域間路由安全智能管控方案研究

［黃卓君 劉志華 蔡學(xué)龍］

1 引言

互聯(lián)網(wǎng)中不同AS（Autonomous System，自治系統(tǒng)）通過BGP（Border Gateway Protocol，邊界網(wǎng)關(guān)協(xié)議）建立域間鄰居關(guān)系并宣告相應(yīng)的路由前綴實(shí)現(xiàn)互聯(lián)互通，由于互聯(lián)網(wǎng)協(xié)議設(shè)計(jì)的互信特點(diǎn)，AS能夠通告其不擁有的IP（Internet Protocol，互聯(lián)網(wǎng)協(xié)議）前綴，即通告非法路由。若無監(jiān)控機(jī)制，這些非法通告將大范圍傳播并“污染”更多AS甚至整個(gè)互聯(lián)網(wǎng)，影響通信的可用性、完整性和保密性。近年來基于最新版本BGPv4（Border Gateway Protocol version 4，邊界網(wǎng)關(guān)協(xié)議版本4）協(xié)議的互聯(lián)網(wǎng)路由泄露、路由劫持等安全事件層出不窮，故障波及范圍大，對(duì)國家、運(yùn)營商、客戶造成了嚴(yán)重影響，BGPv4安全缺陷一度被認(rèn)為是全球互聯(lián)網(wǎng)最嚴(yán)重的安全漏洞。

目前發(fā)生的主要安全事件可分為兩大類：路由泄露和路由劫持。路由泄露典型場景：A是運(yùn)營商，B是A的客戶且自帶AS，當(dāng)客戶B向上游A宣告路由時(shí)，除了發(fā)布自身及下游資源之外，還發(fā)布了其他上游或Peer（例如C）的路由，則可能導(dǎo)致訪問C的互聯(lián)網(wǎng)流量錯(cuò)誤地穿透A及B再到達(dá)C，即發(fā)生路由泄露。路由劫持典型場景：上游A和客戶B，如果B由于錯(cuò)誤配置或惡意篡改，發(fā)布了不屬于自身AS的IP前綴，從而將訪問該IP前綴的互聯(lián)網(wǎng)流量非法引導(dǎo)至B，則發(fā)生路由劫持。

圖1列舉了近十年重大的BGP安全事件，這些事件涉及范圍廣，對(duì)整個(gè)互聯(lián)網(wǎng)的可用性和穩(wěn)定性都造成了不同程度的影響。

圖1 近十年重大BGP安全事件

基于對(duì)國際BGP路由安全事件的跟蹤與分析，本文提出互聯(lián)網(wǎng)域間路由安全智能管控解決方案，通過路由數(shù)據(jù)庫建模及在線關(guān)聯(lián)分析，實(shí)現(xiàn)對(duì)路由泄露、路由劫持（含錯(cuò)誤路由事件）的實(shí)時(shí)監(jiān)測(cè)，并進(jìn)一步實(shí)施策略控制避規(guī)安全風(fēng)險(xiǎn)，逐步建設(shè)自動(dòng)閉環(huán)管理的互聯(lián)網(wǎng)域間路由智能管控能力，為促進(jìn)綠色安全互聯(lián)網(wǎng)環(huán)境的建立提供理論與實(shí)踐意義的參考。

2 域間路由安全智能管控方案概述

圖2是域間路由（BGP）安全智能管控方案示意圖，由防偽認(rèn)證信息庫、路由策略分析監(jiān)測(cè)、路由智能管控3個(gè)功能模塊組成，對(duì)接收及發(fā)布的BGP路由進(jìn)行合法合規(guī)性監(jiān)測(cè)與控制，3個(gè)模塊可獨(dú)立工作，也可整合聯(lián)動(dòng)形成域間路由安全智能管控系統(tǒng)從而實(shí)現(xiàn)對(duì)域間路由的自動(dòng)可控管理。

