邊界網(wǎng)關(guān)協(xié)議(BGP)是運行于 TCP 上的一種自治系統(tǒng)的路由協(xié)議,是互聯(lián)網(wǎng)運作的基礎(chǔ),但由于設(shè)計時間(1989年BGP誕生)過于久遠(yuǎn),難免存在安全隱患。
系統(tǒng)管理員有時錯誤配置了BGP協(xié)議,導(dǎo)致流量被劫持插入廣告,在某些情況下,實施惡意路由,劫持正常用戶流量,從而影響用戶體驗。
為此,來自歐洲和美國的一組研究人員創(chuàng)建了一個框架——“自動及實時檢測與緩解系統(tǒng)(ARTEMIS)”,供服務(wù)提供商在幾分鐘內(nèi)解決BGP劫持問題。研究人員表示,ARTEMIS使提供實時流的公共BGP監(jiān)控服務(wù)成為可能。
ARTEMIS系統(tǒng)怎樣監(jiān)控BGP使用諸如RouteViews Project和RIPE路由信息服務(wù)(RIS)等基礎(chǔ)設(shè)施,ARTEMIS允許運營商在自己的基礎(chǔ)設(shè)施中緩解BGP劫持,而無需依靠第三方服務(wù)。研究人員認(rèn)為,這就意味著使用BGP監(jiān)控流量的網(wǎng)絡(luò)運營商可響應(yīng)BGP劫持,無需等待手動驗證警報。
網(wǎng)絡(luò)運營商可用自治系統(tǒng)(Autonomous System,AS)的信息配置ARTEMIS,觀察影響AS-PATH事件的外部Feed,這意味著該系統(tǒng)能檢測任何一類劫持事件,并生成警報。
ARTEMIS生成的警報包括各類輸出,例如受影響的前綴、劫持企圖類型、觀察到的影響、涉及的AS號以及檢測可信度。
當(dāng)BGP劫持事件發(fā)生時,盡管ARTEMIS不會讓網(wǎng)絡(luò)運營商與其它運營商失去聯(lián)系,但會將受影響的前綴作為響應(yīng)進(jìn)行拆分,這屬于該系統(tǒng)自動生成的步驟。當(dāng)檢測到劫持10.0.0.0/23前綴,網(wǎng)絡(luò)會執(zhí)行前綴拆分,并宣告兩個其它的子前綴:10.0.0.0/24和10.0.1.0/24。這些子前綴將在互聯(lián)網(wǎng)中拆分,BGP會優(yōu)先考慮更具體的前綴,受污染的AS將重建合法路由。
BGP MOAS宣告是ARTEMIS緩解策略的另一個組成部分,在該模型中,緩解攻擊的企業(yè)使用BGP/MOAS或DNS將流量重定向到所在位置和清理中心,刪除惡意流量,并將合法流量轉(zhuǎn)發(fā)給受害者。
如果檢測到BGP劫持,ARTEMIS系統(tǒng)會向負(fù)責(zé)緩解的企業(yè)發(fā)送警報,宣告位置或前綴遭遇劫持的路由器,這就意味著這家企業(yè)吸引了來自互聯(lián)網(wǎng)的流量,因此可以將這些流量傳回合法網(wǎng)絡(luò)。
研究人員表示,實驗中,他們可以在短短五秒內(nèi)檢測BGP劫持,并且絕大多數(shù)AS在60秒內(nèi)從劫持中得以恢復(fù)。