CN114124811B - 一种路由泄露实时监测方法 - Google Patents
一种路由泄露实时监测方法 Download PDFInfo
- Publication number
- CN114124811B CN114124811B CN202111227988.1A CN202111227988A CN114124811B CN 114124811 B CN114124811 B CN 114124811B CN 202111227988 A CN202111227988 A CN 202111227988A CN 114124811 B CN114124811 B CN 114124811B
- Authority
- CN
- China
- Prior art keywords
- route
- client
- routing
- leakage
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种路由泄露实时监测方法,包括:建立RR反射,通过BGP协议建立对等的IBGP邻居,从而学习到目标AS域内的路由信息;通过RR获取路由表数据,通过RR学习的到的路由表信息对应解析其中的邻居AS属性,将其中的第一个解析为ASPATH,最后一个解析为目标AS存到数据表中;配置合法AS和对应的AS集合;比对配置判断是否为泄露路由;周期性刷新泄露路由数据。本发明通过建立RR邻居获取当前AS域路由表信息,然后检测分析路由表中AS路由是否合法,由此得到非法AS的泄露路由。本发明能够全面的检查出所有非配置范围内的泄露路由;基于BGP路由表快速更新的特性比传统检测方式更为快捷和实效。
Description
技术领域
本发明涉及路由监测领域,尤其是一种路由泄露实时监测方法。
背景技术
自治系统(AS,Autonomous System)之间的通信,需要通过边界路由器按照BGP(Border Gateway Protocol,边界网关协议)表中相应的AS路径进行路由转发。AS路径可以理解为一组由不同AS的ASN(Autonomous System Number,自治系统号)组成的编码,AS路径也可以称为路由策略。如果边界路由器未按照BGP表中相应的AS路径进行路由转发,就可能发生了路由泄露。路由泄露会破坏通信关系,容易造成信息泄露等不良情况发生。
由于互联网行业迅速发展相应的通信业务也越来越紧密联系到大家的生活,在2019年国际上也发生了重大的路由泄露事故,相应网络安全也成为重中之重。为了保障运营商网络中路由实时的安全性,相应做了路由泄露的实时监测方法装置,以达到实时高效的现网路由安全检查,最大化避免路由泄露事故发生。
发明内容
为克服路由泄露的问题,本发明提供一种路由泄露实时监测方法,通过建立RR邻居获取当前AS域路由表信息,然后检测分析路由表中AS路由是否合法,由此得到非法AS的泄露路由。
为实现上述目的,本发明采用下述技术方案:
在本发明一实施例中,提出了一种路由泄露实时监测方法,该方法包括:
S01、建立RR反射,通过BGP协议建立对等的IBGP邻居,从而学习到目标AS域内的路由信息;
S02、通过RR获取路由表数据,通过RR学习的到的路由表信息对应解析其中的邻居AS属性,将其中的第一个解析为ASPATH,最后一个解析为目标AS存到数据表中;
S03、配置合法AS和对应的AS集合;
S04、比对配置判断是否为泄露路由;
S05、周期性刷新泄露路由数据。
进一步地,所述S01中的学习为设备将自身路由转发给所有的IBGP对等体,互相学习到邻居设备路由。
进一步地,所述S02中的邻居AS属性为邻居AS的数值。
进一步地,所述S02中的数据表为路由泄露日志表。
进一步地,所述S03包括:
S031、按AS号和AS名称查询已配置AS信息,AS号严格匹配,AS名称模糊匹配;
S032、按照指定AS配置对应合法的AS集合。
进一步地,所述S04包括:
S041、读取客户AS路由监测配置数据,找到需要监测的客户AS及对应的ASSET的配置;
S042、从路由注册数据库提取各客户合法AS集合的AS号清单;
S043从RR当前路由表提取PEERAS为上述客户AS的路由条目,维护客户AS实时路由表,并按路由ORIGINAS判定路由合规性,获取各AS实时路由合规情况。
进一步地,所述S043中判定路由合规性为判断该路由的path信息中目标AS是否在客户AS的白名单AS集合中,如果在即为合规路由,如果不在则为非法路由。
进一步地,所述S05包括:
S051、客户AS监测配置信息更新后,触发重新加载路由监测配置数据;每天路由注册数据库同步后,触发重新加载上述监测数据;
S052、接收RR路由表的路由更新消息,维护客户AS的实时路由表及路由合规情况,记录所有不合规路由的所有历史变化记录;
S053、每分钟对所有存在不合规路由的客户AS生成告警。
在本发明一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述路由泄露实时监测方法。
在本发明一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行路由泄露实时监测方法的计算机程序。
有益效果:
本发明通过建立RR邻居获取当前AS域路由表信息,然后检测分析路由表中AS路由是否合法,由此得到非法AS的泄露路由。本发明能够全面的检查出所有非配置范围内的泄露路由;基于BGP路由表快速更新的特性比传统检测方式更为快捷和实效。
附图说明
图1是本发明一实施例的路由泄露实时监测方法框图;
图2是本发明一实施例的计算机设备结构示意图。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神,应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
根据本发明的实施方式,提出了一种路由泄露实时监测方法,通过建立RR邻居获取当前AS域路由表信息,然后检测分析路由表中AS路由是否合法,由此得到非法AS的泄露路由。
本发明涉及到的名词解释:
BGP:边界网关协议BGP(Border Gateway Protocol)是一种实现自治系统AS(Autonomous System)之间的路由可达,并选择最佳路由的距离矢量路由协议。
AS:互联网是一个网络,它被分解成数十万个称为自治系统(AS)的小型网络。这些网络中的每一个本质上都是由单个组织运行的大型路由器池,自治系统是由单个组织管理的大型网络或网络组。AS可能有许多子网,但都共享相同的路由策略。通常,AS是ISP或具有自己的网络的非常大的组织,以及从该网络到ISP的多个上游连接(这称为“多宿主网络”)。每个AS都分配有自己的自治系统编号(ASN),以便轻松识别它们。
RR反射:路由反射器(RR)的作用主要是为了简化IBGP邻居配置,使用反射器后允许反射器将来自IBGP邻居的路由信息发给另一个或一组IBGP邻居。路由器让被配置为路由反射器的路由器向其他IBGP对等体传输由IBGP所学到的路由来修改BGP的横向隔离规则,也就不再需要全互连的IBGP对等体。
ORIGINAS:起始自治系统号(origin-as)。
PEERAS:相邻最近的自治系统号(peer-as)。
ASPATH:BGP路由每经过一个AS,就会将这个AS号加入自已的AS-Path中。相当于所进过的AS域的记录。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
本发明主要通过建了RR邻居来获取AS域内所有路由表信息,通过获取到的路由表信息和合法路由配置比对判断分析出泄露路由信息,之后通过周期性监测实时更新泄露路由信息。如图1所示,该方法包括:
S01、建立RR反射,通过BGP协议建立对等的IBGP邻居,从而学习到目标AS域内的路由信息。
学习到,即设备会将自身路由转发给所有的IBGP对等体,从而达到传播路由的目的,即互相学习到邻居设备路由。
S02、通过RR获取路由表数据,通过RR学习的到的路由表信息对应解析其中的邻居AS属性,将其中的第一个解析为ASPATH,最后一个解析为目标AS存到数据表中,数据表为路由泄露日志表。
上述提及的邻居AS是路由信息的一种属性,目标AS是需要对接采集的AS域。
邻居AS属性为邻居AS的数值,例如:路由path信息为1386283270856976,其中第一段138628为邻居AS,最后一段56976为目标AS。
S03、配置合法AS和对应的AS集合:
S031、按AS号和AS名称通过预先手工添加的客户信息AS表查询已配置AS信息,AS号严格匹配,AS名称模糊匹配;
S032、可以按照指定AS配置对应合法的AS集合,例如:客户AS:703;客户名称:MCI;客户白名单AS集合:7594,9229,9466。
S04、比对配置判断是否为泄露路由:
客户AS路由监测配置数据与RR当前路由表数据进行比对,路由注册数据库就是客户AS路由监测配置数据,将当前RR路由表中的采集信息和AS客户配置数据进行比对。
S041、读取配置好需要检测客户AS数据,找到需要监测的客户AS及对应的ASSET的配置;
S042、从路由注册数据库提取各客户合法AS集合的AS号清单;
S043、从RR当前路由表提取PEERAS为上述客户AS的路由条目,维护客户AS实时路由表,并按路由ORIGINAS判定路由合规性,获取各AS实时路由合规情况;路由合规性的判定,判断该路由的pat信息中目标AS是否在客户AS的白名单AS集合中,如果在即为合规路由,如果不在则为非法路由。
S05、周期性刷新泄露路由数据:
S051、客户AS监测配置信息更新后,触发重新加载上述监测数据即配置好的客户AS的白名单AS集合;每天路由注册数据库同步后,触发重新加载上述监测数据;
S052、接收RR路由表的路由更新消息,维护客户AS的实时路由表及路由合规情况,记录所有不合规路由的所有历史变化记录;
S053、每分钟可以对所有存在不合规路由的客户AS生成告警。
需要说明的是,尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
为了对上述路由泄露实时监测方法进行更为清楚的解释,下面结合一个具体的实施例来进行说明,然而值得注意的是该实施例仅是为了更好地说明本发明,并不构成对本发明不当的限定。
S01、收集到RR路由信息,如下表1:
表1
| 路由 | 邻居ip地址 | 源IP地址 | Aspath信息 | 邻居AS | 目标AS |
| 85.92.102.0/24 | 202.97.32.1 | 202.97.32.93 | 13628327085976 | 13628 | 5976 |
| 154.92.1.0/24 | 202.97.32.1 | 202.97.32.93 | 437889732163 | 4378 | 2163 |
| 103.214.168.0/22 | 202.97.32.1 | 202.97.32.93 | 34801126142152741 | 3480 | 2741 |
Aspath中第一段为邻居AS最后一段为目标AS。
S02、维护检测客户AS信息数据,如下表2:
表2
| 客户AS | 客户AS名称 | 客户AS白名单集合 | 客户AS更新时间 | 是否监测 |
| 13628 | WTT | 6218;5741;3312;5976 | 202109211217 | 是 |
| 4378 | Apple | 3245;32125 | 202109241443 | 是 |
| 3480 | TOKAI | 37621;4221;34223 | 202109250907 | 否 |
S03、判断路由是否合规否则为泄露路由。
如何判断:
路由85.92.102.0/24的邻居AS是13628,aspath的目标AS是5976,其中邻居AS13628在检测客户
范围内,而且目标AS5976在监测客户AS的13628的白名单集合内,则判断该路由为合法路由。
路由154.92.1.0/24的邻居AS4378在监测客户AS范围内,而且其aspath中的目标AS2163不在客户AS4378的白名单之内则判断154.92.1.0/24为非法的泄露路由。
S04、定期更新客户AS信息。
更新后客户AS信息如下表3:
表3
| 客户AS | 客户AS名称 | 客户AS白名单集合 | 客户AS更新时间 | 是否监测 |
| 13628 | WTT | 6218;3312;5976 | 202109281217 | 是 |
| 4378 | Apple | 3245;32125;2163 | 202109281217 | 是 |
| 3480 | TOKAI | 37621;4221 | 202109281217 | 否 |
S05、更新后重新检查路由是否合规同时进行周期性监测。
更新后
路由154.92.1.0/24的邻居AS4378在监测客户AS范围内,而且其aspath中的目标AS2163在客户AS4378的白名单之内则判断154.92.1.0/24为合法路由。
周期性监测:每20分钟做一次RR路由信息和AS配置信息比对,获取泄露路由。
通过定期分析汇总入库记录。
将每次分析泄露数据按时间入库保存,如下表4:
表4
| 泄露路由 | AS客户信息 | AS客户名称 | 泄露时间 |
| 154.92.1.0/24 | 4378 | Apple | 202109271120 |
| 154.92.1.0/24 | 4378 | Apple | 202109271140 |
| 34.71.18.0/24 | 65221 | TimeBerhad | 202109271140 |
基于前述发明构思,如图2所示,本发明还提出一种计算机设备100,包括存储器110、处理器120及存储在存储器110上并可在处理器120上运行的计算机程序130,处理器120执行计算机程序130时实现前述路由泄露实时监测方法。
基于前述发明构思,本发明还提出一种计算机可读存储介质,计算机可读存储介质存储有执行前述路由泄露实时监测方法的计算机程序。
本发明提出的路由泄露实时监测方法,通过建立RR邻居获取当前AS域路由表信息,然后检测分析路由表中AS路由是否合法,由此得到非法AS的泄露路由。本发明能够全面的检查出所有非配置范围内的泄露路由;基于BGP路由表快速更新的特性比传统检测方式更为快捷和实效。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (3)
1.一种路由泄漏实时监测方法,其特征在于,该方法包括:
S01、建立RR反射,通过BGP协议建立对等的IBGP 邻居,设备将自身路由转发给所有对等的IBGP 邻居,IBGP 邻居从而学习到AS域内的路由信息,并形成RR当前路由表;
S02、通过RR当前路由表信息数据,获取路由、邻居IP地址、源IP地址与ASPATH信息,解析RR当前路由表中的ASPATH信息,将ASPATH信息中的第一段AS处理为邻居AS,将ASPATH信息最后一段AS处理为目标AS;
S03、配置合法AS和对应的AS集合;
S031、配置客户AS号、客户AS名称以及对应的客户AS白名单集合,形成客户AS实时路由表;
S032、按客户AS号和客户AS名称查询客户AS白名单集合,客户AS号严格匹配,客户AS名称模糊匹配;
S04、比对配置判断是否为泄漏路由,包括:
S041、读取客户AS路由监测配置数据,找到需要监测的客户AS及对应的ASSET的配置;
S042、从路由注册数据库提取各客户AS白名单集合的AS号清单;
S043从RR当前路由表提取邻居AS为上述客户AS的路由条目,维护客户AS实时路由表,并按路由ORIGINAS判定路由合规性,获取各AS实时路由合规情况;
所述S043中判定路由合规性为:判断该路由的ASPATH信息中目标AS是否在客户AS白名单集合中,如果在即为合规路由,如果不在则为非法的泄露路由;
S05包括:
S051、根据实际需求更新客户AS号和客户AS名称以及对应的客户AS白名单集合;
S052、更新后重新检查并比对RR当前路由表是否存在泄漏路由;
S053、周期性重复S051与S052;
S054、每次比对的泄漏路由数据按时间进行记录处理;
所述AS为:自治系统全称Autonomous System,自治系统是由单个组织管理的大型网络或网络组;
所述BGP为:边界网关协议BGP,全称Border Gateway Protocol,是一种实现自治系统AS之间的路由可达,并选择最佳路由的距离矢量路由协议;
所述RR反射为:路由反射器,主要作用是为了简化IBGP邻居配置,使用路由反射器后允许路由反射器将来自IBGP邻居的路由信息发给另一个或一组IBGP邻居;
所述ORIGINAS为:起始自治系统号;
所述ASPATH为:BGP路由每经过一个AS,就会将这个AS号加入自已的AS-Path中,即进过的AS域的记录。
2.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1所述方法。
3.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111227988.1A CN114124811B (zh) | 2021-10-21 | 2021-10-21 | 一种路由泄露实时监测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111227988.1A CN114124811B (zh) | 2021-10-21 | 2021-10-21 | 一种路由泄露实时监测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124811A CN114124811A (zh) | 2022-03-01 |
| CN114124811B true CN114124811B (zh) | 2023-08-01 |
Family
ID=80376349
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111227988.1A Active CN114124811B (zh) | 2021-10-21 | 2021-10-21 | 一种路由泄露实时监测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124811B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011114743A (ja) * | 2009-11-30 | 2011-06-09 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク監視方法及びネットワーク監視装置 |
| CN104468349A (zh) * | 2014-11-27 | 2015-03-25 | 中国科学院计算机网络信息中心 | 一种基于逐跳监督的bgp路由验证方法 |
| CN109756419A (zh) * | 2017-11-07 | 2019-05-14 | 中国电信股份有限公司 | 路由信息分发方法、装置以及rr |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9722919B2 (en) * | 2014-01-22 | 2017-08-01 | Cisco Technology, Inc. | Tying data plane paths to a secure control plane |
| CN107026791B (zh) * | 2016-01-29 | 2021-02-12 | 华为技术有限公司 | 虚拟专用网络vpn业务优化方法和设备 |
| US10200375B2 (en) * | 2016-03-15 | 2019-02-05 | Sony Interactive Entertainment America Llc | Dynamic denial of service detection and automated safe mitigation |
| CN112953740B (zh) * | 2019-12-10 | 2023-11-03 | 中盈优创资讯科技有限公司 | 路由信息的监控方法及装置 |
-
2021
- 2021-10-21 CN CN202111227988.1A patent/CN114124811B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011114743A (ja) * | 2009-11-30 | 2011-06-09 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク監視方法及びネットワーク監視装置 |
| CN104468349A (zh) * | 2014-11-27 | 2015-03-25 | 中国科学院计算机网络信息中心 | 一种基于逐跳监督的bgp路由验证方法 |
| CN109756419A (zh) * | 2017-11-07 | 2019-05-14 | 中国电信股份有限公司 | 路由信息分发方法、装置以及rr |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124811A (zh) | 2022-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hu et al. | Accurate real-time identification of IP prefix hijacking | |
| US10356106B2 (en) | Detecting anomaly action within a computer network | |
| Shi et al. | Detecting prefix hijackings in the internet with argus | |
| Magoni | Tearing down the Internet | |
| US9967162B2 (en) | Generic discovery for computer networks | |
| US8533819B2 (en) | Method and apparatus for detecting compromised host computers | |
| US8677016B1 (en) | System and method for identifying network topology information | |
| JP2008306706A (ja) | シグナリングフローの異常を検知する方法及び装置 | |
| EP3223495B1 (en) | Detecting an anomalous activity within a computer network | |
| Testart et al. | To Filter or not to Filter: Measuring the Benefits of Registering in the RPKI Today | |
| JP2019506102A (ja) | グローバルルーティングハイジャックを発見するための方法および装置 | |
| Karuppayah et al. | BoobyTrap: On autonomously detecting and characterizing crawlers in P2P botnets | |
| US8327444B2 (en) | Suspicious autonomous system path detection | |
| Lutu et al. | The BGP visibility toolkit: Detecting anomalous internet routing behavior | |
| Rodríguez-Gómez et al. | Resource monitoring for the detection of parasite P2P botnets | |
| CN114124811B (zh) | 一种路由泄露实时监测方法 | |
| US7688743B2 (en) | Tracing routing differences | |
| Bagnulo et al. | Practicable route leak detection and protection with ASIRIA | |
| Marder et al. | Vrfinder: Finding outbound addresses in traceroute | |
| Albakour et al. | Pushing Alias Resolution to the Limit | |
| Czirkos et al. | Enhancing collaborative intrusion detection methods using a Kademlia overlay network | |
| CN112887208A (zh) | 一种路由泄露检测方法、装置及设备 | |
| Jelasity et al. | Towards secure epidemics: Detection and removal of malicious peers in epidemic-style protocols | |
| Haas et al. | Scan Correlation–Revealing distributed scan campaigns | |
| Schlamp et al. | Cair: Using formal languages to study routing, leaking, and interception in bgp |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |