專利名稱:域間前綴劫持檢測(cè)與定位方法
技術(shù)領(lǐng)域:
本發(fā)明涉及域間網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種域間前綴劫持檢測(cè)與定 4立方法。
背景技術(shù):
目前,Internet和較大的網(wǎng)絡(luò)服務(wù)提供者(ISP )的網(wǎng)絡(luò)被分成大量的 自治系統(tǒng)(Autonomous System, AS ),由自治系統(tǒng)來定義管理區(qū)域和作用 于自治系統(tǒng)范圍內(nèi)的5^由策略。如今的互聯(lián)網(wǎng)由25 000多個(gè)自治系統(tǒng)組 成,這些自治系統(tǒng)通過邊界網(wǎng)關(guān)協(xié)議(BGP)傳遞路由更新信息。BGP協(xié) 議運(yùn)行在各個(gè)自治系統(tǒng)的邊界路由器上,它通過各個(gè)自治系統(tǒng)的邊界路由 器之間所交換的AS級(jí)路由可達(dá)性信息來完成域間路由,從而實(shí)現(xiàn)各個(gè)自 治系統(tǒng)之間網(wǎng)絡(luò)信息的可達(dá)。根據(jù)BGP協(xié)議,每個(gè)自治系統(tǒng)的邊界路由 器在工作過程中會(huì)定時(shí)向自己的鄰居宣告路由更新報(bào)文,在所述的路由更 新報(bào)文中,包括有最新的網(wǎng)絡(luò)前綴信息的宣告與撤銷。其他自治系統(tǒng)中的 路由器在收到這些路由更新報(bào)文后,會(huì)根據(jù)其中的網(wǎng)絡(luò)前綴信息選擇最優(yōu) 路由。
BGP協(xié)議在Internet上的廣泛應(yīng)用使得它已經(jīng)成為當(dāng)前域間路由協(xié)議 的事實(shí)標(biāo)準(zhǔn)。但是BGP協(xié)議在制定之初并沒有充分考慮安全4幾制,而在 當(dāng)前運(yùn)營(yíng)BGP協(xié)議時(shí),也未充分啟用相應(yīng)的保護(hù)機(jī)制,這使得當(dāng)前的互 聯(lián)網(wǎng)絡(luò)中存在潛在的或現(xiàn)實(shí)的安全威脅。在域間安全領(lǐng)域,由于BGP協(xié) 議自身的不足所帶來的安全威脅尤為突出,其中的基于BGP的域間前綴 劫持攻擊更已經(jīng)成為當(dāng)前互聯(lián)網(wǎng)絡(luò)中最難以防范的安全威脅。
所述的域間前綴劫持是指從屬于某個(gè)自治系統(tǒng)的邊界路由器通過 BGP向外發(fā)布了不屬于自身前綴信息的更新報(bào)文或者對(duì)外發(fā)布虛假的最 優(yōu)選路,導(dǎo)致了真實(shí)網(wǎng)絡(luò)的不可達(dá)。以圖1所示的互聯(lián)網(wǎng)拓樸圖為例,在 該網(wǎng)絡(luò)中包含有A、 B、 C、 D、 E、 F等多個(gè)自治系統(tǒng)。假設(shè)其中的自治 系統(tǒng)F擁有前綴信息192.168.3.1/255,自治系統(tǒng)C若要與自治系統(tǒng)F中的 該前綴通信,在正常情況下需要通過路徑[C、 B、 A、 F]。如果自治系統(tǒng)E
4200910089794.2 也向外宣告前綴信息192.168.3.1/255屬于自己(即發(fā)生了域間前綴劫持), 那么根據(jù)最短路由的特性,當(dāng)自治系統(tǒng)C與前綴192.168.3.1/255通信時(shí), 路由路徑會(huì)變?yōu)閇C、 D、 E]。由于前綴192.168.3.1/255實(shí)際在自治系統(tǒng)F 中,因此,自治系統(tǒng)C無(wú)法與該前綴通信。域間前綴劫持發(fā)生的一個(gè)重要 原因是接收路由更新報(bào)文的自治系統(tǒng)無(wú)法對(duì)所接收到的路由更新報(bào)文的 正確性加以4全馬全。域間前綴劫持的發(fā)生會(huì)對(duì)互聯(lián)網(wǎng)絡(luò)產(chǎn)生重大的危害,輕則導(dǎo)致部分運(yùn) 營(yíng)商受到影響,嚴(yán)重時(shí)能導(dǎo)致一個(gè)國(guó)家、甚至全球骨干網(wǎng)絡(luò)的癱瘓。例如 2004年12月24日,土耳其ISP服務(wù)提供商TTNet通過BGP向外發(fā)送了 完整的互聯(lián)網(wǎng)路由信息。由于TTNet外發(fā)的路由信息中聲稱他們是互聯(lián)網(wǎng) 上最好的路由,這一錯(cuò)誤導(dǎo)致來自亞馬遜、微軟、雅虎和CNN網(wǎng)站全部 選擇該ISP作為最佳路由,這導(dǎo)致當(dāng)天上午大部分的互聯(lián)網(wǎng)流量流入到土 耳其,時(shí)間達(dá)數(shù)小時(shí)之久,產(chǎn)生極其嚴(yán)重的后果。再如2008年2月,巴 基斯坦電信局(Pakistan Telecom)在試圖限制本國(guó)用戶訪問YouTube網(wǎng)站 時(shí),由于配置錯(cuò)誤,使得它通過BGP向香港的ISP服務(wù)提供商PCCW發(fā) 送了新的路由信息。該路由信息聲稱,它有最佳的路由到達(dá)YouTube。此 后PCCW在互聯(lián)網(wǎng)上傳播了錯(cuò)誤的路由信息,導(dǎo)致在接下來的二個(gè)小時(shí) 內(nèi),世界各地的大多數(shù)YouTube用戶都無(wú)法訪問其網(wǎng)站。針對(duì)前綴劫持所帶來的巨大危害,當(dāng)前業(yè)界提出了兩大類型的解決方 法。 一種類型的解決方法是對(duì)BGP的安全協(xié)議進(jìn)行擴(kuò)展,該類方法以 S-BGP和soBGP為代表,它們利用PKI技術(shù)可以嚴(yán)格保證BGP路由安 全。但由于協(xié)議開銷等問題,運(yùn)營(yíng)商普遍難以接受這些方案。為避免S-BGP 等強(qiáng)類型安全路由協(xié)議在實(shí)際應(yīng)用中遇到的困境,近年來又提出了 Listen-Whisper以及psBGP等機(jī)制。這些機(jī)制以降低安全能力為代價(jià)大量 削減協(xié)議開銷。然而,這些方案也未被運(yùn)營(yíng)商所接受。迄今為止依然沒有 一個(gè)BGP協(xié)議安全擴(kuò)展方案被運(yùn)營(yíng)商實(shí)際廣泛地應(yīng)用。另一類型的解決方法是基于應(yīng)用系統(tǒng)的檢測(cè)。此類方法又進(jìn)一步分為 兩種,第一種是采用被動(dòng)式的公開的更新報(bào)文數(shù)據(jù)采集,通過分析更新報(bào) 文中向外宣告的信息是否與已有規(guī)則相沖突來判斷劫持是否存在。此種方 法存在的問題是分析的精度依賴于數(shù)據(jù)采集點(diǎn),另外由于數(shù)據(jù)是來自于公 共數(shù)據(jù),因此實(shí)時(shí)性不高,此種方法的典型代表為PHAS。第二種是采用 主動(dòng)式的探測(cè)技術(shù),通過部署主動(dòng)式探測(cè)點(diǎn),定期向目標(biāo)AS所屬的前綴發(fā)送探測(cè)報(bào)文,例如ping主機(jī)是否存在、traceroute選路是否合法等。但 此種方法存在的問題是由于當(dāng)前互聯(lián)網(wǎng)絡(luò)存在大量的前綴信息,這要求發(fā) 送大量探測(cè)報(bào)文,造成大量的探測(cè)開銷,另外網(wǎng)絡(luò)故障也會(huì)導(dǎo)致報(bào)文不可 達(dá),因此會(huì)帶來一定的誤報(bào)率。發(fā)明內(nèi)容本發(fā)明的目的是克服現(xiàn)有的域間前綴劫持發(fā)現(xiàn)方法實(shí)時(shí)性不高或探 測(cè)開銷大的缺陷,從而提供一種實(shí)時(shí)、準(zhǔn)確的域間前綴劫持檢測(cè)與定位方 法。為了實(shí)現(xiàn)上述目的,本發(fā)明提供了一種網(wǎng)絡(luò)系統(tǒng),包括至少兩個(gè)自治 系統(tǒng),在每個(gè)所述自治系統(tǒng)中包括一個(gè)采集監(jiān)測(cè)探針,所述網(wǎng)絡(luò)系統(tǒng)還包 括對(duì)所述采集監(jiān)測(cè)探針進(jìn)行管理的集中式管理端;其中,所述的釆集監(jiān)測(cè) 探針包含有用于存儲(chǔ)所在自治系統(tǒng)中的前綴信息的網(wǎng)絡(luò)前綴信息列表;所述采集監(jiān)測(cè)探針從所接收到的BGP路由更新報(bào)文中提取前綴信息, 并將所提取的前綴信息發(fā)送到其他自治系統(tǒng)的采集監(jiān)測(cè)探針上;所述的采 集監(jiān)測(cè)探針還接收其他自治系統(tǒng)上的采集監(jiān)測(cè)探針?biāo)l(fā)送的前綴信息,并 將所述前綴信息與自身的網(wǎng)絡(luò)前綴信息列表中的相應(yīng)前綴信息進(jìn)行比較, 根據(jù)比較結(jié)果判斷是否發(fā)生了域間前綴劫持;所述的集中式管理端注冊(cè)所述自治系統(tǒng)中的采集監(jiān)測(cè)探針的信息,維 護(hù)所述采集監(jiān)測(cè)探針的狀態(tài),根據(jù)所述釆集監(jiān)測(cè)探針的請(qǐng)求反饋其他自治 系統(tǒng)的采集監(jiān)測(cè)探針的信息,并公告域間前綴劫持信息。本發(fā)明還提供了 一種域間前綴劫持檢測(cè)與定位方法,用于包含有多個(gè) 自治系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)中;所述自治系統(tǒng)包括采集監(jiān)測(cè)探針,所述釆集監(jiān)測(cè) 探針包含有用于存儲(chǔ)所在自治系統(tǒng)中的前綴信息的網(wǎng)絡(luò)前綴信息列表;所 述網(wǎng)絡(luò)系統(tǒng)還包括對(duì)所述采集監(jiān)測(cè)探針進(jìn)行管理的集中式管理端;該方法 包括步驟1 )、第 一 自治系統(tǒng)中的第 一采集監(jiān)測(cè)探針經(jīng)由所述第 一 自治系統(tǒng) 的BGP邊界路由器接收網(wǎng)絡(luò)中的BGP路由更新報(bào)文;步驟2 )、所述第 一采集監(jiān)測(cè)探針從外部自治系統(tǒng)發(fā)送到所述第 一 自治 系統(tǒng)的BGP路由更新報(bào)文中提取前綴信息,并將所述前綴信息按照其所 來自的自治系統(tǒng)進(jìn)行分類;步驟3)、所述第一采集監(jiān)測(cè)探針取出某一類前綴信息,根據(jù)該類前綴信息所對(duì)應(yīng)的第二自治系統(tǒng)的編號(hào)從所述集中式管理端取出所述第二自治系統(tǒng)的第二采集監(jiān)測(cè)探針的IP地址;步驟4)、所述第一采集監(jiān)測(cè)探針根據(jù)所述IP地址與所述第二采集監(jiān) 測(cè)探針建立連接,并將所述前綴信息與保存在所述第二采集監(jiān)測(cè)探針的網(wǎng) 絡(luò)前綴信息列表中的相應(yīng)前綴信息進(jìn)行比較,根據(jù)比較結(jié)果判斷所述第二 自治系統(tǒng)是否發(fā)生了域間前綴劫持。上述技術(shù)方案中,還包括步驟5 )、所述第一采集監(jiān)測(cè)探針從所述第一 自治系統(tǒng)發(fā)送到外部自治 系統(tǒng)的BGP路由更新報(bào)文中提取前綴信息,并根據(jù)所述前綴信息修改所 述第 一采集監(jiān)測(cè)探針上的網(wǎng)絡(luò)前綴信息列表。上述技術(shù)方案中,在所述的步驟4)后,還包括步驟6)、在發(fā)生域間前綴劫持后,所述第二采集監(jiān)測(cè)探針向所述第一 采集監(jiān)測(cè)探針返回不合法的前綴信息,并向管理員和所述集中式管理端發(fā) 送前綴劫持告警信息。上述技術(shù)方案中,在所述的步驟6)后,還包括步驟7 )、所述集中式管理端定時(shí)向各自治系統(tǒng)上的采集監(jiān)測(cè)探針發(fā)送 全網(wǎng)絡(luò)系統(tǒng)范圍內(nèi)的前綴劫持分布狀況。上述技術(shù)方案中,所述網(wǎng)絡(luò)前綴信息列表中的前綴信息通過手動(dòng)方式 或自動(dòng)方式獲取。上述技術(shù)方案中,所述采集監(jiān)測(cè)探針在啟用前,先在所述集中式管理 端上注冊(cè),將自身的IP地址以及所在自治系統(tǒng)的編號(hào)存儲(chǔ)在所述集中式 管理端中。上述技術(shù)方案中,在所述的步驟2)中,采用隊(duì)列將分類后的前綴信 息按照類別分別加以存儲(chǔ)。 本發(fā)明的優(yōu)點(diǎn)在于1、 本發(fā)明的域間前綴劫持檢測(cè)與定位方法具有實(shí)時(shí)性強(qiáng)、準(zhǔn)確性高 的優(yōu)點(diǎn)。2、 本發(fā)明的域間前綴劫持^r測(cè)與定位方法實(shí)現(xiàn)機(jī)理簡(jiǎn)單,部署及運(yùn) 營(yíng)均很簡(jiǎn)便。
圖1為互聯(lián)網(wǎng)拓樸示意圖;圖2為可使用本發(fā)明方法的網(wǎng)絡(luò)系統(tǒng)的示意圖; 圖3為本發(fā)明的域間前綴劫持檢測(cè)與定位方法的流程圖 圖面說明1 第一邊界路由器3 第一自治系統(tǒng)5 第二邊界路由器7 第二自治系統(tǒng)9 第三采集監(jiān)測(cè)探針2 第一采集監(jiān)測(cè)探針4 集中式管理端6 第二采集監(jiān)測(cè)探針8 第三邊界路由器10 第三自治系統(tǒng)具體實(shí)施方式
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明加以詳細(xì)說明。在描述本發(fā)明方法的實(shí)現(xiàn)過程之前,首先對(duì)能夠?qū)崿F(xiàn)本發(fā)明方法的網(wǎng) 絡(luò)系統(tǒng)的組成加以說明。圖2為能夠?qū)崿F(xiàn)本發(fā)明方法的網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)圖, 在圖2所示的實(shí)例中可以看出,整個(gè)網(wǎng)絡(luò)系統(tǒng)除了包括第一自治系統(tǒng)3、 第二自治系統(tǒng)7、第三自治系統(tǒng)IO夕卜,在每個(gè)自治系統(tǒng)內(nèi)部署了至少一個(gè) 采集監(jiān)測(cè)探針,如第一自治系統(tǒng)3中的第一采集監(jiān)測(cè)探針2、第二自治系 統(tǒng)7中的第二采集監(jiān)測(cè)探針6、第三自治系統(tǒng)10中的第三采集監(jiān)測(cè)探針9。 所述采集監(jiān)測(cè)探針用于獲取本自治系統(tǒng)所擁有的前綴信息以及本自治系 統(tǒng)編號(hào),并根據(jù)這些信息構(gòu)成本自治系統(tǒng)網(wǎng)絡(luò)前綴信息列表。此外,釆集 監(jiān)測(cè)探針還可以;險(xiǎn)查外部通告的前綴更新信息,識(shí)別是否存在域間前綴劫 持。在網(wǎng)絡(luò)系統(tǒng)中,還包括有獨(dú)立于自治系統(tǒng)的集中式管理端4,所述集 中式管理端用于所述采集監(jiān)測(cè)探針的注冊(cè)、釆集監(jiān)測(cè)探針狀態(tài)的維護(hù)、前 綴劫持信息的公告、采集監(jiān)測(cè)探針I(yè)P地址的解析查詢、歷史前綴劫持信 息的存儲(chǔ)等。所述的采集監(jiān)測(cè)探針和集中式管理端在部署時(shí)應(yīng)當(dāng)保證其所 在平臺(tái)具有固定的公網(wǎng)IP地址。此外,所述采集監(jiān)測(cè)探針還應(yīng)當(dāng)與所在 自治系統(tǒng)中的邊界路由器建立鄰接關(guān)系,從而能夠?qū)崟r(shí)采集BGP更新報(bào) 文信息。雖然在圖2所示的實(shí)例中,只給出了 3個(gè)自治系統(tǒng)的情況,但本 領(lǐng)域的普通技術(shù)人員都應(yīng)當(dāng)了解,上述實(shí)例只為說明之用,在實(shí)際應(yīng)用中, 網(wǎng)絡(luò)系統(tǒng)中所含自治系統(tǒng)的數(shù)量可以有多個(gè)。上述網(wǎng)絡(luò)系統(tǒng)能夠檢測(cè)與定位發(fā)生在網(wǎng)絡(luò)系統(tǒng)中的域間前綴劫持,參 考圖3,其具體實(shí)現(xiàn)過程如下。各個(gè)自治系統(tǒng)內(nèi)的采集監(jiān)測(cè)探針在工作初始都要?jiǎng)?chuàng)建本自治系統(tǒng)的8網(wǎng)絡(luò)前綴信息列表。所述網(wǎng)絡(luò)前綴信息列表包括本自治系統(tǒng)所擁有的前綴 信息以及本自治系統(tǒng)的編號(hào)。以圖2中第一自治系統(tǒng)3中的第一采集監(jiān)測(cè)探針2為例,該采集監(jiān)測(cè)探針?biāo)鶆?chuàng)建的網(wǎng)絡(luò)前綴信息列表包括第 一 自治系統(tǒng)的編號(hào)以及第 一 自治系統(tǒng)中所有前綴信息。所述網(wǎng)絡(luò)前綴信息列表中所含信息的獲取可以有兩種方式,即手動(dòng)方 式和自動(dòng)方式。所謂的手動(dòng)方式是指自治系統(tǒng)的管理員通過有關(guān)的配置接 口,將所述的前綴信息、自治系統(tǒng)編號(hào)信息部署到采集監(jiān)測(cè)探針中。而所 謂的自動(dòng)方式是指自治系統(tǒng)管理員授權(quán)采集監(jiān)測(cè)探針可以訪問邊界路由 器的路由表,采集檢測(cè)探針根據(jù)該權(quán)限從邊界路由器的路由表中自動(dòng)分 析、獲取本自治系統(tǒng)的前綴信息和編號(hào)。在一個(gè)實(shí)施例中,采用上述兩種 方式的任意一種即可。出于減少管理員工作量的目的,可以將其中的自動(dòng) 方式作為優(yōu)選實(shí)現(xiàn)方式。各個(gè)自治系統(tǒng)內(nèi)的采集監(jiān)測(cè)探針在工作初始階段除了要?jiǎng)?chuàng)建網(wǎng)絡(luò)前 綴信息列表外,還要向所述的集中式管理端注冊(cè)。在注冊(cè)時(shí),采集監(jiān)測(cè)探針采用HTTP協(xié)議向集中式管理端發(fā)出一條注冊(cè)命令,該命令包括<注冊(cè) 請(qǐng)求、所屬自治系統(tǒng)編號(hào)、探針I(yè)P地址〉。集中式管理端收到這一注冊(cè)命 令后,存儲(chǔ)該命令中所包含的信息,然后為該釆集監(jiān)測(cè)探針分配一個(gè)用于 標(biāo)識(shí)不同釆集監(jiān)測(cè)探針的全局編號(hào),并返回一條形式為<注冊(cè)成功、全局 編號(hào)>的消息。釆集監(jiān)測(cè)探針在收到集中式管理端所返回的用于表示成功 注冊(cè)的消息后,存儲(chǔ)所述消息中所包含的全局編號(hào),另外還要將內(nèi)部配置 文件中用于表示是否注冊(cè)成功的標(biāo)識(shí)位的狀態(tài)修改為true,以表示該采集 監(jiān)測(cè)探針已經(jīng)成功注冊(cè)。采集監(jiān)測(cè)探針在啟動(dòng)后, 一般都會(huì)通過HTTP協(xié) 議向集中式管理端發(fā)送一條更新信息,該信息包括<全局編號(hào)、所屬自治 系統(tǒng)編號(hào)、探針I(yè)P地址〉。集中式管理端收到該更新信息后,會(huì)回應(yīng)一條 表示更新完畢的OK字符串。采集監(jiān)測(cè)探針在完成上述的注冊(cè)、創(chuàng)建網(wǎng)絡(luò)前綴信息列表等工作后, 就可以與所在自治系統(tǒng)中的BGP邊界路由器建立對(duì)等關(guān)系會(huì)話,被動(dòng)地 采集、記錄網(wǎng)絡(luò)中的BGP路由更新報(bào)文。采集監(jiān)測(cè)探針會(huì)根據(jù)所收到的BGP路由更新報(bào)文的類型做分類處理。 在本發(fā)明中,基于BGP路由更新報(bào)文的來源可以將報(bào)文分為兩大類,第 一類是采集監(jiān)測(cè)探針?biāo)谧灾蜗到y(tǒng)的邊界路由器向外部的自治系統(tǒng)所發(fā) 送的BGP路由更新報(bào)文,第二類是采集監(jiān)測(cè)探針?biāo)谧灾蜗到y(tǒng)的邊界路由器接收到的其他自治系統(tǒng)所發(fā)送的BGP路由更新報(bào)文。對(duì)于第一類報(bào) 文的處理較為簡(jiǎn)單,由于路由更新報(bào)文中對(duì)前綴信息的處理只包括添加和 撤銷兩種,因此,采集監(jiān)測(cè)探針提取BGP路由更新報(bào)文中的前綴信息, 并根據(jù)所提取的信息在網(wǎng)絡(luò)前綴信息列表中添加或撤銷相應(yīng)信息。與第一類報(bào)文相比,對(duì)第二類報(bào)文的處理較為復(fù)雜。當(dāng)采集監(jiān)測(cè)探針 收到由外部自治系統(tǒng)發(fā)送到采集監(jiān)測(cè)探針?biāo)谧灾蜗到y(tǒng)的邊界路由器的 BGP路由更新報(bào)文后,提取這些更新報(bào)文中的前綴信息,然后將所有前綴 信息按照自治系統(tǒng)編號(hào)進(jìn)行分類,形成一個(gè)待檢查的前綴劫持隊(duì)列,該隊(duì) 列中的每一個(gè)條目具有相同的自治系統(tǒng)編號(hào)。所述的自治系統(tǒng)編號(hào)反映了 BGP路由更新報(bào)文的來源。由于來源于 一個(gè)自治系統(tǒng)的前綴信息可能有多 個(gè),因此, 一個(gè)條目通常是多個(gè)前綴信息的集合。在本實(shí)施例中,采用隊(duì) 列的形式對(duì)前綴信息進(jìn)行分類存儲(chǔ),但本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解, 還可以采用現(xiàn)有技術(shù)中的其他數(shù)據(jù)結(jié)構(gòu)對(duì)前綴信息進(jìn)行分類存儲(chǔ)。在生成前綴劫持隊(duì)列后,就可以對(duì)該隊(duì)列中的所有條目依次進(jìn)行處 理。下面以第一自治系統(tǒng)3的第一采集監(jiān)測(cè)探針2為例,對(duì)該探針處理前 綴劫持隊(duì)列中的條目的過程進(jìn)行說明。假設(shè)第 一 自治系統(tǒng)3的第 一采集監(jiān) 測(cè)探針2從自身的前綴劫持隊(duì)列取出一條目后,提取該條目中所包含的自 治系統(tǒng)編號(hào)信息。所述自治系統(tǒng)編號(hào)信息反映了該條目所對(duì)應(yīng)的BGP路 由更新報(bào)文來自于哪一個(gè)自治系統(tǒng)。假設(shè)該條目中的自治系統(tǒng)編號(hào)信息為 第三自治系統(tǒng)10的編號(hào)。從背景技術(shù)中對(duì)域間前綴劫持原理的說明可以 知道,BGP路由更新報(bào)文所反映的自治系統(tǒng)來源未必是真實(shí)的,因此,需 要與相應(yīng)自治系統(tǒng)上的釆集監(jiān)測(cè)探針進(jìn)行核實(shí),即第 一 自治系統(tǒng)3的第一 采集監(jiān)測(cè)探針2要與第三自治系統(tǒng)10的第三采集監(jiān)測(cè)探針9做核實(shí)操作。 但對(duì)于第一 自治系統(tǒng)的第一采集監(jiān)測(cè)探針2而言,其與第三自治系統(tǒng)的第 三采集監(jiān)測(cè)探針9之間未必具有通信聯(lián)系,因此,第一自治系統(tǒng)的第一采 集監(jiān)測(cè)探針2首先需要向所述的集中式管理端4請(qǐng)求第三自治系統(tǒng)10的 第三采集監(jiān)測(cè)探針的IP地址。為了達(dá)到這一目的,第一自治系統(tǒng)的第一 采集監(jiān)測(cè)探針2根據(jù)條目中包含的自治系統(tǒng)編號(hào)信息(在此實(shí)例中即為第 三自治系統(tǒng)的編號(hào)信息)生成解析查詢命令,并發(fā)送到所述集中式管理端 4。所述解析查詢命令的命令格式為〈全局編號(hào)、目標(biāo)自治系統(tǒng)號(hào)〉,其中 的全局編號(hào)為發(fā)送這一解析查詢命令的采集監(jiān)測(cè)探針的全局編號(hào)(在此實(shí) 例中即為第 一 自治系統(tǒng)的第 一采集監(jiān)測(cè)探針2的全局編號(hào));目標(biāo)自治系統(tǒng)號(hào)即為條目中所包含的自治系統(tǒng)的編號(hào)。由于集中式管理端4包含有整 個(gè)網(wǎng)絡(luò)中所有采集監(jiān)測(cè)探針的注冊(cè)信息,因此若查詢操作成功,則集中式管理端返回所要查找的第三自治系統(tǒng)的第三采集監(jiān)測(cè)探針9的IP地址。 如果查詢失敗,集中式管理端會(huì)4返回有關(guān)的錯(cuò)誤信息。在得到第三自治系統(tǒng)的第三釆集監(jiān)測(cè)探針9的IP地址后,第 一 自治 系統(tǒng)的第一采集監(jiān)測(cè)探針2就可以向第三自治系統(tǒng)的第三采集監(jiān)測(cè)探針9 的指定偵聽端口發(fā)起一條TCP連接,并按照內(nèi)部通信協(xié)議規(guī)則,發(fā)送如下 格式的請(qǐng)求查詢報(bào)文<前綴信息1、狀態(tài)、前綴信息2、狀態(tài)...〉,該報(bào)文 記錄了第三自治系統(tǒng)的第三采集監(jiān)測(cè)探針9向外宣告的前綴信息以及宣告 的狀態(tài),所述狀態(tài)分為更新或撤消二種。第三自治系統(tǒng)的第三采集監(jiān)測(cè)探針9在收到請(qǐng)求查詢報(bào)文后,提取報(bào) 文中的信息并將其與自身的前綴信息列表中的信息——加以比對(duì)。如果比 對(duì)結(jié)果為全部合法,則返回表示成功的字符串success,并關(guān)閉本次連接。 如果存在不合法的前綴,就向第一自治系統(tǒng)的第一采集監(jiān)測(cè)探針2返回存 在問題的前綴信息,如<前綴1、前綴2...>。此外,第三自治系統(tǒng)的第三 采集監(jiān)測(cè)探針9還要向本自治系統(tǒng)的管理員發(fā)送告警信息,向集中式管理 端4發(fā)出前綴劫持告警信息,并關(guān)閉本次連接。在前述的告警信息中都帶 有發(fā)生域間前綴劫持的自治系統(tǒng)的相關(guān)信息,因此可以很容易地對(duì)域間前 綴劫持事件定位。為了使得發(fā)生網(wǎng)絡(luò)前綴劫持的有關(guān)信息能夠及時(shí)地通知網(wǎng)絡(luò)系統(tǒng)中 的各個(gè)自治系統(tǒng),各自治系統(tǒng)上的采集監(jiān)測(cè)探針會(huì)在一定的時(shí)間間隔內(nèi)向 集中式管理端發(fā)送心跳包,然后在本次交互中接收本時(shí)間間隔內(nèi)的全網(wǎng)絡(luò) 系統(tǒng)范圍內(nèi)的前綴劫持分布狀況。本發(fā)明的域間前綴劫持檢測(cè)與定位方法通過部署在各個(gè)自治系統(tǒng)中 的采集監(jiān)測(cè)探針實(shí)現(xiàn)路由更新報(bào)文中的前綴信息與網(wǎng)絡(luò)前綴信息列表中 的前綴信息的比較,從而為網(wǎng)絡(luò)系統(tǒng)提供域間前綴劫持的實(shí)時(shí)檢測(cè)與準(zhǔn)確 定位。本發(fā)明的域間前綴劫持檢測(cè)與定位方法實(shí)現(xiàn)機(jī)理簡(jiǎn)單、部署及運(yùn)營(yíng)均 4艮筒便,具有小巧靈活的特點(diǎn)。本發(fā)明的域間前綴劫持檢測(cè)與定位方法不對(duì)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)做大的 修改,允許網(wǎng)絡(luò)系統(tǒng)中的各個(gè)自治系統(tǒng)采用漸進(jìn)式的部署方式,有利于在 實(shí)際應(yīng)用中的推廣使用。本發(fā)明的域間前綴劫持檢測(cè)與定位方法具有誰(shuí)部署、誰(shuí)受益的特點(diǎn), 當(dāng)部署者的前綴信息被劫持后,外部的其他自治系統(tǒng)能夠通過查詢使得部 署者發(fā)現(xiàn)劫持現(xiàn)象,有利于調(diào)動(dòng)管理員對(duì)部署的積極性。最后所應(yīng)說明的是,以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制。 盡管參照實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理 解,對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,都不脫離本發(fā)明技術(shù)方案 的精神和范圍,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
權(quán)利要求
1、一種網(wǎng)絡(luò)系統(tǒng),其特征在于,包括至少兩個(gè)自治系統(tǒng),在每個(gè)所述自治系統(tǒng)中包括一個(gè)采集監(jiān)測(cè)探針,所述網(wǎng)絡(luò)系統(tǒng)還包括對(duì)所述采集監(jiān)測(cè)探針進(jìn)行管理的集中式管理端;其中,所述的采集監(jiān)測(cè)探針包含有用于存儲(chǔ)所在自治系統(tǒng)中的前綴信息的網(wǎng)絡(luò)前綴信息列表;所述采集監(jiān)測(cè)探針從所接收到的BGP路由更新報(bào)文中提取前綴信息,并將所提取的前綴信息發(fā)送到其他自治系統(tǒng)的采集監(jiān)測(cè)探針上;所述的采集監(jiān)測(cè)探針還接收其他自治系統(tǒng)上的采集監(jiān)測(cè)探針?biāo)l(fā)送的前綴信息,并將所述前綴信息與自身的網(wǎng)絡(luò)前綴信息列表中的相應(yīng)前綴信息進(jìn)行比較,根據(jù)比較結(jié)果判斷是否發(fā)生了域間前綴劫持;所述的集中式管理端注冊(cè)所述自治系統(tǒng)中的采集監(jiān)測(cè)探針的信息,維護(hù)所述采集監(jiān)測(cè)探針的狀態(tài),根據(jù)所述采集監(jiān)測(cè)探針的請(qǐng)求反饋其他自治系統(tǒng)的采集監(jiān)測(cè)探針的信息,并公告域間前綴劫持信息。
2、 一種域間前綴劫持檢測(cè)與定位方法,用于包含有多個(gè)自治系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)中;所述自治系統(tǒng)包括采集監(jiān)測(cè)探針,所述采集監(jiān)測(cè)探針包含有用于存儲(chǔ)所在自治系統(tǒng)中的前綴信息的網(wǎng)絡(luò)前綴信息列表;所述網(wǎng)絡(luò)系統(tǒng)還包括對(duì)所述采集監(jiān)測(cè)探針進(jìn)行管理的集中式管理端;該方法包括步驟1 )、第 一 自治系統(tǒng)中的第 一釆集監(jiān)測(cè)探針經(jīng)由所述第 一 自治系統(tǒng)的BGP邊界路由器接收網(wǎng)絡(luò)中的BGP路由更新才艮文;步驟2 )、所述第一采集監(jiān)測(cè)探針從外部自治系統(tǒng)發(fā)送到所述第一 自治系統(tǒng)的BGP路由更新報(bào)文中提取前綴信息,并將所述前綴信息按照其所來自的自治系統(tǒng)進(jìn)行分類;步驟3)、所述第一采集監(jiān)測(cè)探針取出某一類前綴信息,根據(jù)該類前綴信息所對(duì)應(yīng)的第二自治系統(tǒng)的編號(hào)從所述集中式管理端取出所述第二自治系統(tǒng)的第二采集監(jiān)測(cè)探針的IP地址;步驟4)、所述第一采集監(jiān)測(cè)探針根據(jù)所述IP地址與所述第二采集監(jiān)測(cè)探針建立連接,并將所述前綴信息與保存在所述第二采集監(jiān)測(cè)探針的網(wǎng)絡(luò)前綴信息列表中的相應(yīng)前綴信息進(jìn)行比較,根據(jù)比較結(jié)果判斷所述第二自治系統(tǒng)是否發(fā)生了域間前綴劫持。
3、 根據(jù)權(quán)利要求2所述的域間前綴劫持檢測(cè)與定位方法,其特征在于,還包括步驟5 )、所述第一采集監(jiān)測(cè)探針從所述第一 自治系統(tǒng)發(fā)送到外部自治系統(tǒng)的BGP路由更新報(bào)文中提取前綴信息,并根據(jù)所述前綴信息修改所述第 一 采集監(jiān)測(cè)探針上的網(wǎng)絡(luò)前綴信息列表。
4、 根據(jù)權(quán)利要求2或3所述的域間前綴劫持檢測(cè)與定位方法,其特征在于,在所述的步驟4)后,還包括步驟6)、在發(fā)生域間前綴劫持后,所述第二采集監(jiān)測(cè)探針向所述第一采集監(jiān)測(cè)探針返回不合法的前綴信息,并向管理員和所述集中式管理端發(fā)送前綴劫持告警信息。
5、 根據(jù)權(quán)利要求4所述的域間前綴劫持檢測(cè)與定位方法,其特征在于,在所述的步驟6)后,還包括步驟7 )、所述集中式管理端定時(shí)向各自治系統(tǒng)上的采集監(jiān)測(cè)探針發(fā)送全網(wǎng)絡(luò)系統(tǒng)范圍內(nèi)的前綴劫持分布狀況。
6、 根據(jù)權(quán)利要求2或3或4或5所述的域間前綴劫持檢測(cè)與定位方法,其特征在于,所述網(wǎng)絡(luò)前綴信息列表中的前綴信息通過手動(dòng)方式或自動(dòng)方式獲取。
7、 根據(jù)權(quán)利要求2或3或4或5所述的域間前綴劫持^r測(cè)與定位方法,其特征在于,所述采集監(jiān)測(cè)探針在啟用前,先在所述集中式管理端上注冊(cè),將自身的IP地址以及所在自治系統(tǒng)的編號(hào)存儲(chǔ)在所述集中式管理端中。
8、 根據(jù)權(quán)利要求2或3或4或5所述的域間前綴劫持一企測(cè)與定位方法,其特征在于,在所述的步驟2)中,采用隊(duì)列將分類后的前綴信息按照類別分別加以存儲(chǔ)。
全文摘要
本發(fā)明提供一種域間前綴劫持檢測(cè)與定位方法,該方法包括第一自治系統(tǒng)中的第一采集監(jiān)測(cè)探針經(jīng)由第一自治系統(tǒng)的BGP邊界路由器接收網(wǎng)絡(luò)中的BGP路由更新報(bào)文;第一采集監(jiān)測(cè)探針從外部自治系統(tǒng)發(fā)送到第一自治系統(tǒng)的BGP路由更新報(bào)文中提取前綴信息,并將前綴信息按照其所來自的自治系統(tǒng)進(jìn)行分類;第一采集監(jiān)測(cè)探針取出某一類前綴信息,根據(jù)該類前綴信息所對(duì)應(yīng)的第二自治系統(tǒng)的編號(hào)從集中式管理端取出第二自治系統(tǒng)的第二采集監(jiān)測(cè)探針的IP地址;第一采集監(jiān)測(cè)探針根據(jù)IP地址與第二采集監(jiān)測(cè)探針建立連接,并將前綴信息與保存在第二采集監(jiān)測(cè)探針的網(wǎng)絡(luò)前綴信息列表中的相應(yīng)前綴信息進(jìn)行比較,根據(jù)比較結(jié)果判斷第二自治系統(tǒng)是否發(fā)生了域間前綴劫持。
文檔編號(hào)H04L12/26GK101662393SQ20091008979
公開日2010年3月3日 申請(qǐng)日期2009年7月24日 優(yōu)先權(quán)日2009年7月24日
發(fā)明者冰 劉, 偉 梁, 畢經(jīng)平 申請(qǐng)人:中國(guó)科學(xué)院計(jì)算技術(shù)研究所