CN108886521B - 用于找到全球路由劫持的方法和设备 - Google Patents
用于找到全球路由劫持的方法和设备 Download PDFInfo
- Publication number
- CN108886521B CN108886521B CN201780019848.0A CN201780019848A CN108886521B CN 108886521 B CN108886521 B CN 108886521B CN 201780019848 A CN201780019848 A CN 201780019848A CN 108886521 B CN108886521 B CN 108886521B
- Authority
- CN
- China
- Prior art keywords
- bgp
- prefix
- origin
- prefixes
- hijacking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/033—Topology update or discovery by updating distance vector protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
每天,数千个路由“劫持”在互联网上发生,它们几乎全部都是良性的。可以通过将复杂的分析应用于边界网关协议(BGP)路由更新的广泛的全球实时馈送来识别恶意的劫持和所造成的互联网流量的错误导向。当正当的攻击被发现时,可以利用域名服务(DNS)数据(以确定可能的目标)、路由跟踪数据(以确定它们是否表示中间人利用)、推断的业务关系(以理解影响的范围)以及甚至原始的BGP消息来增强自动化分析。这些技术可以用于揭示对于商业实体和政府实体的攻击。
Description
相关申请的交叉引用
本申请要求2016年2月22日提交的、标题为“Methods and Apparatus forFinding Global Routing Hijacks”的美国申请No. 62/298169的优先权。该申请通过引用整体并入本文。
背景技术
互联网路由劫持攻击(比如2012年和2013年所犯的那些攻击) 使得攻击者可以拷贝改向的流量、检查它的内容并且识别目标以供将来利用。在这些攻击中的许多攻击中,通信实际上没有被中断,所以难以使受害者注意到有东西出了问题。不中断通信的攻击可能是国家行为者或犯罪组织为监视和/或确定目标而破坏互联网的工作。可替代地,攻击可以暗示网络武器能力的发展。不管责任方的数量、它们的身份和它们的动机如何,这样的事件都代表复杂的行为者控制主要的国家级互联网服务提供商(ISP)而做的故意攻击。这些事故不会是偶然的,并且指向互联网的基础结构中的可观的、长期存在的弱点,即在过去几年持续以针对性的且毫无疑问地怀有恶意的方式被利用的弱点。
发明内容
本技术的实施例包括检测互联网上的路由劫持的方法。这些方法的例子包括从互联网上的多个自治系统(AS)当中的多个边界网关协议(BGP)路由器收集多个BGP更新。这些BGP更新中的每个BGP 更新包括至少一个前缀。基于BGP更新来识别至少一个新起源。从BGP更新中包括的前缀当中形成具有所述新起源的多个前缀。从这些前缀中移除一个或多个RFC1918前缀,并且将其余的前缀中的至少一个前缀报告为潜在路由劫持。
检测互联网上的路由劫持的另一示例性方法,从互联网上的AS 当中的BGP路由器收集BGP更新,每个BGP包括至少一个前缀。从所述多个BGP更新中包括的前缀当中识别具有至少一个新起源的多个前缀。基于BGP更新来识别至少一个新的AS号码(ASN)。接着,确定新的ASN的登记是否等同于所述多个前缀中的相关联的前缀。从与新的AS路径相关联的列表移除该相关联的前缀,将其余的前缀中的至少一个前缀报告为潜在路由劫持。
应意识到,下面更详细地讨论的前述构思和另外的构思的所有组合(前提条件是这样的构思不相互冲突)被设想为本文所公开的发明性主题的一部分。具体地说,在本公开的末尾出现的要求保护的主题的所有组合都被设想为本文所公开的发明性主题的一部分。还应意识到,通过引用并入的任何公开中也可能出现的、本文明确利用的术语应被赋予与本文所公开的具体构思最一致的意义。
附图说明
熟练的技术人员将理解附图主要是用于说明性的目的,而非意图限制本文所描述的发明性主题的范围。附图不一定是按比例的;在一些情况下,本文所公开的发明性主题的各方面可以在附图中被扩大或放大以促进不同特征的理解。在附图中,相似的附图标记一般是指相似的特征(例如,功能上类似的和/或结构上类似的要素)。
图1例示了包括自治系统、边界网关协议(BGP)路由器和路由跟踪收集器装置的互联网路由系统的例子。
图2A是例示了用于识别路由劫持的处理的高级别概览的流程图。
图2B是例示了用于通过收集并处理BGP路由数据来识别劫持的处理的流程图。
图3例示了通过分析AS路径片段来检测欺骗的起源的例子。
具体实施方式
在像全球互联网一样多样且动态的环境中找到路由劫持攻击是复杂的任务。每天,可以观察到数千个路由“劫持”,它们几乎全部都是良性的。本申请描述了用于识别恶意的劫持和所造成的互联网流量的错误定向的技术。这些技术包含收集边界网关协议(BGP)路由更新的广泛的全球实时馈送并且至少部分地基于历史BGP路由数据将复杂的分析应用于所收集的BGP路由更新。当发现正当的攻击时,分析可以被扩充域名系统(DNS)数据(以确定可能的目标)、路由跟踪数据(以确定攻击是否表示中间人利用)、推断的业务关系(以理解影响的范围)以及BGP路由更新本身的内容。用于识别和分析恶意劫持的技术可以应用于全球任何目标,并且可以用于既检测故意的攻击(例如,本质上明显恶意的攻击)、又检测其他事故(诸如可能无辜的路由错误或由于环境改变而导致的假阳性(false positive))。
通过操纵BGP路由属性来劫持互联网流量
互联网路由依赖于自身不安全的BGP,这通过公告和撤回前缀 (即,被分配给个体组织的连续的互联网协议(IP)的范围)而影响全世界的路由表。
图1例示了包括自治系统、BGP路由器和路由跟踪收集器装置的互联网路由系统的例子。(为易于理解,图1示出了显著简化的表示。) 每一个BGP更新公告(BGP updateannouncement)创建于某个自治系统(AS)230a-230d(统称为AS 230)处,并且包括至少一个前缀和公告已经行进通过的AS 230的列表。AS 230的这个列表被称为AS 路径。自治系统由唯一分配的号码(被称为AS号码(ASN))识别,并且对应于想要控制全球互联网如何到达它们的组织(或它们内的群组)。
例如,考虑Google分配的前缀8.8.8.0/24(8.8.8.0至8.8.8.255),该前缀可以经由数百个唯一的AS路径观察到,其中一个AS路径是 8708 2914 6453 15169。该网络的起源是AS 15169(Google)230a, AS 15169(Google)230a向AS 6453(Tata)230c公告前缀。继而,Tata将它发送到AS 2914(NTT)230b,AS 2914(NTT)230b然后将它传递到对等网络(数据源)AS 8708(RCS&RDS)。在BGP消息中,前缀的起源是路径上的最右边的AS,而数据源是最左边的AS。因此,为使RCS&RDS 230d到达这些Google IP地址,它将流量发送到NTT 230b。NTT230b然后将它传递到Tata 230c,Tata 230c将它发送到Google 230a。从Google到RCS&RDS的返回路径可以是完全不同的,并且取决于Google的路由表。
典型地,在互联网上观察到的每个前缀具有单个起源AS,即负责其路由策略的起源AS;然而,对于多创建AS(MOAS)前缀,诸如经由内容递送网络(CDN)270可获得的那些,存在正当使用。例如, CDN 270可能拥有在世界的不同部分中使用的多个AS,在该例子中为230f和230g,并且可以公告来自它们中的每个的相同前缀。但是多创建也可以是恶意的活动或操作者错误的迹象。
另一类型的劫持包含正常公告的前缀的更特定的前缀(更小的部分)。上面提到的Google前缀是Level 3公告的8.0.0.0/8和8.0.0.0/9 的更特定的前缀。因为BGP偏好更特定的路由胜于不太特定的路由,所以当Google和Level 3两个选项都可用时,送往8.8.8.0/24的流量将去往Google,而非Level 3。因此,当前未被路由的更特定的前缀的劫持一般将导致地址空间的该部分的完全全球劫持,这意味着所有的全球流量将被送到那里。
