CN109039894A - 基于bgp宣告的域间路由瓶颈恶化方法 - Google Patents
基于bgp宣告的域间路由瓶颈恶化方法 Download PDFInfo
- Publication number
- CN109039894A CN109039894A CN201810887196.9A CN201810887196A CN109039894A CN 109039894 A CN109039894 A CN 109039894A CN 201810887196 A CN201810887196 A CN 201810887196A CN 109039894 A CN109039894 A CN 109039894A
- Authority
- CN
- China
- Prior art keywords
- autonomous system
- bottleneck
- bgp
- target
- prefix
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/32—Flooding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于BGP宣告的域间路由瓶颈恶化方法,包括:确定目标自治系统及其域间路由瓶颈集;基于目标自治系统的域间路由瓶颈集,确定BGP伪造发起平台和目标瓶颈链路;使用BGP伪造方法中的前缀劫持方法对第一自治系统集中的部分自治系统进行路由前缀劫持,以增加前往被劫持前缀的、且其路由经过目标瓶颈链路的自治系统的数量;使用可利用自治系统集中发出流量的各自治系统发出的流量之和对目标瓶颈链路发起链路洪泛攻击,以恶化目标自治系统的域间路由瓶颈。该方法具有难以追踪、多去向、难辨识和灵活多变的特点。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种基于BGP宣告的域间路由瓶颈恶化方法。
背景技术
由于互联网的拓扑是由少量中心节点逐步扩展而成的层级结构,且互联网的路由协议大多按照“路由花销最小化”的原则进行设计,大量的路由更倾向于经过一些中心位置的、花费便宜的链路。这样的大量路由汇聚在少量链路的现象称之为路由集中(RouteConcentration),而发生大程度路由集中的链路则称为路由瓶颈(Routing Bottleneck)。
路由瓶颈由于承载着自治系统(Autonomous System)大量的路由,对保证该自治系统的网络连通非常重要。一旦其某条路由瓶颈发生拥塞或者切断,该自治系统内的用户将会面临高延迟、高丢包的通信异常。恶意攻击者可以使用链路洪泛(Link Flooding)的手段,通过高强度的流量对路由瓶颈进行攻击,进而影响与该瓶颈链路相关联的网络中用户的网络接入性能。
之前已经有研究者对路由瓶颈的产生原因、基本特征、利用方法和对抗策略等方面做过研究。研究结果表明,攻击者可以使用不同规模的洪泛流量,利用路由瓶颈发起连通性中断攻击与连通性退化攻击。被攻击者想要应对这样的链路洪泛攻击(Link FloodingAttack),一方面可以使用基于流量强度的流过滤方法,另一方面可以通过建立大量的网络连接来改变拓扑结构,再一方面可以通过负载均衡和流量工程的方法来平衡流量,以达到消除攻击流量甚至避免形成流量瓶颈的目的。
然而,在域间路由环境下,自治系统间的邻居关系相对固定,且负载均衡和流量工程也不方便配置和实现,因此,利用域间路由瓶颈的攻击,仅能依靠流过滤方法进行一定程度的防范。但是,前述的使用链路洪泛直接攻击的方法由于需要生成高强度的到达目的前缀的流,容易被流过滤方法检测到。
针对上述问题,本发明提供一种基于BGP宣告的域间路由瓶颈恶化方法。该方法通过劫持IP前缀,避免了被安全机制根据IP地址归属进行追踪,同时,该方法由于使用多个IP前缀作为目的前缀,避免了生成高强度的易被检测的数据流。
发明内容
本发明所要解决的技术问题是:目前没有能够避免生成高强度流的针对域间路由瓶颈进行攻击的方法。
为了解决上述技术问题,本发明提供了一种基于BGP宣告的域间路由瓶颈恶化方法。该方法包括:
确定目标自治系统及其域间路由瓶颈集;
基于所述目标自治系统的域间路由瓶颈集,确定BGP伪造发起平台和目标瓶颈链路,所述目标瓶颈链路为所述域间路由瓶颈集中的部分链路;
使用BGP伪造方法中的前缀劫持方法对第一自治系统集中的部分自治系统进行路由前缀劫持,以增加前往被劫持前缀的、且其路由经过目标瓶颈链路的自治系统的数量;
使用可利用自治系统集中发出流量的各自治系统发出的流量之和对所述目标瓶颈链路发起链路洪泛攻击,以恶化目标自治系统的域间路由瓶颈;
其中,所述第一自治系统集为整个互联网中除目标自治系统之外的所有自治系统的集合,所述可利用自治系统集为前往被劫持前缀的、且其路由经过目标瓶颈链路的所有自治系统的集合。
在本发明一优选实施例中,确定目标自治系统的域间路由瓶颈集,包括:
获取整个互联网的网络拓扑以及整个互联网中各个自治系统之间的关系;
基于所述整个互联网的网络拓扑以及整个互联网中各个自治系统之间的关系,使用路由树算法仿真正常BGP宣告过程,得到所述第一自治系统集中的每个自治系统前往目标自治系统的各个BGP路由的AS路径;
基于所述各个BGP路由的AS路径经过的每个域间链路,得到目标自治系统的域间路由瓶颈集。
在本发明一优选实施例中,基于所述各个BGP路由的AS路径经过的每个域间链路,得到目标自治系统的域间路由瓶颈集,包括:
