［黃卓君 劉志華 蔡學(xué)龍］

1 引言

互聯(lián)網(wǎng)中不同AS（Autonomous System，自治系統(tǒng)）通過BGP（Border Gateway Protocol，邊界網(wǎng)關(guān)協(xié)議）建立域間鄰居關(guān)系并宣告相應(yīng)的路由前綴實現(xiàn)互聯(lián)互通，由于互聯(lián)網(wǎng)協(xié)議設(shè)計的互信特點，AS能夠通告其不擁有的IP（Internet Protocol，互聯(lián)網(wǎng)協(xié)議）前綴，即通告非法路由。若無監(jiān)控機制，這些非法通告將大范圍傳播并“污染”更多AS甚至整個互聯(lián)網(wǎng)，影響通信的可用性、完整性和保密性。近年來基于最新版本BGPv4（Border Gateway Protocol version 4，邊界網(wǎng)關(guān)協(xié)議版本4）協(xié)議的互聯(lián)網(wǎng)路由泄露、路由劫持等安全事件層出不窮，故障波及范圍大，對國家、運營商、客戶造成了嚴重影響，BGPv4安全缺陷一度被認為是全球互聯(lián)網(wǎng)最嚴重的安全漏洞。

目前發(fā)生的主要安全事件可分為兩大類：路由泄露和路由劫持。路由泄露典型場景：A是運營商，B是A的客戶且自帶AS，當(dāng)客戶B向上游A宣告路由時，除了發(fā)布自身及下游資源之外，還發(fā)布了其他上游或Peer（例如C）的路由，則可能導(dǎo)致訪問C的互聯(lián)網(wǎng)流量錯誤地穿透A及B再到達C，即發(fā)生路由泄露。路由劫持典型場景：上游A和客戶B，如果B由于錯誤配置或惡意篡改，發(fā)布了不屬于自身AS的IP前綴，從而將訪問該IP前綴的互聯(lián)網(wǎng)流量非法引導(dǎo)至B，則發(fā)生路由劫持。

圖1列舉了近十年重大的BGP安全事件，這些事件涉及范圍廣，對整個互聯(lián)網(wǎng)的可用性和穩(wěn)定性都造成了不同程度的影響。

圖1 近十年重大BGP安全事件

基于對國際BGP路由安全事件的跟蹤與分析，本文提出互聯(lián)網(wǎng)域間路由安全智能管控解決方案，通過路由數(shù)據(jù)庫建模及在線關(guān)聯(lián)分析，實現(xiàn)對路由泄露、路由劫持（含錯誤路由事件）的實時監(jiān)測，并進一步實施策略控制避規(guī)安全風(fēng)險，逐步建設(shè)自動閉環(huán)管理的互聯(lián)網(wǎng)域間路由智能管控能力，為促進綠色安全互聯(lián)網(wǎng)環(huán)境的建立提供理論與實踐意義的參考。

2 域間路由安全智能管控方案概述

圖2是域間路由（BGP）安全智能管控方案示意圖，由防偽認證信息庫、路由策略分析監(jiān)測、路由智能管控3個功能模塊組成，對接收及發(fā)布的BGP路由進行合法合規(guī)性監(jiān)測與控制，3個模塊可獨立工作，也可整合聯(lián)動形成域間路由安全智能管控系統(tǒng)從而實現(xiàn)對域間路由的自動可控管理。

互聯(lián)網(wǎng)路由防偽認證信息庫：基于網(wǎng)絡(luò)自有IP地址/路由庫以及IRR（Internet routing registry，互聯(lián)網(wǎng)路由注冊）、ROA（route origin authorization，路由起源授權(quán)）等路由信息庫進行多維數(shù)據(jù)采集建模，構(gòu)建具有防偽認證意義的關(guān)系型全球路由數(shù)據(jù)庫。

圖2 域間路由安全智能管控方案示意圖

路由策略分析監(jiān)測：開展基于目標(biāo)策略驅(qū)動的路由實時在線動態(tài)監(jiān)測，利用防偽認證信息庫進行路由及策略比對，分析識別不合規(guī)的AS以及非法發(fā)布的路由前綴，從而及時發(fā)現(xiàn)路由泄露與路由劫持并提示告警。

路由智能管控：基于路由策略分析監(jiān)測的告警信息，進一步通過路由智能管控模塊以黑白名單形式過濾非法路由，從而保證域間路由安全。

3 防偽認證信息庫建模

路由注冊（routing registries）是指公有AS所有者主動將自己的路由信息、路由策略信息注冊到公共數(shù)據(jù)庫以便于數(shù)據(jù)的全球化共享查詢。目前被廣泛使用的分布式路由注冊數(shù)據(jù)庫是IRR，其數(shù)據(jù)庫信息來源于AFRINIC（Africa Internet Network Information Center，非洲互聯(lián)網(wǎng)絡(luò)信息中心）、RIPE NCC（RIPE Network Coordination Centre，歐洲IP網(wǎng)絡(luò)資源協(xié)調(diào)中心）、NTT（Nippon Telegraph &Telephone，日本電報電話公司）、Level3、RADB（Routing asset database，路由資產(chǎn)數(shù)據(jù)庫）等組織，IRR提供了一種全球網(wǎng)絡(luò)注冊路由及策略信息并基于此驗證BGP宣告內(nèi)容正確性的方式，具有一定的公信力。

AS所有者向IRR發(fā)起路由注冊時，主要注冊的object對象包含AS、AS-SET、route/route6 等，其中AS對象包括AS號與歸屬團體信息（部分運營商還注冊與其它AS連接與路由通告關(guān)系），AS-SET對象包括AS成員關(guān)系，Route/route6對象描述了IPv4（Internet Protocol version 4，互聯(lián)網(wǎng)協(xié)議版本4）/IPv6（Internet Protocol version 6，互聯(lián)網(wǎng)協(xié)議版本6）Prefix與ASN（Autonomous System Number，自治系統(tǒng)號）之間的對應(yīng)關(guān)系。IRR采用RPSL（routing policy specification language，選路策略規(guī)范語言）作為描述語言，AS所有者根據(jù)與相鄰AS的關(guān)系及傳遞策略描述其網(wǎng)絡(luò)的輸入、輸出策略。其他AS通過查詢IRR數(shù)據(jù)庫，可以鑒別某條路由的起源屬性，還可以驗證該路由的宣告是否違反了AS之間的路由策略，因此可作為發(fā)生路由泄露和路由劫持的關(guān)鍵判斷依據(jù)。

IRR目前在互聯(lián)網(wǎng)運營商中廣泛采用，但其自主自愿注冊原則無法保證數(shù)據(jù)的完整性，同時由于缺乏認證與授權(quán)措施，數(shù)據(jù)容易遭到篡改，無法保證數(shù)據(jù)的準(zhǔn)確性，完整性與準(zhǔn)確性的缺失制約了IRR在防止路由泄露與劫持方面的應(yīng)用。

相比于IRR，ROA信息庫則是基于PKI（public key infrastructure，公鑰基礎(chǔ)設(shè)施）公鑰體系、對IP路由前綴Prefix與AS號對應(yīng)關(guān)系進行數(shù)字簽名認證后建立的數(shù)據(jù)庫，安全可信度較高。RPKI（resource public key infrastructure，資源公鑰基礎(chǔ)設(shè)施）用于證書的發(fā)布以及對路由通告合法性的驗證。ROA認證及證書通過分布式的RPKI證書庫系統(tǒng)（RPKI repository system）實現(xiàn)，互聯(lián)網(wǎng)每臺 BGP 路由器都可以從自己所屬的ISP（Internet Service Provider，互聯(lián)網(wǎng)服務(wù)提供商）分發(fā)點進行ROA認證并獲取證書。由于目前RPKI無法在增強安全與降低開銷及部署難度方面取得平衡，截止至2019年7月，全球互聯(lián)網(wǎng)70萬路由中僅約12%進行了ROA認證，遠遠無法滿足路由認證需求，也無法完整有效地防御路由泄露與路由劫持。

防偽認證信息庫的設(shè)計理念，是綜合IRR路由庫完整性以及ROA路由信息安全可靠性的優(yōu)勢，達到完整、準(zhǔn)確、可靠的效果。同時，AS所有者可以進一步融合本網(wǎng)IP地址庫、ROA路由起源認證信息庫、互聯(lián)網(wǎng)路由注冊IRR信息庫等多維度信息，按照不同優(yōu)先級別排序，構(gòu)建屬于自己的路由防偽認證信息庫，如圖3。其中本網(wǎng)/本地IP地址庫是指以AS所有者自身申請的IP地址為基礎(chǔ)建立的本地地址庫。

