龔文濤,郎穎瑩

1(中國(guó)石油大學(xué)(華東)信息化建設(shè)處,青島 266580)2(中國(guó)石油大學(xué)(華東)教育發(fā)展中心,青島 266580)

路由協(xié)議是TCP/IP協(xié)議族中重要成員之一[1,2],其選路過(guò)程實(shí)現(xiàn)的效率高低會(huì)直接影響到整個(gè)Internet網(wǎng)絡(luò)的工作效率.按照路由協(xié)議應(yīng)用范圍的不同,路由協(xié)議主要分為兩種:內(nèi)部網(wǎng)絡(luò)協(xié)議(interior gateway protocol)和外部網(wǎng)關(guān)協(xié)議(exterior gateway protocol).

常見(jiàn)的內(nèi)部網(wǎng)絡(luò)協(xié)議包括:RIP-1,RIP-2,IGRP,ISIS和OSPF.其中前3種路由協(xié)議均是采用距離向量算法,IS-IS和OSPF采用的是鏈路狀態(tài)算法;外部網(wǎng)關(guān)協(xié)議是EGP(Exterior Gateway Protocol),是為一個(gè)簡(jiǎn)單的樹(shù)形拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)的,適用于樹(shù)狀拓?fù)涞木W(wǎng)絡(luò)[3,4].

路由協(xié)議通過(guò)在互聯(lián)網(wǎng)中的路由器之間共享路由信息來(lái)支持可路由協(xié)[5,6].路由信息在互聯(lián)網(wǎng)中相鄰的路由器之間傳遞,以此來(lái)保證所有路由器知道到其它路由器的路徑信息,依托路由協(xié)議來(lái)構(gòu)建路由表,以路由表描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);路由協(xié)議與路由器協(xié)同工作,執(zhí)行路由選擇和數(shù)據(jù)包轉(zhuǎn)發(fā)功能.路由協(xié)議主要運(yùn)行于路由器上,路由協(xié)議是用來(lái)確定到達(dá)路徑的,常見(jiàn)的路由協(xié)議包括RIP,OSPF,IS-IS,BGP等協(xié)議.

路由協(xié)議主要是為網(wǎng)絡(luò)信息節(jié)點(diǎn)上網(wǎng)所用,但是有一種情況是需要主動(dòng)斷開(kāi)網(wǎng)絡(luò)服務(wù),結(jié)合高校的網(wǎng)絡(luò)信息安全工作來(lái)說(shuō),出現(xiàn)下面兩種情況,需要主動(dòng)斷開(kāi)網(wǎng)絡(luò)信息服務(wù):一是網(wǎng)絡(luò)攻擊針對(duì)某個(gè)IP或者IP段,會(huì)引發(fā)一定區(qū)域內(nèi)的網(wǎng)絡(luò)震蕩,導(dǎo)致網(wǎng)絡(luò)癱瘓;二是或者個(gè)別服務(wù)器被黑客攻擊后,需要及時(shí)斷開(kāi)其網(wǎng)絡(luò)服務(wù),則需要通過(guò)主動(dòng)干預(yù)方法來(lái)降低其二次網(wǎng)絡(luò)安全事故帶來(lái)的不利影響.針對(duì)此,需要在路由協(xié)議層面對(duì)其進(jìn)行處理,使得其不夠上網(wǎng),而靜態(tài)路由協(xié)議里面的黑洞路由可以用來(lái)處理非常時(shí)期的突發(fā)網(wǎng)絡(luò)安全事件,本文分析和總結(jié)靜態(tài)路由和靜態(tài)黑洞路由相關(guān)概念,提出一種基于高校網(wǎng)絡(luò)信息安全空間領(lǐng)域下的黑洞路由器配置,給出核心網(wǎng)絡(luò)架構(gòu)及配置流程,最終通過(guò)網(wǎng)絡(luò)測(cè)試黑洞路由配置的有效性.

