BGP路由泄露研究

随着互联网规模的急剧扩大,边界网关协议（BGP,border gateway protocol）在域间路由系统中的作用愈加重要。BGP本身存在很大的安全隐患,导致前缀劫持、AS_PATH劫持及路由泄露攻击事件频频发生,给互联网造成了严峻的安全威胁。目前,国内外针对路由泄露的介绍及安全研究机制相对较少。对 BGP 路由泄露进行了详细研究,介绍了 BGP 内容、路由策略及制定规则,分析了重大路由泄露安全事件及发生路由泄露的6种类型,并比较了当前针对路由泄露的安全机制和检测方法,最后对路由泄露安全防范机制提出了新的展望。     

域间路由协议前缀劫持行为模拟与分析

基于BGP的域间路由系统是Internet的核心设施,是保证整个网络互联及正常运行的关键。然而,由于BGP协议本身缺乏必要的安全机制而极易受到攻击。例如,前缀劫持就是针对BGP缺陷而实施的一种较难防范的攻击。近年来,已发生多起BGP前缀劫持事件,造成了严重危害。本文基于GT-NetS软件构建了一个大规模域间路由系统模拟环境,并在该模拟环境中进行了多次BGP前缀劫持测试,结合测试结果分析对影响BGP前缀劫持攻击范围的有关因素进行了研究。测试表明,BGP前缀劫持造成的受害范围与攻击发起路由器所属AS的层次和度数有着直接的关系。     

BGP安全研究

BGP是互联网的核心路由协议,互联网的域间选路通过BGP路由信息交换来完成.BGP协议设计存在重大的安全漏洞,容易导致前缀劫持、路由泄漏以及针对互联网的拒绝服务攻击.分析BGP路由传播及路由策略等主要特性,揭示BGP协议的设计缺陷;探讨BGP面临的主要安全威胁,并对路由泄漏进行建模分析和界定特征;概括现有的BGP安全防御机制并指出其不足,进而对各种增强BGP安全的技术和方案进行合理分类和详尽研究,比较其利弊、剖析其优劣;最后,对BGP安全的未来研究趋势进行展望.     

Co-Monitor:检测前缀劫持的协作监测机制

在如今的互联网中,网络管理员要想及时地发现前缀劫持事件非常困难.考虑到互联网域间路由系统中存在的自治特性,提出了在多个自治系统之间协作监测前缀的思想,并由此设计了一个实时检测前缀劫持的新方法——Co-Monitor机制.在Co-Monitor中,每个参与者与其他参与者交换自定义的前缀-源自治系统映射信息,同时,利用所学到的前缀-源自治系统映射信息实时地监测本地BGP(border gateway protocol)路由更新.一旦某个参与者发现了不一致就立刻通知相关的参与者,从而可帮助参与者及时、有效地发现前缀劫持.给出了Co-Monitor机制的详细设计,评估了该机制的检测能力,并讨论了几个相关的问题.实验结果表明,只需精心选择60个参与者,就可确保Co-Monitor系统检测前缀劫持的漏检率和误检率都为0%.     

互联网码号资源公钥基础设施(RPKI)研究综述

由于缺乏内建安全认证机制,边界网关协议(Border Gateway Protocol,BGP)容易遭受前缀劫持、路径伪造和路由泄露等异常路由攻击.互联网码号资源公钥基础设施(Resource Public Key Infrastructure,RPKI)正是针对BGP协议这一缺陷而提出的安全解决方案,其技术框架的标准...     

