CN114124464A - 一种被劫持路由的自动解封方法及装置 - Google Patents

一种被劫持路由的自动解封方法及装置 Download PDF

Info

Publication number
CN114124464A
CN114124464A CN202111254328.2A CN202111254328A CN114124464A CN 114124464 A CN114124464 A CN 114124464A CN 202111254328 A CN202111254328 A CN 202111254328A CN 114124464 A CN114124464 A CN 114124464A
Authority
CN
China
Prior art keywords
route
routing
hijacked
detection
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111254328.2A
Other languages
English (en)
Other versions
CN114124464B (zh
Inventor
刘会玉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unihub China Information Technology Co Ltd
Original Assignee
Unihub China Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unihub China Information Technology Co Ltd filed Critical Unihub China Information Technology Co Ltd
Priority to CN202111254328.2A priority Critical patent/CN114124464B/zh
Publication of CN114124464A publication Critical patent/CN114124464A/zh
Application granted granted Critical
Publication of CN114124464B publication Critical patent/CN114124464B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0659Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
    • H04L41/0661Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities by reconfiguring faulty entities
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computational Linguistics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种被劫持路由的自动解封方法及装置,其中,该方法包括:加载路由归属数据,采集AS注册信息、AS认证信息与IP地址库信息,并将三种信息入库;读取被劫持路由,从路由劫持日志表里,读取被劫持的路由prefix及其信息,进行路由异常检测;路由异常检测,对被劫持封堵的路由需要进行路由注册检测;自动解封策略生成,根据路由异常检测结果,针对需要解封的路由,自动生成解封策略;自动封堵下发并记录日志,调后台自动封堵下发接口,再根据自动解封策略,登录到相应的设备上解封路由,并记录相应的解封下发日志。该方法及装置对被劫持路由与相应的基础路由数据进一步检测,能够准确及时判断被劫持路由是否转为正常路由,达到及时解封的目的。

