基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)_第1頁
基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)_第2頁
基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)_第3頁
基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)_第4頁
基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

基于BGP協(xié)議的

IP黑名單分發(fā)系統(tǒng)張煥杰Email/msn:james@

中國科學技術大學網絡信息中心2008-12-192024/9/231基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)主要內容IP黑名單介紹基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)結構接收黑名單的路由器配置測試情況結語2024/9/232基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)IP黑名單介紹IP黑名單(IPblacklist)是指被設置成禁止通信的IP地址。管理完備的網絡中,往往會設置IP黑名單列表。發(fā)往IP黑名單的數據包,不會被正常地轉發(fā)被丟棄(稱為blackholeroute,即黑洞路由,一般是送到Null0空接口)或發(fā)送到特殊的目的地(稱為sinkhole路由,送到專門的流量處理設備進一步處理)。IP黑名單的應用,可以顯著的減輕DDoS攻擊的危害,也可以減慢網絡蠕蟲的傳播。2024/9/233基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)IP黑名單介紹(2)如最近年很多校園網都受到很多木馬程序的影響。目前反向連接的木馬占主流,并且多采用被動傳播方式。木馬下載網站是木馬傳播的主要途徑,木馬程序利用網站做跳板傳播或更新。一旦把這些網站IP地址添加到IP黑名單,禁止正常計算機與它的通信,這些木馬程序的傳播就無法進行,很快就能抑制住校園網內木馬程序的傳播,ARP欺騙等影響網絡穩(wěn)定的事件在校園網明顯減少。同樣可以減少黃色網站、釣魚網站等的影響。2024/9/234基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)惡意網站的實例內嵌惡意代碼的網站多用于被動傳播木馬瀏覽器訪問時,如果存在漏洞,會自動下載木馬軟件等惡意軟件,在用戶后臺執(zhí)行通常利用flash、realplayer、windows下的漏洞這些網站往往會被嵌入到正常的網站上,俗稱被“掛馬”惡意代碼中轉站為了幫助木馬程序的更新,設立一些下載網站,木馬程序啟動后,自動下載最新的程序代碼2024/9/235基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)一個“掛馬”例子深圳職業(yè)技術學院汽車與交通學院http:///ReadNews.asp?NewsID=809這個網頁中有下面一段代碼<scriptsrc=/1.js>1.js內容是<iframe

src=/a0076159/a07.htmwidth=100height=0></iframe>/a0076159/a07.htm的內容是<iframewidth=100height=0src=new.html></iframe>new.html是利用幾個媒體播放漏洞下載惡意軟件的代碼2024/9/236基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)一個“掛馬”例子[wide]/[script]/ads/gb.js[frame]/a11.html[frame]/index.html[frame]/fl.htm[frame]/i11.html[frame]/cx.htm[object]/bak.css[frame]/06014.htm[object]/bak.css[frame]/I7.htm[object]/yg.exe[frame]/ff.htm[object]/bak.css[frame]/real10.htm[object]/bak.css[frame]/real11.htm[object]/bak.css[script]/855299/ystat.js最近利用IE70day攻擊的惡意程序2024/9/237基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)一個網站被掛了多個“馬”LogisgeneratedbyFreShow.

[wide]/

[script]/include/javascript/common.js

[frame]/b7.htm?a023

[frame]/flash.htm

[frame]/14.htm

[frame]/office.htm

[frame]/lz.htm

[frame]/re10.htm

[frame]/re11.htm

[frame]/fs/7.htm

[frame]/a192/fxx.htm

[frame]/a192/fx.htm

[frame]/a192/ilink.html

[frame]/a192/flink.html

[frame]/a192/ss.html

[frame]/a192/ms06014.htm

[frame]/a192/GLWORLD.html

[frame]/sina.htm

[frame]/UU.htm

[frame]/a192/Thunder.html

[frame]/a192/real.htm

[frame]/a192/Real.html2024/9/238基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)惡意代碼中轉站感染病毒的機器會下載/1234.txt

這個文件內容是

[oo]

c0=http://1.111991.net/0.exe

c1=http://1.111991.net/1.exe

c2=http://1.111991.net/2.exe

c3=http://1.111991.net/3.exe

c4=http://1.111991.net/4.exe

c5=http://1.111991.net/5.exe

c6=http://1.111991.net/6.exe

c7=http://1.111991.net/7.exe

c8=http://1.111991.net/8.exe2008年5月5日開始關注類似的訪問序列2024/9/239基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)惡意代碼中轉站(2)http:///ko.txt內容是:[file]open=yurl1=http://111./new/new1.exeurl2=http://111./new/new2.exeurl3=http://111./new/new3.exeurl4=http://111./new/new4.exeurl5=http://111./new/new5.exeurl6=http://111./new/new6.exe2024/9/2310基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)獲取以上信息的方式某些安全論壇,如

/bbs/forum-31-1.html

/forumdisplay.php?fid=22http:///report.asp從校園網對外訪問的日志中分析查找訪問較明顯序列的日志,如1.exe2.exe3.exe發(fā)現(xiàn)可疑的URL,可以把下載的文件提交給