分别获取每个域间链路被所述各个BGP路由的AS路径经过的次数;
分别将每个域间链路被所述各个BGP路由的AS路径经过的次数与第一预定阈值进行比较,当所述次数大于等于所述第一预定阈值时,将与该次数对应的域间链路作为目标自治系统的域间路由瓶颈,从而得到目标自治系统的域间路由瓶颈集。
在本发明一优选实施例中,基于所述目标自治系统的域间路由瓶颈集,确定BGP伪造发起平台和目标瓶颈链路,包括:
根据整个互联网的网络拓扑以及整个互联网中各个自治系统之间的关系,得到整个互联网中由攻击者控制的所有自治系统的供应商锥;
根据所述整个互联网中由攻击者控制的所有自治系统的供应商锥包含的域间路由瓶颈数量,确定BGP伪造发起平台和目标瓶颈链路,所述目标瓶颈链路为所述BGP伪造发起平台包含的所有域间路由瓶颈。
在本发明一优选实施例中,使用BGP伪造方法中的前缀劫持方法对第一自治系统集中的部分自治系统进行路由前缀劫持,包括:
使用路由树算法仿真所述BGP伪造发起平台对第一自治系统集中的每个自治系统分别进行前缀劫持,得到所述第一自治系统集中除被劫持前缀的自治系统之外的每个自治系统访问被劫持前缀的自治系统的路由重定向前后经过目标瓶颈链路的增长数目;
根据所述第一自治系统集中除被劫持前缀的自治系统之外的每个自治系统访问被劫持前缀的自治系统的路由重定向前后经过目标瓶颈链路的增长数目,得到待劫持自治系统集;
确定待劫持自治系统集中的每个自治系统的活跃前缀,得到可劫持前缀集;
通过对BGP更新报文伪造所述可劫持前缀集中的每个活跃前缀,对所述待劫持自治系统集中的每个自治系统进行路由前缀劫持。
在本发明一优选实施例中,根据所述第一自治系统集中除被劫持前缀的自治系统之外的每个自治系统访问被劫持前缀的自治系统的路由重定向前后经过目标瓶颈链路的增长数目,得到待劫持自治系统集,包括:
分别将所述第一自治系统集中除被劫持前缀的自治系统之外的每个自治系统访问被劫持前缀的自治系统的路由重定向前后经过目标瓶颈链路的增长数目与第二预定阈值进行比较,并将增长数目大于等于所述第二预定阈值的自治系统作为被劫持自治系统,从而得到待劫持自治系统集。
在本发明一优选实施例中,使用可利用自治系统集中发出流量的各自治系统发出的流量之和对所述目标瓶颈链路发起链路洪泛攻击,包括:
对所述可劫持前缀集中的每个活跃前缀,使用路由树算法计算前往被劫持活跃前缀的、且其路由经过目标瓶颈链路的自治系统,得到可利用自治系统集;
估算所述可利用自治系统集中的每个大型内容提供商对每个内容请求的响应流量;
根据估算结果,获取所述可利用自治系统集中的总响应流量;
将所述总响应流量与第三预定阈值进行比较,并根据比较结果确定所述可利用自治系统集中发出流量的各自治系统;
使用所述发出流量的各自治系统发出的流量之和对所述目标瓶颈链路发起链路洪泛攻击。
在本发明一优选实施例中,将所述总响应流量与第三预定阈值进行比较,并根据比较结果确定所述可利用自治系统集中发出流量的各自治系统,包括:
将所述总响应流量与第三预定阈值进行比较,当所述总响应流量大于等于所述第三预定阈值时,确定所述可利用自治系统集中的每个大型内容提供商作为发出流量的各自治系统;
通过所述BGP伪造发起平台,以所述可劫持前缀集中的每个活跃前缀为源地址,向所述可利用自治系统集中的每个大型内容提供商构造并发出内容请求,以生成并发出通向BGP伪造发起平台的具有预定强度的响应流量。
在本发明一优选实施例中,将所述总响应流量与第三预定阈值进行比较,并根据比较结果确定所述可利用自治系统集中发出流量的各自治系统,还包括:
当所述总响应流量小于所述第三预定阈值时,确定所述可利用自治系统集中的存在僵尸主机的每个自治系统作为发出流量的各自治系统;
攻击者租借并使用所述僵尸主机,向所述BGP伪造发起平台劫持的位于可劫持前缀集中的所有活跃前缀发出流量。
与现有技术相比,上述方案中的一个或多个实施例可以具有如下优点或有益效果:
应用本发明实施例提供的基于BGP宣告的域间路由瓶颈恶化方法,攻击者在确定目标自治系统、BGP伪造发起平台和目标瓶颈链路后,通过BGP伪造发起平台,使用前缀劫持方法对第一自治系统集中的部分自治系统进行路由前缀劫持,以增加前往被劫持前缀的、且其路由经过目标瓶颈链路的自治系统的数量。随后,攻击者利用源自大型内容提供商发出的内容流量或使用分布较广的僵尸主机发出的流量对目标瓶颈链路进行链路洪泛攻击,使得目标瓶颈链路拥塞甚至切断,从而达到使用户的网络连通性受损的恶意目的。因此,本方法具有难以追踪、多去向、难辨识、灵活多变的特点。
本发明的其它特征和优点将在随后的说明书中阐述,并且部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例共同用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例一的基于BGP宣告的域间路由瓶颈恶化方法的流程示意图;
图2为图1中步骤S101的具体流程示意图;
图3为图1中步骤S102的具体流程示意图;
图4为图1中步骤S103的具体流程示意图;
图5为图1中步骤S104的具体流程示意图;
图6(a)至图6(d)分别为不同BGP伪造方法的示意图;
图7为说明域间路由瓶颈的普遍性的示意图;
图8为说明域间路由瓶颈的集中性的示意图;
图9为应用实例一的BGP伪造发起平台和目标瓶颈链路周围的自治系统级拓扑图;
图10为应用实例二的BGP伪造发起平台和目标瓶颈链路周围的自治系统级拓扑图。
具体实施方法