Description

一种被劫持路由的自动解封方法及装置
技术领域
本发明涉及网络故障领域,尤其是一种被劫持路由的自动解封方法及装置。
背景技术
被劫持路由变化后需要再及时做进一步检测,如果变化为正常路由,不能及时解封堵,会影响运营商业务流量的正常通行,对运营商的经济和声誉会造成一定影响。
在大型路由安全网络中,基于RADB即路由仲裁数据库/ROA即RPKI路由认证数据库等路由地址注册认证信息,生成客户AS关系和AS路由库,以及国家IP地址数据库,全球IP地址归属国家信息。
发明内容
为解决人工进行网络故障定位存在的上述问题,本发明提供一种被劫持路由的自动解封方法及装置,对被劫持路由与相应的基础路由数据进一步检测,能够准确及时判断被劫持路由是否转为正常路由,达到及时解封的目的,便于降低运营商运维成本,提升品牌竞争力。
为实现上述目的,本发明采用下述技术方案:
在本发明一实施例中,提出了一种被劫持路由的自动解封方法,该方法包括:
S01、加载路由归属数据,采集AS注册信息、AS认证信息与IP地址库信息,并将三种信息入库;
S02、读取被劫持路由,从路由劫持日志表里,读取被劫持的路由prefix及其信息,进行路由异常检测;
S03、路由异常检测,对被劫持封堵的路由需要进行路由注册检测;
S04、自动解封策略生成,根据路由异常检测结果,针对需要解封的路由,自动生成解封策略;
S05、自动封堵下发并记录日志,调后台自动封堵下发接口,再根据自动解封策略,登录到相应的设备上解封路由,并记录相应的解封下发日志。
进一步地,所述S01包括;
S011、根据设置需采集的路由注册数据库和相关路由注册数据库的可信级别顺序,利用IRRD软件,镜像RADB及其镜像的所有路由注册数据库,并每天同步数据到本地数据库;
S012、从RIPE网站每天下载RPKI路由认证库,解析csv数据文件,形成RPKI路由认证库数据信息;
S013、每月下载全球IP地址归属国家信息,更新到系统关系数据库;
S014、基于采集的路由认证及注册数据信息提取所有路由认证注册信息,生成路由认证注册库,叠加路由归属本地库数据,生成路由归属数据库信息。
进一步地,所述S011中的路由注册数据库包括但不限于:AFRINIC、BELL、NESTEGG、REACH、ALTDB、CANARIE。
进一步地,所述S014中的路由归属本地库为根据全球IP地址归属国家信息形成的路由归属本地库。
进一步地,所述S03中的路由注册检测优先顺序依次为Bogon路由检测、网内路由被劫持检测、路由roa认证检测、路由irr检测。
进一步地,所述S03包括:
S031、封堵记录的异常类型是Bogon异常路由,同正常劫持检测顺序进行检测,异常状态,则再登录设备进行边缘检测,所有设备均检查通过或者路由不存在,则可以解封;
S032、封堵记录的异常类型是网内异常路由,则按封堵记录的prefix和peeras做内部路由检查,内部路由检查为异常状态,则登陆到针对此路由的所有封堵执行设备,按peeras查询封堵路由的信息,所有设备路由均不存在,则可以解封;
S033、封堵记录的异常类型是ROA认证异常,按当前注册信息检查仍然不通过,登陆到针对此路由的所有封堵执行的设备,按peeras查询封堵路由的信息,获取到新的destas,按新的destas进行ROA检查,所有设备均检查通过或者路由已经不存在,则可以解封;
S034、封堵记录的异常类型是IRR注册异常,同正常劫持检测顺序进行检测,通过则解封。
进一步地,所述所有异常类型均省略community过滤规则。
在本发明一实施例中,还提出了一种被劫持路由的自动解封装置,该装置包括:
加载路由归属数据模块,采集AS注册信息、AS认证信息与IP地址库信息,并将三种信息入库;
读取被劫持路由模块,从路由劫持日志表里,读取被劫持的路由prefix及其信息,进行路由异常检测;
路由异常检测模块,对被劫持封堵的路由需要进行路由注册检测;
自动解封策略生成模块,根据路由异常检测结果,针对需要解封的路由,自动生成解封策略;
