蕭益民

摘 要：域間路由系統(tǒng)作為整個互聯(lián)網(wǎng)的支柱，其安全性正面臨嚴峻考驗。目前，數(shù)據(jù)信息真實性和完整性得不到保證，配置故障比比皆是，系統(tǒng)冗余性低下，系統(tǒng)規(guī)模不斷擴大，造成管理難度逐漸增加，域間路由系統(tǒng)安全監(jiān)測尤為重要。本文主要對域間路由系統(tǒng)面臨的威脅進行了分析，并探討了增強其安全性的策略。

關鍵詞：域間路由；安全監(jiān)測；技術

中圖分類號： TP392 文獻標識碼： A 文章編號： 1673-1069（2016）27-139-2

0 引言

域間路由系統(tǒng)作為互聯(lián)網(wǎng)上最為關鍵的基礎設施，其作用主要是為了使各互聯(lián)網(wǎng)間的信息能相互通達，從而保障全球信息的共享。域間路由器系統(tǒng)的使用范圍非常廣，其他系統(tǒng)與其沒有可比性，當受到攻擊的時候，會造成無法估量的破壞。本文首先對域間路由系統(tǒng)面臨的安全問題進行了探討，并對用包過濾機制增強域間路由系統(tǒng)的安全進行了詳細的闡述，然后結合現(xiàn)有的MPLS技術、TCPMD5機制探討了它們?nèi)绾卧鰪娪蜷g路由系統(tǒng)的安全。

1 域間路由系統(tǒng)的安全問題探究

域間路由系統(tǒng)存在諸多安全缺陷，很容易受到各方面的強烈攻擊，和用戶主機直接遭受破壞相比，其有更加強大的隱蔽性，擁有更大的破壞力，嚴重威脅了整個互聯(lián)網(wǎng)的安全。文章首先對各種危害進行了系統(tǒng)的分類。詳情見圖1。

1.1 協(xié)議的脆弱性

1.1.1 中間人攻擊

BGP沒有對對等實體的身份進行認證，這為位于對等實體間的中間人攻擊者提供了破壞機會。中間人攻擊者一般通過源地址欺騙方式對全網(wǎng)進行大規(guī)模的攻擊。一般情況下，路由器在轉發(fā)報文的時候，只根據(jù)報文的目的、地址查路由表，而忽視了報文的源地址。因此，這樣就可能面臨一種危險，如果一個攻擊者向一臺目標計算機發(fā)出一個報文，而把報文的源地址填寫為第三方的一個IP 地址，這樣這個報文在到達目標計算機后，目標計算機便可能向毫無知覺的第三方計算機回應。這樣，這個回應可能對第三方計算機造成了干擾，達到攻擊的目的。同時，目標計算機也可能直接作為被攻擊的目標。攻擊者首先通過監(jiān)聽路由器A和B之間的通信，獲取A和B的重要信息，如IP地址、AS號以及路由表等，然后將竊取的報文路徑屬性，進行修改并加入偽造的路由信息，之后轉發(fā)。這種行為不僅可以達到路由黑洞的目的，而且可以達到擾亂整個互聯(lián)網(wǎng)流量行為的目的。

1.1.2 拒絕服務攻擊

針對域間路由系統(tǒng)的拒絕服務攻擊的方式分為兩種。一種是基于 TCP 協(xié)議的漏洞；另一種是基于BGP協(xié)議本身的漏洞?；赥CP的拒絕服務攻擊主要是利用了TCP三次握手的缺陷，攻擊者通過向合法的路由器的179端口發(fā)送大量的SYN請求，消耗網(wǎng)絡的帶寬和被攻擊路由器的資源，使得被攻擊的路由器與其他合法路由器的正常的通信延遲或者中斷。在BGP協(xié)議中BGP對等體可以隨時用NOTIFICATION消息來切斷對等體之間的連接。因此，攻擊者可通過冒充網(wǎng)絡中的路由器向其他的路由器發(fā)送 NOTIFICATION消息，使得被攻擊的路由器與對等體間的通信中斷。由于BGP依賴長久持續(xù)的TCP會話并設置較大的滑動窗口來運作，當BGP Session被中斷時，BGP應用程序會重新啟動并嘗試與它的連接對方重建一個連接并重建路由表，這就會導致一個輕微的服務損失攻擊頻度越高損失越大。如果攻擊者在網(wǎng)絡中通告大量的路由信息，就很有可能引起路由表數(shù)量的激增甚至爆炸。

1.2 實現(xiàn)的脆弱性

實現(xiàn)的脆弱性主要是由于系統(tǒng)部署不合理和受所處環(huán)境因素的制約引起的。首先，病毒的傳播能造成整個互聯(lián)網(wǎng)路由的不穩(wěn)定。此外，在大型的IP網(wǎng)絡中BGP不能很好地實現(xiàn)流量的負載分擔。