1 靜態(tài)路由與黑洞路由概述

1.1 靜態(tài)黑洞路由概念及功效分析

靜態(tài)路由是由用戶或者網(wǎng)絡(luò)管理員人工配置的路由信息,當(dāng)網(wǎng)絡(luò)局部的拓?fù)浣Y(jié)構(gòu)或者網(wǎng)絡(luò)鏈路狀態(tài)發(fā)生變更之后,網(wǎng)絡(luò)管理員則需要人工手動(dòng)去修改路由表中的相關(guān)靜態(tài)路由數(shù)據(jù).靜態(tài)路由比較適應(yīng)于小規(guī)模、架構(gòu)簡(jiǎn)單的網(wǎng)絡(luò)拓中,網(wǎng)絡(luò)管理員容易掌握網(wǎng)絡(luò)拓?fù)浼軜?gòu),較方便配置正確的靜態(tài)路由策略.

靜態(tài)黑洞路由是靜態(tài)路由的一種,所謂靜態(tài)黑洞路由,是將所有無(wú)關(guān)路由吸入其中,使它們有來(lái)無(wú)回的路由.黑洞路由,其實(shí)就是一條特殊的靜態(tài)路由,下一跳指向null0口,一個(gè)不存在的口,結(jié)果就是將匹配這條路由的數(shù)據(jù)包丟棄.提到黑洞路由就要提一下null0接口.null0口是個(gè)永不down的口,一般用于管理,admin建立一個(gè)路由條目,將接到的某個(gè)源地址轉(zhuǎn)向null0接口,這樣對(duì)系統(tǒng)負(fù)載影響非常小.

黑洞路由功效:如果同樣的功能用ACL(地址訪問(wèn)控制列表)實(shí)現(xiàn),則流量增大時(shí)CPU利用率會(huì)明顯增加.所以,設(shè)置黑洞路由一直是解決固定DOS攻擊的最好辦法.相當(dāng)于洪水來(lái)臨時(shí),在洪水途經(jīng)的路上附近挖一個(gè)不見(jiàn)底的巨大深坑,然后將洪水引入其中.黑洞路由最大的好處是充分利用了路由器的包轉(zhuǎn)發(fā)能力,對(duì)系統(tǒng)負(fù)載影響非常小.

1.2 常見(jiàn)路由協(xié)議優(yōu)先級(jí)分析

常見(jiàn)的路由協(xié)議以H3C公司研發(fā)的網(wǎng)絡(luò)架構(gòu)下的路由優(yōu)先級(jí)來(lái)說(shuō):Direct直連路由的優(yōu)先級(jí)是0,級(jí)別最高;ospf路由的優(yōu)先級(jí)是10;is-is路由的優(yōu)先級(jí)是15;static靜態(tài)路由優(yōu)先級(jí)是60;rip路由優(yōu)先級(jí)是100,需要對(duì)靜態(tài)路由進(jìn)行配置,如果黑洞路由器上面的黑洞靜態(tài)路由優(yōu)先級(jí)是60.

默認(rèn)前提下,如果是OSPF路由,則其優(yōu)先級(jí)靜態(tài)路由要高,則默認(rèn)配置優(yōu)先級(jí)別為60即可;但是如果該目標(biāo)ip地址在他區(qū)域也是配置的靜態(tài)路,則在黑洞路由器上配置的靜態(tài)黑洞路由優(yōu)先級(jí)要高于該ip地址的靜態(tài)路由優(yōu)先級(jí),否則其發(fā)布路由后,會(huì)導(dǎo)致黑洞路由配置無(wú)效.在靜態(tài)黑洞路由配置完成后,需要對(duì)其路由信息進(jìn)行測(cè)試,以確保黑洞路由確實(shí)起作用.

1.3 網(wǎng)絡(luò)安全管理引入黑洞路由的意義和作用

伴隨網(wǎng)絡(luò)安全局勢(shì)日益嚴(yán)峻,國(guó)內(nèi)外黑客對(duì)高校的攻擊呈現(xiàn)出攻擊范圍廣、攻擊頻率高的趨勢(shì),如何有效阻隔和及時(shí)處理被黑客攻擊成功之后的網(wǎng)絡(luò)故障點(diǎn)對(duì)提升網(wǎng)絡(luò)安全管理工作水平有著重要意義和作用.

當(dāng)高校的網(wǎng)絡(luò)安全事件發(fā)生或者要主動(dòng)查封安全故障點(diǎn)的時(shí),通過(guò)黑洞路由的配置,能夠快速將故障點(diǎn)查封,并減少對(duì)整個(gè)網(wǎng)絡(luò)的負(fù)面影響,當(dāng)黑洞路由配置完畢之后,當(dāng)去往某一目的地的靜態(tài)路由具有“blackhole”屬性時(shí),無(wú)論配置的下一跳地址是什么,該路由的出接口均為NULL 0接口,任何去往該目的地的IP報(bào)文都將被丟棄,并且不通知源主機(jī).

綜上所述,從校園網(wǎng)絡(luò)安全管理角度來(lái)看,配置黑洞路由是一種非常有效的網(wǎng)絡(luò)安全防御策略,當(dāng)網(wǎng)絡(luò)管理員獲悉網(wǎng)絡(luò)遭受內(nèi)外攻擊之后,查明攻擊目的地址,則可以通過(guò)配置黑洞路由的方法來(lái)丟棄去往目的地址的報(bào)文數(shù)據(jù),使得被配置黑洞路由的網(wǎng)絡(luò)主機(jī)無(wú)法上網(wǎng),無(wú)法主動(dòng)訪問(wèn)外網(wǎng)或者被動(dòng)被外網(wǎng)訪問(wèn),達(dá)到一種網(wǎng)絡(luò)安全防護(hù)目的.

2 靜態(tài)黑洞路由校園網(wǎng)應(yīng)用架構(gòu)方案設(shè)計(jì)

2.1 基于靜態(tài)黑洞路由的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

基于靜態(tài)黑洞路由的網(wǎng)絡(luò)架構(gòu)如圖1所示,在核心架構(gòu)中,主要包括學(xué)校核心路由器和黑洞路由器,配置的核心流程需要對(duì)其Vlan來(lái)配置端口綁定,配置接口IP地址,配置對(duì)接的OSPF協(xié)議,配置路由信息等.

圖1 黑洞路由器架構(gòu)圖

基于靜態(tài)路由網(wǎng)絡(luò)架構(gòu)需要配置黑洞路由器一臺(tái),單模前兆光纖兩對(duì),單模前兆模塊2對(duì).需要配置的路由協(xié)議:學(xué)校核心路由器配置路由協(xié)議是OSPF,而黑洞路由器,則需要在接口Vlan配置OSPF協(xié)議基礎(chǔ)上,還需要配置其默認(rèn)靜態(tài)路由指向?qū)W校核心路由器.

2.2 靜態(tài)核心路由器中校園網(wǎng)絡(luò)核心配置計(jì)

學(xué)校核心路由器網(wǎng)絡(luò)配置要點(diǎn),是要將核心路由器的網(wǎng)絡(luò)與黑洞路由器網(wǎng)絡(luò)互聯(lián)互通,并且能夠及時(shí)將黑洞路由器上面的路由及時(shí)學(xué)習(xí)并且發(fā)布,這樣達(dá)到黑洞路由查封網(wǎng)絡(luò)服務(wù)目的.學(xué)校核心路由器與黑洞路由器接口地址要用自動(dòng)學(xué)習(xí)能力性強(qiáng),不需要人工干預(yù)的OSPF路由,并且將其添加到核心的OSPF域里,接口鏈路要求捆綁,達(dá)到鏈路冗余備份的要求.

需要配置核心的直連Vlan,配置接口IP地址,并且將其添加到核心的OSPF域里,為其Vlan配置專(zhuān)用的鏈路和接口,在接口上面配置Vlan信息,有時(shí)候,需要配置強(qiáng)制前兆,如果是對(duì)應(yīng)的接口類(lèi)型不一致,需要通過(guò)強(qiáng)制千兆將光纖鏈路打通.

具體的配置如下所示,構(gòu)建編號(hào)為2034的專(zhuān)用Vlan,并且配置其接口地址.