互聯(lián)網(wǎng)路由防偽認(rèn)證信息庫：基于網(wǎng)絡(luò)自有IP地址/路由庫以及IRR（Internet routing registry，互聯(lián)網(wǎng)路由注冊(cè)）、ROA（route origin authorization，路由起源授權(quán)）等路由信息庫進(jìn)行多維數(shù)據(jù)采集建模，構(gòu)建具有防偽認(rèn)證意義的關(guān)系型全球路由數(shù)據(jù)庫。

圖2 域間路由安全智能管控方案示意圖

路由策略分析監(jiān)測(cè)：開展基于目標(biāo)策略驅(qū)動(dòng)的路由實(shí)時(shí)在線動(dòng)態(tài)監(jiān)測(cè)，利用防偽認(rèn)證信息庫進(jìn)行路由及策略比對(duì)，分析識(shí)別不合規(guī)的AS以及非法發(fā)布的路由前綴，從而及時(shí)發(fā)現(xiàn)路由泄露與路由劫持并提示告警。

路由智能管控：基于路由策略分析監(jiān)測(cè)的告警信息，進(jìn)一步通過路由智能管控模塊以黑白名單形式過濾非法路由，從而保證域間路由安全。

3 防偽認(rèn)證信息庫建模

路由注冊(cè)（routing registries）是指公有AS所有者主動(dòng)將自己的路由信息、路由策略信息注冊(cè)到公共數(shù)據(jù)庫以便于數(shù)據(jù)的全球化共享查詢。目前被廣泛使用的分布式路由注冊(cè)數(shù)據(jù)庫是IRR，其數(shù)據(jù)庫信息來源于AFRINIC（Africa Internet Network Information Center，非洲互聯(lián)網(wǎng)絡(luò)信息中心）、RIPE NCC（RIPE Network Coordination Centre，歐洲IP網(wǎng)絡(luò)資源協(xié)調(diào)中心）、NTT（Nippon Telegraph &Telephone，日本電報(bào)電話公司）、Level3、RADB（Routing asset database，路由資產(chǎn)數(shù)據(jù)庫）等組織，IRR提供了一種全球網(wǎng)絡(luò)注冊(cè)路由及策略信息并基于此驗(yàn)證BGP宣告內(nèi)容正確性的方式，具有一定的公信力。

AS所有者向IRR發(fā)起路由注冊(cè)時(shí)，主要注冊(cè)的object對(duì)象包含AS、AS-SET、route/route6 等，其中AS對(duì)象包括AS號(hào)與歸屬團(tuán)體信息（部分運(yùn)營商還注冊(cè)與其它AS連接與路由通告關(guān)系），AS-SET對(duì)象包括AS成員關(guān)系，Route/route6對(duì)象描述了IPv4（Internet Protocol version 4，互聯(lián)網(wǎng)協(xié)議版本4）/IPv6（Internet Protocol version 6，互聯(lián)網(wǎng)協(xié)議版本6）Prefix與ASN（Autonomous System Number，自治系統(tǒng)號(hào)）之間的對(duì)應(yīng)關(guān)系。IRR采用RPSL（routing policy specification language，選路策略規(guī)范語言）作為描述語言，AS所有者根據(jù)與相鄰AS的關(guān)系及傳遞策略描述其網(wǎng)絡(luò)的輸入、輸出策略。其他AS通過查詢IRR數(shù)據(jù)庫，可以鑒別某條路由的起源屬性，還可以驗(yàn)證該路由的宣告是否違反了AS之間的路由策略，因此可作為發(fā)生路由泄露和路由劫持的關(guān)鍵判斷依據(jù)。

IRR目前在互聯(lián)網(wǎng)運(yùn)營商中廣泛采用，但其自主自愿注冊(cè)原則無法保證數(shù)據(jù)的完整性，同時(shí)由于缺乏認(rèn)證與授權(quán)措施，數(shù)據(jù)容易遭到篡改，無法保證數(shù)據(jù)的準(zhǔn)確性，完整性與準(zhǔn)確性的缺失制約了IRR在防止路由泄露與劫持方面的應(yīng)用。

