CN101662393B - 域间前缀劫持检测与定位方法 - Google Patents
域间前缀劫持检测与定位方法 Download PDFInfo
- Publication number
- CN101662393B CN101662393B CN2009100897942A CN200910089794A CN101662393B CN 101662393 B CN101662393 B CN 101662393B CN 2009100897942 A CN2009100897942 A CN 2009100897942A CN 200910089794 A CN200910089794 A CN 200910089794A CN 101662393 B CN101662393 B CN 101662393B
- Authority
- CN
- China
- Prior art keywords
- monitoring probe
- prefix
- autonomous system
- prefix information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明提供一种域间前缀劫持检测与定位方法,该方法包括:第一自治系统中的第一采集监测探针经由第一自治系统的BGP边界路由器接收网络中的BGP路由更新报文;第一采集监测探针从外部自治系统发送到第一自治系统的BGP路由更新报文中提取前缀信息,并将前缀信息按照其所来自的自治系统进行分类;第一采集监测探针取出某一类前缀信息,根据该类前缀信息所对应的第二自治系统的编号从集中式管理端取出第二自治系统的第二采集监测探针的IP地址;第一采集监测探针根据IP地址与第二采集监测探针建立连接,并将前缀信息与保存在第二采集监测探针的网络前缀信息列表中的相应前缀信息进行比较,根据比较结果判断第二自治系统是否发生了域间前缀劫持。
Description
技术领域
本发明涉及域间网络安全领域,特别涉及一种域间前缀劫持检测与定位方法。
背景技术
目前,Internet和较大的网络服务提供者(ISP)的网络被分成大量的自治系统(Autonomous System,AS),由自治系统来定义管理区域和作用于自治系统范围内的路由策略。如今的互联网由25000多个自治系统组成,这些自治系统通过边界网关协议(BGP)传递路由更新信息。BGP协议运行在各个自治系统的边界路由器上,它通过各个自治系统的边界路由器之间所交换的AS级路由可达性信息来完成域间路由,从而实现各个自治系统之间网络信息的可达。根据BGP协议,每个自治系统的边界路由器在工作过程中会定时向自己的邻居宣告路由更新报文,在所述的路由更新报文中,包括有最新的网络前缀信息的宣告与撤销。其他自治系统中的路由器在收到这些路由更新报文后,会根据其中的网络前缀信息选择最优路由。
BGP协议在Internet上的广泛应用使得它已经成为当前域间路由协议的事实标准。但是BGP协议在制定之初并没有充分考虑安全机制,而在当前运营BGP协议时,也未充分启用相应的保护机制,这使得当前的互联网络中存在潜在的或现实的安全威胁。在域间安全领域,由于BGP协议自身的不足所带来的安全威胁尤为突出,其中的基于BGP的域间前缀劫持攻击更已经成为当前互联网络中最难以防范的安全威胁。
所述的域间前缀劫持是指:从属于某个自治系统的边界路由器通过BGP向外发布了不属于自身前缀信息的更新报文或者对外发布虚假的最优选路,导致了真实网络的不可达。以图1所示的互联网拓扑图为例,在该网络中包含有A、B、C、D、E、F等多个自治系统。假设其中的自治系统F拥有前缀信息192.168.3.1/255,自治系统C若要与自治系统F中的该前缀通信,在正常情况下需要通过路径[C、B、A、F]。如果自治系统E也向外宣告前缀信息192.168.3.1/255属于自己(即发生了域间前缀劫持),那么根据最短路由的特性,当自治系统C与前缀192.168.3.1/255通信时,路由路径会变为[C、D、E]。由于前缀192.168.3.1/255实际在自治系统F中,因此,自治系统C无法与该前缀通信。域间前缀劫持发生的一个重要原因是接收路由更新报文的自治系统无法对所接收到的路由更新报文的正确性加以检验。
