路由泄露的安全机制和检测方法,最后对路由泄露安全防范机制提出了新的展望。     

互联网地址安全体系与关键技术

当前,互联网体系结构不具备地址真实性验证机制,源地址伪造与路由地址前缀欺骗造成了极大危害.解决地址安全问题、构建真实可信的互联网环境,已成为亟待解决的重要课题.地址的真实性是互联网可信的基础和前提.针对这些问题,研究者们从不同角度提出了很多解决方案.首先,该文介绍了地址的概念及其欺骗现状,分析了地址安全的含义,并从研究体系、实现机制以及关键技术这3个维度,对地址安全研究思路进行了归纳分析.然后,对典型地址安全方案的性能指标进行了总结.最后,给出了一个地址与标识通用实验管理平台的设想,基于该平台,可以为不同的地址标识方案提供统一的部署实验环境.     

域间IP欺骗防御服务增强机制

IP地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级IP欺骗过滤和基于源标识(公钥)的端系统级IP认证均采用了端-端方式试图解决IP欺骗.端-端认证方式实现简单,但却忽略了IP欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向IP欺骗防御联盟成员的域间IP欺骗防御服务增强机制——ESP(enhanced spoofing prevention).ESP引入开放的路由器协同机制,提供了源-目的路径中ESP节点信息通告和协同标记的框架.基于源标识IP欺骗防御,ESP融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了ESP节点根据报文标识提前过滤IP欺骗报文.基于BGP(border gateway protocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了ESP节点的标记和过滤开销.ESP继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用Routeview提供的RIB(routing information base)进行评估,ESP增强了IP欺骗防御服务的能力,而且能够提前过滤IP欺骗报文.     

域间IP欺骗防御服务增强机制

IP地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级IP欺骗过滤和基于源标识(公钥)的端系统级IP认证均采用了端-端方式试图解决IP欺骗.端-端认证方式实现简单,但却忽略了IP欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向IP欺骗防御联盟成员的域间IP欺骗防御服务增强机制——ESP(enhanced spoofing prevention).ESP引入开放的路由器协同机制,提供了源-目的路径中ESP节点信息通告和协同标记的框架.基于源标识IP欺骗防御,ESP融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了ESP节点根据报文标识提前过滤IP欺骗报文.基于BGP(border gateway protocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了ESP节点的标记和过滤开销.ESP继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用Routeview提供的RIB(routing information base)进行评估,ESP增强了IP欺骗防御服务的能力,而且能够提前过滤IP欺骗报文.     

双层IP 地址空间体系结构

互联网面临的挑战之一就是路由系统的可扩展性.路由表的快速增长以及越来越频繁的BGP更新,对核心路由器的性能、复杂性、能耗和成本产生了越来越大的压力.近年来,大量网络研究人员正在针对这些问题寻找解决方案.将现有的IP地址分解为标识和位置的思想,是重要的研究方向之一.提出一种新的标识与位置分离方案,形成双层地址空间体系结构,克服了可实现性和可部署性的困难,在缓解路由系统扩展性难题的同时,解决了IPv4地址耗尽的问题.除了对DNS作简单的修改并增设一种网关设备外,原有的骨干网和用户网不作任何改动.     

TCP/IP网络协议栈常见攻击技术与防范

本文介绍TCP／IP协议栈中网络层与传输层协议所存在的安全问题及黑客常用的攻击技术,包括网络层的IP源地址欺骗,ARP欺骗,ICMP路由重定向攻击,以及传输层TCP会话劫持,SYNFlood和UDPFlood攻击,并给出防范IP欺骗防范的最佳实践措施。     

基于稳定度的可信AS-IP宣告关系构建方法

互联网自治系统(AS)以在路由系统中宣告网络前缀的方式宣告IP地址块的所有权。当一个自治系统宣告了不属于它的网络前缀时,就会导致前缀劫持的发生。由于边界网关协议(BGP)本身无法验证AS和IP前缀之间的宣告关系是否真实,导致对前缀劫持的检测和判定异常困难。本文提出并实现一种基于稳定度的,构建可信AS-IP宣告关系的方法,并用于检测和判定前缀劫持。通过构建AS和IP前缀宣告关系的时间序列,计算该宣告关系在时间序列上的稳定度数值,并用于评估AS和IP前缀宣告关系的可信度。本文运用该方法对历史上发生过的大规模异常事件进行检测,实验表明,该方法能构造准确的AS和IP前缀宣告关系,并可有效地检测和判定前缀劫持事件。     

面向地址空间分离网络的地址映射模型:AMIA

地址空间分离是解决互联网路由可扩展问题的有效方法,其关键技术是边缘网地址到核心网地址的映射机制.现有典型地址映射模型基于缓存映射项机制实施,其映射信息交互协议复杂,路由器对映射信息缓存的维护开销很大.而且,缓存机制中映射项查询延迟较长,明显影响到端系统用户的网络体验.文中设计了一种新型的面向地址空间分离网络的域间地址映射模型:AMIA,通过BGP协议扩展完成映射信息交互,映射项存储不带有任何缓存机制,方便实施.文中还为AMIA模型设计研制了集成PE和KMS功能的多功能路由系统,并在CERNET2中搭建实验网进行实验验证.理论分析及实验结果证明AMIA模型具有高性能、可行性及易实施等特点.     

域间路由协议前缀劫持行为模拟与分析

基于BGP的域间路由系统是Internet的核心设施,是保证整个网络互联及正常运行的关键。然而,由于BGP协议本身缺乏必要的安全机制而极易受到攻击。例如,前缀劫持就是针对BGP缺陷而实施的一种较难防范的攻击。近年来,已发生多起BGP前缀劫持事件,造成了严重危害。本文基于GT-NetS软件构建了一个大规模域间路由系统模拟环境,并在该模拟环境中进行了多次BGP前缀劫持测试,结合测试结果分析对影响BGP前缀劫持攻击范围的有关因素进行了研究。测试表明,BGP前缀劫持造成的受害范围与攻击发起路由器所属AS的层次和度数有着直接的关系。     

Controlling IP Spoofing through Interdomain Packet Filters

The distributed denial-of-service (DDoS) attack is a serious threat to the legitimate use of the Internet. Prevention mechanisms are thwarted by the ability of attackers to forge or spoof the source addresses in IP packets. By employing IP spoofing, attackers can evade detection and put a substantial burden on the destination network for policing attack packets. In this paper, we propose an interdomain packet filter (IDPF) architecture that can mitigate the level of IP spoofing on the Internet. A key feature of our scheme is that it does not require global routing information. IDPFs are constructed from the information implicit in border gateway protocol (BGP) route updates and are deployed in network border routers. We establish the conditions under which the IDPF framework correctly works in that it does not discard packets with valid source addresses. Based on extensive simulation studies, we show that, even with partial deployment on the Internet, IDPFs can proactively limit the spoofing capability of attackers. In addition, they can help localize the origin of an attack packet to a small number of candidate networks.