考虑当前托管mail.condorferries.com并且仅经由8.0.0.0/8和 8.0.0.0/9被路由到Level 3的8.1.2.200。如果某个人要公告包括该IP 地址的更特定的前缀,比如说,8.1.0.0/16或8.1.2.0/24,则它们可以吸引送往该IP地址的所有流量,因为在BGP路由中,这些更特定的前缀将优先于不太特定的前缀。(注意,路由选择完全是本地决策,所以路由器可以被配置为忽略8.0.0.0/8的更特定者,尽管这会是非常不寻常的管理配置。)
总之,对于任何劫持,存在至少四个组合。首先,劫持可以是以下两者中任一者:(1)准确的前缀匹配劫持,这暗示部分全球劫持;以及(2)更特定的前缀劫持,这暗示对于更大的前缀的一部分的完全全球劫持。继而,这些劫持均可以是以下两种类型之一:(1)被错误定向的流量终止于攻击者处,要么被拉进黑洞、要么被非法服务器答复;或者(2)被错误定向的流量被重路由到其适当的目的地,即,中间人攻击。每种类型的攻击自从2013年以来已经定期发生。
通过收集和分析BGP路由数据来检测BGP劫持
这里公开的技术识别与通常的路由基线的偏离以揭示新的可能怀恶意的行为。检测全球劫持的一个挑战是以下事实,即,互联网在任何时间点的正确状态(与特定AS的正确状态完全不同)既是未知的,又是不可知的。该问题的直接解决途径导致每天成千上万的假阳性。所以在没有正确性的任何先验知识时,这里公开的技术使用从实时的和历史的BGP路由数据导出的互联网(例如,流量工程)的历史和典型工作的理解。
用于检测劫持的处理可以每日运行,但是它可以被平常地配置为在任何时间段运行,包括实时地。典型地,我们每天报告最多几个可疑的结果,并且有时根本没有报告。在许多情况下,目标是为分析师提供足以快速地评定每个事件的重要性的信息并且决定它是否值得进行进一步的动作,同时只捕捉真正新型的事故。
BGP路由和BGP更新消息
如在互联网路由领域中很好地理解的,每个AS 230或路由域可以包括一个或多个路由器240、计算装置250、BGP路由器260(也被称为边界路由器)和路由跟踪收集器220的网络。AS 230可以被认为是计算装置250的邮政编码——即,每个AS 230可以被描绘为互联网的邻居,这种邻居是基于ISP的并且在范围上不一定是地理性的。在每个AS 230内,BGP路由器260和其他路由器240实现AS 230的路由策略,并且保持与相邻的AS中的BGP路由器260的连接。在申请的时候,全球互联网上的AS 230的数量超过56000个。
更正式地说,AS 230是相连接的一组具有单个清楚定义的路由策略的IP网络,该路由策略由代表单个管理实体(诸如大学、商业企业、商业部门等)的公共网络管理员(或管理员组)控制。AS中的给定IP网络内的节点共享相同的网络前缀,从而利用该前缀内的各个IP 地址实现互联网连接性。大多数AS包括多个网络前缀。
路由跟踪收集器220是驻存在它们各自的提供商的数据中心内的真实或虚拟的机器,其中每个机器均属于自治系统(AS)230或路由域。在操作中,路由跟踪收集器220测量与到它们自己的AS 230内的和其他AS 230内的路由器240、目标计算装置250和边界网关协议(BGP)路由器260(也被称为边界路由器260)的路由相关联的延时。
AS 230通过使用BGP在边界路由器260之间交换路由消息来与其他AS 230共享路由信息,BGP是用于在TCP/IP网络中执行域内路由的外部网关协议(EGP)。通过建立从边界路由器260到其BGP 对等者之一的连接以便交换BGP更新,路由信息可以在AS 230内或在AS230之间共享。如本领域技术人员所理解的,在边界路由器260 之间交换数据的处理被称为“对等操作(peering)”。在对等操作会话中,两个网络直接地连接和交换数据。内部BGP对等操作会话包含直接连接单个AS 230内的边界路由器260和内部路由器240或者仅连接内部路由器240。外部BGP对等操作会话包含直接使相邻的AS 230 中的BGP路由器260相互连接。
BGP路由器260交换不同类型的消息,包括OPEN、UPDATE、 KEEPALIVE和NOTIFICATION消息。BGP UPDATE消息一般包括关于影响路由的变化的信息,包括关于撤回路由、总路径属性、路径属性和网络层可达性信息(NLRI)的信息。撤回路由信息包括用于正从服务撤回的路由的IP地址前缀的列表。路径属性信息包括流量流动所沿着的路由的性质,包括路径起源、多出口判别器(MED)、创建系统对于路由的偏好、以及关于聚合、社区、联盟和路由反射的信息。NLRI包括正在更新消息中广告的可行的路由的IP地址前缀。
关于BGP路由的更多信息,参见例如2006年1月的RFC 4271“A Border GatewayProtocol 4(BGP-4)”,该文献通过引用并入本文。
收集BGP UPDATE消息
示出了收集全球BGP路由公告的系统,全球BGP路由公告包括来自如下所述的数百个源(BGP对等者)的BGP UPDATE、OPEN、 KEEPALIVE和NOTIFICATION消息。这些BGP路由公告可以用于计算各种数据产品,包括推断的业务关系(边缘标签)和整合的路由表,以便检测劫持。该系统包括分布在全世界的几个远程数据收集器和一个或多个数据中心。每个远程数据收集器可以被实现为与由本地ISP运营的一组独有的BGP路由器连接的Linux服务器。例如,八个远程数据收集器从超过400个IPv4对等者和超过300个IPv6 BGP对等者收集BGP路由数据,但是其他数量的远程数据收集器和对等者也是可能的。类似地,尽管数据中心与远程数据收集器的子集搭配,但是数据中心也可以被安置成远离远程数据收集器。远程数据收集器的数量和地点也可以变化,部分原因是BGP路由数据可以从一定距离收集,所以地点的数量不那么重要。
在操作中,每个远程数据收集器存储并执行诸如Quagga路由软件套装之类的路由软件,该路由软件监视、收集并存储从连接的BGP 路由器广播的BGP UPDATE、OPEN、KEEPALIVE和 NOFITICATION消息。不同于常规的路由软件,远程数据收集器执行的路由软件以只读模式操作,也就是说,远程数据收集器收集BGP 路由数据,但是不一定将路由数据供应给其他服务器。
远程数据收集器将BGP UPDATE、OPEN、KEEPALIVE和 NOFITICATION消息存储在本地盘上(暂时性地),并且将BGP UPDATA消息流传输回数据中心以便长期存储在数据库中和进一步处理。在每个数据中心,来自对等操作会话的经聚合的BGP更新如下面说明的那样被处理以寻找异常。
(例如,对于报告来说)其他有用的信息包括用于将每个AS分配给其主要市场的地理位置数据。该地理位置数据可以使用国际公开 No.WO 2017/015454中公开的技术获得,该申请通过引用整体并入本文。为了调查非常可疑的活动,可以使用DNS数据、路由跟踪数据和原始的BGP消息来揭示攻击可能瞄准的域以及识别中间人样式的利用。
分析BGP路由数据
当BGP路由数据被收集时,可以对它进行分析以识别可能怀恶意的BGP路由劫持。该分析包括如下面所述的那样从几个可能怀恶意的路由公告中过滤掉占大多数的无辜的路由公告。简而言之,分析处理从很大的一组所有可能可疑的创建开始,并且包含削弱被归于新型的且不能用常见的路由模式或可观察的现有业务关系说明的那些创建的创建。
图2A是例示了用于识别路由劫持的处理的高级别概览的流程图。劫持识别处理包含如上面关于图1描述的那样收集BGP路由数据(步骤450)。BGP路由数据包括路径属性信息,诸如路径起源。通过下面更详细地公开的一系列步骤过滤掉无恶意的路由公告(步骤452)。这一系列过滤步骤消除了假阳性,并且捕捉互联网路由中的变化,包括可能的被劫持的路由。对有嫌疑的被劫持的路由进一步分析(步骤 454)以识别与路由相关的性质,诸如新起源、接受新起源的对等者的数量以及跨被错误定向的对等者的劫持的平均次数。
有嫌疑的路由的分析可以导致可能需要补救的良性情况的识别 (步骤456)。例如,可以检测由人为错误、泄漏和AS路径腐化引起的伪造路由,并且可以识别适当的补救。补救还可以包括向客户警告和通知被劫持的路由,从而警告“劫持者”(在无辜的错误的情况下),并且警告上游的互联网服务提供商,全部使得不当的公告可以要么被整个地停止(从源)、要么被(其他方)过滤掉,以使得不当的路由不被遵循或者不在互联网上被进一步传播。