域间前缀劫持的发生会对互联网络产生重大的危害,轻则导致部分运营商受到影响,严重时能导致一个国家、甚至全球骨干网络的瘫痪。例如2004年12月24日,土耳其ISP服务提供商TTNet通过BGP向外发送了完整的互联网路由信息。由于TTNet外发的路由信息中声称他们是互联网上最好的路由,这一错误导致来自亚马逊、微软、雅虎和CNN网站全部选择该ISP作为最佳路由,这导致当天上午大部分的互联网流量流入到土耳其,时间达数小时之久,产生极其严重的后果。再如2008年2月,巴基斯坦电信局(Pakistan Telecom)在试图限制本国用户访问YouTube网站时,由于配置错误,使得它通过BGP向香港的ISP服务提供商PCCW发送了新的路由信息。该路由信息声称,它有最佳的路由到达YouTube。此后PCCW在互联网上传播了错误的路由信息,导致在接下来的二个小时内,世界各地的大多数YouTube用户都无法访问其网站。
针对前缀劫持所带来的巨大危害,当前业界提出了两大类型的解决方法。一种类型的解决方法是对BGP的安全协议进行扩展,该类方法以S-BGP和soBGP为代表,它们利用PKI技术可以严格保证BGP路由安全。但由于协议开销等问题,运营商普遍难以接受这些方案。为避免S-BGP等强类型安全路由协议在实际应用中遇到的困境,近年来又提出了Listen-Whisper以及psBGP等机制。这些机制以降低安全能力为代价大量削减协议开销。然而,这些方案也未被运营商所接受。迄今为止依然没有一个BGP协议安全扩展方案被运营商实际广泛地应用。
另一类型的解决方法是基于应用系统的检测。此类方法又进一步分为两种,第一种是采用被动式的公开的更新报文数据采集,通过分析更新报文中向外宣告的信息是否与已有规则相冲突来判断劫持是否存在。此种方法存在的问题是分析的精度依赖于数据采集点,另外由于数据是来自于公共数据,因此实时性不高,此种方法的典型代表为PHAS。第二种是采用主动式的探测技术,通过部署主动式探测点,定期向目标AS所属的前缀发送探测报文,例如ping主机是否存在、traceroute选路是否合法等。但此种方法存在的问题是由于当前互联网络存在大量的前缀信息,这要求发送大量探测报文,造成大量的探测开销,另外网络故障也会导致报文不可达,因此会带来一定的误报率。
发明内容
本发明的目的是克服现有的域间前缀劫持发现方法实时性不高或探测开销大的缺陷,从而提供一种实时、准确的域间前缀劫持检测与定位方法。
为了实现上述目的,本发明提供了一种网络系统,包括至少两个自治系统,在每个所述自治系统中包括一个采集监测探针,所述网络系统还包括对所述采集监测探针进行管理的集中式管理端;其中,所述的采集监测探针包含有用于存储所在自治系统中的前缀信息的网络前缀信息列表;
所述采集监测探针从所接收到的BGP路由更新报文中提取前缀信息,并将所提取的前缀信息发送到其他自治系统的采集监测探针上;所述的采集监测探针还接收其他自治系统上的采集监测探针所发送的前缀信息,并将所述前缀信息与自身的网络前缀信息列表中的相应前缀信息进行比较,根据比较结果判断是否发生了域间前缀劫持;
所述的集中式管理端注册所述自治系统中的采集监测探针的信息,维护所述采集监测探针的状态,根据所述采集监测探针的请求反馈其他自治系统的采集监测探针的信息,并公告域间前缀劫持信息。
本发明还提供了一种域间前缀劫持检测与定位方法,用于包含有多个自治系统的网络系统中;所述自治系统包括采集监测探针,所述采集监测探针包含有用于存储所在自治系统中的前缀信息的网络前缀信息列表;所述网络系统还包括对所述采集监测探针进行管理的集中式管理端;该方法包括:
步骤1)、第一自治系统中的第一采集监测探针经由所述第一自治系统的BGP边界路由器接收网络中的BGP路由更新报文;
步骤2)、所述第一采集监测探针从外部自治系统发送到所述第一自治系统的BGP路由更新报文中提取前缀信息,并将所述前缀信息按照其所来自的自治系统进行分类;
步骤3)、所述第一采集监测探针取出某一类前缀信息,根据该类前缀信息所对应的第二自治系统的编号从所述集中式管理端取出所述第二自治系统的第二采集监测探针的IP地址;
步骤4)、所述第一采集监测探针根据所述IP地址与所述第二采集监测探针建立连接,并将所述前缀信息与保存在所述第二采集监测探针的网络前缀信息列表中的相应前缀信息进行比较,根据比较结果判断所述第二自治系统是否发生了域间前缀劫持。
上述技术方案中,还包括:
步骤5)、所述第一采集监测探针从所述第一自治系统发送到外部自治系统的BGP路由更新报文中提取前缀信息,并根据所述前缀信息修改所述第一采集监测探针上的网络前缀信息列表。
上述技术方案中,在所述的步骤4)后,还包括:
步骤6)、在发生域间前缀劫持后,所述第二采集监测探针向所述第一采集监测探针返回不合法的前缀信息,并向管理员和所述集中式管理端发送前缀劫持告警信息。
上述技术方案中,在所述的步骤6)后,还包括:
步骤7)、所述集中式管理端定时向各自治系统上的采集监测探针发送全网络系统范围内的前缀劫持分布状况。
上述技术方案中,所述网络前缀信息列表中的前缀信息通过手动方式或自动方式获取。
上述技术方案中,所述采集监测探针在启用前,先在所述集中式管理端上注册,将自身的IP地址以及所在自治系统的编号存储在所述集中式管理端中。
上述技术方案中,在所述的步骤2)中,采用队列将分类后的前缀信息按照类别分别加以存储。
本发明的优点在于:
1、本发明的域间前缀劫持检测与定位方法具有实时性强、准确性高的优点。
2、本发明的域间前缀劫持检测与定位方法实现机理简单,部署及运营均很简便。
附图说明
图1为互联网拓扑示意图;
图2为可使用本发明方法的网络系统的示意图;
图3为本发明的域间前缀劫持检测与定位方法的流程图。
图面说明
1 第一边界路由器 2 第一采集监测探针
3 第一自治系统 4 集中式管理端
5 第二边界路由器 6 第二采集监测探针
7 第二自治系统 8 第三边界路由器
9 第三采集监测探针 10 第三自治系统
具体实施方式
下面结合附图和具体实施方式对本发明加以详细说明。
在描述本发明方法的实现过程之前,首先对能够实现本发明方法的网络系统的组成加以说明。图2为能够实现本发明方法的网络系统的结构图,在图2所示的实例中可以看出,整个网络系统除了包括第一自治系统3、第二自治系统7、第三自治系统10外,在每个自治系统内部署了至少一个采集监测探针,如第一自治系统3中的第一采集监测探针2、第二自治系统7中的第二采集监测探针6、第三自治系统10中的第三采集监测探针9。所述采集监测探针用于获取本自治系统所拥有的前缀信息以及本自治系统编号,并根据这些信息构成本自治系统网络前缀信息列表。此外,采集监测探针还可以检查外部通告的前缀更新信息,识别是否存在域间前缀劫持。在网络系统中,还包括有独立于自治系统的集中式管理端4,所述集中式管理端用于所述采集监测探针的注册、采集监测探针状态的维护、前缀劫持信息的公告、采集监测探针IP地址的解析查询、历史前缀劫持信息的存储等。所述的采集监测探针和集中式管理端在部署时应当保证其所在平台具有固定的公网IP地址。此外,所述采集监测探针还应当与所在自治系统中的边界路由器建立邻接关系,从而能够实时采集BGP更新报文信息。虽然在图2所示的实例中,只给出了3个自治系统的情况,但本领域的普通技术人员都应当了解,上述实例只为说明之用,在实际应用中,网络系统中所含自治系统的数量可以有多个。
上述网络系统能够检测与定位发生在网络系统中的域间前缀劫持,参考图3,其具体实现过程如下。
各个自治系统内的采集监测探针在工作初始都要创建本自治系统的网络前缀信息列表。所述网络前缀信息列表包括本自治系统所拥有的前缀信息以及本自治系统的编号。以图2中第一自治系统3中的第一采集监测探针2为例,该采集监测探针所创建的网络前缀信息列表包括第一自治系统的编号以及第一自治系统中所有前缀信息。
所述网络前缀信息列表中所含信息的获取可以有两种方式,即手动方式和自动方式。所谓的手动方式是指自治系统的管理员通过有关的配置接口,将所述的前缀信息、自治系统编号信息部署到采集监测探针中。而所谓的自动方式是指自治系统管理员授权采集监测探针可以访问边界路由器的路由表,采集检测探针根据该权限从边界路由器的路由表中自动分析、获取本自治系统的前缀信息和编号。在一个实施例中,采用上述两种方式的任意一种即可。出于减少管理员工作量的目的,可以将其中的自动方式作为优选实现方式。
各个自治系统内的采集监测探针在工作初始阶段除了要创建网络前缀信息列表外,还要向所述的集中式管理端注册。在注册时,采集监测探针采用HTTP协议向集中式管理端发出一条注册命令,该命令包括<注册请求、所属自治系统编号、探针IP地址>。集中式管理端收到这一注册命令后,存储该命令中所包含的信息,然后为该采集监测探针分配一个用于标识不同采集监测探针的全局编号,并返回一条形式为<注册成功、全局编号>的消息。采集监测探针在收到集中式管理端所返回的用于表示成功注册的消息后,存储所述消息中所包含的全局编号,另外还要将内部配置文件中用于表示是否注册成功的标识位的状态修改为true,以表示该采集监测探针已经成功注册。采集监测探针在启动后,一般都会通过HTTP协议向集中式管理端发送一条更新信息,该信息包括<全局编号、所属自治系统编号、探针IP地址>。集中式管理端收到该更新信息后,会回应一条表示更新完毕的OK字符串。