/

測試,檢查是否是惡意軟件通過以上方式,經過幾個月的累計,我們已經搜集了700余條IP黑名單2024/9/2311基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)惡意網站的一般封堵方法客戶端封堵某些瀏覽器或個人防火墻在訪問惡意網站的時候,會給出提示,并阻擋訪問校園出口封鎖防火墻檢測到下載惡意軟件時可以阻擋IPS入侵防御系統(tǒng)可以阻斷管理員手工增加黑名單路由,更新復雜,維護成本高網絡主干封鎖增加黑名單路由,發(fā)往這些地方的數據包被丟棄教育網主干增加了約150條黑名單路由,禁止對這些IP的訪問但由于大部分學校都用其他出口,因此封堵效果一般2024/9/2312基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)教育網主干網黑名單路由例子hef1-bgw>showiproute|incB9[200/70]via,2d11hB96[200/70]via,2d11hB19[200/70]via,2d11hB36[200/70]via,2d11hB36/32[200/70]via,2d11hB04/32[200/70]via,2d11hB89/32[200/70]via,2d11hB13/32[200/70]via,2d11hB32[200/70]via,2d11hB34/32[200/70]via,2d11hB3/32[200/70]via,2d11h2024/9/2313基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)在路由器上封鎖IP的方式首先在路由器上增加null0路由iproute55null0把要封鎖IP的下一跳設置為,如要封鎖3,有兩種方式直接手工增加靜態(tài)路由

iproute355

需要在所有路由器上增加利用BGP注入路由(遠程觸發(fā)黑洞路由,Remote-TriggeredBlackHoleRouting

)在一個觸發(fā)路由器上增加,利用BGP廣播給其他路由器做法可以參考/3c6vl7

(WormMitigationTechnicalDetails

)2024/9/2314基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)遠程觸發(fā)黑洞路由優(yōu)缺點優(yōu)點在一臺觸發(fā)路由器上配置,自動廣播到其他路由器,使用方便數據包是在最近的路由器上丟棄缺點手工修改配置比較麻煩無法有效的跟蹤相關信息(如:什么時候增加的,增加的原因)無法自動刪除黑名單,必須要手工刪除總之,管理員比較辛苦2024/9/2315基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)基于BGP協(xié)議的

IP黑名單分發(fā)系統(tǒng)黑名單信息存放在數據庫中黑名單信息管理方式管理員通過Web界面添加/刪除黑名單程序與入侵檢測系統(tǒng)自動進行添加/刪除管理員在添加時可以設置有效期,到期后自動刪除通過一個簡單的BGP客戶端,把數據庫里的黑名單信息發(fā)送給路由器剩下的操作與傳統(tǒng)遠程觸發(fā)黑洞路由完全一樣2024/9/2316基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)系統(tǒng)結構WEB界面管理數據庫路由服務器路由器BGP協(xié)議管理員BGP協(xié)議2024/9/2317基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)簡化的BGP客戶端程序BGP很復雜,但是BGP的協(xié)議很簡單每條消息不能超過4096字節(jié)消息頭固定19字節(jié)4種消息類型OPEN建立tcp連接后發(fā)送,協(xié)商一些參數UPDATE增加或撤回路由NOTIFICATION出錯時KEEPALIVE定時發(fā)送2024/9/2318基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)UPDATE廣播增加路由信息例如增加一條路由73/32003802

消息長度56(0x38)字節(jié),類型UPDATE(02)0000Withdraw信息長度為0(無withdaw路由)001CTotalPathAttributeLength=28(0x1c)字節(jié)400100ORIGIN:IGP400200ASPATH:空400304C0000201NEXT_HOP:8004040000

0014MED204005040000

0054

Local_Pref10020前綴長度32DEBFFBAD732024/9/2319基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)UPDATE廣播撤回路由信息例如撤回一條路由73/32001C02

消息長度28(0x1c)字節(jié),類型UPDATE(02)0005WithdrawnRoutesLength=520

前綴長度32DEBFDBAD730000TotalPathAttributeLength=0字節(jié)2024/9/2320基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)接收黑名單的路由器配置WEB界面管理數據庫路由服務器路由器BGP協(xié)議BGP協(xié)議備用路由服務器BGP協(xié)議2024/9/2321基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)接收IP黑名單路由器上的配置routerbgp65500

nosynchronization

bgplog-neighbor-changes

neighbor7remote-as24362

neighbor7ebgp-multihop255

neighbor41remote-as24362

neighbor41ebgp-multihop255

noauto-summaryiproute55Null0iproute755next_hopiproute4155next_hop注:65500是自治域號,隨便使用一個號就可以Next_hop是到741的網關741是路由服務器IP2024/9/2322基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)BGP連接正常的信息#showip

bgpneighborsBGPneighboris7,remoteAS24362,externallinkBGPversion4,remoterouterID7BGPstate=Established,upfor6d01h…SentRcvdPrefixactivity:--------PrefixesCurrent:0699(Consumes33552bytes)PrefixesTotal:0700ImplicitWithdraw:00ExplicitWithdraw:01Usedasbestpath:n/a6602024/9/2323基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)BGP連接正常的信息(2)#showip

bgpBGPtableversionis703,localrouterIDis1Statuscodes:ssuppressed,ddamped,hhistory,*valid,>best,i-internal,SStaleOrigincodes:i-IGP,e-EGP,?-incompleteNetworkNextHopMetricLocPrfWeightPath*43/32024362i*>024362i*7/32024362i*>024362i*0/32024362i*>024362i*1/32024362i*>024362i2024/9/2324基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)測試情況2008年7月開始在中國科大校園網使用這樣方式來管理黑名單,有安徽4所大學,省外3所(東北大學、蘭州大學、電子科大)在使用這個黑名單目前封鎖了700個IPhttp:///至今運行穩(wěn)定節(jié)省了各個學校自己維護

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論