圖3 互聯(lián)網(wǎng)路由防偽認證信息庫

路由防偽認證信息庫可分為兩部分：一個是AS合規(guī)性數(shù)據(jù)庫，基于IRR路由數(shù)據(jù)庫中提取的AS、ASSET、路由注冊信息等建立，主要針對路由泄露場景。另一個是路由歸屬合法性數(shù)據(jù)庫，基于ROA路由起源認證信息庫/RPKI路由認證庫及IRR信息庫中提取的路由認證注冊信息，并疊加本地庫數(shù)據(jù)建立而成，主要針對路由劫持場景。由于全球網(wǎng)絡(luò)路由注冊與變更經(jīng)常發(fā)生，為保證的路由防偽認證信息庫的有效性與準(zhǔn)確性，信息庫需定期與各數(shù)據(jù)庫同步，及時更新路由信息。

對于路由歸屬合法性數(shù)據(jù)庫，由于采集了多個組織來源的IP路由數(shù)據(jù)庫，可能會存在重復(fù)且沖突的情況?；诳煽啃钥紤]，建議AS所有者首先以本地地址庫作為最高可信級別；以ROA路由起源認證信息庫作為第二可信級別；以IRR路由數(shù)據(jù)庫作為更次之的可信級別，目前全球包括RADB及各大NIC（Network Information Center，網(wǎng)絡(luò)信息中心）/ISP等在內(nèi)，大概有25個IRR路由注冊數(shù)據(jù)庫，AS所有者可以選擇其中主要的幾個或者全部做鏡像并自定義優(yōu)先級排序，建立自用的IRR信息庫。對于路由歸屬合法性數(shù)據(jù)庫，當(dāng)一個prefix在多個路由數(shù)據(jù)庫中出現(xiàn)沖突（歸屬不同AS）時，將按照“路由歸屬本地庫”→“路由ROA認證庫”→ 排序后的“IRR路由注冊數(shù)據(jù)庫”的查詢順序進行合法性和歸屬關(guān)系驗證。

4 路由分析監(jiān)測

基于路由防偽認證信息庫中AS合規(guī)性數(shù)據(jù)庫、路由歸屬合法性數(shù)據(jù)庫，可分析監(jiān)測網(wǎng)絡(luò)中是否出現(xiàn)路由泄露和路由劫持，為進一步實施路由管控策略提供輸入與依據(jù)。如需實現(xiàn)在線監(jiān)測，則將路由分析監(jiān)控模塊加載到網(wǎng)絡(luò)中（例如裝載在服務(wù)器并接入網(wǎng)絡(luò)），作為AS所有者網(wǎng)絡(luò)中的RR（Route Reflector，路由反射器）Client獲取RR反射的路由更新信息，實時跟蹤監(jiān)測網(wǎng)絡(luò)的路由變化。

4.1 路由泄露監(jiān)測

裝載了路由分析監(jiān)控模塊（或者整個域間路由安全智能管控系統(tǒng)）的服務(wù)器將作為網(wǎng)絡(luò)的RR Client獲取路由信息，提取需監(jiān)測的某個特定AS1的路由條目（只針對網(wǎng)間第一個AS為該AS1的條目），并與合規(guī)性數(shù)據(jù)庫中該AS1已注冊的AS-SET/下游客戶AS-member信息進行比對，判斷條件是收到路由條目AS-PATH的最后一個AS是否包含在該AS1的下游客戶AS-SET中，只允許屬于該AS1本身或其下游客戶AS列表中的路由通過，如AS1發(fā)布了超出上述范圍的路由（視為非合規(guī)路由），則認為發(fā)生路由泄露。域間路由安全智能管控系統(tǒng)可產(chǎn)生路由安全告警、生成異常路由分析報告或者直接過濾（具體管控手段視實際需要設(shè)定）。

路由分析監(jiān)控模塊需根據(jù)路由防偽認證信息庫及RR反射的路由更新消息及時且自動修正判斷結(jié)果及響應(yīng)，維護路由的合規(guī)性。

4.2 路由劫持監(jiān)測

路由分析監(jiān)控模塊從RR反射獲取路由信息后，提取需監(jiān)測的某個Prefix的路由關(guān)系：Prefix、Originator、AS-PATH、Origin AS（即AS-PATH中最后一個AS）等信息。隨后針對Prefix，遵循本地庫 → ROA → 排序IRR的次序在路由歸屬合法性數(shù)據(jù)庫中按最優(yōu)最長匹配查詢其對應(yīng)的路由歸屬AS（例如AS2），比對Origin AS與AS2是否一致，一致則表示路由正常，否則提示發(fā)生路由劫持并進一步產(chǎn)生路由安全告警、生成異常路由分析報告或者直接過濾（具體管控手段視實際需要設(shè)定）。

路由歸屬合法性數(shù)據(jù)庫雖然整合了全球大部分組織的路由數(shù)據(jù)庫，但仍不能達到100%的路由覆蓋，或者新增路由不能實時同步更新，故查詢匹配的結(jié)果除了“正?！薄ⅰ爱惓！保ń俪郑┲?，少量情況下會由于Prrfix在數(shù)據(jù)庫中無法匹配到AS2而出現(xiàn)“未知”狀態(tài)，此時需要人工干預(yù)判斷。

同樣地，路由分析監(jiān)控模塊需根據(jù)路由防偽認證信息庫及RR反射的路由更新消息及時且自動修正判斷結(jié)果，并觸發(fā)響應(yīng)機制（包括告警的撤銷、提示以及路由控制列表的增刪改等）。

5 路由智能管控

5.1 建全路由管控機制

為了營造一個更安全更“干凈”的全球互聯(lián)網(wǎng)絡(luò)，主要應(yīng)從兩方面完善路由管控機制：AS所有者應(yīng)保證自身路由合法性，同時不接收不傳遞外來的非法路由。

一方面，每個AS所有者都應(yīng)該從自身網(wǎng)絡(luò)做起，規(guī)范互聯(lián)網(wǎng)IP地址及路由的注冊和管理機制。AS所有者應(yīng)該自覺、及時地在IRR上進行自有路由的注冊，至少包括route/route6及AS/AS-SETS等信息；條件允許時，尤其是ISP、大型ICP（Internet Content Provider，網(wǎng)絡(luò)內(nèi)容服務(wù)商），建議同時進行ROA路由認證，這已經(jīng)是國際主流互聯(lián)網(wǎng)運營商的發(fā)展趨勢。如AS所有者缺乏路由注冊能力，則建議上游AS協(xié)助其完成路由信息的注冊工作。這對健全、凈化全球互聯(lián)網(wǎng)路由，防范路由安全事故具有重要意義，也是實現(xiàn)BGP路由安全智能管控方案的基礎(chǔ)及關(guān)鍵環(huán)節(jié)。尤其對于ISP及大型ICP來說，應(yīng)考慮將路由注冊工作嵌入業(yè)務(wù)運營及生產(chǎn)流程，并作為日常運維工作看待。

另一方面，AS所有者還應(yīng)具備路由監(jiān)測管控能力，在網(wǎng)絡(luò)邊緣過濾不合規(guī)不合法的路由，不進一步向互聯(lián)網(wǎng)其他AS擴展。在健全互聯(lián)網(wǎng)路由注冊機制基礎(chǔ)上，完成防偽認證信息庫建模、路由分析監(jiān)測之后，BGP路由安全智能管控方案的最后一個環(huán)節(jié)是針對監(jiān)測結(jié)果進行管控。有條件的AS所有者，可以通過BGP路由安全智能管控系統(tǒng)與網(wǎng)管聯(lián)動方式下發(fā)配置策略到邊緣路由器，直接自動過濾非法路由；在條件不具備、或擔(dān)心誤操作、或需要針對個別AS/Prefix特殊化處理的情況下，可通過告警及報表輸出的方式，由運維人員根據(jù)告警信息進行人工處理。無論哪種方式，目的是不允許非法路由穿透本網(wǎng)并向更遠方擴展。

5.2 路由控制策略

AS所有者接收路由時如監(jiān)測到路由泄露或路由劫持，需部署適當(dāng)?shù)穆酚刹呗砸钥刂?過濾非法路由（無論自動或者人工方式）。具體的控制策略可以多種多樣，不一而足，以下給出的示例策略具有一定的通用型，但也僅供參考。

（1）針對路由泄露的路由控制策略

對于需要監(jiān)測的對象B，在與其互聯(lián)的端口配置AS黑/白名單，并應(yīng)用到EBGP（External Border Gateway Protocol，外部邊界網(wǎng)關(guān)協(xié)議）import路由策略上，實現(xiàn)基于AS的路由管控。白名單是指根據(jù)B的AS-SET列表里面下游AS member及其遞歸關(guān)系，生成白名單aspath white-list（在路由智能管控模塊中自動完成），并允許白名單上AS的路由通過；黑名單則是根據(jù)路由分析監(jiān)測模塊提交的異常路由警告，針對不在B下游客戶范圍內(nèi)的AS（即B泄露的AS）設(shè)置黑名單as-path black-list，并對黑名單上AS的路由實行封堵。若B未注冊AS-SET信息，為安全起見，建議僅允許B起源的路由前綴通過，并督促/幫助B盡快在IRR上完成路由注冊。

（2）針對路由劫持的路由控制策略

針對路由分析監(jiān)測模塊提交的異常路由（路由劫持）IP Prefix 清單，通過配置黑名單方式過濾非法路由，并將其部署應(yīng)用在路由器的EGBP import路由策略上。

6 應(yīng)用前景

截止至2019年7月，AFRINIC、LEVEL3、NTTCOM、RISQ等25個IRR路由注冊數(shù)據(jù)庫中已注冊的AS記錄接近6.4萬，已注冊的IPv4地址族路由IP/Prefix記錄接近235萬，IPv6地址族路由IP/Prefix記錄接近21萬，上述記錄為多個數(shù)據(jù)庫累加結(jié)果，有重復(fù)?；贗ANA（The Internet Assigned Numbers Authority，互聯(lián)網(wǎng)數(shù)字分配機構(gòu)）RPKI的APNIC（Asia-Pacific Network Information Center，亞太互聯(lián)網(wǎng)絡(luò)信息中心）認證數(shù)據(jù)庫中IPv4記錄接近8萬條，IPv6記錄接近1.5萬條，即目前完成ROA認證的路由只占全球70萬路由的12%。

在某運營商開展的實驗案例中，基于本地庫及ROA、IRR鏡像建立了IPv4路由歸屬數(shù)據(jù)庫，獲取并整合為全網(wǎng)69.9萬條路由，接近全球路由量。通過對網(wǎng)絡(luò)實際接收路由與路由歸屬數(shù)據(jù)庫的比對分析，記錄某個時間段監(jiān)測到發(fā)生路由劫持10萬條，其中ROA認證異常記錄占8%，IRR注冊異常記錄占58%，剩余34%為未注冊異常記錄，這34%需要人工進一步排查分析。

從理論分析、現(xiàn)網(wǎng)數(shù)據(jù)和實驗案例來看，本文提出的路由管控方案具有合理性和實用性，并可預(yù)見，隨著注冊認證機制的規(guī)范與普及，本方案對于規(guī)避防范路由安全事件風(fēng)險將會更有效、更全面。

7 結(jié)束語

針對BGPv4協(xié)議的互聯(lián)網(wǎng)路由泄露/路由劫持監(jiān)測與防護研究已成為當(dāng)前網(wǎng)絡(luò)安全熱點之一，本文所闡述的域間路由安全智能管控方案綜合考慮IRR路由注冊和ROA認證的優(yōu)勢資源進行建模，并通過黑白名單的方式對路由泄露和路由劫持場景進行管控，從而達到維護鞏固網(wǎng)絡(luò)安全的目的。但由于路由注冊認證尚未在全球范圍內(nèi)強制性要求，因此在實際部署過程中可能會存在漏判誤判的情況。此外，全球路由安全管理機制尚未規(guī)范化，實際應(yīng)用中還需要考慮業(yè)務(wù)、政策、法律等方面的風(fēng)險規(guī)避。但隨著各ISP、大型ICP甚至國家層面對網(wǎng)絡(luò)安全的日益重視，網(wǎng)絡(luò)安全監(jiān)控策略機制也必然會不斷探索中逐步走向成熟并得到推廣應(yīng)用。