以下将结合附图及实施例来详细说明本发明的实施方法,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
实施例一
为解决目前没有能够避免生成高强度流的针对域间路由瓶颈进行攻击的方法,本实施例提供了一种基于BGP宣告的域间路由瓶颈恶化方法。
为了便于理解本发明,现就BGP宣告与BGP伪造之间的关系做出如下解释说明。
BGP(Border Gateway Protocol)的中文名称为边界网关协议,是目前唯一广泛运行在各个自治系统间的路由协议。
BGP伪造是指对BGP报文的前缀或路径进行恶意修改的过程。BGP宣告是指自治系统向互联网发送一条BGP更新报文(报文可以是正确生成的,也可以是BGP伪造的)的过程。
概括地讲,本实施例提供的基于BGP宣告的域间路由瓶颈恶化方法,常与链路洪泛攻击相结合,以对目标自治系统造成网络通信影响。具体地,该方法主要是通过攻击者对BGP进行伪造,产生前缀劫持(Prefix Hijacking)或与之类似的行为,以欺骗整个互联网中的其他自治系统,使其前往被劫持前缀的自治系统的路由重定向后经过目标瓶颈链路,导致路由集中。此后,攻击者利用源自大型内容提供商发出的内容流量或者使用分布较广的僵尸主机发出的流量对目标瓶颈链路进行链路洪泛攻击,使得目标瓶颈链路拥塞甚至切断,从而达到使用户的网络连通性受损的恶意目的。
下面结合图1至图5对本实施例的基于BGP宣告的域间路由瓶颈恶化方法进行详细描述。
图1为本发明实施例一的基于BGP宣告的域间路由瓶颈恶化方法的流程示意图。
如图1所示,本实施例的基于BGP宣告的域间路由瓶颈恶化方法,主要包括以下步骤S101至步骤S104。
在步骤S101中,攻击者确定目标自治系统V及其域间路由瓶颈集SR。
具体地,首先,攻击者确定目标自治系统V。然后,攻击者基于目标自治系统V,确定目标自治系统V的域间路由瓶颈集SR,其具体过程如图2所示。
首先,执行步骤S1011。攻击者从应用互联网数据分析中心(CAIDA)获取整个互联网的网络拓扑以及整个互联网中各个自治系统之间的关系。
其次,执行步骤S1012。攻击者基于整个互联网的网络拓扑以及整个互联网中各个自治系统之间的关系,使用路由树算法(Routing Tree Algorithm)仿真正常BGP宣告过程,得到第一自治系统集中的每个自治系统前往目标自治系统V的各个BGP路由的AS路径。其中,第一自治系统集为整个互联网中除目标自治系统V之外的所有自治系统的集合。
最后,执行步骤S1013。攻击者基于各个BGP路由的AS路径经过的每个域间链路,得到目标自治系统V的域间路由瓶颈集SR。其具体过程如下:首先,攻击者分别获取每个域间链路被各个BGP路由的AS路径经过的次数。然后,攻击者分别将每个域间链路被各个BGP路由的AS路径经过的次数与第一预定阈值进行比较,若该域间链路被各个BGP路由的AS路径经过的次数大于等于第一预定阈值,则将该域间链路作为目标自治系统V的域间路由瓶颈,从而得到目标自治系统V的域间路由瓶颈集SR。
在步骤S102中,攻击者基于目标自治系统V的域间路由瓶颈集SR,确定BGP伪造发起平台A和目标瓶颈链路T。其具体过程如图3所示。
首先,执行步骤S1021。攻击者根据整个互联网的网络拓扑以及整个互联网中各个自治系统之间的关系,得到整个互联网中由攻击者控制的所有自治系统的供应商锥(Provider Cone)。其中,自治系统的供应商锥是由自治系统的所有直接供应商和自治系统的所有间接供应商组成的。
为了便于理解,下面参考图9对供应商锥的含义进行如下解释说明。
在图9中,每个圆圈表示一个自治系统,箭头表示各个自治系统间的域间链路,箭头方向是由客户指向网络供应商。以编号为198348的自治系统作为示例,编号为8470的自治系统和编号为29226的自治系统是与编号为198348的自治系统直接连接的,因此,编号为8470的自治系统和编号为29226的自治系统作为编号为198348的自治系统的直接供应商。而该图中除上述两个自治系统之外的其余自治系统都是与编号为198348的自治系统间接连接的,因此,这些其余自治系统作为编号为198348的自治系统的间接供应商。由此可见,编号为198348的自治系统的供应商锥应该是由图9中的所有自治系统组成的。而该图中的所有箭头表示的链路即为编号为198348的自治系统的供应商锥包含的域间链路。
其次,执行步骤S1022。攻击者根据整个互联网中由其控制的所有自治系统的供应商锥包含的域间路由瓶颈数量,确定BGP伪造发起平台A和目标瓶颈链路T。具体地,攻击者根据整个互联网中由其控制的每个自治系统的供应商锥包含的域间路由瓶颈数量,从由其控制的所有自治系统中选择供应商锥包含的域间路由瓶颈数量最多的那个自治系统,并将该自治系统作为BGP伪造发起平台A,该自治系统(BGP伪造发起平台A)包含的所有域间路由瓶颈为目标瓶颈链路T。
在步骤S103中,攻击者通过BGP伪造发起平台A,使用BGP伪造方法中的前缀劫持方法对第一自治系统集中的部分自治系统进行路由前缀劫持,以增加前往被劫持前缀的、且其路由经过目标瓶颈链路T的自治系统的数量,造成路由集中。其具体过程如图4所示。
首先,执行步骤S1031。攻击者使用路由树算法(Routing Tree Algorithm)仿真BGP伪造发起平台A对第一自治系统集中的每个自治系统分别进行前缀劫持,得到第一自治系统集中除被劫持前缀的自治系统之外的每个自治系统访问被劫持前缀的自治系统的路由重定向前后经过目标瓶颈链路T的增长数目I。