學(xué)校核心路由器Vlan及ip地址配置如下:

學(xué)校核心路由器鏈路一號(hào)端口配置如下:

2.3 黑洞路由器網(wǎng)絡(luò)設(shè)計(jì)思路分析

在黑洞路由器配置核心流程是配置專(zhuān)用的Vlan,編號(hào)為2034,對(duì)應(yīng)于核心路由器的專(zhuān)用Vlan,并且與之配置同一個(gè)網(wǎng)段的IP接口地址,配置其專(zhuān)用的端口、專(zhuān)用鏈路,配置默認(rèn)靜態(tài)路由,指向?qū)W校核心路由器,其他需要配置的則是將其IP地址、端口Vlan及鏈路信息進(jìn)行配置,對(duì)其黑洞路由進(jìn)行配置,出于網(wǎng)絡(luò)安全管理需求,還需要配置訪問(wèn)控制列表以確定其網(wǎng)絡(luò)管理人員的登錄管理,黑洞路由器Vlan及IP地址配置如下:

黑洞路由器訪問(wèn)控制列表配置:

黑洞路由器路由接口配置:

黑洞路由器一號(hào)及二號(hào)端口配置如下:

黑洞路由器OSPF路由信息配置如下:

黑洞路由器默認(rèn)靜態(tài)路由配置:

ip route-static 0.0.0.0 0.0.0.0 192.168.10.129

以需要配置黑洞路由的IP地址172.19.253.197為例,配置靜態(tài)路由腳本如下:

ip route-static 172.19.253.197 32 null0

2.4 黑洞路由處理網(wǎng)絡(luò)事故案例

黑洞路由測(cè)試案例:在正常情況下,網(wǎng)絡(luò)可達(dá)某臺(tái)主機(jī),其IP地址為172.19.253.197,配置黑洞路由之前,tracert測(cè)試如下:

此時(shí),假設(shè)172.19.253.197被人攻擊并產(chǎn)生極壞影響,需要第一時(shí)間查封其網(wǎng)絡(luò),則需要登錄黑洞路由器里并配置黑洞路由策略如下:

通過(guò)測(cè)試案例說(shuō)明,在黑洞路由查看路由信息,已經(jīng)指向null0接口,并且無(wú)法訪問(wèn)到有網(wǎng)絡(luò)安全隱患的IP地址,說(shuō)明黑洞路由已經(jīng)起作用.這也是驗(yàn)證了當(dāng)有校園網(wǎng)絡(luò)安全事故發(fā)生之后,通過(guò)本文提出的靜態(tài)黑洞路由網(wǎng)絡(luò)架構(gòu)黑洞路由及時(shí)處理,第一時(shí)間能夠查封故障點(diǎn),進(jìn)而有效降低網(wǎng)絡(luò)安全事故的二次危害.

3 總結(jié)

本文分析靜態(tài)路由概念、重點(diǎn)就作為靜態(tài)路由之一的黑洞路由的概念及作用做了研究與總結(jié),分析黑洞路由的起源和黑洞路由的配置運(yùn)行機(jī)理,分析和總結(jié)常見(jiàn)路由協(xié)議的優(yōu)先級(jí),并且從網(wǎng)絡(luò)安全管理角度分析高校網(wǎng)絡(luò)管理中引入黑洞路由的意義和作用,總結(jié)黑洞路由架構(gòu)與學(xué)校核心路由器的架構(gòu)設(shè)計(jì),給出核心路由器與黑洞路由器的核心流程與配置,最終給出解決黑洞路由器與學(xué)校核心路由器的具體配置方案,進(jìn)行黑洞路由配置測(cè)試.

1 Park J,Sandhu R.The UCONABC usage control model.ACM Transactions on Information and System Security,2004,7(1):128–174.[doi:10.1145/984334]

2 趙冶東,張東亮,李淵,等.路由交換技術(shù).北京:清華大學(xué)出版社,2012:51–55.

3 唐偉,郭偉.無(wú)線傳感器網(wǎng)絡(luò)中的最大生命期基因路由算法.軟件學(xué)報(bào),2010,21(7):1646–1656.

4 Hill B.Cisco完全手冊(cè).肖國(guó)尊,賈蕾,譯.北京:電子工業(yè)出版社,2002:33–37.

5 李誠(chéng),李華偉.網(wǎng)絡(luò)處理器中處理單元的設(shè)計(jì)與實(shí)現(xiàn).計(jì)算機(jī)工程,2007,33(2):252–254.

6 Comer DE.網(wǎng)絡(luò)處理器與網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì).張建忠,陶智華譯.北京:機(jī)械工業(yè)出版社,2004:5–15.