互联网域间路由前缀劫持监测与防御研究.pdf

互联网域间路由前缀劫持
监测与防御研究
（申请清华大学工学博士学位论文）
培 养 单 位 ： 计 算 机 科 学 与 技 术 系
学 科 ： 计 算 机 科 学 与 技 术
研 究 生 ： 向 阳
指 导 教 师 ： 吴 建 平 教 授
二〇一三 年 六 月
A Study of Prefix Hijacking Defense
and Detection in Inter-Domain Routing
Dissertation Submitted to
Tsinghua University
in partial fulfillment of the requirement
for the degree of
Doctor of Philosophy
in
Computer Science and Technology
by
Xiang Yang
Dissertation Supervisor : Professor Wu Jianping
June, 2013
摘 要
摘 要
由于域间路由协议不能对接收到的路由信息进行验证，误配置和恶意伪造产
生的虚假路由能够劫持IP报文的正常转发。近年来互联网急剧膨胀的规模和商业
利益的刺激使得前缀劫持事件激增，域间路由安全受到了前所未有的关注。然
而，由于资源开销过大或部署难度过高，已有的前缀劫持防护方案均未能大规模
部署。本文围绕前缀劫持的防御和监测开展研究，主要内容和贡献如下：
1、提出了一种前缀劫持防护模型AHIDR。本文对域间路由中当前已知的
所有攻击手段及其实施的前缀劫持进行了总结和分析，明确了域间路由安全
的范畴和对各类攻击应实现的防护级别，提出了一种域间路由前缀劫持防护模
型AHIDR。模型定义了监测和防御的防护手段二元组，其中监测系统的劫持数据
用于激励、指导并验证防御协议的部署，同时防御协议中的可信路由信息能够增
强监测算法的准确率，二者缺一不可、共同防护域间路由中的五类攻击。
2、提出了高效安全的防御劫持域间路由协议FS-BGP。基于对域间路由中
路径特征的深入分析， FS-BGP利用关键路径段证书算法高效地实现了对可行
路径的鉴定，并利用受抑制路径填充算法防御了伪造路由决策的前缀劫持，从
而避免了已有工作难以兼顾安全性和效率的两难境地。理论分析表明FS-BGP满
足AHIDR对前缀劫持防御的定义。基于数十个骨干路由器八个月内的真实路由更
新，实验结果表明FS-BGP的效率比同等防护级别的已有方案提高了两个数量级。
3、提出了快速准确的前缀劫持监测算法RACE。 RACE创新地利用了路由控
制层和数据层在空间维度上的状态关联，规避了同类工作在时间维度上检测的高
时延，以及仅从一个层面检测时准确率的天然劣势。实际监测表明RACE能够实
时识别前缀劫持，权威数据验证表明算法的误报率极低。 RACE覆盖了AHIDR对
前缀劫持监测定义中的劫持手段，并首次监测了伪造路由策略的前缀劫持。
4、设计并实现了首个全球劫持的无监督实时监测系统Argus。基于RACE的
优势和工程优化， Argus迄今已经对全球互联网进行了两年的实时监测，首次准
确监测到了大量真实劫持，生成了互联网第一份劫持报告。案例表明Argus的实时
报警服务为补救争取了宝贵的时间。由于为本领域的研究提供了大量有价值的监
测数据， Argus获得了ACM IMC颁发的第一个Community Contribution Award。
Argus和FS-BGP对前缀劫持的监测和防御共同构建了域间路由的安全体系。
关键词：前缀劫持；域间路由； BGP；安全
I
Abstra