新闻快讯
< >

怎样监控BGP?如何快速解决BGP劫持?

E安全1月9日讯 边界网关协议(BGP)是运行于 TCP 上的一种自治系统的路由协议,是互联网运作的基础,但由于设计时间(1989年BGP诞生)过于久远,难免存在安全隐患。

系统管理员有时错误配置了BGP协议,导致流量被劫持插入广告,在某些情况下,实施恶意路由,劫持正常用户流量,从而影响用户体验。

分分钟解决BGP劫持不是梦-E安全

为此,来自欧洲和美国的一组研究人员创建了一个框架——“自动及实时检测与缓解系统(ARTEMIS)”,供服务提供商在几分钟内解决BGP劫持问题。研究人员表示,ARTEMIS使提供实时流的公共BGP监控服务成为可能。

ARTEMIS系统怎样监控BGP

使用诸如RouteViews Project和RIPE路由信息服务(RIS)等基础设施,ARTEMIS允许运营商在自己的基础设施中缓解BGP劫持,而无需依靠第三方服务。研究人员认为,这就意味着使用BGP监控流量的网络运营商可响应BGP劫持,无需等待手动验证警报。

网络运营商可用自治系统(Autonomous System,AS)的信息配置ARTEMIS,观察影响AS-PATH事件的外部Feed,这意味着该系统能检测任何一类劫持事件,并生成警报。

ARTEMIS生成的警报包括各类输出,例如受影响的前缀、劫持企图类型、观察到的影响、涉及的AS号以及检测可信度。

当BGP劫持事件发生时,尽管ARTEMIS不会让网络运营商与其它运营商失去联系,但会将受影响的前缀作为响应进行拆分,这属于该系统自动生成的步骤。当检测到劫持10.0.0.0/23前缀,网络会执行前缀拆分,并宣告两个其它的子前缀:10.0.0.0/24和10.0.1.0/24。这些子前缀将在互联网中拆分,BGP会优先考虑更具体的前缀,受污染的AS将重建合法路由。

BGP MOAS宣告是ARTEMIS缓解策略的另一个组成部分,在该模型中,缓解攻击的企业使用BGP/MOAS或DNS将流量重定向到所在位置和清理中心,删除恶意流量,并将合法流量转发给受害者。

如果检测到BGP劫持,ARTEMIS系统会向负责缓解的企业发送警报,宣告位置或前缀遭遇劫持的路由器,这就意味着这家企业吸引了来自互联网的流量,因此可以将这些流量传回合法网络。

研究人员表示,实验中,他们可以在短短五秒内检测BGP劫持,并且绝大多数AS在60秒内从劫持中得以恢复。

相关阅读:

谷歌意外劫持了BGP路由,导致日本大范围断网约一个小时

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。