1.2.1 路由收斂問題

路由收斂問題包括兩個方面：一是是否收斂；二是收斂的時間問題。BGP通過搜索每個可能的自治系統(tǒng)路徑，從最短路徑到較長路徑直到最后收斂為止。搜索每個可能的自治系統(tǒng)路徑的速率取決于最小廣播間隔，該間隔即為新的路由信息被允許在系統(tǒng)中傳輸?shù)乃俾省?/p>

1.2.2 病毒傳播

CodeRed1病毒傳播和Nimda病毒傳播給全球范圍路由帶來了不良影響。雖然病毒傳播沒有直接感染路由器，在病毒傳播感染的過程中，網(wǎng)絡應用流量過大、管理工作站的感染等，使BGP和整個Internet的路由受到嚴重影響。

1.2.3 流量分布不均衡

大型IP網(wǎng)絡設計的基本方法是通過多條等價鏈路來分擔流量的負載。IGP能夠很好地支持等價路徑的負載分擔，但是BGP引入路由不能配合IGP實現(xiàn)等價路徑的負載分擔，很容易導致流量分布的不均衡的現(xiàn)象出現(xiàn)。

1.3 操作的脆弱性

操作的脆弱性是操作人員的錯誤行為導致的，系統(tǒng)中有20%-70%的故障由人為操作引起。例如著名的AS7007事件。由于對AS7007配置了錯誤的BGP，使得路由器的信息瞬間增多，并迅速在網(wǎng)絡上傳播，導致很多路由器出現(xiàn)故障甚至崩潰瓦解。目前影響比較嚴重的錯誤配置是輸出錯誤配置和地址起源錯誤配置，輸出錯誤配置是指路由器輸出本該過濾掉的路由，地址起源錯誤配置是指AS偶然將某條地址前綴注入全局BGP表。這種錯誤是可以避免的，而且對終端用戶的影響并不大。

2 防范措施

目前針對BGP的安全缺陷涌現(xiàn)了多種安全擴展方案，其多數(shù)都采用了信息認證的方式，目前所提出的基于PKI（Public Key Infrastructure）認證的安全機制中S-BGP是當前研究中最為完整、最具代表性的安全機制。我們主要分析了用包過濾防護技術增強域間路由系統(tǒng)的安全，并闡述了MPLS技術和TCPMD5機制在增強域間路由系統(tǒng)安全方面的益處。

2.1 包過濾防護

實施包過濾的依據(jù)主要是端口、IP、AS號、流量。端口過濾指僅允許對179端口的訪問，IP地址和AS號限制，只允許具有合法地址的用戶訪問該路由器，流量限制指對自治系統(tǒng)內(nèi)的每個路由器發(fā)送數(shù)據(jù)包的流量加以限制，正常BGP數(shù)據(jù)包的長度應不大于4096 Byte。持續(xù)的通過觀察多個點的路由更新情況推斷網(wǎng)絡的狀態(tài)，在每個自治系統(tǒng)內(nèi)的邊界路由器端部署檢測防御系統(tǒng)。包過濾防護模型的結構如圖2所示。

2.2 MPLS技術

MPLS技術就是多協(xié)議標記交換技術。它的優(yōu)勢是能在一個無連接的網(wǎng)絡中導進連接模式，同時，還能降低網(wǎng)絡的經(jīng)濟成本，在提供IP業(yè)務時能確保安全，具有流量工程能力，使信息傳輸大大提高，同時也有效避免了路由黑洞。

2.3 TCPMD5機制

TCPMD5機制中的MD5算法是相對安全的，而且共享密鑰受到了嚴密的保護，很難被破解，TCPMD5確保了消息的完整性和對等體身份的真實性，有效地抵御了中間人攻擊和拒絕服務攻擊。

3 結束語

隨著我國計算機技術的迅猛發(fā)展，人們對于路由器的要求也越來越高，從而，保證由無數(shù)臺路由器所組成的網(wǎng)絡的安全日益受到社會的關注。在這些成千上萬的路由器中，邊界路由器的作用更為重要。本文主要對域間路由系統(tǒng)的安全威脅進行了全面的分析，并提出了相應的解決技術。隨著S-BGP技術的不斷完善以及BGP技術與其他網(wǎng)絡防護技術的融合，更安全可靠和更加廣泛的BGP服務將被應用到Internet中。

參 考 文 獻

[1] 李春秀.域間路由生存性關鍵技術研究[D].北京郵電大學，2015.

[2] 趙宸.安全域間路由協(xié)議關鍵技術的研究[D].北京郵電大學，2013.

[3] 景全亮.域間路由安全監(jiān)測系統(tǒng)的設計與實現(xiàn)[D].首都師范大學，2014.