资料

BGP安全研究 清华的综述

whois.bgpmon.net 可以查bgp异常监测

BGP安全之争 sbgp跟sobgp的组件

BGP Routing Security 一些资料索引

DNSSEC protected routing announcements for BGP 通过dnssec认证bgp宣告,draft没成

rover 地址源认证

案例

2014.03.17-Google DNS servers suffer brief traffic hijack

路由泄漏 More Leaky Routes

More Specifics 问题

More Specifics in BGP

Type I - Hole Punching : more Specifics与origin有不同的出口

Type II - Traffic Engineering:more Specifics出口与origin相同,中间路径不同

Type III - Overlay:多个more Specifics与origin的路径完全相同

内容描述比较简单直接,重点在文章最后一句

笔记:BGP安全研究

前缀劫持

internet地址分配:IANA -> RIR -> LIR

某个AS宣告一个未获授权的前缀,该前缀事实上属于其他AS或尚未分配。

运维:IGP到BGP的路由重分发配置出错,容易导致此类问题。

恶意:伪造BGP Update中的NLRI信息,某个AS向外宣告到<别的AS所拥有的IP段>的路由,其问题是同一个前缀被多个AS通告(MOAS, multiple origin as)

恶意:伪造NLRI信息和AS_PATH路径,某个恶意AS伪造前缀并声称自身是对端节点到该前缀的较优路径的一跳

路由泄漏

路由通吿给了不合适的对象,导致流量重定向

通告信息本身是合法的,只不过一般是违反了通用处理策略。路由认证机制无法解决该问题。

尤其是从 customer -> peer -> provider 的链条来说,考虑经济利益,通用的出站策略

与TCP协议相关的安全性

TCP攻击导致BGP消息update困难

运维解决

不修改路由协议

可加强路由过滤,例如地址信息更新、异常地址过滤、customer路由前缀信息检查。。。

IRR路由策略信息检验。。。

等等。。。

前缀劫持检测

与历史信息比对 + 主动探测,等等。。。

协议解决

SIDR:

AS是否拥有某IP前缀的合法授权?(origin AS的真实性)

BGP路由中的AS_PATH是否与其NLRI实际传播路径一致?(AS_PATH的完整性)

S-BGP

BBN公司,Stephen Kent

ISP自身有两套证书:IP证书,AS证书

ISP再签发两套证书:自身拥有的AS证书,BGP路由器证书

地址证明(Address Attestations):ISP签发,该AS被ISP允许通告其拥有的IP地址前缀

路由证明(Route Attestations):BGP路由器签发,BGP路由对等体的AS号是否能继续通告该IP前缀的授权

用ISP公钥校验地址证明,用路由器证书逐跳校验AS_PATH中的路由证明

需要引入两套PKI,路由收敛时间长、计算开销大、内存需求大

soBGP(第三方认证,网状信任)

思科

EntityCert:AS证书,标识某实体确实拥有该AS,由第三方进行签名(网状信任)

AuthCert:源授权证书(Origin Authorization Certificates),AS拥有IP前缀

注意AuthCert带有上一级AS的EntityCert的指针

ASPolicyCert:AS策略证书(AS Policy Certificates), 当前AS与其连接的对等体AS列表证书

各AS可以通过“AS策略证书”构建AS的网络拓扑图,从而判断路由通告中的AS_PATH属性是否真实

soBGP机制只能提供路由源验证,无法保证路径验证

RPKI + BGPSec

RPKI 负责对互联网码号资源INR(包括IP地址前缀和AS号)的所有权和使用权的认证,进行合法路由源(Origin AS)的验证

BGPsec在RPKI的基础上,引入BGPsec_Path,进行AS_PATH的验证

ROVER

基于DNSSEC部署成果。。。



blog comments powered by Disqus

Published

29 July 2013

Tags