基于域间路由的分布式分组过滤有效性研究

消除伪造源地址分组是互联网安全可信的内在要求.基于路由的分布式分组过滤具有良好的效果,但是目前对其有效性缺乏严密的理论分析.基于域间路由传播和互联网拓扑的分层特征,建立路由传播数模型和理想AS图模型,以此为工具分析了基于域间路由的最大过滤和半最大过滤有效性.结论印证并从理论上解释了前人研究中的实验结果.最大过滤能够消除绝大多数的伪造分组,虽然无法达到100％,但可以将伪造成功的自治系统数量限制为互联网AS路径的平均长度.在理想AS图上,半最大过滤与最大过滤的有效性相同,但是存储和计算开销要小很多,为实际中部署半最大过滤提供了理论依据.理论模型分析揭示了基于域间路由的分布式分组过滤的内在优缺点,有助于设计辅助措施和在整个互联网全面而合理地部署.     

域间多路径路由协议

边界网关协议(border gateway protocol,简称BGP)是当前互联网的核心协议,但是由于BGP是一种单路径路由协议,所以仍存在可靠性差、无法有效使用次优路径以及负载均衡支持较弱等问题.域间多路径路由可以通过发挥底层网络的AS级路径多样性,提高域间路由的可靠性、报文分组转发的总体性能和整个网络资源的利用率.因此,域间多路径路由是解决上述BGP问题的一种有效手段,符合互联网应用不断深入、促进路由技术发展的需求.主要综述域间多路径协议,并将其分为3类:单径通告多路转发协议、多径通告多路转发协议和新型域间多路径路由体系结构提出路径多样性、控制平面和数据平面开销、无环路特性等8项主要路由系统性能指标,并比较、分析了域间多路径路由协议.最后,指出域间多路径路由协议面临的主要挑战和未来的研究方向.     

域间路由协同监测中的信息共享机制

路由协同监测通过在自治系统之间共享路由监测信息来形成更为完整的全局监测视图,从而克服域间路由系统自治性的制约,提高单个自治系统的路由监测能力.针对路由协同监测的核心问题——监测信息共享,基于自组织思想设计了信息共享机制CoISM.该机制利用BGP路由策略引起的信息局部性对路由监测信息的传播范围进行裁减和控制,在被动查询的基础上增加了信息"反射"行为,利用路由监测信息之间的相关性实现信息的主动推送,将自治系统的利益建立在主动信息共享这一利他行为的基础上.CoISM能够引导自治系统实现路由监测信息的自组织聚合与按需共享,具有激励性,能够促进自治系统之间的协同.该机制采用分布式体系结构,具有良好的扩展性和较低的通信开销,不需要修改BGP协议,支持可渐进部署,适用于域间路由协同监测、路由故障协同分析、协同入侵检测等多种跨域协同管理应用.     

一种IPv6域间路由宣告中的前缀置换方法

提出一种增强IPv6网络BGP路由聚合能力的方法.该方法建议将Provider Independent (PI)地址空间的前缀映射为PA地址空间中相应大小的地址块,然后宣告BGP路由.该方法需要在AS边缘路由器(ASBR)建立前缀置换映射表.必要时采用前缀映射置换的方法处理进出AS的IPv6分组.该方法仅在AS边缘路由器部署,不影响域内路由;该方法提高了BGP聚合路由的可能性,提高了互联网的路由可扩展性.本文的理论分析得出的基本结论是,该方法的地址空间开销和分组转发开销与被置换的PI地址在可路由IP地址空间中的占比有关.采用该方法,对使用PI地址的站点需要重定向服务提供外部访问连接.     

互联网域间路由系统安全态势评估

基于边界网关协议BGP的互联网域间路由系统缺乏必要的安全机制,面临严重的安全威胁.尽管人们对BGP路由系统的安全问题进行了详尽研究,但是很少量化该系统的安全态势,并且网络管理员也确实需要有用的安全态势信息来感知自治系统(AS)的路由安全状况.为了解决这个问题,分析了互联网域间路由系统的层次特性,提出了一个基于BGP异常路由的安全评估模型.该方法的基本思想是基于BGP路由系统的层次特性构造路由状态树,准确地刻画BGP路由系统中各路由实体之间的层次关系、存储和表达每个实体的路由安全状态;并根据所检测的异常路由计算每个实体的路由安全状态.实验测试表明,该模型能同时评估BGP路由器、自治系统和互联网域间路由系统的安全威胁态势,可为网络管理员提供直观的安全态势曲线.     

域间路由协同管理机制及其应用

域间路由系统是互联网的核心基础设施,由多个独立配置和管理路由策略的自治系统互联而成.这种缺乏协同的管理模式会引起诸多控制和管理问题,例如:路由震荡、路由安全及流量工程违背等.为了消除路由策略冲突,自治系统之间需要协同.出于竞争目的,运营商需要对外隐藏自己的秘密信息,例如:路由策略、网络拓扑等等.这种行为阻碍了自治系统的协同.由于缺乏有效的协同信息访问机制,跨域路由策略管理难以实施.为了加强运营商的协同能力,基于离散对数假设提出一种面向多自治系统协同的路由策略一致性检查方法,该方法能够在不透露自治系统路由策略的前提下完成策略冲突检测.与基于加同态公钥密码算法的解决方案相比,不需要引入茫然第三方,具有更小的计算和通信开销.不需要修改BGP协议,易于实现和实施,支持可渐进部署,能够用于域间路由策略冲突检测、路由有效性验证、路由监测和协同入侵检测等多个领域.     

BGP路由策略对路由稳定性的影响分析

在Internet中,域间的路由是由域间路由协议控制的。边界网关协议（BGP）是广泛使用的用于在各个自治系统之间交换网络可达信息的域间路由协议。BGP允许每个自治系统实施各种本地路由策略。用以进行路由的选择和传播。然而,不同的自治系统所制定的本地路由策略可能存在潜在的冲突,从而导致路由的振荡。该文给出了一个BGP的抽象模型,并通过实例分析BGP路由策略对路由稳定性的影响。     

域间路由策略的协同管理问题

互联网由多个自治域互联组成,自治域之间按照各自的域间路由策略交换路由信息和转发流量。由于管理自治域的ISP各自为政,独立配置和管理自己的路由策略,缺少协同机制,容易引起路由震荡、热土豆路由、异常路由等问题。本文提倡采用协同的方式管理域间路由策略,通过列举一些典型的域间路由策略问题,提出一套域间路由策略的多方协同控制与管理体系,并重点讨论了协同管理的基础性问题--安全比较协议。该协议可以被应用在互联网域间路由策略的管理中,对于分布式故障检测、分布式网络性能能测量等相关应用,也具有较好的参考价值。     

基于协同的域间路由路径真实性验证机制

BGP节点在交互路由信息的过程中,不对AS_PATH属性的真实性进行验证,致使恶意节点可以通过发布伪造路由对特定自治域施加恶意影响.尽管已有多种方案提出,但都不能有效应对伪造AS_PATH类型攻击的问题.为此,提出一种基于协同查询的域间路由路径真实性验证机制DAIR.该机制的参与节点通过查询全局邻接信息和对等节点的邻接信息,验证更新报文AS_PATH属性的真实性.分析与实验结果表明,DAIR能够有效地防范自治系统遭受AS_PATH伪造或篡改攻击,且仅需少数核心节点参与即可获得很好效果.     

跨校区路由解决方案的研究和实现

分析了跨校区路由选择,根据各校区网络的实际应用情况,使用域间协议BGP,运用合理的路由策略,灵活过滤和选择跨校区间冲突的内部地址和私有地址,满足各校区自治网络不同应用需求,实现跨校区自治网络之间的互联,充分发挥了一校多区网络平台稳定高效的作用。     

A router-based technique to mitigate reduction of quality (RoQ) attacks

We propose a router-based technique to mitigate the stealthy reduction of quality (RoQ) attacks at the routers in the Internet. The RoQ attacks have been shown to impair the QoS sensitive VoIP and the TCP traffic in the Internet. It is difficult to detect these attacks because of their low average rates. We also show that our generalized approach can detect these attacks even if they employ the source IP address spoofing, the destination IP address spoofing, and undefined periodicity to evade several router-based detection systems. The detection system operates in two phases: in phase 1, the presence of the RoQ attack is detected from the readily available per flow information at the routers, and in phase 2, the attack filtering algorithm drops the RoQ attack packets. Assuming that the attacker uses the source IP address and the destination IP address spoofing, we propose to detect the sudden increase in the traffic load of all the expired flows within a short period. In a network without RoQ attacks, we show that the traffic load of all the expired flows is less than certain thresholds, which are derived from real Internet traffic analysis. We further propose a simple filtering solution to drop the attack packets. The filtering scheme treats the long-lived flows in the Internet preferentially, and drops the attack traffic by monitoring the queue length if the queue length exceeds a threshold percent of the queue limit. Our results show that we can successfully detect and mitigate RoQ attacks even with the source and destination IP addresses spoofed. The detection system is implemented in the ns2 simulator. In the simulations, we use the flowid field available in ns2 to implement per-flow logic, which is a combination of the source IP address, the destination IP address, the source port, and the destination port. We also discuss the real implementation of the proposed detection system.     

域间IP欺骗防御服务增强机制

IP地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级IP欺骗过滤和基于源标识(公钥)的端系统级IP认证均采用了端-端方式试图解决IP欺骗.端-端认证方式实现简单,但却忽略了IP欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向IP欺骗防御联盟成员的域间IP欺骗防御服务增强机制——ESP(enhanced spoofing prevention).ESP引入开放的路由器协同机制,提供了源-目的路径中ESP节点信息通告和协同标记的框架.基于源标识IP欺骗防御,ESP融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了ESP节点根据报文标识提前过滤IP欺骗报文.基于BGP(border gateway protocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了ESP节点的标记和过滤开销.ESP继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用Routeview提供的RIB(routing information base)进行评估,ESP增强了IP欺骗防御服务的能力,而且能够提前过滤IP欺骗报文.     

域间IP欺骗防御服务增强机制

IP地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级IP欺骗过滤和基于源标识(公钥)的端系统级IP认证均采用了端-端方式试图解决IP欺骗.端-端认证方式实现简单,但却忽略了IP欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向IP欺骗防御联盟成员的域间IP欺骗防御服务增强机制——ESP(enhanced spoofing prevention).ESP引入开放的路由器协同机制,提供了源-目的路径中ESP节点信息通告和协同标记的框架.基于源标识IP欺骗防御,ESP融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了ESP节点根据报文标识提前过滤IP欺骗报文.基于BGP(border gateway protocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了ESP节点的标记和过滤开销.ESP继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用Routeview提供的RIB(routing information base)进行评估,ESP增强了IP欺骗防御服务的能力,而且能够提前过滤IP欺骗报文.     

边界网关协议BGP安全性的分析与加强

边界网关协议BGP是INTERNET路由组织中的重要组成,文章分析了BGP的安全弱点,从报文设计的角度,通过添加PKI和数字签名等安全技术来确认BGP系统内IP地址和AS号的所有权与合法性,并对UPDATE报文的接受者和发送者授权认证,避免了报文的冒充发送和接受,增强了BGP对等体之间的信任程度,在更深的层次上加强了BGP协议的安全性.     

Packet forwarding with source verification

Routers in the Internet do not perform any verification of the source IP address contained in the packets, leading to the possibility of IP spoofing. The lack of such verification opens the door for a variety of vulnerabilities, including denial-of-service (DoS) and man-in-the-middle attacks. Currently proposed spoofing prevention approaches either focus on protecting only the target of such attacks and not the routing fabric used to forward spoofed packets, or fail under commonly occurring situations like path asymmetry. With incremental deployability in mind, this paper presents two complementary hop-wise packet tagging approaches that equip the routers to drop spoofed packets close to their point of origin. Our simulations show that these approaches dramatically reduce the amount of spoofing possible even under partial deployment.     

Controlling IP Spoofing through Interdomain Packet Filters

The distributed denial-of-service (DDoS) attack is a serious threat to the legitimate use of the Internet. Prevention mechanisms are thwarted by the ability of attackers to forge or spoof the source addresses in IP packets. By employing IP spoofing, attackers can evade detection and put a substantial burden on the destination network for policing attack packets. In this paper, we propose an interdomain packet filter (IDPF) architecture that can mitigate the level of IP spoofing on the Internet. A key feature of our scheme is that it does not require global routing information. IDPFs are constructed from the information implicit in border gateway protocol (BGP) route updates and are deployed in network border routers. We establish the conditions under which the IDPF framework correctly works in that it does not discard packets with valid source addresses. Based on extensive simulation studies, we show that, even with partial deployment on the Internet, IDPFs can proactively limit the spoofing capability of attackers. In addition, they can help localize the origin of an attack packet to a small number of candidate networks.     

MASK: An efficient mechanism to extend inter-domain IP spoofing preventions

IP spoofing hinders the efficiency of DDoS defenses. While recent proposals of IP spoofing prevention mechanisms are weak at filtering spoofing packets due to the complexity in maintaining source IP spaces and the low incentive of deployments. To address this problem, we propose an efficient mechanism to extend the range of inter-domain IP spoofing prevention called MASK. Source MASK nodes inform destination MASK nodes about the source IP spaces and labels of their neighbor Stub-ASes in order to implement the marking and verification of packets towards the Stub-ASes, and limit the number of MASK peers through the propagation of BGP updates so as to reduce the overheads of computing and storing of labels. By utilizing the method of extending the spoofing prevention to Stub-ASes, MASK can not only enlarge the domain of the spoofing prevention service, but also filter spoofing packets in advance. Through analysis and simulations, we demonstrate MASK＇s accuracy and effectiveness.     

高速地址Cache--散列表的应用

路由交换机由IP包进行转发时，需要查找路由表获得转发路径。但在网络层上实现此功能是一个耗费时间的过程，特别是在一个比较大的网络中进行路由交换时，其路由表会相当庞大，路由查找就成了交换机的一个瓶颈。为了解决这个问题，可采用高速地址缓存来加快路由查找过程。其基本思路是第一次IP包的路由确定后，以后的包直接转发。在具体实现中，需要有一个高速地址缓存路由信息，以便使后续的到达同一目的地的IP包块快速通过路交换机。对高速地址缓存的实现进行了探讨。     

BA-BGP:一种基于备份AS通告的域间路由协议

BGP协议通过触发全局、反应式收敛应对网络拓扑和策略变化,然而由于其收敛时间过长、收敛过程中大量AS经历不可达、环路,造成大量转发中断,难以支持VoIP、远程医疗等关键业务的应用。本文提出了一种基于备份AS通告的新型域间路由协议BA-BGP,在不影响BGP协议动态性的基础上,通过在更新报文中增加备份AS属性,使AS节点可以获取到达目标的备份AS地址,当节点面临瞬时失效时可将报文封装转发到与备份AS关联的路径,从而降低了转发中断。大量模拟实验证明,通过采用具有互联网特征的拓扑以及广泛采用的BGP策略,BA-BGP有效降低了链路失效引起的瞬时失效率与转发中断时间,增强了网络可靠性。