自动封堵下发并记录日志模块,调后台自动封堵下发接口,再根据自动解封策略,登录到相应的设备上解封路由,并记录相应的解封下发日志。
进一步地,所述读取被劫持路由模块包括;
镜像及同步数据模块、根据设置需采集的路由注册数据库和相关路由注册数据库的可信级别顺序,利用IRRD软件,镜像RADB及其镜像的所有路由注册数据库,并每天同步数据到本地数据库;
下载解析模块、从RIPE网站每天下载RPKI路由认证库,解析csv数据文件,形成RPKI路由认证库数据信息;
下载更新模块、每月下载全球IP地址归属国家信息,更新到系统关系数据库;
生成模块、基于采集的路由认证及注册数据信息提取所有路由认证注册信息,生成路由认证注册库,叠加路由归属本地库数据,生成路由归属数据库信息。
进一步地,所述镜像及同步数据模块中的路由注册数据库包括但不限于:AFRINIC、BELL、NESTEGG、REACH、ALTDB、CANARIE。
进一步地,所述生成模块中的路由归属本地库为根据全球IP地址归属国家信息形成的路由归属本地库。
进一步地,所述路由异常检测模块中的路由注册检测优先顺序依次为Bogon路由检测、网内路由被劫持检测、路由roa认证检测、路由irr检测。
进一步地,所述路由异常检测模块包括:
Bogon路由检测、封堵记录的异常类型是Bogon异常路由,同正常劫持检测顺序进行检测,异常状态,则再登录设备进行边缘检测,所有设备均检查通过或者路由不存在,则可以解封;
网内路由被劫持检测模块、封堵记录的异常类型是网内异常路由,则按封堵记录的prefix和peeras做内部路由检查,内部路由检查为异常状态,则登陆到针对此路由的所有封堵执行设备,按peeras查询封堵路由的信息,所有设备路由均不存在,则可以解封;
路由roa认证检测模块、封堵记录的异常类型是ROA认证异常,按当前注册信息检查仍然不通过,登陆到针对此路由的所有封堵执行的设备,按peeras查询封堵路由的信息,获取到新的destas,按新的destas进行ROA检查,所有设备均检查通过或者路由已经不存在,则可以解封;
路由irr检测模块、封堵记录的异常类型是IRR注册异常,同正常劫持检测顺序进行检测,通过则解封。
进一步地,所述所有异常类型均省略community过滤规则。
在本发明一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述被劫持路由的自动解封方法。
在本发明一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行被劫持路由的自动解封方法的计算机程序。
有益效果:
1、基于多种路由地址库的综合检测;
2、基于劫持封堵基础上自动生成解封策略;
3、基于设备进行自动解封;
4、实时解封。
附图说明
图1是本发明的被劫持路由的自动解封方法流程示意图;
图2是本发明一实施例的被劫持路由的自动解封装置结构示意图;
图3是本发明一实施例的计算机设备结构示意图。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神,应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
本发明涉及到的名词解释:
AS:自治系统(Autonomous System);
IRRD:因特网路由注册域(InternetRoutingRegistryDaemon);
RADB:路由仲裁数据库(RoutingArbiterDatabase);
Prefix:路由前缀;
Peeras:对端AS号;
destas:目的AS号;
community:团体,本发明中指BGP(边界网关协议)的团体属性。
根据本发明的实施方式,提出了一种被劫持路由的自动解封方法及装置,对被劫持路由与相应的基础路由数据进一步检测,能够准确及时判断被劫持路由是否转为正常路由,达到及时解封的目的,便于降低运营商运维成本,提升品牌竞争力。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