其次,执行步骤S1032。攻击者根据第一自治系统集中除被劫持前缀的自治系统之外的每个自治系统访问被劫持前缀的自治系统的路由重定向前后经过目标瓶颈链路T的增长数目I,得到待劫持自治系统集SH。具体地,攻击者分别将第一自治系统集中除被劫持前缀的自治系统之外的每个自治系统访问被劫持前缀的自治系统的路由重定向前后经过目标瓶颈链路T的增长数目I与第二预定阈值进行比较,若该增长数目I大于等于第二预定阈值,则将该自治系统作为被劫持自治系统N,并将该被劫持自治系统N放入待劫持自治系统集SH,换言之,待劫持自治系统集SH为所有被劫持自治系统N的集合。
再次,执行步骤S1033。攻击者确定待劫持自治系统集SH中的每个自治系统的活跃前缀,得到可劫持前缀集SP。具体地,攻击者根据Routeviews或其他项目的公共路由表项,查找待劫持自治系统集SH中的每个自治系统的活跃前缀,并将该活跃前缀放入可劫持前缀集SP,换言之,可劫持前缀集SP为待劫持自治系统集SH中的每个自治系统的所有活跃前缀的集合。
优选地,攻击者可以使用ping指令对可劫持前缀集SP中的所有活跃前缀进行验证。
最后,执行步骤S1034。攻击者通过BGP伪造发起平台A,对BGP更新报文伪造可劫持前缀集SP中的每个活跃前缀,对待劫持自治系统集SH中的每个自治系统进行路由前缀劫持。
在步骤S104中,攻击者使用可利用自治系统集SD中发出流量的各自治系统发出的流量之和对目标瓶颈链路T发起链路洪泛攻击,以恶化目标自治系统V的域间路由瓶颈。其具体过程如图5所示。
首先,执行步骤S1041。对可劫持前缀集SP中的每个活跃前缀,攻击者使用路由树算法(Routing Tree Algorithm)计算前往被劫持活跃前缀的、且其路由经过目标瓶颈链路T的自治系统,得到可利用自治系统集SD。
其次,执行步骤S1042。攻击者估算可利用自治系统集SD中的每个大型内容提供商(Content Provider,CP)对每个内容请求的响应流量。其中,大型内容提供商可以从一些现有研究文献或者互联网测量网站上得到,例如,Global Internet Phenomena报告。
需要说明的是,估算方法需根据实际情况而定,在此不做具体限定。例如,优酷的响应流量可以估算为其公共视频的平均大小。
接着,执行步骤S1043。攻击者根据估算结果,获取可利用自治系统集SD中的总响应流量。
接着,执行步骤S1044。攻击者将总响应流量与第三预定阈值进行比较,并根据比较结果确定可利用自治系统集SD中发出流量的各自治系统。
具体地,攻击者将总响应流量与第三预定阈值进行比较。当总响应流量大于等于第三预定阈值时,攻击者确定可利用自治系统集SD中的每个大型内容提供商作为发出流量的各自治系统。此时,攻击者通过BGP伪造发起平台A,以可劫持前缀集SP中的每个活跃前缀为源地址,向可利用自治系统集SD中的每个大型内容提供商构造并发出内容请求,以生成并发出通向BGP伪造发起平台A的具有预定强度的响应流量。
当总响应流量小于第三预定阈值时,攻击者确定可利用自治系统集SD中的存在僵尸主机的每个自治系统作为发出流量的各自治系统。此时,攻击者租借并使用僵尸主机,向BGP伪造发起平台A劫持的位于可劫持前缀集SP中的所有活跃前缀发出流量。
需要说明的是,僵尸主机的数目应尽可能地多,并在可利用自治系统集SD中分布广泛,以形成从不同源地址访问不同目的地址的多条流,每条流的强度很小,但是汇聚在一起会形成高强度的流量。
大型内容提供商本质上也是自治系统。僵尸主机存在于一些具有安全漏洞的自治系统中,可能存在于部分大型内容提供商中,也可能不存在于大型内容提供商中。
最后,执行步骤S1045。攻击者使用发出流量的各自治系统发出的流量之和对目标瓶颈链路T发起链路洪泛攻击,以恶化目标自治系统V的域间路由瓶颈。
需要说明的是,在本实施例中,第一预定阈值至第三预定阈值需根据实际情况而定,在此不做具体限定。
由于本实施例涉及的路由树算法(Routing Tree Algorithm)属于现有技术,其具体计算过程请参考现有技术文献,在此不再赘述。
综上所述,本实施例所述的基于BGP宣告的域间路由瓶颈恶化方法,本质上是一种使路由集中于特定链路的BGP操纵手段,该方法可以与链路洪泛攻击相结合以发起对数据层的攻击,从而影响目标网络的连通性。然而,目前已经有多种链路洪泛攻击被提出和研究,例如,交火攻击(Crossfire Attack)、融核攻击(Coremelt Attack)。与这些攻击方法相比,本实施例所述的基于BGP宣告的域间路由瓶颈恶化方法具有以下优点:
(1)难以追踪。攻击者可以通过前缀劫持等BGP伪造方法,使洪泛流量的目的前缀变为被劫持的前缀,导致被攻击者不能通过洪泛流量的目的地址来直接确定BGP伪造发起平台的位置。因此,本实施例所述的方法具有难以追踪的特点。
(2)多去向。由于攻击者可以同时劫持多个前缀,并周期性地使用不同前缀,以使攻击者可以灵活方便地更换洪泛流量的目的地址。因此,本实施例所述的方法具有多去向的特点。
(3)难辨识。攻击者可以通过BGP伪造发起平台宣告多条被劫持的前缀作为目的前缀,且攻击者可以直接租借并使用位于可利用自治系统集中的不同自治系统的僵尸主机,或者通过BGP伪造发起平台使用位于可利用自治系统集中的每个大型内容提供商作为流量源,以形成多条数据流。每条数据流的强度可以足够小,不易被基于流强度的安全系统辨识。因此,本实施例所述的方法具有难辨识的特点。
(4)灵活多变。攻击者可以通过不同的BGP伪造方法进行BGP伪造,且可以在位于可利用自治系统集中的不同自治系统的僵尸主机与可利用自治系统集中的大型内容提供商之间选择链路洪泛的流量源。因此,本实施例所述的方法具有灵活多变的特点。