采集监测探针在完成上述的注册、创建网络前缀信息列表等工作后,就可以与所在自治系统中的BGP边界路由器建立对等关系会话,被动地采集、记录网络中的BGP路由更新报文。
采集监测探针会根据所收到的BGP路由更新报文的类型做分类处理。在本发明中,基于BGP路由更新报文的来源可以将报文分为两大类,第一类是采集监测探针所在自治系统的边界路由器向外部的自治系统所发送的BGP路由更新报文,第二类是采集监测探针所在自治系统的边界路由器接收到的其他自治系统所发送的BGP路由更新报文。对于第一类报文的处理较为简单,由于路由更新报文中对前缀信息的处理只包括添加和撤销两种,因此,采集监测探针提取BGP路由更新报文中的前缀信息,并根据所提取的信息在网络前缀信息列表中添加或撤销相应信息。
与第一类报文相比,对第二类报文的处理较为复杂。当采集监测探针收到由外部自治系统发送到采集监测探针所在自治系统的边界路由器的BGP路由更新报文后,提取这些更新报文中的前缀信息,然后将所有前缀信息按照自治系统编号进行分类,形成一个待检查的前缀劫持队列,该队列中的每一个条目具有相同的自治系统编号。所述的自治系统编号反映了BGP路由更新报文的来源。由于来源于一个自治系统的前缀信息可能有多个,因此,一个条目通常是多个前缀信息的集合。在本实施例中,采用队列的形式对前缀信息进行分类存储,但本领域的普通技术人员应当理解,还可以采用现有技术中的其他数据结构对前缀信息进行分类存储。
在生成前缀劫持队列后,就可以对该队列中的所有条目依次进行处理。下面以第一自治系统3的第一采集监测探针2为例,对该探针处理前缀劫持队列中的条目的过程进行说明。假设第一自治系统3的第一采集监测探针2从自身的前缀劫持队列取出一条目后,提取该条目中所包含的自治系统编号信息。所述自治系统编号信息反映了该条目所对应的BGP路由更新报文来自于哪一个自治系统。假设该条目中的自治系统编号信息为第三自治系统10的编号。从背景技术中对域间前缀劫持原理的说明可以知道,BGP路由更新报文所反映的自治系统来源未必是真实的,因此,需要与相应自治系统上的采集监测探针进行核实,即第一自治系统3的第一采集监测探针2要与第三自治系统10的第三采集监测探针9做核实操作。但对于第一自治系统的第一采集监测探针2而言,其与第三自治系统的第三采集监测探针9之间未必具有通信联系,因此,第一自治系统的第一采集监测探针2首先需要向所述的集中式管理端4请求第三自治系统10的第三采集监测探针的IP地址。为了达到这一目的,第一自治系统的第一采集监测探针2根据条目中包含的自治系统编号信息(在此实例中即为第三自治系统的编号信息)生成解析查询命令,并发送到所述集中式管理端4。所述解析查询命令的命令格式为<全局编号、目标自治系统号>,其中的全局编号为发送这一解析查询命令的采集监测探针的全局编号(在此实例中即为第一自治系统的第一采集监测探针2的全局编号);目标自治系统号即为条目中所包含的自治系统的编号。由于集中式管理端4包含有整个网络中所有采集监测探针的注册信息,因此若查询操作成功,则集中式管理端返回所要查找的第三自治系统的第三采集监测探针9的IP地址。如果查询失败,集中式管理端会4返回有关的错误信息。
在得到第三自治系统的第三采集监测探针9的IP地址后,第一自治系统的第一采集监测探针2就可以向第三自治系统的第三采集监测探针9的指定侦听端口发起一条TCP连接,并按照内部通信协议规则,发送如下格式的请求查询报文<前缀信息1、状态、前缀信息2、状态...>,该报文记录了第三自治系统的第三采集监测探针9向外宣告的前缀信息以及宣告的状态,所述状态分为更新或撤消二种。
第三自治系统的第三采集监测探针9在收到请求查询报文后,提取报文中的信息并将其与自身的前缀信息列表中的信息一一加以比对。如果比对结果为全部合法,则返回表示成功的字符串success,并关闭本次连接。如果存在不合法的前缀,就向第一自治系统的第一采集监测探针2返回存在问题的前缀信息,如<前缀1、前缀2...>。此外,第三自治系统的第三采集监测探针9还要向本自治系统的管理员发送告警信息,向集中式管理端4发出前缀劫持告警信息,并关闭本次连接。在前述的告警信息中都带有发生域间前缀劫持的自治系统的相关信息,因此可以很容易地对域间前缀劫持事件定位。
为了使得发生网络前缀劫持的有关信息能够及时地通知网络系统中的各个自治系统,各自治系统上的采集监测探针会在一定的时间间隔内向集中式管理端发送心跳包,然后在本次交互中接收本时间间隔内的全网络系统范围内的前缀劫持分布状况。
本发明的域间前缀劫持检测与定位方法通过部署在各个自治系统中的采集监测探针实现路由更新报文中的前缀信息与网络前缀信息列表中的前缀信息的比较,从而为网络系统提供域间前缀劫持的实时检测与准确定位。
本发明的域间前缀劫持检测与定位方法实现机理简单、部署及运营均很简便,具有小巧灵活的特点。
本发明的域间前缀劫持检测与定位方法不对现有的网络系统做大的修改,允许网络系统中的各个自治系统采用渐进式的部署方式,有利于在实际应用中的推广使用。
本发明的域间前缀劫持检测与定位方法具有谁部署、谁受益的特点,当部署者的前缀信息被劫持后,外部的其他自治系统能够通过查询使得部署者发现劫持现象,有利于调动管理员对部署的积极性。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (8)
1.一种网络系统,其特征在于,包括至少两个自治系统,在每个所述自治系统中包括一个采集监测探针,所述网络系统还包括对所述采集监测探针进行管理的集中式管理端;其中,所述的采集监测探针包含有用于存储所在自治系统中的前缀信息的网络前缀信息列表;
所述采集监测探针从所接收到的BGP路由更新报文中提取前缀信息,并将所提取的前缀信息发送到其他自治系统的采集监测探针上;所述的采集监测探针还接收其他自治系统上的采集监测探针所发送的前缀信息,并将所述前缀信息与自身的网络前缀信息列表中的相应前缀信息进行比较,根据比较结果判断是否发生了域间前缀劫持;
所述的集中式管理端注册所述自治系统中的采集监测探针的信息,维护所述采集监测探针的状态,根据所述采集监测探针的请求反馈其他自治系统的采集监测探针的信息,并公告域间前缀劫持信息。
2.一种域间前缀劫持检测与定位方法,用于包含有多个自治系统的网络系统中;所述自治系统包括采集监测探针,所述采集监测探针包含有用于存储所在自治系统中的前缀信息的网络前缀信息列表;所述网络系统还包括对所述采集监测探针进行管理的集中式管理端;该方法包括:
步骤1)、第一自治系统中的第一采集监测探针经由所述第一自治系统的BGP边界路由器接收网络中的BGP路由更新报文;
步骤2)、所述第一采集监测探针从外部自治系统发送到所述第一自治系统的BGP路由更新报文中提取前缀信息,并将所述前缀信息按照其所来自的自治系统进行分类;
步骤3)、所述第一采集监测探针取出某一类前缀信息,根据该类前缀信息所对应的第二自治系统的编号从所述集中式管理端取出所述第二自治系统的第二采集监测探针的IP地址;
步骤4)、所述第一采集监测探针根据所述IP地址与所述第二采集监测探针建立连接,并将所述前缀信息与保存在所述第二采集监测探针的网络前缀信息列表中的相应前缀信息进行比较,根据比较结果判断所述第二自治系统是否发生了域间前缀劫持。
3.根据权利要求2所述的域间前缀劫持检测与定位方法,其特征在于,还包括:
步骤5)、所述第一采集监测探针从所述第一自治系统发送到外部自治系统的BGP路由更新报文中提取前缀信息,并根据所述前缀信息修改所述第一采集监测探针上的网络前缀信息列表。
4.根据权利要求2或3所述的域间前缀劫持检测与定位方法,其特征在于,在所述的步骤4)后,还包括:
步骤6)、在发生域间前缀劫持后,所述第二采集监测探针向所述第一采集监测探针返回不合法的前缀信息,并向管理员和所述集中式管理端发送前缀劫持告警信息。
5.根据权利要求4所述的域间前缀劫持检测与定位方法,其特征在于,在所述的步骤6)后,还包括:
步骤7)、所述集中式管理端定时向各自治系统上的采集监测探针发送全网络系统范围内的前缀劫持分布状况。
6.根据权利要求2、3或5所述的域间前缀劫持检测与定位方法,其特征在于,所述网络前缀信息列表中的前缀信息通过手动方式或自动方式获取。
7.根据权利要求2、3或5所述的域间前缀劫持检测与定位方法,其特征在于,所述采集监测探针在启用前,先在所述集中式管理端上注册,将自身的IP地址以及所在自治系统的编号存储在所述集中式管理端中。
8.根据权利要求2、3或5所述的域间前缀劫持检测与定位方法,其特征在于,在所述的步骤2)中,采用队列将分类后的前缀信息按照类别分别加以存储。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100897942A CN101662393B (zh) | 2009-07-24 | 2009-07-24 | 域间前缀劫持检测与定位方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100897942A CN101662393B (zh) | 2009-07-24 | 2009-07-24 | 域间前缀劫持检测与定位方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101662393A CN101662393A (zh) | 2010-03-03 |
CN101662393B true CN101662393B (zh) | 2011-06-01 |
Family
ID=41790199
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100897942A Expired - Fee Related CN101662393B (zh) | 2009-07-24 | 2009-07-24 | 域间前缀劫持检测与定位方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101662393B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546369B (zh) * | 2010-12-20 | 2015-09-23 | 华为技术有限公司 | 一种边界网关协议路由更新方法和系统 |
CN102158469A (zh) * | 2011-01-27 | 2011-08-17 | 电子科技大学 | 一种边界网关协议前缀劫持攻击防范方法 |
CN102299923B (zh) * | 2011-08-18 | 2015-06-17 | 工业和信息化部电信传输研究所 | 一种互联网性能测量系统中的探针注册方法 |
CN103442008B (zh) * | 2013-08-29 | 2016-08-31 | 上海瀛联体感智能科技有限公司 | 一种路由安全检测系统及检测方法 |
CN105791244B (zh) * | 2014-12-26 | 2019-02-12 | 中国电信股份有限公司 | 用于控制域间路由变更的方法、边界路由器和系统 |
CN105306362B (zh) * | 2015-09-18 | 2018-08-10 | 中国科学院计算技术研究所 | 基于IPv6的OSPF网络路由信息的被动采集方法及系统 |
CN110351234B (zh) * | 2018-04-08 | 2021-12-14 | 中国移动通信集团安徽有限公司 | 网页非法重定向的定位方法、装置、系统和设备 |
CN114363003B (zh) | 2019-03-11 | 2024-01-02 | 华为技术有限公司 | Bgp路由识别方法、装置及设备 |
CN113271286B (zh) * | 2020-02-14 | 2022-07-29 | 华为技术有限公司 | 一种用于实现bgp异常检测的方法、设备及系统 |
CN112003959B (zh) * | 2020-07-13 | 2023-06-16 | 深圳网基科技有限公司 | 路由起源授权的自动签发方法和装置 |
CN114244575A (zh) * | 2021-11-24 | 2022-03-25 | 中盈优创资讯科技有限公司 | 一种路由劫持自动封堵方法及装置 |
CN115412377B (zh) * | 2022-11-02 | 2023-03-24 | 北京邮电大学 | 一种恶意自治系统的检测方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101163109A (zh) * | 2007-11-14 | 2008-04-16 | 中国科学院计算技术研究所 | 一种自治系统级网络路由拓扑构建方法 |
CN101252488A (zh) * | 2008-04-15 | 2008-08-27 | 中国科学院计算技术研究所 | 一种多自治系统路由器级拓扑处理系统和方法 |
-
2009
- 2009-07-24 CN CN2009100897942A patent/CN101662393B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101163109A (zh) * | 2007-11-14 | 2008-04-16 | 中国科学院计算技术研究所 | 一种自治系统级网络路由拓扑构建方法 |
CN101252488A (zh) * | 2008-04-15 | 2008-08-27 | 中国科学院计算技术研究所 | 一种多自治系统路由器级拓扑处理系统和方法 |
Non-Patent Citations (1)
Title |
---|
刘欣等.防范前缀劫持的互联网注册机制.《软件学报》.2009,第20卷(第3期),620-628. * |
Also Published As
Publication number | Publication date |
---|---|
CN101662393A (zh) | 2010-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101662393B (zh) | 域间前缀劫持检测与定位方法 | |
CN1937589B (zh) | 路由配置验证的装置和方法 | |
CN103442008B (zh) | 一种路由安全检测系统及检测方法 | |
US9118587B2 (en) | Network multi-path discovery | |
CN112260861A (zh) | 一种基于流量感知的网络资产拓扑识别方法 | |
CN100531146C (zh) | 基于流转发的更新流转发表项内容的方法及设备 | |
WO2019028683A1 (zh) | 一种获取并收集客户端本地dns服务器的方法以及系统 | |
US20050047350A1 (en) | Apparatus and methods for discovery of network elements in a network | |
CN100413290C (zh) | 设置边界网关协议路由选择通知功能的方法 | |
US7606884B2 (en) | SNMP firewall for network identification | |
CN105763426A (zh) | 一种基于多协议即时通信系统的物联网业务处理系统 | |
CN101656638B (zh) | 面向误配置的域间前缀劫持检测方法 | |
CN103546343B (zh) | 网络流量分析系统的网络流量展示方法和系统 | |
CN102130834A (zh) | 一种ip路由方法和路由器 | |
CN101931628B (zh) | 一种域内源地址的验证方法和装置 | |
CN103220161A (zh) | 一种服务器状态的探测方法和装置 | |
CN111786857B (zh) | 基于分布式的网络资产主动探测方法及系统 | |
CN101188530B (zh) | OSPF路由监测系统的IPv4和IPv6网络故障检测及定位方法和装置 | |
GB2527273A (en) | Executing loops | |
CN106411727B (zh) | 一种报文处理方法、装置及自治系统 | |
CN101741745B (zh) | 识别对等网络应用流量的方法及其系统 | |
CN104579978A (zh) | 一种动态网络链路层拓扑发现方法 | |
CN107465621A (zh) | 一种路由器发现方法、sdn控制器、路由器和网络系统 | |
CN101345657A (zh) | 基于简单网络管理协议集群管理多个网元的方法及系统 | |
CN105637806A (zh) | 网络拓扑确定方法和装置、集中式网络状态信息存储设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110601 Termination date: 20190724 |
|
CF01 | Termination of patent right due to non-payment of annual fee |