域間路由系統(tǒng)安全監(jiān)測關(guān)鍵技術(shù)

1、域間路由系統(tǒng)安全監(jiān)測關(guān)鍵技術(shù)域間路由系統(tǒng)作為互聯(lián)網(wǎng)上最為關(guān)鍵的基礎(chǔ)設(shè)施，其作用主要是為了使各互聯(lián)網(wǎng)間的信息能相互通達(dá)，從而保障全球信息的共享。域間路由器系統(tǒng)的使用范圍非常廣，其他系統(tǒng)與其沒有可比性，當(dāng)受到攻擊的時候，會造成無法估量的破壞。本文首先對域間路由系統(tǒng)面臨的安全問題進(jìn)行了探討，并對用包過濾機(jī)制增強(qiáng)域間路由系統(tǒng)的安全進(jìn)行了詳細(xì)的闡述，然后結(jié)合現(xiàn)有的MPLS技術(shù)、TCPMD機(jī)制探討了它們?nèi)绾卧鰪?qiáng)域間路由系統(tǒng)的安全。1域間路由系統(tǒng)的安全問題探究域間路由系統(tǒng)存在諸多安全缺陷，很容易受到各方面的強(qiáng)烈攻擊，和用戶主機(jī)直接遭受破壞相比，其有更加強(qiáng)大的隱蔽性，擁有更大的破壞力，嚴(yán)重威脅了整個互聯(lián)網(wǎng)的安

2、全。文章首先對各種危害進(jìn)行了系統(tǒng)的分類。詳情見圖lo1.1 協(xié)議的脆弱性1.1.1 中間人攻擊BGP沒有對對等實體的身份進(jìn)行認(rèn)證，這為位于對等實體間的中間人攻擊者提供了破壞機(jī)會。中間人攻擊者一般通過源地址欺騙方式對全網(wǎng)進(jìn)行大規(guī)模的攻擊。一般情況下，路由器在轉(zhuǎn)發(fā)報文的時候，只根據(jù)報文的目的、地址查路由表，而忽視了報文的源地址。因此，這樣就可能面臨一種危險，如果一個攻擊者向一臺目標(biāo)計算機(jī)發(fā)出一個報文，而把報文的源地址填寫為第三方的一個IP地址，這樣這個報文在到達(dá)目標(biāo)計算機(jī)后，目標(biāo)計算機(jī)便可能向毫無知覺的第三方計算機(jī)回應(yīng)。這樣，這個回應(yīng)可能對第三方計算機(jī)造成了干擾，達(dá)到攻擊的目的。同時，目標(biāo)計算機(jī)也

3、可能直接作為被攻擊的目標(biāo)。攻擊者首先通過監(jiān)聽路由器A和B之間的通信，獲取A和B的重要信息，如IP地址、AS號以及路由表等，然后將竊取的報文路徑屬性，進(jìn)行修改并加入偽造的路由信息，之后轉(zhuǎn)發(fā)。這種行為不僅可以達(dá)到路由黑洞的目的，而且可以達(dá)到擾亂整個互聯(lián)網(wǎng)流量行為的目的。1. 1.2拒絕服務(wù)攻擊針對域間路由系統(tǒng)的拒絕服務(wù)攻擊的方式分為兩種。一種是基于TCP協(xié)議的漏洞；另一種是基于BGP協(xié)議本身的漏洞。基于TCP的拒絕服務(wù)攻擊主要是利用了TCP三次握手的缺陷，攻擊者通過向合法的路由器的179端口發(fā)送大量的SYN請求，消耗網(wǎng)絡(luò)的帶寬和被攻擊路由器的資源，使得被攻擊的路由器與其他合法路由器的正常的通信延遲

4、或者中斷。在BGP協(xié)議中BGP對等體可以隨時用NOTIFICATION?肖息來切斷對等體之間的連接。因此，攻擊者可通過冒充網(wǎng)絡(luò)中的路由器向其他的路由器發(fā)送NOTIFICATION消息，使得被攻擊的路由器與對等體間的通信中斷。由于BGP依賴長久持續(xù)的TCP會話并設(shè)置較大的滑動窗口來運(yùn)作，當(dāng)BGPSession被中斷時，BGP應(yīng)用程序會重新啟動并嘗試與它的連接對方重建一個連接并重建路由表，這就會導(dǎo)致一個輕微的服務(wù)損失攻擊頻度越高損失越大。如果攻擊者在網(wǎng)絡(luò)中通告大量的路由信息，就很有可能引起路由表數(shù)量的激增甚至爆炸。1.2實現(xiàn)的脆弱性實現(xiàn)的脆弱性主要是由于系統(tǒng)部署不合理和受所處環(huán)境因素的制約引起的。

5、首先，病毒的傳播能造成整個互聯(lián)網(wǎng)路由的不穩(wěn)定。此外，在大型的IP網(wǎng)絡(luò)中BGP不能很好地實現(xiàn)流量的負(fù)載分擔(dān)。1.1.1 2.1路由收斂問題路由收斂問題包括兩個方面：一是是否收斂；二是收斂的時間問題。BGP回過搜索每個可能的自治系統(tǒng)路徑，從最短路徑到較長路徑直到最后收斂為止。搜索每個可能的自治系統(tǒng)路徑的速率取決于最小廣播間隔，該間隔即為新的路由信息被允許在系統(tǒng)中傳輸?shù)乃俾省?.1.2 病毒傳播CodeRedl病毒傳播和Nimda病毒傳播給全球范圍路由帶來了不良影響。雖然病毒傳播沒有直接感染路由器，在病毒傳播感染的過程中，網(wǎng)絡(luò)應(yīng)用流量過大、管理工作站的感染等，使BGP和整個Internet的路由受到

6、嚴(yán)重影響。1.1.3 流量分布不均衡大型IP網(wǎng)絡(luò)設(shè)計的基本方法是通過多條等價鏈路來分擔(dān)流BGP量的負(fù)載。IGP能夠很好地支持等價路徑的負(fù)載分擔(dān)，但是引入路由不能配合IGP實現(xiàn)等價路徑的負(fù)載分擔(dān)，很容易導(dǎo)致流量分布的不均衡的現(xiàn)象出現(xiàn)。1.3操作的脆弱性操作的脆弱性是操作人員的錯誤行為導(dǎo)致的，系統(tǒng)中有20%-70%勺故障由人為操作引起。例如著名的AS7007事件。由于對AS7007配置了錯誤的BGP使得路由器的信息瞬間增多，并迅速在網(wǎng)絡(luò)上傳播，導(dǎo)致很多路由器出現(xiàn)故障甚至崩潰瓦解。目前影響比較嚴(yán)重的錯誤配置是輸出錯誤配置和地址起源錯誤配置，輸出錯誤配置是指路由器輸出本該過濾掉的路由，地址起源錯誤配置

7、是指AS偶然將某條地址前綴注入全局BGP表。這種錯誤是可以避免的，而且對終端用戶的影響并不大。2防范措施目前針對BGP的安全缺陷涌現(xiàn)了多種安全擴(kuò)展方案，其多數(shù)都采用了信息認(rèn)證的方式，目前所提出的基于PKI(PublicKeyInfrastructure)認(rèn)證的安全機(jī)制中S-BGP是當(dāng)前研究中最為完整、最具代表性的安全機(jī)制。我們主要分析了用包過濾防護(hù)技術(shù)增強(qiáng)域間路由系統(tǒng)的安全，并闡述了MPLS技術(shù)和TCPMD機(jī)制在增強(qiáng)域間路由系統(tǒng)安全方面的益處。2. 1包過濾防護(hù)實施包過濾的依據(jù)主要是端口、IP、AS號、流量。端口過濾指僅允許對179端口的訪問，IP地址和AS號限制，只允許具有合法地址的用戶訪問

8、該路由器，流量限制指對自治系統(tǒng)內(nèi)的每個路由器發(fā)送數(shù)據(jù)包的流量加以限制，正常BGP數(shù)據(jù)包的長度應(yīng)不大于4096Byte。持續(xù)的通過觀察多個點的路由更新情況推斷網(wǎng)絡(luò)的狀態(tài)，在每個自治系統(tǒng)內(nèi)的邊界路由器端部署檢測防御系統(tǒng)。包過濾防護(hù)模型的結(jié)構(gòu)如圖2所示。2. 2MPLS技術(shù)MPL戰(zhàn)術(shù)就是多協(xié)議標(biāo)記交換技術(shù)。它的優(yōu)勢是能在一個無連接的網(wǎng)絡(luò)中導(dǎo)進(jìn)連接模式，同時，還能降低網(wǎng)絡(luò)的經(jīng)濟(jì)成本，在提供IP業(yè)務(wù)時能確保安全，具有流量工程能力，使信息傳輸大大提高，同時也有效避免了路由黑洞。2. 3TCPMD5機(jī)制TCPMD機(jī)制中的MD5算法是相對安全的，而且共享密鑰受到了嚴(yán)密的保護(hù)，很難被破解，TCPMD確保了消息的完整性和對等體身份的真實性，有效地抵御了中間人攻擊和拒絕服務(wù)攻擊。3結(jié)束語 隨著我國計算機(jī)技術(shù)的迅猛發(fā)展,人們對于路由器的要求也越來越高，從而，保證由無數(shù)臺路由器所組成的網(wǎng)絡(luò)的安全日益受到社會的