图2B例示了劫持识别处理,其具有保守地消除假阳性、同时捕捉互联网路由中的任何真正新型的变化的相互关连的步骤。劫持识别处理适用于IPv4互联网,并且如本领域的普通技术人员容易意识到的,这里描述的技术同样地很好地适用于IPv6互联网。本领域技术人员还将意识到,下面列出的步骤可以视情况混合、匹配、修改和重排。它们也可以以同时的或重叠的方式执行。例如,步骤402(包含如上面关于图1描述的那样收集BGP路由数据(步骤402))可以独立于其他步骤的执行连续地或持续地发生。
步骤404包括识别具有与固定的历史时间段相比的至少一个新起源的前缀。这些前缀可以是或者可以不是同时多创建(MOAS)的。如果新的更特定的前缀的起源不同于该更特定的前缀的最接近的覆盖前缀的起源,那么该更特定的前缀可以是潜在的路由劫持。步骤404 还可以包括识别每个新的具有与其最接近的覆盖前缀的起源不同的起源的更特定的前缀。这样的更特定的前缀也不一定是MOAS,但是可以表示更大的经路由的前缀的子前缀劫持。该步骤可以导致数千个前缀的列表,这些前缀随后被过滤缩小为小得多的一组可疑的创建。可以通过将该列表限制为收集系统的BGP对等者的最小集合(例如,总体的大约1%)在某个最小时间量内看见的前缀来对该列表进一步过滤。
虽然泄漏(尤其是iBGP和eBGP再次创建泄漏)在互联网上是常见的,但是大多数是短寿命的,或者不会传播得很远。。可以将任何ISP引起的每一个疏忽的泄漏分类为劫持,但是可能没有全球影响,并且这将导致不需要的假阳性。该规则是非常保守的,并且意图排除低影响泄漏,但是报告所有其他的泄漏。
劫持识别处理的步骤406包括完全地移除RFC1918;这些前缀不是独有的,因此不是可全球路由的。步骤406还包括从每个AS 路径的开头移除任何私有ASN以及单个数位的(single-digit)ASN,并且使用其余的AS路径来进行分析。因为私有ASN也不是独有的,所以它们对于起源劫持分析是没有用的,所以步骤406包含使用路径上的第一个非私有ASN作为未知的起源组织的代理。步骤406还包括移除单个数位的ASN,因为操作者有时错误地使用小的整数值来表示不支持该语法的路由器上的预期前置的数量。在一些情况下,假设单个数位的ASN(主要是美国大学)不涉及路由劫持也是安全的。这可以扩展到考虑已知用它们自己的ASN取代私有ASN的提供商。
在步骤408中,如果新的起源被几乎所有的对等者看见,则移除每个MOAS前缀(而不是更特定的前缀)。这排除了在给定时间段(例如,一天)期间看起来已经从一个AS正当地移到另一个AS的前缀,因为被几乎所有的对等者看见的新起源暗示前缀从一个AS到另一个AS的协调移动。对于任何给定的单个前缀,一些对等者可能仍保持陈旧的路由;然而,劫持者对于该单个前缀变为所有对等者上的优选路由是难以置信的。简而言之,劫持者可以吸引对于远离该前缀的活跃的且可用的正当广告者的前缀的基本上所有的流量是不太可能的。注意,该步骤408不包括考虑通常被大多数对等者接受的更特定的前缀。
简单地寻找MOAS前缀和/或它们的更特定者产生巨量的假阳性——即使是对于历史上未被看作MOAS的前缀。对于为什么不同的 AS为何可能创建重叠的前缀,存在许多原因。一个可能是另一个(主要的或备份的)的输送提供商;一些前缀可以是来自利用不同ASN的 CDN的任播;前缀可以在重建的时间段期间在属于同一组织的ASN 之间迁移;并且存在故意地“劫持”客户路由以用于分布式拒绝服务 (DDoS)缓解的DDoS流量清理公司。这些场景和其他场景应通过系统化检测技术来考虑。最终结果是简洁的且全面的报告,即,可以被分析师容易地且高效地针对恶意活动的迹象进行审查的报告,尤其是当与DNS、路由跟踪数据以及全球影响的地图关连时,如下面所说明的。
步骤410包括从考虑中移除新看见的起源在最后一个月里的任何时刻已经创建的前缀。这种前缀第一次被观察到时,不通过步骤410 排除它。此后,如果该前缀在该月内再次从同一个起源被观察到,则忽略它。因为习惯做法是使更特定的前缀在网络迁移期间被提供商针对流量工程公告,所以该检查可能未能排除第一个这样的观察,但是前缀可能仍通过下面的业务关系检查之一而被从最终报告排除。
对于包括步骤410的实现,正进行的或重复的劫持只有在它们第一次出现时才可以被识别。因此,一旦前缀已经被劫持,它就应被添加到对于后续攻击的监察名单,并且有嫌疑的劫持起源本身就应被监视。
在步骤412中,移除每个如下前缀,在该前缀中,新看见的起源与先前看见的起源具有历史的且稳定的BGP关系。这里,AS至AS 的关系标签(边缘标签)指示对路由数据(其可能被每日更新以反映改变)中的每个稳定地观察到的AS邻接对(AS adjacency pair)动态地计算的业务关系。可以使用提升(boosting)来识别边缘标签,提升是被称为监督式学习的并且利用多个弱学习器的机器学习的变型。在一些情况下,进行如下假设是安全的,即,建立了业务关系的两个AS创建彼此的前缀(诸如当提供商暂时地公告客户的前缀时) 是适当的。(提供商也可以公告属于客户的客户的前缀而不一定导致前缀被标记为可疑。)还注意,边缘标签包括表示属于同一个组织的 ASN的集群,这些集群的对在任何BGP数据中可能实际上不表现为相邻。
步骤414包括移除每个如下前缀,在该前缀中,任何覆盖前缀是由新看见的起源创建的。这里假设公告覆盖前缀的AS还可以正当地公告更特定的前缀,即使该特定者当前是由某个其他的AS(例如,客户)公告的。
在步骤416中发生移除每个如下前缀,在该前缀中,新的起源已经公告了正常起源的其他前缀(或更特定的前缀)。在步骤416中,假设通常公告用于另一个组织的前缀的AS还可以正当地公告来自相同组织的其他前缀。注意,组织可能没有可观察的BGP邻接;然而,它们可以具有允许一个代表另一个创建前缀的业务关系。包括步骤 416的处理的实现只有在它们第一次出现时才可以识别相同组织的附加劫持。因此,一旦起源已经在劫持中被使用,它就可以被添加到对于后续攻击的监察名单。
步骤418包括移除每个如下前缀,在该前缀中,新看见的ASN的登记大致等同于该前缀或任何覆盖前缀的登记。为了确定登记的等同性,所涉及的字符串被规范化,并且与规范形式进行比较以用于匹配。规范化和比较可以基于数据库中维护的相关联的识别字符串(例如, Microsoft和HotMail)。(攻击者理论上可以将具有相同的或类似的名称的ASN登记到预期受害者的前缀以试图避开通过该检查的检测。)
在步骤420中,向用户或分析师报告其余的前缀,例如,以用于进一步审查。报告可以识别每个(有嫌疑的)被劫持的前缀、新起源、接受新起源的对等者的数量、跨被错误定向的对等者的劫持的平均时间、观察到该前缀的对等者的正常数量、对于AS的分配信息以及来自登记记录的前缀。报告还可以包括所涉及的每个AS的国家分配。虽然前缀的地理定位通常较窄,但是AS可以跨越国家,所以国家可以根据AS的市场被分配给每个AS。涉及来自不同的所分配的国家的 AS的劫持应被以更高的优先级考虑。
注意,自始至终,处理是指路由的前缀。然而,未被路由的空间的“劫持”也是相当常见的。垃圾邮件制作者寻找向其他方登记的未被路由的空间是很寻常的,很可能所以他们可以经由无污点的IP 块递送他们的电子邮件并且避免检测。这不是传统的劫持,因为空间当前不在使用中,就这一点而论,归因甚至可能是更有问题的。对于路由的空间,尤其是在长时间段期间被一致地路由的空间,至少存在进行中的所有权断言,即,对互联网有直接操作影响的断言。对于未被路由的空间,对于前缀和ASN,可以只有自报的登记数据,并且无论什么参考都可以从ASN的过去的路由行为得到。考虑到自报信息的臭名昭著的不可靠性,对于通常未被路由的空间的潜在劫持的报告趋于导致许多假阳性。
可以通过检查所涉及的ASN和前缀的登记和国家级地理位置来捕捉未被路由的空间的滥用(步骤422)。如果二者都不同,则将公告报告为未被路由的空间的潜在劫持。因此,地理位置上属于美国的可信前缀可以由与英国相关联的可信AS公告,并且不引发警报。然而,所有这一切都可能是有问题的,因为先前未被路由的前缀的推测的地理位置可能是高度可疑的(并且有可能来自登记数据),并且许多AS具有多于一个的操作国家。结果,该方法可能产生假阳性,这些假阳性可以使用附加信息被过滤掉(步骤422)。
这里描述的处理报告AS起源中的有意义的变化,不管是针对现有前缀,还是现有前缀的新的更特定者。如果起源本身是欺骗的,则如Defcon 16处例示的攻击中所描述的,它可能是不足够的。可以使用关于整个AS路径、新型邻近和/或路由跟踪路径和延时来执行检测欺骗的起源。