应用本发明实施例提供的基于BGP宣告的域间路由瓶颈恶化方法,攻击者在确定目标自治系统、BGP伪造发起平台和目标瓶颈链路后,通过BGP伪造发起平台,使用前缀劫持方法对第一自治系统集中的部分自治系统进行路由前缀劫持,以增加前往被劫持前缀的、且其路由经过目标瓶颈链路的自治系统的数量。随后,攻击者利用源自大型内容提供商发出的内容流量或使用分布较广的僵尸主机发出的流量对目标瓶颈链路进行链路洪泛攻击,使得目标瓶颈链路拥塞甚至切断,从而达到使用户的网络连通性受损的恶意目的。因此,本方法具有难以追踪、多去向、难辨识、灵活多变的特点。
实施例二
本实施例为实施例一的替换实施例。在本实施例中,攻击者可以根据具体攻击目的和目标瓶颈链路的位置对实施例一中的方法步骤进行调整。例如,攻击者可以将实施例一中的前缀劫持方法(如图6(a)所示)替换为子前缀劫持(Sub-prefix Hijacking)方法(如图6(b)所示),以在短时间内欺骗所有自治系统。或者,在保持源自治系统不变的情况下,攻击者可以将实施例一中的前缀劫持方法替换为中间路径伪造(X-hop Attack)方法(如图6(c)所示),以避免源验证机制的检测。又或者,攻击者可以将实施例一中的前缀劫持方法替换为中间人拦截(Man-in-the-Middle Interception)方法(如图6(d)所示),以将劫持的流量送回原目的地址。
在图6(a)至图6(d)中,A为BGP伪造发起平台,N为被劫持的自治系统,B、C、D表示被欺骗的自治系统,尖括号内为各个自治系统宣告的BGP路径,p表示目的前缀,p后的数字(16和24)表示目的前缀的长度,箭头表示流量。
需要说明的是,由于以上这些BGP伪造方法为域间路由安全领域技术人员所公知,故在此不再详细赘述。
此外,在使用以上这些BGP伪造方法替换实施例一中的前缀劫持方法时,需要根据不同的BGP伪造方法来修改实施例一中的步骤S103和步骤S104,但其余步骤均与实施例一中的对应步骤相同,故在此不再进行赘述。
为了便于理解上述技术方案,本发明还通过对域间路由瓶颈进行计算分析,探究了其普遍性、拓扑位置和集中性等特点。下面结合图7至图8对域间路由瓶颈的性质进行描述。
普遍性:图7为说明域间路由瓶颈的普遍性的示意图。在该图中,横坐标表示至少具有域间路由瓶颈的数目,纵坐标表示至少具有如此多域间路由瓶颈的自治系统的个数。该图中的三条曲线分别表示判断域间路由瓶颈的不同比例,自右至左依次为:判断域间路由瓶颈的比例为0.1、判断域间路由瓶颈的比例为0.2、判断域间路由瓶颈的比例为0.3。域间路由瓶颈需要承载不低于该比例的路由。例如,当判断域间路由瓶颈的比例为0.1时,大于等于0.1的路由经过的链路即为域间路由瓶颈。
由图7可见,当判断域间路由瓶颈的比例为0.1时,超过四分之三的自治系统具有不少于四条域间路由瓶颈。这表明域间路由瓶颈普遍存在,同时也间接地说明了本发明的基于BGP宣告的域间路由瓶颈恶化方法的可用性。
拓扑位置:大多数域间路由瓶颈位于自治系统的供应商锥中,距离集中在1~4跳以内。这表明域间路由瓶颈具有一定的规律性,容易被攻击者利用,可以为攻击者确定域间路由瓶颈提供指导。
集中性:图8为说明域间路由瓶颈的集中性的示意图。在该图中,横坐标表示根据纵坐标排序后的域间瓶颈链路,纵坐标表示该域间瓶颈链路同时是多少个自治系统的域间路由瓶颈。在该图中,判断域间路由瓶颈的比例为0.1。
由图8可见,少量的域间瓶颈链路同时是大量自治系统的域间路由瓶颈。当判断域间路由瓶颈的比例为0.1时,具有约20条域间瓶颈链路,且该约20条域间瓶颈链路的每条都同时是1000个自治系统的域间路由瓶颈;具有约50条域间瓶颈链路,且该约50条域间瓶颈链路的每条都同时是500个自治系统的域间路由瓶颈。也就是说,一旦这些关键的域间瓶颈链路被攻击,就会有成百上千个自治系统的网络会受到影响。在对最重要的100条域间瓶颈链路进行拓扑定位后,发现具有94条域间瓶颈链路连接了互联网最中心的Tier-1和亚中心的Tier-2自治系统。这表明域间路由瓶颈具有集中性,在域间路由瓶颈受到恶化后,会对很多无关网络造成附属的影响,从而产生更大范围的影响。
下面通过两个具体应用实例来说明本发明实施例的基于BGP宣告的域间路由瓶颈恶化方法能够增加域间路由集中程度。
应用实例一
图9为应用实例一的BGP伪造发起平台和目标瓶颈链路周围的自治系统级拓扑图。在该图中,每个圆圈表示一个自治系统,箭头表示各个自治系统间的域间链路。在本实例中,攻击者确定目标自治系统为AS 262152(图未示),并通过步骤S101和步骤S102确定BGP伪造发起平台为AS 198348,目标瓶颈链路为AS 3216-AS 3356。该实例使用前缀劫持方法进行BGP伪造和BGP宣告。攻击者通过实施例一中的步骤S103对除AS 262152之外的部分自治系统进行路由前缀劫持,并通过步骤S104对目标瓶颈链路发起链路洪泛攻击,攻击结果如下表1所示:
欺骗自治系统比例(%) | 增长数目I | |
前缀劫持 | 89.8 | 3576 |
表1
由表1可见,本发明实施例所述的基于BGP宣告的域间路由瓶颈恶化方法,可以使超过3000个自治系统前往被劫持前缀的自治系统,且该超过3000个自治系统前往被劫持前缀的自治系统的路由经过目标瓶颈链路。攻击者可以利用这3000个自治系统中的大型内容提供商或僵尸主机来产生大量的流量,对目标瓶颈链路发起链路洪泛攻击。由此可见,该应用实例一表明了本发明实施例所述的基于BGP宣告的域间路由瓶颈恶化方法的可用性,其确实使得经过目标瓶颈链路的路由数目增长了3500多条。
