微信号:YunTouTiao

介绍:云计算领域科技媒体:传播观点,传播价值;Web:www.yuntoutiao.com ,欢迎互动~~~

一分钟内消除 BGP 劫持攻击 !(附论文)

2018-01-08 21:45 云头条

“ARTEMIS”可以发觉有人恶意捣乱的坏路由,并且“拨乱反正”,让数据流沿着合法路由来传输。

 

边界网关协议(BGP)可谓是互联网最基本的骨干技术之一,但它是很早以前设计的,那时候人们还无法搞清楚连接数十亿用户的庞大网络的安全要求。


尤其是,BGP备受诟病的地方在于,如果系统管理员笨手笨脚地搞砸路由公告,或者在一些个别情况下,恶意通告路由,因而将商业竞争对手的数据流引入到死区(dead zone),最终彻底破坏用户体验,就可以将庞大的数据流“引入到黑洞”。


这就是为什么一群来自欧美的研究人员认为,他们开发出来的一个框架有望让全球众多服务提供商可以在短短几分钟内消灭BGP劫持。


来自应用互联网数据分析中心(CAIDA)、希腊研究机构ICS-FORTH和巴黎高科国立高等电信学校(Telecom ParisTech)的研究人员在arXiv上概述了他们的研究成果(论文见文末)。


该研究小组写道,由于出现了提供实时数据流的公共BGP监测服务,他们的缓解方法才得以成为现实,这种方法名为ARTEMIS(全称是“自动实时的检测和缓解系统”)。


使用RouteViews项目和RIPE路由信息服务(RIS)之类的基础设施,ARTEMIS让网络运营商可以在自己的基础设施中、而不是在第三方服务中运行BGP缓解机制。


论文作者认为,这么做意味着使用BGP监控馈送内容(feeds)就能响应劫持,无需等待手动验证警报的过程。


网络运营商可以用关于其特有的自治系统(AS)的信息来配置ARTEMIS――AS是BGP的路由单位,观察影响其网络的AS-PATH事件的外部馈送内容,这意味着系统“可检测任何类别的劫持事件,并生成警报”。


ARTEMIS发出的警报包括诸多输出结果:受影响的前缀、劫持企图的类型、观察到的影响、涉及的AS编号和检测置信水平。


虽然BGP事件发生后,ARTEMIS无法消除网络运营商与其他运营商的联系,但运营商可以分解受影响的前缀,作为一种响应手段,而该系统可以使这一步实现自动化。


论文在解释这种技术时指出:


“比如说,一旦检测到有人劫持10.0.0.0/23前缀,网络可以执行前缀分解,并通告两个更具体的子前缀:10.0.0.0/24和10.0.1.0/24。这些子前缀将在互联网上传播,被污染的AS会重新建立合法的路由,因为BGP优先考虑更具体的前缀。”


BGP多源自治系统(MOAS)通告是ARTEMIS缓解策略的另一个部分。MOAS是指这种做法:将比如分布式拒绝服务攻击(DDoS)防御中使用的BGP公告外包出去。


在这种模式中,缓解攻击的公司“(使用BGP/MOAS或DNS)将数据流重定向至其位置和清理中心,清除恶意流量,然后将合法流量转发给受害者。”


如果ARTEMIS检测到BGP劫持,系统会将警报发给缓解劫持的部门,该部门就通告前缀已被劫持的位置或路由器;这意味着缓解劫持的公司吸引来自互联网的数据流,那样它可以通过隧道将数据流传回给合法网络。


研究人员写道,在实验中,ARTEMIS可以在短短5秒钟内检测到劫持事件,“绝大多数AS可以在60秒内从劫持中恢复过来。”


详细论文:


相关阅读:

中高端IT圈人群,欢迎加入!

美国的大片地区又断网了:因技术人员配置失误,BGP路由泄露所致

谷歌的一名工程师搞砸了BGP通告,导致日本互联网陷入瘫痪

动态路由协议全方位比较:RIPv2、EIGRP、OSPF、BGP

看BGP Flowspec如何对付DDoS攻击?

为BGP泄密敲警钟


 
云头条 更多文章 Intel x86 肯定会完蛋:以云为中心的未来依赖开源芯片! Intel CPU bug 和调戏小秘书,原来还有类似之处 ? 习大大在读《终极算法:机器学习和人工智能如何重塑世界》、《智能浪潮:增强时代来临》这两本 AI 方面的书 Intel CPU 曝大 BUG:迫使重新设计 Linux 和 Wi AI 的 2017
猜您喜欢 深度解析gRPC以及京东分布式服务框架跨语言实战 6 Myths and The Facts about DevOps 设计模式之代理模式(二)CGLIB动态代理实现 2016-04-26发布Node.js 6.0版本 有8年百度大数据工作经验的我,给你们4条创业经验