因为欺骗的起源、甚至是欺骗的上游已经变得越来越普遍,所以处理已经被改动以适于更多地使用如前面的段落中所描述的边缘标签。边缘标签使得可以计算每个AS的下游输送锥形,即,可以经由该AS到达的那些前缀。如果前缀经由具有欺骗的初始AS路径片段的公告而被劫持,则该劫持可以以三种方式检测。首先,在伪造的AS 路径片段和正当构造的AS路径片段之间的接合点处,将毫无疑问地存在携带被劫持的前缀的新边缘(AS-AS邻接)。第二,沿着路径的 (伪造的或非伪造的)AS的下游输送锥形现在将包含劫持的前缀,这可能是不现实的。最后,到被劫持的前缀的路由跟踪延时和路径可能是不现实的。所有这些异常都是通过处理检测到的。
图3例示了检测欺骗的起源的以下例子。考虑200.202.64.0/19(B 国家庭购物有限公司)沿着以下路径被公告一次:
... 9002 8438 18739 10495 11295
最右边的AS 530是表面上的起源,即,AS11295(B国家庭购物有限公司)530g,它看似合乎情理的。接着的两个AS,AS18739 530h和 AS10495 530i,都是B国的,可能如所预料的那样。然而,该路由表现为仅通过U国提供商Hetman Soft(AS8438)530j,然后到达R国固网运营商RETN(AS9002)530k。这里,存在异常的边缘575c, 8438_18739(U国提供商到B国提供商)和异常的下游输送锥形(即,在U国ASN和R国ASN的下游的B国前缀)。处理检测这些异常,并且将该前缀标记为潜在劫持。
作为最终的一条证据,处理检测到了至被劫持的B国前缀的以下异常的路由跟踪、连同许多其他方面。这里,被劫持的前缀从R 国、经由U国、仅在20ms内到达,这违反了光速限制以及R国和B 国之间的正常路由路径。所有这些异常都提供了该B国前缀在U国被劫持的不可反驳的证据。
可替代地,这样的被攻击的网络的所有者可以使用常规的子前缀劫持检测警报来检测欺骗的起源。对于外部的观察者,欺骗的起源可能表现为流量工程广告,但是对于起源的操作者(操作者知道他的路由配置),这将是清楚的且明显的劫持。不过,如果攻击者欺骗正当的起源,则常规的路由警报服务可能不能检测到现有前缀(而不是更特定者)上的攻击。然而,应记住,这种利用趋于产生非常长的AS 路径,所以不应以吸引很多的(如果有的话)流量结束。
假阳性
关于上述劫持识别处理描述的过滤对于防止错过任何正当威胁可能是相当保守的。然而,这暗示着报告包含假阳性,因为互联网是非常大的动态的地方,其中新的业务布置不断地出现。在实践中,过滤每天最多产生一页事故,这是足以让训练有素的分析师每日审查的足够小的数。虽然存在进一步限制报告的事故的步骤,但是如下面马上描述的,其余的良性情况自身是有趣的,诸如当组织开始使用 DdoS缓解服务时。
DdoS缓解
许多商业实体通过将客户的互联网流量重定向到他们的数据中心以用于清理犯规的流量来提供DDoS缓解服务。正当的流量然后被返回到客户。这些服务依赖于在攻击期间经由BGP公告客户前缀,而客户撤回他们自己的路由。如果过渡是相对干净且完整的,或者服务在过去已经被使用,则劫持识别处理可以容易地忽略这样的事件。但是使劫持识别处理中的一些检查过载导致关于DDoS激活的报告,这些DDoS激活中的一些可能不是非法的劫持,而是经由该技术被激活的DDoS保护的指示(因此,组织可能受到攻击的指示)。DDoS缓解也可以用本地硬件装置(例如,Arbor的Peakflow)或者经由DNS 重定向来进行,这两者在BGP层都是不可见的,所以它们的使用将不会出现在我们的报告中。
人为错误(胖手指)
因为操作者经常手动地将前缀和它们的起源录入到路由器配置中 (在它们的公告的源处),所以这样的实体容易有人为错误。这种性质的错误有时可能表现为潜在劫持。。注意AS号码的相似性和两个调换的数字造成警报的事实。该情形被快速地改正,并且几乎肯定是操作者错误的结果。
在另一明显的打字错误中,计算机信息系统科威特大学(AS 25242)似乎创建了通常从Network Foundation LLC(AS 36242)观察到的64.191.236.0/24。注意到键盘上的2和5与3和6相邻。该错误在两分钟左右被纠正。该例子例示了小心地检查所报告的ASN并且考虑事故的持续时间是多么重要。涉及类似号码的非常短暂的事件通常指示被快速地补救的诚实错误。
如果需要,可以使用编辑距离检查来对前缀数据进行过滤,诸如不报告涉及作为一种可能性、彼此编辑距离为1的ASN的潜在劫持。尽管可能性很小,但是这样的过滤可能会丢弃有趣的事实。尽管这不表示真实的劫持,但是它确实清楚说明了所分配的ASN的空间真的非常小的事实,所以攻击者离其预期受害者的编辑距离可能为1或2是可能的。为了避免错过在编辑距离1或2内的攻击者所犯的攻击,可以在不对编辑距离施加任何过滤器的情况下实现处理。这可能使由于涉及起源ASN和创建的前缀这二者的简单的打字错误而导致的假阳性出现在报告中。
RFC1918混乱
虽然劫持识别处理包括从考虑中移除私有地址,即,RFC 1918 空间,但是可能存在关于这些前缀的准确格式的一些混乱。如 RFC1918规范本身中所陈述的:
互联网号码分配局(IANA)已经为私有网络预留了以下三个块的IP地址空间:
10.0.0.0 - 10.255.255.255(10/8 prefix)
172.16.0.0 - 172.31.255.255(172.16/12 prefix)
192.168.0.0 - 192.168.255.255(192.168/16 prefix)
不幸的是,对于172.0.0.0/8和192.0.0.0/8内的前缀的伪造公告有时出现在私有部分的外部。这可能是一些操作者正在将这些大得多的块当作私有的进行处理并且将它们分配给它们的客户。当他们碰巧将这些泄漏到一般的互联网时,它们趋向于广泛地传播,因为其他人将不会对它们进行过滤,他们也不应过滤。
例如,Uzpak Net(AS 8193)曾经公告了192.1.x.y/24形式的13/24。这些中的几个包含在BBN技术公司(AS 11488)公告的192.1.8.0/22 中,因此,构成该网络的更特定的劫持。其他泄漏的前缀(比如 192.1.2.0/24)不是任何公告的前缀的一部分,因此,不构成劫持。这些前缀经由在私有ASN中结束的一些AS路径(即,8193_65000)观察到。这进一步表明,AS 8193将这些块作为私有空间分配给他们的客户(客户使用私有ASN),并且简单地抛弃了其阻止这种公告的传播(在他们的对等操作会话中的至少一些上)的过滤器。如下面所说明的,这还具有对尝试补偿观察到私有ASN的提供商产生假的AS邻接的不幸的副作用。
这种形式的劫持不是真的假阳性。Uzpak事实上劫持了BBN,并且以将吸引对于一个/22的所有流量的方式这样做。然而,意图明显不是恶意的,并且情形被快速地改正。
泄漏
BGP泄漏通常发生在BGP发言者创建从其他方学习的路由时,就好像它是正当的起源一样。这样做比可能想到的更简单,因为内部路由协议(IGP)不运载BGP中所见的AS路径。因此,如果提供商的IGP学习的路由被重新注入到BGP中,则它们将被以该提供商作为起源传播到全球互联网。具有全球影响的泄漏的最早的最著名的一个例子发生于1997年,当AS7007(MAI网络服务)意外地将其路由表的一部分泄漏到互联网、从而造成路由黑洞时。泄漏的路由比最初存在于互联网上的路由更特定,作为该泄漏的结果,泄漏的路由变为更优选的路径。这样的泄漏从那时起一直有规律地发生。
许多操作者采取避免接受和传播明显的泄漏的步骤,诸如在他们的对等操作会话上设置最大前缀计数。但是即使这样的约束就位,更有限的尺度的泄漏也总是可能的。考虑到受影响的前缀全都与移动提供商相关并且事故仅持续几分钟,这可能代表GRX对等者在私有交换时的泄漏。
作为另一个泄漏例子,考虑通常公告25个前缀的NedZone Internet BV(AS25459)。然后在一个时刻,它们公告了另外的339 个前缀长达大约2分钟内。该事故受到了一些关注,因为泄漏的前缀中的一些属于Amazon和各种金融服务公司(例如,JP MorganChase、 PNC Banl、HSBC Bank等)。然而,这些另外的前缀中只有29个是 /24或更大,这暗示着它们可能是可全球路由的。其余的310个是较小的前缀,包括72/27和69/32(单个IP地址)。因为大多数提供商过滤小于/24的任何前缀,所以泄漏的前缀中的大多数不会走得很远。然而,该泄漏是足够长的,并且被足够的对等者看见以致将被报告为潜在劫持。查看事件的持续时间和小的前缀的数量上的优势表明,这些公告非常有可能不是恶意的,并且不是影响深远的,但是NedZone对于这种有趣的前缀集合的处置没有被解释。
AS路径腐化
偶尔,毁坏的AS路径可能引入不存在的边缘和/或假的创建。结果,基于其中没有关系存在的这个误导信息,这可能得到关于潜在劫持的报告。
假设客户经由私有ASN向其提供商公告其路由。由于这样的ASN 并不保证是全球唯一的,所以提供商应在进一步传播路由之前去掉该起源,从而使得其他提供商的使用相同的私有ASN的客户可以看见这些公告。因为收集系统坚持来自其对等者的全部路由表(就像它是实际的客户一样),所以它仍可以看见这样的私有创建,但是一般世界的其余部分不应看见(可能除了提供商的利用私有ASN的客户之外)。如上面所指出的,这些私有创建被去掉,因为它们不能被保证是唯一的,因此,就潜在劫持而言是没有意义的。
现在考虑导致AS路径腐化的私有ASN的例子。有一天,前缀 202.56.6.0/24被两个AS 24389(GrameenPhone Ltd.)和AS 65000(私有的)在各种时间创建。在这天的各部分期间,这两个不同的创建被超过300个的BGP对等者接受。使用劫持检测处理对该数据进行分析去掉了AS 65000,并且只考虑第一个非私有上游(在这种情况下为AS 24389),这暗示着没有劫持事故。
现在,考虑以下路由公告,它们全都在同一分钟内被看见,并且按它们的接收次序被呈现。
45274:202.129.248.4 202.56.6.0/24 45274 7473 4788 58682 24389 2438924389 24389 65000
4787:202.158.51.200 202.56.6.0/24 4787 38158 4788 58682 24389 2438924389 24389 65000
7552:125.235.255.254 202.56.6.0/24 7552 1273 4788 58682 24389 2438924389 24389 65000
22822:203.190.230.1 202.56.6.0/24 22822 4788 58682 24389 24389 2438924389
9503:202.53.188.194 202.56.6.0/24 9503 4610 4788 58682 24389 2438924389 24389 9503
37958:206.223.143.119 202.56.6.0/24 37958 174 4788 58682 24389 2438924389 24389 37958
注意到,头三个公告暗示私有ASN 65000与AS 24389是相邻的,因为这两个ASN是彼此挨着列出的。收集系统不应从这些对等操作会话(第一列)看见这样的私有ASN,因为它们不是AS 24389的客户。相反,路由应看起来更像上面示出的第四行,在第四行中,私有ASN是不存在的,并且可能已经被AS 24389去掉。
最后,观察到在所示的最后两个路由中,路径上的初始ASN与对等者的初始ASN是相同的。当接收到具有私有ASN的路由时,使接受者用它自己的ASN取代私有ASN是有意义的。这确保了其使用私有ASN的客户中的任何一个客户仍应看见该路由,因为现在可能没有冲突,并且AS路径长度仍将得以保持。虽然有意地腐化AS路径从互联网智能的角度来讲是不可取的,但是GrameenPhone未能过滤看似已经产生此替换的私有ASN。继而,这使用劫持识别处理产生潜在劫持警告,因为该前缀表现为具有新的非私有起源。如上面所指出的,补偿已知以这种方式行事的提供商减少了这样的假阳性的机会。
隐藏的和新型的关系
因为互联网正确性的先验知识并不存在,所以所述系统和处理依赖于历史的BGP路由数据和AS关系信息来处理在世界的任何地方发现路由劫持的问题。当然,每当新的业务关系出现时,它造成报告假阳性的可能性。这在很大程度上是不可避免的,但是如果存在先前的路由可见关系的任何暗示,则规则可以被设计为从我们的报告找到并过滤掉这样的改变。
对于完全新型的路由行为,劫持识别处理仍可以报告其中没有真的怀有恶意的行为存在的潜在劫持。新型关系的一个好的例子已在上面关于DDoS缓解服务提供。有一天,公司没有使用这样的服务,但是第二天它使用了这样的服务。为了所有实用的目的,DDoS缓解提供商现在“劫持”该公司的前缀,只有意图不是恶意的。继而,劫持识别处理报告该劫持,从而将它作为DDoS激活调出。
作为另一个例子,看似不同的组织在数据中可能没有可见的关系,或者甚至没有明显的原因合作。考虑阿拉巴马州的Callis移动通信(AS 17099),其创建向移动区域商会登记的204.128.222.0/24。在一个时刻,它也被AT&T(AS 7018)创建,AT&T(AS 7018)在历史上是唯一起源,并且可以通过劫持识别处理器而被捕捉为潜在劫持。
虽然在路由中在这两个实体之间没有明显的关系,但是少量搜索揭示了大规模电信协议的证据。目前,只有Callis通信正在创建该前缀,所以它表现为已经转变远离AT&T。虽然这不是特别可疑的或令人惊讶的,但是在它出现在路由中之前,将难以辨别(因此,过滤掉)。这样的假阳性在大型组织和小得多的组织之间是常见的,大概是由于本地的或区域性的业务布置而导致的。
这种性质的假阳性可以通过在劫持报告中区分相同国家和不同国家中的AS来加以标记。例如,相比于涉及相同国家的潜在劫持,较高的优先级可以被置于调查涉及不同国家的潜在劫持上。过滤掉在相同国家内的AS之间确实发生的所有劫持将进一步减少报告的事故的数量。
AS集合
BGP更新中的AS_PATH属性可以包括两种不同的数据类型,即, AS_SEQUENCE或极不常见的AS_SET。AS_SET表示无序的AS类集,并且不同于AS_SEQUENCE,邻接不能直接从集合推断。例如,考虑以下由单个AS_SEQUENCE(其被表示为AS号码的未修饰的序列)构成的AS_PATH:174 209。忽略前置的可能性,该路径可能表示AS 174向我们共享的路由,该路由是从其创建者(即,AS 209)直接传递的。也就是说,174_209表示单个BGP边缘。(尽管它将是相当不寻常的,但是AS 174可以将AS 209前置到路径以触发BGP的循环检测,这将使路由在AS 209的边界处被忽略。该绝妙的技术(在学术BGP MITM攻击中展示,并且有时用于流量工程)将防止AS 209 学习路由。)
现在考虑略微复杂的AS_PATH,其具有一个AS_SEQUENCE,接着是AS_SET,后者用大括号里的一组AS号码表示:174{1982, 32834}。这应如何被解释?根据BGP规范,不可能确定ASN的排序,因此不可能知道以下边缘集合中的哪个是正确的。
1)174_1982,174_32834
2)174_1982,174_32834,1982_32834
3)174_1982,174_32834,32834_1982
4)174_1982,174_32834,32834_1982,1982_32834(1982和32834是对等者)
5)174_1982,1982_32834
6)174_32834,32834_1982
由于历史原因,在处理后的数据中,劫持识别处理将AS集合如同它们是序列那样进行处理,所以选项(5)是选自以上列表的。如果其他解释中的任何一个解释反而是正确的,则报告可以包括错误的边缘或者是错过的边缘。不幸的是,对于该问题,没有实用的解决方案。假定当寻找起源劫持时,所有的可能的边缘都可以得到假阴性 (falsenegative)。假定这些边缘均不存在可能产生假阳性。如果AS 集合出现在AS路径的末尾,则前缀的起源只是模棱两可的。感谢的是,AS集合很少被使用,但是它们确实存在于数据中,并且当对潜在劫持进行评估时可能需要被考虑(例如,被分析师考虑)。
劫持报告
报告可以以人类可读的形式(用文件或经由电子邮件递送)和以 JSON产生,例如,在每天的特定时间产生。可以通过识别从登记数据导出的标签来识别报告中的ASN和前缀,登记数据可以由人类录入并且容易出错。
作为例子,考虑以下报告,该报告包括关于新的更特定者的警告:新路由的更特定的前缀:
AS198596公告了2个新的更特定的前缀:
-192.42.126.0/24 401x0.88avgh
在192.42.120.0/21下402x24.00avgh.
-192.72.15.0/24 402x0.89avgh
在192.72.8.0/21 AS 4780下406x24.00avgh.
来自同一个报告的MOAS警告接着被示出:
可疑的多个起源前缀:
AS58272公告了2个可疑的前缀:
-46.243.174.0/24 120x16.05avgh.
由AS201969创建,402x19.25avgh
-46.243.175.0/24 119x16.03avgh.
由AS201969创建,402x19.25avgh
作为新的受DDoS保护的前缀的例子,考虑以下报告:
新的受DDOS保护的前缀:
AS19905公告了7个新的受保护的前缀:
-37.205.32.0/24 AS19905380x6.88avgh
在37.205.32.0/21 AS59396下,387x23.88avgh.
-46.183.242.0/24 AS 19905380x19.12avgh
在46.183.240.0/22 AS35156下,385x23.96avgh
-208.78.91.0/24 258x0.51avgh
由AS19071创建,383x23.58avgh
-208.83.242.0/24 AS19905 378x0.57avgh
在208.83.242.0/23 AS19071下,385x23.96avgh
-208.83.243.0/24 AS19905 378x0.41a avgh
在208.83.242.0/23 AS19071下,385x23.96avgh
-208.91.199.0/24 AS19905 379x2.90avgh
在208.91.198.0/23 AS40034下,386x23.96avgh
-209.99.17.0/24 AS19905 318x4.61avgh;AS40034 382x20.09avgh
在209.99.17.0/17 AS3900下,386x23.96avgh。
这示出了AS19905为各种组织路由七个新的前缀,包括交友站点AS19071。
最后,这里是关于先前未被路由的公告的报告的小片:
可疑的先前未被路由的空间前缀:
AS62228公告了4个可疑的前缀:
-80.114.192.0/18 159x5.21avgh.
-159.100.0.0/17 159x5.21avgh.
-171.25.0.0/17159x5.21avgh.
-193.243.0.0/17159x521avgh.
该小片示出了AS62228公告了与其他组织和国家相关联的各种先前未被公告的空间。
通过检测潜在劫持,劫持的受害者可以被通知。受害者可以阻止劫持者或者警告上游和/或托管中心过滤伪造的公告。在一些极端情况下,坏的行为者可以被完全关闭。
总结
虽然本文已经描述和例示了各种发明的实施例,但是本领域的普通技术人员将容易想象用于执行本文所描述的功能和/或获得本文所描述的结果和/或一个或多个优点的各种其他的手段和/或结构,并且这样的变型和/或修改中的每个均被视为在本文所描述的发明的实施例的范围内。更一般地说,本领域的普通技术人员将容易意识到,本文所描述的所有的参数、尺寸、材料和构造都打算是示例性的,并且实际的参数、尺寸、材料和/或构造将取决于本发明性教导所用于的特定的一个应用或多个应用。本领域技术人员将认识到,或者仅使用常规实验就能够查明,本文所描述的具体的发明性实施例的许多等同形式。因此,要理解的是,前述实施例仅仅是作为例子呈现的,并且在所附权利要求及其等同形式的范围内,发明性实施例可以以除了具体描述和要求保护的方式之外的其他方式实施。本公开的发明的实施例是针对本文所描述的每个单独的特征、系统、物品、材料、装备和/ 或方法。另外,两个或更多个这样的特征、系统、物品、材料、装备和/或方法的任何组合(如果这样的特征、系统、物品、材料、装备和/或方法不相互冲突的话)包括在本公开的发明范围内。
上述实施例可以以许多方式中的任何一种方式实现。例如,设计和做出本文所公开的技术的实施例可以使用硬件、软件或它们的组合来实现。当用软件实现时,软件代码可以在任何合适的处理器或处理器组上执行,不管是在单个计算机中提供的,还是分布在多个计算机之间的。
此外,应意识到,计算机可以以许多形式中的任何一种形式实施,诸如机架式计算机、台式计算机、膝上型计算机或平板计算机。另外,计算机可以被嵌入在一般不被认为是计算机、但是具有合适的处理能力的装置(包括个人数字助理(PDA)、智能电话或任何其他的合适的便携式或固定式的电子装置)中。
此外,计算机可以具有一个或多个输入装置和输出装置。除了其他方面之外,这些装置可以用于呈现用户界面。可以用于提供用户界面的输出装置的例子包括用于视觉呈现输出的打印机或显示屏幕以及用于听觉呈现输出的扬声器或其他声音产生装置。可以用于用户界面的输入装置的例子包括键盘和指点装置(诸如鼠标、触控板和数字化平板)。作为另一个例子,计算机可以通过语音识别或者以其他合适的格式接收输入信息。
这样的计算机可以由任何合适的形式的一个或多个网络(包括局域网或广域网,诸如企业网和智能网络(IN)或互联网)互连。这样的网络可以基于任何合适的技术,可以根据任何合适的协议进行操作,并且可以包括无线网络、有线网络或光纤网络。
本文概述的各种方法或处理(例如,设计并做出上面公开的技术的方法或处理)可以被编码为在利用各种操作系统或平台中的任何一个的一个或多个处理器上可执行的软件。另外,这样的软件可以使用许多合适的编程语言和/或编程或脚本工具中的任一种来编写,并且还可以被编译为在框架或虚拟机上执行的可执行机器语言代码或中间代码。
在这方面,各种发明构思可以实施为被编码具有一个或多个程序的计算机可读存储介质(或多个计算机可读存储介质)(例如,计算机存储器、一个或多个软盘、紧凑盘、光学盘、磁带、闪存、现场可编程门阵列或其他半导体器件中的电路配置、或其他非暂时性的介质或有形的计算机存储介质),所述一个或多个程序当在一个或多个计算机或其他处理器上执行时执行实现上面所讨论的本发明的各种实施例的方法。所述一个或多个计算机可读介质可以是可传输的,以使得存储在其上的一个或多个程序可以被加载到一个或多个不同的计算机或其他处理器上以实现如上面所讨论的本发明的各方面。
术语“程序”或“软件”在本文中在一般的意义上用于指代可以用于将计算机或其他处理器编程为实现如上面所讨论的实施例的各方面的任何类型的计算机代码或计算机可执行指令集。另外,应意识到,根据一个方面,当被执行时执行本发明的方法的一个或多个计算机程序无需驻存在单个计算机或处理器上,而是可以以模块化的方式分布在若干不同的计算机或处理器上来实现本发明的各方面。
计算机可执行指令可以为被一个或多个计算机或其他装置执行的许多形式,诸如程序模块。一般来说,程序模块包括执行特定任务或实现特定的抽象数据类型的例程、程序、对象、组件、数据结构等。典型地,程序模块的功能性可以在各种实施例中根据需要组合或分布。
此外,数据结构可以被以任何合适的形式存储在计算机可读介质中。为简化说明,数据结构可以被示为具有通过数据结构中的位置关连的字段。这样的关系可以同样地通过用计算机可读介质中的传达字段之间的关系的位置为字段分配存储来实现。然而,任何合适的机构可以用于建立数据结构的字段中的信息之间的关系,包括通过使用指针、标签或建立数据元素之间的关系的其他机制。
此外,各种发明构思可以被实施为一种或多种方法,所述一种或多种方法的例子已经被提供。作为所述方法的一部分执行的动作可以按任何合适的方式排序。因此,可以构造这样的实施例:在这些实施例中,按不同于所例示的次序执行动作,可以包括同时地执行一些动作,即使在例示性的实施例中被示为顺序的动作。
如本文所定义和使用的所有定义都应被理解为控制词典定义、通过引用并入的文档中的定义和/或定义的术语的普通意义。
如在本文中在本说明书和权利要求书中所使用的“一个”除非有相反的明确指示,否则应被理解为意指“至少一个”。
如在本文中在本说明书和权利要求书中所使用的短语“和/或”应被理解为意指如此联合的元素(即,在一些情况下结合地存在、而在其他情况下分开地存在的元素)中的“任何一个或两个”。用“和/ 或”列出的多个元素应被以相同的方式解释,即,如此联合的元素中的“一个或多个”。除了用“和/或”子句具体标识的元素之外的其他元素可以可选地存在,不管与具体标识的那些元素是相关、还是无关。因此,作为非限制性例子,对于“A和/或B”的论述在与开放式语言 (诸如“包括”)结合使用时在一个实施例中可以是指只有A(可选地包括除了B之外的元素);在另一个实施例中,可以是指只有B(可选地包括除了A之外的元素);在又一个实施例中,可以是指有A和 B这二者(可选地包括其他元素);等等。
如在本文中在本说明书和权利要求书中所使用的,“或”应被理解为具有与如上面定义的“和/或”相同的意义。例如,当分离列表中的各项时,“或”或“和/或”应被解释为包容性的,即,包括若干元素或元素列表以及可选地另外的未列出的各项中的至少一个,但是还包括多于一个。只有明确相反指示的术语(诸如“……中的仅一个”或“……中的正好一个”或在被用于权利要求中时的“由……组成”) 才是指包括若干元素或元素列表中的正好一个元素。一般来说,如本文所使用的术语“或”在前面有排他性的术语(诸如“两者中任一个”、“……中的一个”、“……中的仅一个”或“……中的正好一个”) 时仅应被解释为指示排他性的替代方案(即,“一个或另一个、而不是两个”)。“基本上由……组成”在被用于权利要求中时应具有其如在专利法领域中所用的普通意义。
如在本文中在本说明书和权利要求书中所使用的,对于引用一个或多个元素的列表时的短语“至少一个”应被理解为意指从元素列表中的元素中的任何一个或多个中选择的至少一个元素,但是不一定包括该元素列表中具体地列出的每一个元素中的至少一个,并且不排除该元素列表中的元素的任何组合。该定义还允许除了短语“至少一个”所指的元素列表内具体地标识的元素之外的元素可以可选地存在。因此,作为非限制性例子,“A和B中的至少一个”(或者等同地,“A 或B中的至少一个”,或者等同地,“A和/或B中的至少一个”) 在一个实施例中可以是指至少一个A,可选地包括多于一个A,而B 不存在(并且可选地包括除了B之外的元素);在另一个实施例中,可以是指至少一个B,可选地包括多于一个B,而A不存在(并且可选地包括除了A之外的元素);在又一个实施例中,可以是指至少一个A(可选地包括多于一个A)和至少一个B(可选地包括多于一个 B)(并且可选地包括其他元素);等等。
在权利要求中,以及在上面的说明书中,所有的连接词(诸如“包括”、“包含”、“携带”、“具有”、“含有”、“涉及”、“保存”、“由……组成”等)都要被理解为开放式的,即,意指包括但不限于。只有连接词“由……构成”和“基本上由…….构成”分别应是封闭式的或半封闭式的连接词,如美国专利局专利审查程序手册第 2111.03节中所阐述的那样。
Claims (21)
1.一种检测互联网上的路由劫持的方法,所述方法包括:
从多个自治系统(AS)当中的多个边界网关协议(BGP)路由器收集多个BGP更新,所述多个BGP更新包括对于多个前缀的多个起源;
将所述多个BGP更新的子集识别为潜在路由劫持,所述子集包括:
(a)第一BGP更新,在该第一BGP更新中第一前缀具有相对于第一组的一个或多个历史起源的第一新起源;
(b)第二BGP更新,在该第二BGP更新中第二前缀具有相对于第二组的一个或多个历史起源的第二新起源;
基于确定与所述BGP更新的所述子集中的特定BGP更新相关联的特定前缀满足一组标准中的至少一个标准,从所述多个BGP更新的所述子集中过滤出所述特定BGP更新作为假阳性;以及
生成识别BPG更新的所述子集的潜在劫持报告;
其中,所述一组标准包括以下标准中的至少一个:
(a)识别已被登记特定AS号码(ASN)的实体的字符串等同于识别已被登记所述特定BGP更新的前缀或前缀的覆盖前缀的实体的字符串,其中所述特定ASN基于包括所述前缀的所述特定BGP而被识别,
(b)所述特定BGP更新的前缀是多创建AS(MOAS)前缀,其中至少一个新起源被该至少一个新起源的所有对等者看见,
(c)所述特定BGP更新的前缀与至少一个新起源相关联并且与比所述至少一个新起源旧的起源具有BGP关系,
(d)所述特定BGP更新的前缀与由至少一个新起源创建的覆盖前缀相关联,
(e)所述特定BGP更新的前缀由至少一个新起源针对组织公告,其中所述至少一个新起源先前针对所述组织公告了另一个其他的前缀。
2.根据权利要求1所述的方法,其中,所述一组标准至少包括以下标准:所述特定BGP更新的前缀是MOAS前缀,其中所述至少一个新起源被新起源的所有对等者看见。
3.根据权利要求1所述的方法,进一步包括:
从所述多个前缀中移除至少一个前缀,所述至少一个前缀由所述第二新起源在固定的时间段内创建。
4.根据权利要求3所述的方法,其中,所述固定的时间段是一个月。
5.根据权利要求1所述的方法,
其中所述一组标准至少包括以下标准:所述特定BGP更新的前缀与新起源相关联并且与比所述至少一个新起源旧的起源具有BGP关系。
6.根据权利要求1所述的方法,
其中所述一组标准至少包括以下标准:所述特定BGP更新的前缀与由所述至少一个新起源创建的覆盖前缀相关联。
7.根据权利要求1所述的方法,
其中所述一组标准至少包括以下标准:所述特定BGP更新的前缀由所述至少一个新起源针对组织公告,其中所述至少一个新起源先前针对所述组织公告了至少一个其他的前缀。
8.根据权利要求1所述的方法,进一步包括:
比较AS号码的登记和国家级地理位置与所述多个前缀中的每个前缀。
9.根据权利要求1所述的方法,进一步包括:
检测所述第一新起源和所述第二新起源中的至少一个是否是欺骗的起源。
10.根据权利要求9所述的方法,其中检测所述第一新起源和所述第二新起源中的至少一个是否是欺骗的起源包括:
对BGP公告中包括的初始AS路径片段进行分析;
基于所述分析来检测下游输送锥形中的异常;以及
针对所述异常检测路由跟踪延时。
11.根据权利要求1所述的方法,其中,生成潜在劫持报告包括检测以下中的至少一项:AS路径腐化、由人为错误引起的路由异常、泄漏、或隐藏的BGP关系。
12.根据权利要求1所述的方法,其中所述一组标准至少包括以下标准:识别已被登记特定AS号码(ASN)的实体的字符串等同于识别已被登记所述特定BGP更新的前缀或前缀的覆盖前缀的实体的字符串,并且其中确定所述等同包括:
从所述多个BGP更新的所述子集中包括的前缀当中识别具有至少一个新起源的多个前缀;
基于所述BGP更新来识别至少一个新的AS号码(ASN);以及
确定与所述至少一个新的ASN相关联的字符串等同于识别与所述多个前缀中的相关联的前缀相关联的实体的字符串。
13.根据权利要求12所述的方法,进一步包括:
从所述多个BGP更新中的至少一个AS路径的开头移除私有ASN。
14.根据权利要求13所述的方法,进一步包括:
当移除所述私有ASN时,针对路由劫持对所述至少一个AS路径进行分析。
15.根据权利要求12所述的方法,进一步包括:
从每个AS路径移除单个数位的ASN;以及
对所述AS路径进行分析以检测路由劫持。
16.根据权利要求12所述的方法,进一步包括:
检测所述至少一个新的ASN是否是欺骗的ASN。
17.根据权利要求16所述的方法,进一步包括:
对BGP公告中包括的初始AS路径片段进行分析;
基于所述分析来检测下游输送锥形中的异常;并且
针对所述异常确定路由跟踪延时。
18.根据权利要求12所述的方法,进一步包括:
确定所述至少一个新的ASN的地理位置是否不同于所述相关联的前缀的地理位置。
19.一种包含指令的非暂态计算机可读介质,所述指令当被一个或多个处理器执行时引起执行根据权利要求1-18中任一项所述的方法。
20.一种装置,包括用于执行根据权利要求1-18中任一项所述的方法的各个步骤的单元。
21.一种设备,包括:
处理器;以及
存储指令的存储器,所述指令当被所述处理器执行时引起执行根据权利要求1-18中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662298169P | 2016-02-22 | 2016-02-22 | |
| US62/298,169 | 2016-02-22 | ||
| PCT/US2017/018907 WO2017147166A1 (en) | 2016-02-22 | 2017-02-22 | Methods and apparatus for finding global routing hijacks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108886521A CN108886521A (zh) | 2018-11-23 |
| CN108886521B true CN108886521B (zh) | 2021-09-10 |
Family
ID=59686517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780019848.0A Active CN108886521B (zh) | 2016-02-22 | 2017-02-22 | 用于找到全球路由劫持的方法和设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11394745B2 (zh) |
| EP (1) | EP3420702B1 (zh) |
| JP (1) | JP7046818B2 (zh) |
| CN (1) | CN108886521B (zh) |
| WO (1) | WO2017147166A1 (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017147166A1 (en) * | 2016-02-22 | 2017-08-31 | Dynamic Network Services, Inc. | Methods and apparatus for finding global routing hijacks |
| JP6869203B2 (ja) * | 2018-03-28 | 2021-05-12 | ソフトバンク株式会社 | 監視システム |
| US11012470B2 (en) * | 2018-05-08 | 2021-05-18 | Charter Communications Operating, Llc | Reducing the impact of border gateway protocol (BGP) hijacks |
| CN111698189B (zh) * | 2019-03-11 | 2021-12-14 | 华为技术有限公司 | Bgp路由识别方法、装置及设备 |
| CN110061918B (zh) * | 2019-04-18 | 2021-01-22 | 广西大学 | 一种自治域间路由安全性评估方法和装置 |
| EP4016941A4 (en) * | 2019-08-15 | 2022-11-23 | Huawei Technologies Co., Ltd. | METHOD OF LEARNING ROUTINGS, METHOD OF FORWARDING REPORTS, DEVICE AND STORAGE MEDIA |
| US20210084067A1 (en) * | 2019-09-13 | 2021-03-18 | Level 3 Communications, Llc | Scalable ddos scrubbing architecture in a telecommunications network |
| US11418429B2 (en) * | 2019-11-01 | 2022-08-16 | Microsoft Technology Licensing, Llc | Route anomaly detection and remediation |
| US11132217B2 (en) | 2019-11-03 | 2021-09-28 | Microsoft Technology Licensing, Llc | Cloud-based managed networking service that enables users to consume managed virtualized network functions at edge locations |
| CN113225194B (zh) * | 2020-01-21 | 2022-09-09 | 华为技术有限公司 | 路由异常检测方法、装置及系统、计算机存储介质 |
| US12120128B1 (en) | 2020-07-31 | 2024-10-15 | Equinix, Inc. | Route and packet flow evaluation on a cloud exchange |
| CN116866002A (zh) * | 2020-12-04 | 2023-10-10 | 华为技术有限公司 | 一种验证as对的方法、装置及设备 |
| CN112995040B (zh) * | 2021-04-29 | 2021-08-03 | 中国人民解放军国防科技大学 | 一种基于设备标识计算的报文路径溯源方法及装置 |
| CN114124802B (zh) * | 2021-11-10 | 2023-08-25 | 中盈优创资讯科技有限公司 | 一种跨域黑洞路由集中管控方法及装置 |
| FR3135850A1 (fr) * | 2022-05-17 | 2023-11-24 | Orange | Procédé pour détecter des anomalies de routage entre systèmes autonomes |
| CN116016252B (zh) * | 2022-12-21 | 2024-08-02 | 天翼安全科技有限公司 | 一种网关协议的检测方法及装置 |
| CN117061192A (zh) * | 2023-08-25 | 2023-11-14 | 清华大学 | Bgp前缀劫持检测方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588343A (zh) * | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 前缀与as映射关系的管理方法、报文处理方法和装置 |
| CN102158469A (zh) * | 2011-01-27 | 2011-08-17 | 电子科技大学 | 一种边界网关协议前缀劫持攻击防范方法 |
| CN102394794A (zh) * | 2011-11-04 | 2012-03-28 | 中国人民解放军国防科学技术大学 | 防范边界网关协议路由劫持的协同监测方法 |
| CN105049419A (zh) * | 2015-06-19 | 2015-11-11 | 中国人民解放军信息工程大学 | 基于异构多样性的拟态网络逐级交换路由系统 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10511573B2 (en) * | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US9137033B2 (en) * | 2003-03-18 | 2015-09-15 | Dynamic Network Services, Inc. | Methods and systems for monitoring network routing |
| US8285874B2 (en) * | 2004-01-27 | 2012-10-09 | Cisco Technology, Inc. | Routing systems and methods for implementing routing policy with reduced configuration and new configuration capabilities |
| JP4413833B2 (ja) | 2005-08-15 | 2010-02-10 | 日本電信電話株式会社 | 不正経路監視システムおよび方法 |
| US7823202B1 (en) * | 2007-03-21 | 2010-10-26 | Narus, Inc. | Method for detecting internet border gateway protocol prefix hijacking attacks |
| JP4638948B2 (ja) | 2009-02-27 | 2011-02-23 | 日本電信電話株式会社 | 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法 |
| US8327444B2 (en) | 2009-04-13 | 2012-12-04 | Verizon Patent And Licensing Inc. | Suspicious autonomous system path detection |
| US8640236B2 (en) * | 2011-06-27 | 2014-01-28 | Cisco Technology, Inc. | Performing a defensive procedure in response to certain path advertisements |
| US9729414B1 (en) * | 2012-05-21 | 2017-08-08 | Thousandeyes, Inc. | Monitoring service availability using distributed BGP routing feeds |
| EP3326074B1 (en) | 2015-07-22 | 2023-03-15 | Dynamic Network Services, Inc. | Methods, systems, and apparatus for geographic location using trace routes |
| US10185761B2 (en) * | 2015-08-07 | 2019-01-22 | Cisco Technology, Inc. | Domain classification based on domain name system (DNS) traffic |
| WO2017147166A1 (en) * | 2016-02-22 | 2017-08-31 | Dynamic Network Services, Inc. | Methods and apparatus for finding global routing hijacks |
| US11012470B2 (en) * | 2018-05-08 | 2021-05-18 | Charter Communications Operating, Llc | Reducing the impact of border gateway protocol (BGP) hijacks |
| US11418429B2 (en) * | 2019-11-01 | 2022-08-16 | Microsoft Technology Licensing, Llc | Route anomaly detection and remediation |
-
2017
- 2017-02-22 WO PCT/US2017/018907 patent/WO2017147166A1/en active Application Filing
- 2017-02-22 US US16/078,302 patent/US11394745B2/en active Active
- 2017-02-22 EP EP17757133.8A patent/EP3420702B1/en active Active
- 2017-02-22 CN CN201780019848.0A patent/CN108886521B/zh active Active
- 2017-02-22 JP JP2018544248A patent/JP7046818B2/ja active Active
-
2022
- 2022-05-09 US US17/739,875 patent/US20220263864A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588343A (zh) * | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 前缀与as映射关系的管理方法、报文处理方法和装置 |
| CN102158469A (zh) * | 2011-01-27 | 2011-08-17 | 电子科技大学 | 一种边界网关协议前缀劫持攻击防范方法 |
| CN102394794A (zh) * | 2011-11-04 | 2012-03-28 | 中国人民解放军国防科学技术大学 | 防范边界网关协议路由劫持的协同监测方法 |
| CN105049419A (zh) * | 2015-06-19 | 2015-11-11 | 中国人民解放军信息工程大学 | 基于异构多样性的拟态网络逐级交换路由系统 |
Non-Patent Citations (1)
| Title |
|---|
| BGP Hijack Alert System;Jeroen Schutrup;《Universiteit van Amsterdam System and Network Engineering》;20160207;第11页,第15-16页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017147166A1 (en) | 2017-08-31 |
| JP2019506102A (ja) | 2019-02-28 |
| EP3420702A1 (en) | 2019-01-02 |
| JP7046818B2 (ja) | 2022-04-04 |
| US11394745B2 (en) | 2022-07-19 |
| CN108886521A (zh) | 2018-11-23 |
| US20220263864A1 (en) | 2022-08-18 |
| EP3420702B1 (en) | 2022-03-30 |
| US20210194918A1 (en) | 2021-06-24 |
| EP3420702A4 (en) | 2019-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108886521B (zh) | 用于找到全球路由劫持的方法和设备 | |
| Ramachandran et al. | Revealing botnet membership using dnsbl counter-intelligence. | |
| Lad et al. | PHAS: A Prefix Hijack Alert System. | |
| Ballani et al. | A study of prefix hijacking and interception in the Internet | |
| Schlamp et al. | HEAP: reliable assessment of BGP hijacking attacks | |
| US10348754B2 (en) | Data security incident correlation and dissemination system and method | |
| Fachkha et al. | Inferring distributed reflection denial of service attacks from darknet | |
| US20170230403A1 (en) | Message authenticity and risk assessment | |
| Lone et al. | Using loops observed in traceroute to infer the ability to spoof | |
| Van Wanrooij et al. | Filtering spam from bad neighborhoods | |
| Haddadi et al. | DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment | |
| Schlamp et al. | The abandoned side of the Internet: Hijacking Internet resources when domain names expire | |
| Bou-Harb et al. | A statistical approach for fingerprinting probing activities | |
| Lone et al. | Saving the internet: Explaining the adoption of source address validation by internet service providers | |
| Sriram et al. | Resilient Interdomain Traffic Exchange | |
| Hlavacek et al. | Smart RPKI validation: Avoiding errors and preventing hijacks | |
| Rodday et al. | The Resource Public Key Infrastructure (RPKI): A Survey on Measurements and Future Prospects | |
| Moura et al. | Evaluating third-party bad neighborhood blacklists for spam detection | |
| Vervier et al. | SpamTracer: How stealthy are spammers? | |
| Hiran et al. | PrefiSec: A distributed alliance framework for collaborative BGP monitoring and prefix-based security | |
| Hiran et al. | Does scale, size, and locality matter? evaluation of collaborative bgp security mechanisms | |
| Alieyan et al. | A rule-based approach to detect botnets based on DNS | |
| Obstfeld et al. | Towards near real-time bgp deep analysis: A big-data approach | |
| Thing et al. | Adaptive response system for distributed denial-of-service attacks | |
| Mahjoub | Sweeping the IP Space: the Hunt for Evil on the Internet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |