互聯網大規模前綴劫持事件檢測與分析的案例研究*

隋東方，唐 勇，劉宇靖，王恩澤

(國防科技大學計算機學院,湖南 長沙 410073)

1 引言

近年來，隨著科技的發展以及人類對網絡通信依賴的加深，域間路由傳輸發揮著越來越重要的作用。而作為域間路由通信的重要協議邊界網關協議BGP(Border Gateway Protocol)，因其脆弱性，經常會引發全網范圍的安全事故。其中IP前綴劫持就是互聯網的一種主要安全威脅。在前綴劫持過程中，攻擊者試圖欺騙自治系統AS(Autonomous Systems)成為感染者，這樣從感染者到受害者的數據流量就將被重定向到攻擊者。而由于缺乏完整的知識或認證，路由器或網絡運營商很難及時、準確地識別偽造的前綴所有權聲明[1]。

檢測和分析大規模的前綴劫持事件是一件十分有必要但又充滿挑戰的工作[2]。攻擊能夠通過多種難以預測的方式進行，同時，大規模的劫持事件往往涉及了數量眾多的受害者和感染者，準確、高效地檢測和分析大規模前綴劫持事件是一項富有挑戰性的任務。

2019年6月6日，瑞士數據中心主機托管公司Safe Host的自治系統AS21217錯誤地更新了路由，向中國電信的自治系統AS4134泄露了70 000多條路由，造成了大規模的前綴劫持。這次事件導致許多泄露的路由在互聯網上傳輸超過2個小時，嚴重影響了全球網絡的通信質量。這次事件影響范圍廣、持續時間長，是一個非常有價值的研究案例。本文以該事件為研究案例，提出了一種高效的事件檢測和特征分析方法，并分析了該事件的影響。

在檢測方面，本文首先通過分析BGP更新報文數量的異常突長確定劫持事件的發生，之后提取報文增長突出的時間段，通過分析AS出現頻率的異常，以及劫持發生前后連續AS情況的異常確定攻擊AS以及感染AS中的關鍵點；同時，我們也對劫持發生時，網絡的MOAS(Multiple Origin AS)沖突情況和AS-PATH路徑膨脹情況進行了檢測，證實了此次劫持導致這2項異常增長。在特征分析方面，本文對劫持的類型、受害者及感染者等情況進行了分析，以回答下面的問題：(1)這次事件是否包括了復雜的劫持類型，如子前綴劫持、路由篡改等？(2)這次事件造成了多大的影響？有多少受害者被劫持？有多少感染者被感染？(3)這次事件的劫持路由的傳播過程是怎樣的？

使用歐洲IP資源網絡協調中心RIPE(Réseaux IP Européens)的路由信息服務RIS(Routing Information Service)項目[3]收集的公開的BGP數據來實現本文的方法。文獻[3]是第1篇詳細分析2019年Safe Host BGP事件的學術論文。本文得到的關于這次事件的結論包括：(1)這次劫持的“攻擊者”為AS21217，AS4134是劫持路由傳播事件的關鍵點；(2)此次劫持事件導致了嚴重的多源AS沖突和AS-PATH路徑膨脹問題；(3)此次事件的劫持類型包括劫持前綴并篡改AS路徑以及劫持子前綴并篡改AS路徑2種類型；(4)檢測到311個AS被感染，長度為4的感染鏈數量最多，且分屬于3 895個AS的28 118個前綴IP段成為受害者，同時本文還實現了一個可視化系統來展示劫持發生時的全球網絡態勢。

2 背景介紹和相關研究

2.1 背景介紹

邊界網關協議在互聯網之間傳遞可達性信息，是域間路由通信最為重要的協議,目前主要使用的是BGP-4[4]。鑒于BGP安全的重要性，國際互聯網工程任務組IETF(Internet Engineering Task Force)在2006年組建了安全域間路由SIDR(Secure Inter-Domain Routing)工作組,用于從事BGP安全研究和制定相關標準。此后，越來越多的針對BGP的安全問題[5 - 10]的研究開展起來。從第1個安全方案S-BGP至今，安全研究人員已經提出了多種方案來檢測和緩解BGP的安全問題，但BGP安全問題至今仍未得到有效的解決[11]，足見處理BGP安全問題的復雜性與挑戰性。

2.1.1 BGP前綴劫持

在域間路由系統中，IP前綴的合法擁有者AS向鄰居宣告此前綴，該路由信息在互聯網上傳播，各AS獲得到達此前綴的路徑信息，在其路由表中以AS PATH屬性表示途經的AS。但是，由于配置錯誤或惡意攻擊等原因，并不擁有某IP前綴的AS非法宣告此前綴，則會引發BGP前綴劫持事件。

在BGP前綴劫持過程中，非法宣告前綴的AS被稱為攻擊者，前綴原本的合法擁有者被稱為受害者；在路由的傳播過程中，直接遭受攻擊且相信劫持路由、并將其傳播的AS稱為感染者，沒有相信和傳播劫持路由的AS稱為未感染者。

完整的BGP前綴劫持分類包括4類：劫持前綴(類型1)、劫持子前綴(類型2)、劫持前綴并篡改路徑(類型3)和劫持子前綴并篡改路徑(類型4)[12]。類型1的BGP前綴劫持是劫持與受害者AS相同的前綴，在攻擊過程中，攻擊者宣告本屬于受害者的IP前綴，劫持路由同樣在互聯網上傳播，相信該劫持路由的AS成為感染者；類型2是劫持受害者AS的子前綴；類型3是在劫持前綴的情況下，其AS路徑的始發點依然是前綴所屬的真正AS；類型4是類型2和類型3的結合。其中類型3與類型4可有效避免MOAS沖突。

2.1.2 多源AS沖突

多源AS MOAS沖突，是指一個IP前綴同時由多個AS發起，即有多個源AS對前綴IP進行了宣告。假如有這樣2條路由的AS-PATH屬性:

Asph1= {p1,p2,…,pn}

Asph2= {q1,q2,…,qm}

所攜帶的IP前綴相同，當pn≠qm時，稱發生了多源AS沖突現象。

產生MOAS沖突的原因有很多，主要有4種情況，(1)宣告的IP前綴位于AS交接處 ；(2)不使用BGP的多宿主產生的宣告；(3)使用私有AS號的多宿主產生的宣告；(4)錯誤或者惡意的配置。

2.1.3 AS-PATH路徑膨脹

BGP協議的更新報文中包含多種屬性，其中AS-PATH是非常重要的一個屬性。AS-PATH屬性是公認必遵屬性，它指路由被傳播到BGP路由器之前，途經所有AS的編號序列。可將AS-PATH表示成如下形式{ASN，ASN-1，…，AS3，AS2,AS1}，此處稱AS1為origin_as，即起始AS；稱ASN為peer_as，它是路由經過的最近的一個AS。由于路由器的策略配置等因素，AS之間的實際路徑的長度可能會比實際的最短路徑大，這種現象稱為AS-PATH路徑膨脹。

2.2 相關研究

一方面，前綴劫持的防御措施的研究包括3類：劫持發生前的預防、劫持發生時的檢測以及劫持發生后的反應。預防工作需要改變BGP協議，需要在全網范圍內部署[13]。檢測機制又可以劃分為基于控制平面信息的檢測[14,15]、基于數據平面的檢測[16]以及控制平面和數據平面協同檢測。反應機制主要包括宣告更長的前綴，并與劫持路由的宣告者協商撤銷劫持路由等。

另一方面，歐洲移動網絡的BGP事件發生后，相關的研究較少。Oracle公司針對該事件發布了一篇技術博客[17]，多家新聞媒體對該事件進行了報道。本文的研究成果與Oracle公司公布的結果之間相互印證，例如，攻擊發生的起始時間、攻擊者的AS號、劫持持續時間等。但是，本文進一步分析了此次事件的影響，對攻擊者、感染者及受害者的情況都進行了進一步的說明，定位了感染AS中的關鍵點，對劫持發生時的多源AS沖突和AS-PATH路徑膨脹情況也進行了檢測，識別出劫持的類型，對劫持路由的傳播過程也進行了特征分析。

3 Safe Host事件的檢測方法

3.1 BGP路由數據源

目前針對BGP路由的研究數據主要來源于大型BGP監測系統所采集的互聯網真實數據。現在業界最權威、規模最大的監測系統是RIPE RIS項目和Route Views項目[18]。它們都在互聯網中部署了大量的遠程路由采集器RRC(Remote Route Collectors)，收集BGP路由表和Update報文，并定時存儲下來發布在其網站上。可以由此得到被監測的AS到達互聯網上其他AS的真實路由，也可以根據特定時間區間重現互聯網上發生的歷史事件，此可用的數據集向我們展示了較為廣闊的域間路由視圖，可以使用此數據來對互聯網的行為進行采樣分析。本文實驗采用了RIPE RIS項目中的數據；同時使用了BGPStream的開源軟件框架工具來對RIPE RIS項目中的BGP數據進行檢測和特征分析。

3.2 定位可疑的攻擊者與識別異常路由

根據新聞和技術博客上的記載，瑞士Safe Host在09:43 UTC(Coordinated Universal Time)泄露路由給中國電信,之后中國電信網絡宣告了這些路由，此次事件持續了超過2個小時。

本文將當天8:00到13:00的BGP路由更新報文數量按每1 min的間隔進行統計,結果如圖1所示。從圖1中發現，在10點之后的2個多小時內，路由宣告報文出現3次顯著異常的波峰，路由撤銷報文出現1次顯著異常波峰，結果與事件的時間線相吻合。路由更新報文的急劇增加是域間路由系統發生大規模事件的標識。

Figure 1 Number of Announcements and Withdrawals in BGP updates圖1 更新報文中宣告報文與撤銷報文的個數

10:24到10:25這1 min是第1次宣告報文數量的波峰，我們提取這1 min的數據進行深入分析。計算期間出現的傳輸AS，圖2展示了傳輸AS出現的次數，x軸是AS排序，y軸是該AS以傳輸AS的身份出現在路由更新報文中的比例，這種‘冪律’形式的分布表示，極少數的AS出現得很頻繁，而大多數AS出現的次數很少。排名前10的AS列在表1中，我們可以看到，AS出現頻率最高的前3名為AS174、AS4134和AS21217，可以列為最高等級。

Figure 2 Occurrence frequencies of transit ASes from 10:24 to 10:25 UTC圖2 10:24～10:25時間段內傳輸AS的出現頻率

表1 事件中AS Rank排名前10的AS及其出現頻率

對CAIDA中AS Rank排名數據[19]分析發現，AS4134和AS174均是排名前0.1%的AS(其中AS174排名第4，AS4134排名第45),而AS21217是排名8.26%的AS(AS21217排名第5 451)，卻在此劫持事件中排名第3，是很異常的表現。

一個AS在互聯網中的路由態勢不會在短時間內發生變化。我們將劫持發生后首次出現的路徑稱為異常路由。為了確定異常路由，取劫持發生前8:40～9:40這一個小時為參考基準，檢測劫持前后出現“X-A”和“A-Y”這種AS-PATH路徑的路由，最終發現當A為AS21217時，異常路由的比例最高，且首次出現異常路由時間為9:43，不同時段出現的路徑種類和數目見表2。其中“X-21217”路徑中異常路由的比例為99.99%，“21217-Y”路徑中異常路由的比例為99.999%。

由此，我們將1 134 119條路由標記為異常路由，確定AS21217為此次劫持事件中的攻擊者。對于前綴劫持攻擊，說服一些關鍵的AS信任攻擊者偽造的虛假路由是很有必要的[20]。在“X-21217”路徑的異常路由中，X為4134時的比例占異常路由總數的99.999%，故AS4134可被認為是攻擊過程中感染AS的關鍵點。異常路由出現的起始時間為9:43，恰好與Oracle公司報告的劫持起始時間相同，得以相互印證。

Table 2 Identification of anomalous routes

b “21217-Y” 不同時段路徑數量對比

3.3 檢測MOAS沖突

本文取事件當日8時～13時全球數據，分析MOAS沖突情況，統計每分鐘發生MOAS沖突的IP前綴總數，結果如圖3所示。由圖3可知，在9:43劫持發生后，發生MOAS沖突的IP前綴數目明顯增多，出現多次高峰值，這說明此次劫持事件對網絡的MOAS沖突產生了較大影響。

Figure 3 Number of IP prefixes with MOAS conflicts from 8:00 to 13:00 (UTC)圖3 8時～13時發生MOAS沖突的IP前綴數目

Figure 4 Number of AS path inflation from 8:00 to 13:00 (UTC)圖4 8時～13時(UTC)AS路徑膨脹數目

3.4 檢測AS-PATH路徑膨脹

同樣取劫持當日8時～13時BGP更新報文數據進行分析，獲取所有出現的AS，將這些AS構建成一個無向圖，其中每個AS為一個節點，相鄰AS之間為一條邊。對更新報文中每個AS-PATH的peer_as和origin_as，計算基于更新報文中BGP路徑的路徑長度L1，基于無向圖的最短路徑為L2。若L1=L2，則peer_as和origin_as之間沒有發生路徑膨脹；若L1>L2，則說明發生了路徑膨脹。在測量時間段內，統計每分鐘發生路徑膨脹的不同origin_as和peer_as對的個數，結果如圖4所示。可以看出，劫持發生前路徑膨脹對的個數基本保持在20 000個以下；在發生劫持后，有一個時間點origin_as和peer_as對的個數明顯大幅增高，達到68 181個，這也是此次劫持事件的一個重要特征。

4 Safe Host事件的特征分析方法

4.1 劫持類型與劫持危害

此次事件中，絕大部分的異常路由可以被劃分為類型3和類型4，即劫持前綴并篡改路徑和劫持子前綴并篡改路徑。本文選取BGP路由表中的正常路徑和異常路由條目的AS-PATH進行對比，由此判斷劫持種類。每種類型的示例如表3所示。在第1個例子中，AS21217劫持了AS18403的前綴1.53.252.0/24并篡改了AS-PATH。在第2個例子中，AS21217劫持了AS18403的子前綴1.55.210.0/24并篡改了AS-PATH 。

Table 3 Examples of prefix hijacking types

Figure 5 Visual map of hijacking events圖5 劫持事件可視化地圖

對感染期間9:43～12:00異常路由進行分析，統計異常路由中攻擊者AS21217傳播IP的路徑，發現感染AS數量為311個；同時通過分析異常路由傳播的IP前綴并結合MaxMind的geoip數據庫[21]，統計出受害的IP前綴數目共28 118個，分屬于3 895個AS，且分屬于160余個國家，這些國家以歐洲居多。為了直觀觀察影響，本文實現了一個可視化系統來觀察劫持影響，如圖5所示，圖中標記出了攻擊者以及眾多感染者AS的位置，從圖5中可直觀看出，歐洲地區受感染AS數量最多。

4.2 劫持路由的傳播過程

BGP前綴劫持是一個動態傳播的過程。劫持路由從攻擊者一跳接一跳地傳播給感染者。將劫持路由從一個AS傳播到另一個AS的一跳稱為一條“感染鏈路”，感染鏈路是有向的。將感染鏈路首尾相接，可以得到從攻擊者AS21217到所有感染者的感染鏈。在受感染的311個AS中，每一跳的感染者數量如表4所示。第1跳的感染者只有AS4134和AS6830，第2跳的感染者包括了33個成員。這意味者，在眾多的鄰居中，AS21217只將劫持路由傳播給了AS4134和AS6830，之后AS4134和AS6830又傳播給了33個鄰居，后續以此類推。

Table 4 Distribution of infected AS number in each hop

同時，對每一條感染鏈的長度進行統計，結果如表5所示。感染鏈路最小長度為3，最大長度為10，其中長度為4的感染鏈路最多，占比48.07%，數量向兩側依次遞減。

Table 5 Distribution of infected link

5 結束語

本中以2019年Safe Host網絡事件為研究案例，提出了高效的大規模BGP事件的檢測與特征分析方法，同時分析了該事件產生的影響。 分析結果包括如下幾條：(1)這次劫持的“攻擊者”為AS21217，AS4134是劫持路由傳播過程中的關鍵點；(1)此次劫持事件導致了嚴重的多源AS沖突和AS-PATH路徑膨脹問題；(3)此次事件的劫持類型包括劫持前綴并篡改AS路徑以及劫持子前綴并篡改AS路徑2種類型；(4)檢測到311個AS被感染，長度為4的感染鏈數量最多，且分屬于3 895個AS的28 118個前綴IP段成為受害者，同時還實現了一個可視化系統來展示劫持發生時的全球網絡態勢。這些研究結果一方面與Oracle公司公布的結果相互印證，另一方面又對Safe Host事件進行了更加詳盡的補充和深入挖掘，對大規模的BGP前綴劫持檢測和防御工作提供了技術和數據支撐。