图1是本发明一实施例的被劫持路由的自动解封方法流程示意图。如图1所示,该方法包括:
S01、加载路由归属数据,采集AS注册信息、AS认证信息与IP地址库信息,并将三种信息入库;
S02、读取被劫持路由,从路由劫持日志表里,读取被劫持的路由prefix及其信息,进行路由异常检测;
S03、路由异常检测,对被劫持封堵的路由需要进行路由注册检测;
S04、自动解封策略生成,根据路由异常检测结果,针对需要解封的路由,自动生成解封策略;
S05、自动封堵下发并记录日志,调后台自动封堵下发接口,再根据自动解封策略,登录到相应的设备上解封路由,并记录相应的解封下发日志。
所述S01包括;
S011、根据设置需采集的路由注册数据库和相关路由注册数据库的可信级别顺序,利用IRRD软件,镜像RADB及其镜像的所有路由注册数据库,并每天同步数据到本地数据库;
S012、从RIPE网站每天下载RPKI路由认证库,解析csv数据文件,形成RPKI路由认证库数据信息;
S013、每月下载全球IP地址归属国家信息,更新到系统关系数据库;
S014、基于采集的路由认证及注册数据信息提取所有路由认证注册信息,生成路由认证注册库,叠加路由归属本地库数据,生成路由归属数据库信息。
所述S011中的路由注册数据库包括但不限于:AFRINIC、BELL、NESTEGG、REACH、ALTDB、CANARIE。
所述S014中的路由归属本地库为根据全球IP地址归属国家信息形成的路由归属本地库。
所述S03中的路由注册检测优先顺序依次为Bogon路由检测、网内路由被劫持检测、路由roa认证检测、路由irr检测。
所述S03包括:
S031、封堵记录的异常类型是Bogon异常路由,同正常劫持检测顺序进行检测,异常状态,则再登录设备进行边缘检测,所有设备均检查通过或者路由不存在,则可以解封;
S032、封堵记录的异常类型是网内异常路由,则按封堵记录的prefix和peeras做内部路由检查,内部路由检查为异常状态,则登陆到针对此路由的所有封堵执行设备,按peeras查询封堵路由的信息,所有设备路由均不存在,则可以解封;
S033、封堵记录的异常类型是ROA认证异常,按当前注册信息检查仍然不通过,登陆到针对此路由的所有封堵执行的设备,按peeras查询封堵路由的信息,获取到新的destas,按新的destas进行ROA检查,所有设备均检查通过或者路由已经不存在,则可以解封;
S034、封堵记录的异常类型是IRR注册异常,同正常劫持检测顺序进行检测,通过则解封。
所有异常类型均省略community过滤规则。
为了对上述被劫持路由的自动解封方法进行更为清楚的解释,下面结合一个具体的实施例来进行说明,然而值得注意的是该实施例仅是为了更好地说明本发明,并不构成对本发明不当的限定。
实施例一:
196.195.8.0/24,状态“地址未分配”;
进行Bogon路由检测,查询相应的Bogon路由基础数据,196.195.8.0/24命中Bogon范围的基础数据,再进行网内路由被劫持检测->ROA认证检测->IRR检测,检测全部通过,停止检测,进行自动解封并改状态为正常。
实施例二:
185.226.56.0/22,状态“ROA认证异常”;
进行ROA认证检测,检测通过,在进行IRR检测,检测也通过,停止检测,进行自动解封并改状态为正常。
实施例三:
103.252.204.0/22,状态“IRR注册异常”;
进行IRR注册检测,检测通过,停止检测,进行自动解封并改状态为正常。
基于同一发明构思,本发明还提出一种被劫持路由的自动解封装置。该装置的实施可以参见上述方法的实施,重复之处不再赘述。以下所使用的术语“模块”,可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图2是本发明一实施例的被劫持路由的自动解封装置结构示意图。如图2所示,该装置包括:
加载路由归属数据模块110,采集AS注册信息、AS认证信息与IP地址库信息,并将三种信息入库;
读取被劫持路由模块120,从路由劫持日志表里,读取被劫持的路由prefix及其信息,进行路由异常检测;
路由异常检测模块130,对被劫持封堵的路由需要进行路由注册检测;
自动解封策略生成模块140,根据路由异常检测结果,针对需要解封的路由,自动生成解封策略;
自动封堵下发并记录日志模块150,调后台自动封堵下发接口,再根据自动解封策略,登录到相应的设备上解封路由,并记录相应的解封下发日志。
所述读取被劫持路由模块120包括;
镜像及同步数据模块、根据设置需采集的路由注册数据库和相关路由注册数据库的可信级别顺序,利用IRRD软件,镜像RADB及其镜像的所有路由注册数据库,并每天同步数据到本地数据库;
下载解析模块、从RIPE网站每天下载RPKI路由认证库,解析csv数据文件,形成RPKI路由认证库数据信息;
下载更新模块、每月下载全球IP地址归属国家信息,更新到系统关系数据库;
生成模块、基于采集的路由认证及注册数据信息提取所有路由认证注册信息,生成路由认证注册库,叠加路由归属本地库数据,生成路由归属数据库信息。
所述镜像及同步数据模块中的路由注册数据库包括但不限于:AFRINIC、BELL、NESTEGG、REACH、ALTDB、CANARIE。
所述生成模块中的路由归属本地库为根据全球IP地址归属国家信息形成的路由归属本地库。
所述路由异常检测模块130中的路由注册检测优先顺序依次为Bogon路由检测、网内路由被劫持检测、路由roa认证检测、路由irr检测。
所述路由异常检测模块130包括:
Bogon路由检测、封堵记录的异常类型是Bogon异常路由,同正常劫持检测顺序进行检测,异常状态,则再登录设备进行边缘检测,所有设备均检查通过或者路由不存在,则可以解封;
网内路由被劫持检测模块、封堵记录的异常类型是网内异常路由,则按封堵记录的prefix和peeras做内部路由检查,内部路由检查为异常状态,则登陆到针对此路由的所有封堵执行设备,按peeras查询封堵路由的信息,所有设备路由均不存在,则可以解封;
路由roa认证检测模块、封堵记录的异常类型是ROA认证异常,按当前注册信息检查仍然不通过,登陆到针对此路由的所有封堵执行的设备,按peeras查询封堵路由的信息,获取到新的destas,按新的destas进行ROA检查,所有设备均检查通过或者路由已经不存在,则可以解封;
路由irr检测模块、封堵记录的异常类型是IRR注册异常,同正常劫持检测顺序进行检测,通过则解封。
所述所有异常类型均省略community过滤规则。
应当注意,尽管在上文详细描述中提及了被劫持路由的自动解封装置的若干模块,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
基于前述发明构思,如图3所示,本发明还提出一种计算机设备200,包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230,处理器220执行计算机程序230时实现前述被劫持路由的自动解封方法。
基于前述发明构思,本发明还提出一种计算机可读存储介质,计算机可读存储介质存储有执行前述被劫持路由的自动解封方法的计算机程序。
本发明提出的被劫持路由的自动解封方法及装置,在大型路由安全网络中,基于RADB(路由仲裁数据库)/ROA(RPKI路由认证数据库)等路由地址注册认证信息,生成客户AS关系和AS路由库,以及国家IP地址数据库(全球IP地址归属国家信息),以这些路由地址库数据作为基础数据,对已经被劫持封堵路由再次做劫持检测,检测时将已被劫持封堵的路由与基础数据再进行劫持检测,如果能通过检测视为正常路由,系统将对此被劫持路由进行自动解封,解决异常路由变化为正常路由的自动处置问题。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (16)

1.一种被劫持路由的自动解封方法,其特征在于,该方法包括:
S01、加载路由归属数据,采集AS注册信息、AS认证信息与IP地址库信息,并将三种信息入库;
S02、读取被劫持路由,从路由劫持日志表里,读取被劫持的路由prefix及其信息,进行路由异常检测;
S03、路由异常检测,对被劫持封堵的路由需要进行路由注册检测;
S04、自动解封策略生成,根据路由异常检测结果,针对需要解封的路由,自动生成解封策略;
S05、自动封堵下发并记录日志,调后台自动封堵下发接口,再根据自动解封策略,登录到相应的设备上解封路由,并记录相应的解封下发日志。
2.根据权利要求1所述的被劫持路由的自动解封方法,其特征在于,所述S01包括;
S011、根据设置需采集的路由注册数据库和相关路由注册数据库的可信级别顺序,利用IRRD软件,镜像RADB及其镜像的所有路由注册数据库,并每天同步数据到本地数据库;
S012、从RIPE网站每天下载RPKI路由认证库,解析csv数据文件,形成RPKI路由认证库数据信息;
S013、每月下载全球IP地址归属国家信息,更新到系统关系数据库;
S014、基于采集的路由认证及注册数据信息提取所有路由认证注册信息,生成路由认证注册库,叠加路由归属本地库数据,生成路由归属数据库信息。
3.根据权利要求2所述的被劫持路由的自动解封方法,其特征在于,所述S011中的路由注册数据库包括但不限于:AFRINIC、BELL、NESTEGG、REACH、ALTDB、CANARIE。
4.根据权利要求2所述的被劫持路由的自动解封方法,其特征在于,所述S014中的路由归属本地库为根据全球IP地址归属国家信息形成的路由归属本地库。
5.根据权利要求1所述的被劫持路由的自动解封方法,其特征在于,所述S03中的路由注册检测优先顺序依次为Bogon路由检测、网内路由被劫持检测、路由roa认证检测、路由irr检测。
6.根据权利要求4所述的被劫持路由的自动解封方法,其特征在于,所述S03包括:
S031、封堵记录的异常类型是Bogon异常路由,同正常劫持检测顺序进行检测,异常状态,则再登录设备进行边缘检测,所有设备均检查通过或者路由不存在,则可以解封;
S032、封堵记录的异常类型是网内异常路由,则按封堵记录的prefix和peeras做内部路由检查,内部路由检查为异常状态,则登陆到针对此路由的所有封堵执行设备,按peeras查询封堵路由的信息,所有设备路由均不存在,则可以解封;
S033、封堵记录的异常类型是ROA认证异常,按当前注册信息检查仍然不通过,登陆到针对此路由的所有封堵执行的设备,按peeras查询封堵路由的信息,获取到新的destas,按新的destas进行ROA检查,所有设备均检查通过或者路由已经不存在,则可以解封;
S034、封堵记录的异常类型是IRR注册异常,同正常劫持检测顺序进行检测,通过则解封。
7.根据权利要求5所述的被劫持路由的自动解封方法,其特征在于,所述所有异常类型均省略community过滤规则。
8.一种被劫持路由的自动解封装置,其特征在于,该装置包括:
加载路由归属数据模块,采集AS注册信息、AS认证信息与IP地址库信息,并将三种信息入库;
读取被劫持路由模块,从路由劫持日志表里,读取被劫持的路由prefix及其信息,进行路由异常检测;
路由异常检测模块,对被劫持封堵的路由需要进行路由注册检测;
自动解封策略生成模块,根据路由异常检测结果,针对需要解封的路由,自动生成解封策略;
自动封堵下发并记录日志模块,调后台自动封堵下发接口,再根据自动解封策略,登录到相应的设备上解封路由,并记录相应的解封下发日志。
9.根据权利要求8所述的被劫持路由的自动解封装置,其特征在于,所述读取被劫持路由模块包括;
镜像及同步数据模块、根据设置需采集的路由注册数据库和相关路由注册数据库的可信级别顺序,利用IRRD软件,镜像RADB及其镜像的所有路由注册数据库,并每天同步数据到本地数据库;
下载解析模块、从RIPE网站每天下载RPKI路由认证库,解析csv数据文件,形成RPKI路由认证库数据信息;
下载更新模块、每月下载全球IP地址归属国家信息,更新到系统关系数据库;
生成模块、基于采集的路由认证及注册数据信息提取所有路由认证注册信息,生成路由认证注册库,叠加路由归属本地库数据,生成路由归属数据库信息。
10.根据权利要求9所述的被劫持路由的自动解封装置,其特征在于,所述镜像及同步数据模块中的路由注册数据库包括但不限于:AFRINIC、BELL、NESTEGG、REACH、ALTDB、CANARIE。
11.根据权利要求9所述的被劫持路由的自动解封装置,其特征在于,所述生成模块中的路由归属本地库为根据全球IP地址归属国家信息形成的路由归属本地库。
12.根据权利要求8所述的被劫持路由的自动解封装置,其特征在于,所述路由异常检测模块中的路由注册检测优先顺序依次为Bogon路由检测、网内路由被劫持检测、路由roa认证检测、路由irr检测。
13.根据权利要求12所述的被劫持路由的自动解封装置,其特征在于,所述路由异常检测模块包括:
Bogon路由检测、封堵记录的异常类型是Bogon异常路由,同正常劫持检测顺序进行检测,异常状态,则再登录设备进行边缘检测,所有设备均检查通过或者路由不存在,则可以解封;
网内路由被劫持检测模块、封堵记录的异常类型是网内异常路由,则按封堵记录的prefix和peeras做内部路由检查,内部路由检查为异常状态,则登陆到针对此路由的所有封堵执行设备,按peeras查询封堵路由的信息,所有设备路由均不存在,则可以解封;
路由roa认证检测模块、封堵记录的异常类型是ROA认证异常,按当前注册信息检查仍然不通过,登陆到针对此路由的所有封堵执行的设备,按peeras查询封堵路由的信息,获取到新的destas,按新的destas进行ROA检查,所有设备均检查通过或者路由已经不存在,则可以解封;
路由irr检测模块、封堵记录的异常类型是IRR注册异常,同正常劫持检测顺序进行检测,通过则解封。
14.根据权利要求8所述的被劫持路由的自动解封装置,其特征在于,所述所有异常类型均省略community过滤规则。
15.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-7所述方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1-7所述方法的计算机程序。
CN202111254328.2A 2021-10-27 2021-10-27 一种被劫持路由的自动解封方法及装置 Active CN114124464B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111254328.2A CN114124464B (zh) 2021-10-27 2021-10-27 一种被劫持路由的自动解封方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111254328.2A CN114124464B (zh) 2021-10-27 2021-10-27 一种被劫持路由的自动解封方法及装置

Publications (2)

Publication Number Publication Date
CN114124464A true CN114124464A (zh) 2022-03-01
CN114124464B CN114124464B (zh) 2023-08-08

Family

ID=80376969

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111254328.2A Active CN114124464B (zh) 2021-10-27 2021-10-27 一种被劫持路由的自动解封方法及装置

Country Status (1)

Country Link
CN (1) CN114124464B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102158469A (zh) * 2011-01-27 2011-08-17 电子科技大学 一种边界网关协议前缀劫持攻击防范方法
US20160219024A1 (en) * 2015-01-26 2016-07-28 Listal Ltd. Secure Dynamic Communication Network And Protocol
CN107566320A (zh) * 2016-06-30 2018-01-09 中国电信股份有限公司 一种网络劫持检测方法、装置与网络系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102158469A (zh) * 2011-01-27 2011-08-17 电子科技大学 一种边界网关协议前缀劫持攻击防范方法
US20160219024A1 (en) * 2015-01-26 2016-07-28 Listal Ltd. Secure Dynamic Communication Network And Protocol
CN107566320A (zh) * 2016-06-30 2018-01-09 中国电信股份有限公司 一种网络劫持检测方法、装置与网络系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李原;沈辰;: "互联网路由可信验证与感知分析技术", 电子技术与软件工程, no. 06 *

Also Published As

Publication number Publication date
CN114124464B (zh) 2023-08-08

Similar Documents

Publication Publication Date Title
CN110149350B (zh) 一种告警日志关联的网络攻击事件分析方法及装置
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
CN110505235B (zh) 一种绕过云waf的恶意请求的检测系统及方法
CN108259630B (zh) 未备案网站探测方法、平台和系统
CN111262879A (zh) 一种基于仿真路径分析的防火墙安全策略开通方法及装置
CN106899612B (zh) 一种自动检测假冒主机arp欺骗的方法
EP3584990A1 (en) Data processing method, device, and system
CN112738095A (zh) 一种检测非法外联的方法、装置、系统、存储介质及设备
US11356468B2 (en) System and method for using inventory rules to identify devices of a computer network
EP3767913B1 (en) Systems and methods for correlating events to detect an information security incident
US11399036B2 (en) Systems and methods for correlating events to detect an information security incident
US11683336B2 (en) System and method for using weighting factor values of inventory rules to efficiently identify devices of a computer network
US20230006898A1 (en) A Method of Capturing Packets from a Container in a Cluster
CN114124464A (zh) 一种被劫持路由的自动解封方法及装置
CN113098727A (zh) 一种数据包检测处理方法与设备
CN115051851B (zh) 物联网场景下的用户访问行为管控系统和方法
CN102438023A (zh) 恶意远程过程调用行为的检测方法和装置
CN115883574A (zh) 工业控制网络中的接入设备识别方法及装置
Holkovič et al. Automating network security analysis at packet-level by using rule-based engine
Ohmori On automation and orchestration of an initial computer security incident response by introducing centralized incident tracking system
Doshi et al. Digital forensics analysis for network related data
CN106789150B (zh) 一种网络故障检测方法及装置
CN115065613B (zh) 一种基于防火墙配置的网络连通性分析系统及分析方法
CN117240612B (zh) 基于多模过滤的失陷物联网设备安全检测方法及装置
CN113672464B (zh) 业务可用性的监测方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant