BGP安全

BGP简介

1. 域间路由与BGP

• IANA：互联网号码分配局
• RIR：区域互联网注册机构

全球共有5个RIR，而自治域号(ASN)由IANA分配给5大RIR，再由RIR继续分配

路径向量路由（Path-Vector）

实际上就是BGP的路由选择算法，该算法能够检测出环路，避免了无限计数的问题，令网络更容易进入一个稳定的状态

基于策略的域间路由

域间路由不只简单追求最短路径，更要实现策略

一种商业关系模型

• Transit流量 = 源和目的都在本AS之外的流量
  • Transit AS：声明自己的以及从其他AS得到的路由
  • 非Transit AS：只声明自己的前缀；不继续传播从其他AS得到的路由
• 流量传递服务（Transit）：一个ISP为一个客户网络提供接入Internet的服务，后者向前者付费
  • Transit流量 = 流经ISP的流量，起点终点均不在ISP网络内
• 提供商-客户（P-C）：客户向提供商付费，提供商为客户提供传递Transit服务
  • 客户不为提供商间传递流量
• 对等（P2P）：AS间相互传递流量(Peering)，互不付费
  • 不为各自的其他对等AS或提供商传递流量
• 无谷原则（Valley-free）：一条AS路径中在P2C或P2P之后不存在C2P或P2P
  • 控制路由的传播：不要将从Provider或者Peer收到的路由继续声明给其他Provider或Peer
• 客户优先原则（prefer-customer）：当存在多条路径时，优先选择客户(P2C)，然后对等(P2P)，然后提供商(C2P)
  • 最小化成本

2. BGP协议与系统

3. BGP安全问题

安全威胁

路由器间的拜占庭将军问题

• 当某些路由器发生故障或恶意行为时，所有无故障路由器必须在有限时间内(termination)对特定消息达成一致(agreement)，该消息必须是由消息源所发送的(validity)

前缀劫持（Prefix hijacking）

• 一个AS声明属于其他AS的前缀
• 成功的三种效果
  • 黑洞（Blackhole）：流量被劫持到攻击者网络后被丢弃
    • 绝大多数由配置错误引发的劫持
    • 例：巴基斯坦电信劫持Youtube
  • 仿冒（Phishing）：攻击者假冒受害者网络中的网站
    • 实现攻击者源地址欺骗
    • 例：2014黑客通过劫持电子货币矿工
  • 窃听（Interception）：攻击者将劫持的流量又返回给受害者网络（前缀窃听）
• 攻击
  • 伪造前缀声明
  • 声明更长的前缀
    • 路由器根据最长前缀匹配规则进行路由选择，但是前缀不能太长，路由器通常会过滤掉长于/24的前缀

路由泄露（route leak）

• 违背无谷模型：向Provider/Peer泄露来自其他的Provider/Peer的路由

前缀窃听

• 防护思路
  • 保护性过滤
    • 了解你的过滤
  • 异常检测
    • 对意料之外的行为持怀疑态度
  • 与注册机构提供的权威信息进行比对
    • 掌握发现异常的基本依据
  • 签名和验证
    • 发现并拒绝虚假的AS路径
  • 数据平面验证
    • 确保AS路径与实际转发路径相符

路由泄露防御

…..