相比于IRR，ROA信息庫則是基于PKI（public key infrastructure，公鑰基礎(chǔ)設(shè)施）公鑰體系、對(duì)IP路由前綴Prefix與AS號(hào)對(duì)應(yīng)關(guān)系進(jìn)行數(shù)字簽名認(rèn)證后建立的數(shù)據(jù)庫，安全可信度較高。RPKI（resource public key infrastructure，資源公鑰基礎(chǔ)設(shè)施）用于證書的發(fā)布以及對(duì)路由通告合法性的驗(yàn)證。ROA認(rèn)證及證書通過分布式的RPKI證書庫系統(tǒng)（RPKI repository system）實(shí)現(xiàn)，互聯(lián)網(wǎng)每臺(tái) BGP 路由器都可以從自己所屬的ISP（Internet Service Provider，互聯(lián)網(wǎng)服務(wù)提供商）分發(fā)點(diǎn)進(jìn)行ROA認(rèn)證并獲取證書。由于目前RPKI無法在增強(qiáng)安全與降低開銷及部署難度方面取得平衡，截止至2019年7月，全球互聯(lián)網(wǎng)70萬路由中僅約12%進(jìn)行了ROA認(rèn)證，遠(yuǎn)遠(yuǎn)無法滿足路由認(rèn)證需求，也無法完整有效地防御路由泄露與路由劫持。

防偽認(rèn)證信息庫的設(shè)計(jì)理念，是綜合IRR路由庫完整性以及ROA路由信息安全可靠性的優(yōu)勢(shì)，達(dá)到完整、準(zhǔn)確、可靠的效果。同時(shí)，AS所有者可以進(jìn)一步融合本網(wǎng)IP地址庫、ROA路由起源認(rèn)證信息庫、互聯(lián)網(wǎng)路由注冊(cè)IRR信息庫等多維度信息，按照不同優(yōu)先級(jí)別排序，構(gòu)建屬于自己的路由防偽認(rèn)證信息庫，如圖3。其中本網(wǎng)/本地IP地址庫是指以AS所有者自身申請(qǐng)的IP地址為基礎(chǔ)建立的本地地址庫。

圖3 互聯(lián)網(wǎng)路由防偽認(rèn)證信息庫

路由防偽認(rèn)證信息庫可分為兩部分：一個(gè)是AS合規(guī)性數(shù)據(jù)庫，基于IRR路由數(shù)據(jù)庫中提取的AS、ASSET、路由注冊(cè)信息等建立，主要針對(duì)路由泄露場景。另一個(gè)是路由歸屬合法性數(shù)據(jù)庫，基于ROA路由起源認(rèn)證信息庫/RPKI路由認(rèn)證庫及IRR信息庫中提取的路由認(rèn)證注冊(cè)信息，并疊加本地庫數(shù)據(jù)建立而成，主要針對(duì)路由劫持場景。由于全球網(wǎng)絡(luò)路由注冊(cè)與變更經(jīng)常發(fā)生，為保證的路由防偽認(rèn)證信息庫的有效性與準(zhǔn)確性，信息庫需定期與各數(shù)據(jù)庫同步，及時(shí)更新路由信息。

對(duì)于路由歸屬合法性數(shù)據(jù)庫，由于采集了多個(gè)組織來源的IP路由數(shù)據(jù)庫，可能會(huì)存在重復(fù)且沖突的情況?；诳煽啃钥紤]，建議AS所有者首先以本地地址庫作為最高可信級(jí)別；以ROA路由起源認(rèn)證信息庫作為第二可信級(jí)別；以IRR路由數(shù)據(jù)庫作為更次之的可信級(jí)別，目前全球包括RADB及各大NIC（Network Information Center，網(wǎng)絡(luò)信息中心）/ISP等在內(nèi)，大概有25個(gè)IRR路由注冊(cè)數(shù)據(jù)庫，AS所有者可以選擇其中主要的幾個(gè)或者全部做鏡像并自定義優(yōu)先級(jí)排序，建立自用的IRR信息庫。對(duì)于路由歸屬合法性數(shù)據(jù)庫，當(dāng)一個(gè)prefix在多個(gè)路由數(shù)據(jù)庫中出現(xiàn)沖突（歸屬不同AS）時(shí)，將按照“路由歸屬本地庫”→“路由ROA認(rèn)證庫”→ 排序后的“IRR路由注冊(cè)數(shù)據(jù)庫”的查詢順序進(jìn)行合法性和歸屬關(guān)系驗(yàn)證。

4 路由分析監(jiān)測(cè)

基于路由防偽認(rèn)證信息庫中AS合規(guī)性數(shù)據(jù)庫、路由歸屬合法性數(shù)據(jù)庫，可分析監(jiān)測(cè)網(wǎng)絡(luò)中是否出現(xiàn)路由泄露和路由劫持，為進(jìn)一步實(shí)施路由管控策略提供輸入與依據(jù)。如需實(shí)現(xiàn)在線監(jiān)測(cè)，則將路由分析監(jiān)控模塊加載到網(wǎng)絡(luò)中（例如裝載在服務(wù)器并接入網(wǎng)絡(luò)），作為AS所有者網(wǎng)絡(luò)中的RR（Route Reflector，路由反射器）Client獲取RR反射的路由更新信息，實(shí)時(shí)跟蹤監(jiān)測(cè)網(wǎng)絡(luò)的路由變化。

4.1 路由泄露監(jiān)測(cè)

裝載了路由分析監(jiān)控模塊（或者整個(gè)域間路由安全智能管控系統(tǒng)）的服務(wù)器將作為網(wǎng)絡(luò)的RR Client獲取路由信息，提取需監(jiān)測(cè)的某個(gè)特定AS1的路由條目（只針對(duì)網(wǎng)間第一個(gè)AS為該AS1的條目），并與合規(guī)性數(shù)據(jù)庫中該AS1已注冊(cè)的AS-SET/下游客戶AS-member信息進(jìn)行比對(duì)，判斷條件是收到路由條目AS-PATH的最后一個(gè)AS是否包含在該AS1的下游客戶AS-SET中，只允許屬于該AS1本身或其下游客戶AS列表中的路由通過，如AS1發(fā)布了超出上述范圍的路由（視為非合規(guī)路由），則認(rèn)為發(fā)生路由泄露。域間路由安全智能管控系統(tǒng)可產(chǎn)生路由安全告警、生成異常路由分析報(bào)告或者直接過濾（具體管控手段視實(shí)際需要設(shè)定）。

路由分析監(jiān)控模塊需根據(jù)路由防偽認(rèn)證信息庫及RR反射的路由更新消息及時(shí)且自動(dòng)修正判斷結(jié)果及響應(yīng)，維護(hù)路由的合規(guī)性。

4.2 路由劫持監(jiān)測(cè)

路由分析監(jiān)控模塊從RR反射獲取路由信息后，提取需監(jiān)測(cè)的某個(gè)Prefix的路由關(guān)系：Prefix、Originator、AS-PATH、Origin AS（即AS-PATH中最后一個(gè)AS）等信息。隨后針對(duì)Prefix，遵循本地庫 → ROA → 排序IRR的次序在路由歸屬合法性數(shù)據(jù)庫中按最優(yōu)最長匹配查詢其對(duì)應(yīng)的路由歸屬AS（例如AS2），比對(duì)Origin AS與AS2是否一致，一致則表示路由正常，否則提示發(fā)生路由劫持并進(jìn)一步產(chǎn)生路由安全告警、生成異常路由分析報(bào)告或者直接過濾（具體管控手段視實(shí)際需要設(shè)定）。

路由歸屬合法性數(shù)據(jù)庫雖然整合了全球大部分組織的路由數(shù)據(jù)庫，但仍不能達(dá)到100%的路由覆蓋，或者新增路由不能實(shí)時(shí)同步更新，故查詢匹配的結(jié)果除了“正?！?、“異?！保ń俪郑┲?，少量情況下會(huì)由于Prrfix在數(shù)據(jù)庫中無法匹配到AS2而出現(xiàn)“未知”狀態(tài)，此時(shí)需要人工干預(yù)判斷。

同樣地，路由分析監(jiān)控模塊需根據(jù)路由防偽認(rèn)證信息庫及RR反射的路由更新消息及時(shí)且自動(dòng)修正判斷結(jié)果，并觸發(fā)響應(yīng)機(jī)制（包括告警的撤銷、提示以及路由控制列表的增刪改等）。

5 路由智能管控

5.1 建全路由管控機(jī)制

為了營造一個(gè)更安全更“干凈”的全球互聯(lián)網(wǎng)絡(luò)，主要應(yīng)從兩方面完善路由管控機(jī)制：AS所有者應(yīng)保證自身路由合法性，同時(shí)不接收不傳遞外來的非法路由。

一方面，每個(gè)AS所有者都應(yīng)該從自身網(wǎng)絡(luò)做起，規(guī)范互聯(lián)網(wǎng)IP地址及路由的注冊(cè)和管理機(jī)制。AS所有者應(yīng)該自覺、及時(shí)地在IRR上進(jìn)行自有路由的注冊(cè)，至少包括route/route6及AS/AS-SETS等信息；條件允許時(shí)，尤其是ISP、大型ICP（Internet Content Provider，網(wǎng)絡(luò)內(nèi)容服務(wù)商），建議同時(shí)進(jìn)行ROA路由認(rèn)證，這已經(jīng)是國際主流互聯(lián)網(wǎng)運(yùn)營商的發(fā)展趨勢(shì)。如AS所有者缺乏路由注冊(cè)能力，則建議上游AS協(xié)助其完成路由信息的注冊(cè)工作。這對(duì)健全、凈化全球互聯(lián)網(wǎng)路由，防范路由安全事故具有重要意義，也是實(shí)現(xiàn)BGP路由安全智能管控方案的基礎(chǔ)及關(guān)鍵環(huán)節(jié)。尤其對(duì)于ISP及大型ICP來說，應(yīng)考慮將路由注冊(cè)工作嵌入業(yè)務(wù)運(yùn)營及生產(chǎn)流程，并作為日常運(yùn)維工作看待。

另一方面，AS所有者還應(yīng)具備路由監(jiān)測(cè)管控能力，在網(wǎng)絡(luò)邊緣過濾不合規(guī)不合法的路由，不進(jìn)一步向互聯(lián)網(wǎng)其他AS擴(kuò)展。在健全互聯(lián)網(wǎng)路由注冊(cè)機(jī)制基礎(chǔ)上，完成防偽認(rèn)證信息庫建模、路由分析監(jiān)測(cè)之后，BGP路由安全智能管控方案的最后一個(gè)環(huán)節(jié)是針對(duì)監(jiān)測(cè)結(jié)果進(jìn)行管控。有條件的AS所有者，可以通過BGP路由安全智能管控系統(tǒng)與網(wǎng)管聯(lián)動(dòng)方式下發(fā)配置策略到邊緣路由器，直接自動(dòng)過濾非法路由；在條件不具備、或擔(dān)心誤操作、或需要針對(duì)個(gè)別AS/Prefix特殊化處理的情況下，可通過告警及報(bào)表輸出的方式，由運(yùn)維人員根據(jù)告警信息進(jìn)行人工處理。無論哪種方式，目的是不允許非法路由穿透本網(wǎng)并向更遠(yuǎn)方擴(kuò)展。

5.2 路由控制策略

AS所有者接收路由時(shí)如監(jiān)測(cè)到路由泄露或路由劫持，需部署適當(dāng)?shù)穆酚刹呗砸钥刂?過濾非法路由（無論自動(dòng)或者人工方式）。具體的控制策略可以多種多樣，不一而足，以下給出的示例策略具有一定的通用型，但也僅供參考。

（1）針對(duì)路由泄露的路由控制策略

對(duì)于需要監(jiān)測(cè)的對(duì)象B，在與其互聯(lián)的端口配置AS黑/白名單，并應(yīng)用到EBGP（External Border Gateway Protocol，外部邊界網(wǎng)關(guān)協(xié)議）import路由策略上，實(shí)現(xiàn)基于AS的路由管控。白名單是指根據(jù)B的AS-SET列表里面下游AS member及其遞歸關(guān)系，生成白名單aspath white-list（在路由智能管控模塊中自動(dòng)完成），并允許白名單上AS的路由通過；黑名單則是根據(jù)路由分析監(jiān)測(cè)模塊提交的異常路由警告，針對(duì)不在B下游客戶范圍內(nèi)的AS（即B泄露的AS）設(shè)置黑名單as-path black-list，并對(duì)黑名單上AS的路由實(shí)行封堵。若B未注冊(cè)AS-SET信息，為安全起見，建議僅允許B起源的路由前綴通過，并督促/幫助B盡快在IRR上完成路由注冊(cè)。

（2）針對(duì)路由劫持的路由控制策略

針對(duì)路由分析監(jiān)測(cè)模塊提交的異常路由（路由劫持）IP Prefix 清單，通過配置黑名單方式過濾非法路由，并將其部署應(yīng)用在路由器的EGBP import路由策略上。

6 應(yīng)用前景

截止至2019年7月，AFRINIC、LEVEL3、NTTCOM、RISQ等25個(gè)IRR路由注冊(cè)數(shù)據(jù)庫中已注冊(cè)的AS記錄接近6.4萬，已注冊(cè)的IPv4地址族路由IP/Prefix記錄接近235萬，IPv6地址族路由IP/Prefix記錄接近21萬，上述記錄為多個(gè)數(shù)據(jù)庫累加結(jié)果，有重復(fù)?；贗ANA（The Internet Assigned Numbers Authority，互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)）RPKI的APNIC（Asia-Pacific Network Information Center，亞太互聯(lián)網(wǎng)絡(luò)信息中心）認(rèn)證數(shù)據(jù)庫中IPv4記錄接近8萬條，IPv6記錄接近1.5萬條，即目前完成ROA認(rèn)證的路由只占全球70萬路由的12%。

在某運(yùn)營商開展的實(shí)驗(yàn)案例中，基于本地庫及ROA、IRR鏡像建立了IPv4路由歸屬數(shù)據(jù)庫，獲取并整合為全網(wǎng)69.9萬條路由，接近全球路由量。通過對(duì)網(wǎng)絡(luò)實(shí)際接收路由與路由歸屬數(shù)據(jù)庫的比對(duì)分析，記錄某個(gè)時(shí)間段監(jiān)測(cè)到發(fā)生路由劫持10萬條，其中ROA認(rèn)證異常記錄占8%，IRR注冊(cè)異常記錄占58%，剩余34%為未注冊(cè)異常記錄，這34%需要人工進(jìn)一步排查分析。

從理論分析、現(xiàn)網(wǎng)數(shù)據(jù)和實(shí)驗(yàn)案例來看，本文提出的路由管控方案具有合理性和實(shí)用性，并可預(yù)見，隨著注冊(cè)認(rèn)證機(jī)制的規(guī)范與普及，本方案對(duì)于規(guī)避防范路由安全事件風(fēng)險(xiǎn)將會(huì)更有效、更全面。

7 結(jié)束語

針對(duì)BGPv4協(xié)議的互聯(lián)網(wǎng)路由泄露/路由劫持監(jiān)測(cè)與防護(hù)研究已成為當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)之一，本文所闡述的域間路由安全智能管控方案綜合考慮IRR路由注冊(cè)和ROA認(rèn)證的優(yōu)勢(shì)資源進(jìn)行建模，并通過黑白名單的方式對(duì)路由泄露和路由劫持場景進(jìn)行管控，從而達(dá)到維護(hù)鞏固網(wǎng)絡(luò)安全的目的。但由于路由注冊(cè)認(rèn)證尚未在全球范圍內(nèi)強(qiáng)制性要求，因此在實(shí)際部署過程中可能會(huì)存在漏判誤判的情況。此外，全球路由安全管理機(jī)制尚未規(guī)范化，實(shí)際應(yīng)用中還需要考慮業(yè)務(wù)、政策、法律等方面的風(fēng)險(xiǎn)規(guī)避。但隨著各ISP、大型ICP甚至國家層面對(duì)網(wǎng)絡(luò)安全的日益重視，網(wǎng)絡(luò)安全監(jiān)控策略機(jī)制也必然會(huì)不斷探索中逐步走向成熟并得到推廣應(yīng)用。