应用实例二
图10为应用实例二的BGP伪造发起平台和目标瓶颈链路周围的自治系统级拓扑图。在该图中,每个圆圈表示一个自治系统,箭头表示各个自治系统间的域间链路。在本实例中,攻击者确定目标自治系统为AS 63291(图未示),并通过步骤S101和步骤S102确定BGP伪造发起平台为AS 24723,目标瓶颈链路为AS4766-AS 6939。该实例使用前缀劫持方法进行BGP伪造和BGP宣告。攻击者通过实施例一中的步骤S103对除AS 63291之外的部分自治系统进行路由前缀劫持,并通过步骤S104对目标瓶颈链路发起链路洪泛攻击,攻击结果如下表2所示:
欺骗自治系统比例(%) | 增长数目I | |
前缀劫持 | 72.3 | 9600 |
表2
由表2可见,本发明实施例所述的基于BGP宣告的域间路由瓶颈恶化方法,可以使互联网中约四分之三的自治系统被欺骗,并使约七分之一(此处需结合图7进行计算得到,即增长数目I/60000)的自治系统访问被劫持前缀的自治系统的路由重定向后经过目标瓶颈链路,这严重加强了域间路由瓶颈。这些自治系统极易被攻击者利用以对目标瓶颈链路发起链路洪泛攻击,致使目标自治系统的域间路由瓶颈阻塞,造成用户网络迟缓。由此可见,该应用实例二表明了本发明实施例所述的基于BGP宣告的域间路由瓶颈恶化方法的可用性和高效性,与应用实例一相比较,本应用实例增加了接近10000条路由,几乎使得七分之一的自治系统的路由汇聚于目标瓶颈链路。
本领域的技术人员应该明白,上述的本发明的各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然本发明所公开的实施方法如上,但所述的内容只是为了便于理解本发明而采用的实施方法,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所公开的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (9)
1.一种基于BGP宣告的域间路由瓶颈恶化方法,其特征在于,包括:
确定目标自治系统及其域间路由瓶颈集;
基于所述目标自治系统的域间路由瓶颈集,确定BGP伪造发起平台和目标瓶颈链路,所述目标瓶颈链路为所述域间路由瓶颈集中的部分链路;
使用BGP伪造方法中的前缀劫持方法对第一自治系统集中的部分自治系统进行路由前缀劫持,以增加前往被劫持前缀的、且其路由经过目标瓶颈链路的自治系统的数量;
使用可利用自治系统集中发出流量的各自治系统发出的流量之和对所述目标瓶颈链路发起链路洪泛攻击,以恶化目标自治系统的域间路由瓶颈;
其中,所述第一自治系统集为整个互联网中除目标自治系统之外的所有自治系统的集合,所述可利用自治系统集为前往被劫持前缀的、且其路由经过目标瓶颈链路的所有自治系统的集合。
2.根据权利要求1所述的基于BGP宣告的域间路由瓶颈恶化方法,其特征在于,确定目标自治系统的域间路由瓶颈集,包括:
获取整个互联网的网络拓扑以及整个互联网中各个自治系统之间的关系;
基于所述整个互联网的网络拓扑以及整个互联网中各个自治系统之间的关系,使用路由树算法仿真正常BGP宣告过程,得到所述第一自治系统集中的每个自治系统前往目标自治系统的各个BGP路由的AS路径;
基于所述各个BGP路由的AS路径经过的每个域间链路,得到目标自治系统的域间路由瓶颈集。
3.根据权利要求2所述的基于BGP宣告的域间路由瓶颈恶化方法,其特征在于,基于所述各个BGP路由的AS路径经过的每个域间链路,得到目标自治系统的域间路由瓶颈集,包括:
分别获取每个域间链路被所述各个BGP路由的AS路径经过的次数;
分别将每个域间链路被所述各个BGP路由的AS路径经过的次数与第一预定阈值进行比较,当所述次数大于等于所述第一预定阈值时,将与该次数对应的域间链路作为目标自治系统的域间路由瓶颈,从而得到目标自治系统的域间路由瓶颈集。
4.根据权利要求2所述的基于BGP宣告的域间路由瓶颈恶化方法,其特征在于,基于所述目标自治系统的域间路由瓶颈集,确定BGP伪造发起平台和目标瓶颈链路,包括:
根据整个互联网的网络拓扑以及整个互联网中各个自治系统之间的关系,得到整个互联网中由攻击者控制的所有自治系统的供应商锥;
根据所述整个互联网中由攻击者控制的所有自治系统的供应商锥包含的域间路由瓶颈数量,确定BGP伪造发起平台和目标瓶颈链路,所述目标瓶颈链路为所述BGP伪造发起平台包含的所有域间路由瓶颈。
5.根据权利要求1所述的基于BGP宣告的域间路由瓶颈恶化方法,其特征在于,使用BGP伪造方法中的前缀劫持方法对第一自治系统集中的部分自治系统进行路由前缀劫持,包括:
使用路由树算法仿真所述BGP伪造发起平台对第一自治系统集中的每个自治系统分别进行前缀劫持,得到所述第一自治系统集中除被劫持前缀的自治系统之外的每个自治系统访问被劫持前缀的自治系统的路由重定向前后经过目标瓶颈链路的增长数目;
根据所述第一自治系统集中除被劫持前缀的自治系统之外的每个自治系统访问被劫持前缀的自治系统的路由重定向前后经过目标瓶颈链路的增长数目,得到待劫持自治系统集;
确定待劫持自治系统集中的每个自治系统的活跃前缀,得到可劫持前缀集;
通过对BGP更新报文伪造所述可劫持前缀集中的每个活跃前缀,对所述待劫持自治系统集中的每个自治系统进行路由前缀劫持。
6.根据权利要求5所述的基于BGP宣告的域间路由瓶颈恶化方法,其特征在于,根据所述第一自治系统集中除被劫持前缀的自治系统之外的每个自治系统访问被劫持前缀的自治系统的路由重定向前后经过目标瓶颈链路的增长数目,得到待劫持自治系统集,包括:
分别将所述第一自治系统集中除被劫持前缀的自治系统之外的每个自治系统访问被劫持前缀的自治系统的路由重定向前后经过目标瓶颈链路的增长数目与第二预定阈值进行比较,并将增长数目大于等于所述第二预定阈值的自治系统作为被劫持自治系统,从而得到待劫持自治系统集。
7.根据权利要求5所述的基于BGP宣告的域间路由瓶颈恶化方法,其特征在于,使用可利用自治系统集中发出流量的各自治系统发出的流量之和对所述目标瓶颈链路发起链路洪泛攻击,包括:
对所述可劫持前缀集中的每个活跃前缀,使用路由树算法计算前往被劫持活跃前缀的、且其路由经过目标瓶颈链路的自治系统,得到可利用自治系统集;
估算所述可利用自治系统集中的每个大型内容提供商对每个内容请求的响应流量;
根据估算结果,获取所述可利用自治系统集中的总响应流量;
将所述总响应流量与第三预定阈值进行比较,并根据比较结果确定所述可利用自治系统集中发出流量的各自治系统;
使用所述发出流量的各自治系统发出的流量之和对所述目标瓶颈链路发起链路洪泛攻击。
8.根据权利要求7所述的基于BGP宣告的域间路由瓶颈恶化方法,其特征在于,将所述总响应流量与第三预定阈值进行比较,并根据比较结果确定所述可利用自治系统集中发出流量的各自治系统,包括:
将所述总响应流量与第三预定阈值进行比较,当所述总响应流量大于等于所述第三预定阈值时,确定所述可利用自治系统集中的每个大型内容提供商作为发出流量的各自治系统;
通过所述BGP伪造发起平台,以所述可劫持前缀集中的每个活跃前缀为源地址,向所述可利用自治系统集中的每个大型内容提供商构造并发出内容请求,以生成并发出通向BGP伪造发起平台的具有预定强度的响应流量。
9.根据权利要求8所述的基于BGP宣告的域间路由瓶颈恶化方法,其特征在于,将所述总响应流量与第三预定阈值进行比较,并根据比较结果确定所述可利用自治系统集中发出流量的各自治系统,还包括:
当所述总响应流量小于所述第三预定阈值时,确定所述可利用自治系统集中的存在僵尸主机的每个自治系统作为发出流量的各自治系统;
攻击者租借并使用所述僵尸主机,向所述BGP伪造发起平台劫持的位于可劫持前缀集中的所有活跃前缀发出流量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810887196.9A CN109039894A (zh) | 2018-08-06 | 2018-08-06 | 基于bgp宣告的域间路由瓶颈恶化方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810887196.9A CN109039894A (zh) | 2018-08-06 | 2018-08-06 | 基于bgp宣告的域间路由瓶颈恶化方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109039894A true CN109039894A (zh) | 2018-12-18 |
Family
ID=64649082
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810887196.9A Pending CN109039894A (zh) | 2018-08-06 | 2018-08-06 | 基于bgp宣告的域间路由瓶颈恶化方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109039894A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1976313A (zh) * | 2006-09-19 | 2007-06-06 | 中国人民解放军国防科学技术大学 | 高性能路由器bgp路由协议分布并行实现方法 |
US20110242991A1 (en) * | 2008-12-19 | 2011-10-06 | Lixin Zhang | Method, device, and system for processing border gateway protocol route |
CN104243313A (zh) * | 2014-09-17 | 2014-12-24 | 清华大学 | 域间路由流量工程方法 |
CN105915457A (zh) * | 2016-04-29 | 2016-08-31 | 清华大学 | 一种基于路由校验的边界网关协议的路由更新方法 |
CN106506274A (zh) * | 2016-11-08 | 2017-03-15 | 东北大学秦皇岛分校 | 一种可动态扩展的高效单包溯源方法 |
CN107454069A (zh) * | 2017-07-21 | 2017-12-08 | 河南工程学院 | 基于as安全联盟的域间路由系统拟态防护方法 |
-
2018
- 2018-08-06 CN CN201810887196.9A patent/CN109039894A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1976313A (zh) * | 2006-09-19 | 2007-06-06 | 中国人民解放军国防科学技术大学 | 高性能路由器bgp路由协议分布并行实现方法 |
US20110242991A1 (en) * | 2008-12-19 | 2011-10-06 | Lixin Zhang | Method, device, and system for processing border gateway protocol route |
CN104243313A (zh) * | 2014-09-17 | 2014-12-24 | 清华大学 | 域间路由流量工程方法 |
CN105915457A (zh) * | 2016-04-29 | 2016-08-31 | 清华大学 | 一种基于路由校验的边界网关协议的路由更新方法 |
CN106506274A (zh) * | 2016-11-08 | 2017-03-15 | 东北大学秦皇岛分校 | 一种可动态扩展的高效单包溯源方法 |
CN107454069A (zh) * | 2017-07-21 | 2017-12-08 | 河南工程学院 | 基于as安全联盟的域间路由系统拟态防护方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101863024B1 (ko) | 분산 로드 밸런서 | |
Khan et al. | Topology discovery in software defined networks: Threats, taxonomy, and state-of-the-art | |
CN104954219B (zh) | Cdn网络访问路径优化方法、装置及系统 | |
US10749805B2 (en) | Statistical collection in a network switch natively configured as a load balancer | |
US20160164734A1 (en) | System and method of optimizing paths in a network | |
WO2016132263A1 (en) | Temporal caching for icn | |
JP2016519533A (ja) | 分散型ロード・バランサでの多重パス経路指定 | |
Soniya et al. | A survey on named data networking | |
CN106169978A (zh) | Bmp报文的处理方法和装置 | |
CN107277121B (zh) | 一种网络设备定位方法及装置 | |
Zhang et al. | A box-covering-based routing algorithm for large-scale SDNs | |
Zhao et al. | The implementation of border gateway protocol using software-defined networks: A systematic literature review | |
CN106375355A (zh) | 负载均衡处理方法及装置 | |
Bi et al. | Supporting virtualized network functions with stateful data plane abstraction | |
CN106357661B (zh) | 一种基于交换机轮换的分布式拒绝服务攻击防御方法 | |
US8046490B1 (en) | System and method for enhancing network security | |
CN109039894A (zh) | 基于bgp宣告的域间路由瓶颈恶化方法 | |
Manzanares-Lopez et al. | An MPTCP-compatible load balancing solution for pools of servers in OpenFlow SDN networks | |
Yi et al. | FlowShader: A generalized framework for GPU-accelerated VNF flow processing | |
CN105763446B (zh) | 一种链路状态信息处理方法及装置 | |
You et al. | An inter-domain multi-path flow transfer mechanism based on SDN and multi-domain collaboration | |
Liu et al. | AntiTomo: Network topology obfuscation against adversarial tomography-based topology inference | |
Dzeparoska et al. | SDX-based security collaboration: Extending the security reach beyond network domains | |
Li et al. | Toward a practical approach for BGP stability with root cause check | |
CN109257273A (zh) | 通过毒化路径加剧路由集中程度的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181218 |