互联网大规模前缀劫持事件检测与分析的案例研究

由于BGP协议的脆弱性,BGP前缀劫持长期以来一直对互联网产生着严重的安全威胁。检测和分析大规模的前缀劫持事件是一件十分必要但又充满挑战的工作。以2019年发生的大规模的欧洲路由泄露导致路由劫持事件为案例,提出了一种基于公共BGP数据的有效的检测和分析方法。分析结果包括如下几条：（1）这次劫持的“攻击者”为AS21217,AS4134是劫持路由传播过程中的关键点; （2）此次劫持事件导致了严重的多源AS冲突和AS-PATH路径膨胀问题;（3）此次事件的劫持类型包括劫持前缀并篡改AS路径,以及劫持子前缀并篡改AS路径2种类型;（4）检测到311个AS被感染,长度为4的感染链数量最多,且分属于3 895个AS的28 118个前缀IP段成为受害者,同时实现了一个可视化系统来展示劫持发生时的全球网络态势。这些研究结果一方面与Oracle等公司公布的结果相互印证,另一方面又对此次网络事件进行了更加详尽的补充和深入挖掘。     

BGP前缀劫持下的通信研究与实现

针对当前互联网上发生的BGP前缀劫持事件,分析BGP前缀劫持检测系统的通信方式,为解决BGP前缀劫持发生后产生的通信困局提供方法支撑,从而为分布式的BGP前缀劫持检测系统消息通告设计与实现提供参考.文章以当前BGP前缀劫持检测系统为背景,基于前缀劫持中受害者AS、感染者AS和未受感染者AS的通信关系,提出几种旨在打破通信困局的启发式消息宣告机制并对其各种机制的特点进行了分析.     

互联网前缀劫持攻击研究

前缀劫持攻击是互联网BGP域间路由系统中的首要安全威胁,至今还无有效解决该问题的方案。以前缀劫持攻击为研究对象,分析了前缀劫持攻击产生的具体原因,展现了该攻击在自治系统内部以及在自治系统之间的表现形式与影响;从前缀劫持攻击的危害程度,分析并划分了前缀劫持攻击的基本形态,讨论了各种前缀劫持攻击的基本特性。分析结果表明,子前缀劫持的危害最严重,确切前缀劫持的影响最复杂,而父前缀劫持最易被发现且危害相对较小。     

互联网前缀劫持攻击研究

前缀劫持攻击是互联网BGP域间路由系统中的首要安全威胁,至今还无有效解决该问题的方案。以前缀劫持攻击为研究对象,分析了前缀劫持攻击产生的具体原因,展现了该攻击在自治系统内部以及在自治系统之间的表现形式与影响;从前缀劫持攻击的危害程度,分析并划分了前缀劫持攻击的基本形态,讨论了各种前缀劫持攻击的基本特性。分析结果表明,子前缀劫持的危害最严重,确切前缀劫持的影响最复杂,而父前缀劫持最易被发现且危害相对较小。     

一种IPv6域间路由宣告中的前缀置换方法

提出一种增强IPv6网络BGP路由聚合能力的方法.该方法建议将Provider Independent (PI)地址空间的前缀映射为PA地址空间中相应大小的地址块,然后宣告BGP路由.该方法需要在AS边缘路由器(ASBR)建立前缀置换映射表.必要时采用前缀映射置换的方法处理进出AS的IPv6分组.该方法仅在AS边缘路由器部署,不影响域内路由;该方法提高了BGP聚合路由的可能性,提高了互联网的路由可扩展性.本文的理论分析得出的基本结论是,该方法的地址空间开销和分组转发开销与被置换的PI地址在可路由IP地址空间中的占比有关.采用该方法,对使用PI地址的站点需要重定向服务提供外部访问连接.     

面向CCN的路由转发方案设计

CCN的数据转发具有不确定性和盲目性,降低了转发效率,为了提高CCN的路由转发效率和内容命中率,提出了一种构建内容名称路由表的路由转发方案。CCN路由进行内容名称前缀信息交互,内容名称前缀信息提供构建内容名称路由表所需的名称前缀信息和路由方案,CCN路由时刻维护更新路由内的内容路由表,为兴趣分组提供准确、可靠的路由方案,这样可降低CCN转发过程中的盲目性,提高转发效率。     

一种基于最长前缀匹配的分段式IP查表方法

基于最长前缀匹配,本文提出了一种新的IP转发表搜索方法.该方法在实现过程中依赖的主要硬件是一片逻辑控制器以及高速的DDR Ⅱ(Double Date RateⅡ)SDRAM(Synchronous Dynamic Random Access Memory).依据研究IP地址前缀所得出的规律,将IP地址前缀存储到DDRⅡ中.该搜索方法能够将搜索时间限制在两个DDRⅡ读周期之内,不超过4 ns;同时保证转发表更新时间小于512 ns.     

大规模IPv6网络拓扑发现探测目标点的构建和选取

探测目标点的数量及分布位置对网络拓扑发现的覆盖率和探测效率有直接的影响,因此成为网络拓扑发现研究领域一直关注的焦点.本文针对目前大规模网络拓扑发现目标点相关研究现状,提出了两种目标点集合构建方法,在对目标点冗余分析的基础上提出了相应的探测目标点选取方法.最后通过对CERNET-2骨干网络的实际测试,说明了本文提出的这些方法可以推广至国家级规模的IPv6网络拓扑发现应用中.     

高速路由器中基于树型结构路由查找算法的研究与实现

本文在比较各种基于树型结构查找算法的基础上提出了一种改进的路由查找算法，该算法具有查找速度快、所需存储空间小、更新速度快、硬件实现简单等特点，能够满足10Gbps核心路由器环境的要求。     

一种前缀长度二分查找的改进算法

在研究路由表地址前缀分布特点的基础上,提出了前缀长度二分查找方案。该方案采用前缀扩展技术,将前缀数量相对稀少的若干种前缀合并成一种,降低了查找树的高度,减少了存储器访问次数,提高了查找速度,分析了一种实用的Marker存储算法,探讨了IPv6的路由查找问题。     

路由查表算法及性能分析

由于Internet的流量迅速增长，一般的核心路由器都要能够达到每秒钟G比特的转发速率，快速的路由查表算法是实现高速分组转发的关键。文中分析了由于CIDR的产生导致路由查表算法变化的问题，详细介绍了各种查找算法并对各算法的查找速度、更新复杂度、内存消耗等进行了性能分析和比较，最后给出了查表算法适用于何种情况的结论。     

二维转发表的分解存储模型

现有互联网基于目的IP地址实施报文转发,传输过程没有关注源IP地址,转发策略不够灵活.基于目的IP地址与源IP地址的二维路由,支持网络提供更灵活的转发服务.但是,源IP地址的引入会急剧增加转发表（forward information base,简称FIB)的存储空间,大幅增加硬件成本.提出了一种二维转发表分解存储模型（decomposition storage model of two-dimensional FIB,简称DSTF),基于目的IP前缀对转发表进行分解存储.它把归属于同一个簇头IP前缀（cluster-head IP prefix,简称CP)的二维转发项集合作为一个子二维块（sub two-dimensional block,简称STB),并根据STB所属CP的不同,将转发项存储到不同的线卡（line card,简称LC).报文转发时,系统可根据CP与LC间的对应关系,快速定位报文的宿主线卡（LC_host),并在宿主线卡中实施转发处理.实验结果表明,该模型能将二维转发表均衡存储在不同线卡上,有效地减少了二维转发表在路由系统中的存储空间.     

前置式邮件过滤系统的设计与实现

针对互联网垃圾邮件泛滥的现状,该文设计了一种新的前置式邮件过滤系统。该系统独立于原邮件服务器,动态统计各SMTP客户端的发信频率,同时使用基于有限自动机的DFSA算法,快速过滤各种常见汉字编码的电子邮件。对于拦截信件,系统开放必要的邮件转发恢复操作,从而把误拦正常信件的可能性降至最低。该文最后给出系统实现并且进行性能验证。     

On sequential composition,action prefixes and process prefix

We illustrate the difference between sequential composition in process algebra axiomatisations like ACP and action prefixing in process calculi like CCS. We define both early and late input in a general framework extending ACP, and consider various subalgebras, some very close to value passing CCS, another one close to CSP.