域間路由安全智能管控方案研究

［黃卓君 劉志華 蔡學龍］

1 引言

互聯網中不同AS（Autonomous System，自治系統）通過BGP（Border Gateway Protocol，邊界網關協議）建立域間鄰居關系并宣告相應的路由前綴實現互聯互通，由于互聯網協議設計的互信特點，AS能夠通告其不擁有的IP（Internet Protocol，互聯網協議）前綴，即通告非法路由。若無監控機制，這些非法通告將大范圍傳播并“污染”更多AS甚至整個互聯網，影響通信的可用性、完整性和保密性。近年來基于最新版本BGPv4（Border Gateway Protocol version 4，邊界網關協議版本4）協議的互聯網路由泄露、路由劫持等安全事件層出不窮，故障波及范圍大，對國家、運營商、客戶造成了嚴重影響，BGPv4安全缺陷一度被認為是全球互聯網最嚴重的安全漏洞。

目前發生的主要安全事件可分為兩大類：路由泄露和路由劫持。路由泄露典型場景：A是運營商，B是A的客戶且自帶AS，當客戶B向上游A宣告路由時，除了發布自身及下游資源之外，還發布了其他上游或Peer（例如C）的路由，則可能導致訪問C的互聯網流量錯誤地穿透A及B再到達C，即發生路由泄露。路由劫持典型場景：上游A和客戶B，如果B由于錯誤配置或惡意篡改，發布了不屬于自身AS的IP前綴，從而將訪問該IP前綴的互聯網流量非法引導至B，則發生路由劫持。

圖1列舉了近十年重大的BGP安全事件，這些事件涉及范圍廣，對整個互聯網的可用性和穩定性都造成了不同程度的影響。

圖1 近十年重大BGP安全事件

基于對國際BGP路由安全事件的跟蹤與分析，本文提出互聯網域間路由安全智能管控解決方案，通過路由數據庫建模及在線關聯分析，實現對路由泄露、路由劫持（含錯誤路由事件）的實時監測，并進一步實施策略控制避規安全風險，逐步建設自動閉環管理的互聯網域間路由智能管控能力，為促進綠色安全互聯網環境的建立提供理論與實踐意義的參考。

2 域間路由安全智能管控方案概述

圖2是域間路由（BGP）安全智能管控方案示意圖，由防偽認證信息庫、路由策略分析監測、路由智能管控3個功能模塊組成，對接收及發布的BGP路由進行合法合規性監測與控制，3個模塊可獨立工作，也可整合聯動形成域間路由安全智能管控系統從而實現對域間路由的自動可控管理。

互聯網路由防偽認證信息庫：基于網絡自有IP地址/路由庫以及IRR（Internet routing registry，互聯網路由注冊）、ROA（route origin authorization，路由起源授權）等路由信息庫進行多維數據采集建模，構建具有防偽認證意義的關系型全球路由數據庫。

圖2 域間路由安全智能管控方案示意圖

路由策略分析監測：開展基于目標策略驅動的路由實時在線動態監測，利用防偽認證信息庫進行路由及策略比對，分析識別不合規的AS以及非法發布的路由前綴，從而及時發現路由泄露與路由劫持并提示告警。

路由智能管控：基于路由策略分析監測的告警信息，進一步通過路由智能管控模塊以黑白名單形式過濾非法路由，從而保證域間路由安全。

3 防偽認證信息庫建模

路由注冊（routing registries）是指公有AS所有者主動將自己的路由信息、路由策略信息注冊到公共數據庫以便于數據的全球化共享查詢。目前被廣泛使用的分布式路由注冊數據庫是IRR，其數據庫信息來源于AFRINIC（Africa Internet Network Information Center，非洲互聯網絡信息中心）、RIPE NCC（RIPE Network Coordination Centre，歐洲IP網絡資源協調中心）、NTT（Nippon Telegraph &Telephone，日本電報電話公司）、Level3、RADB（Routing asset database，路由資產數據庫）等組織，IRR提供了一種全球網絡注冊路由及策略信息并基于此驗證BGP宣告內容正確性的方式，具有一定的公信力。

AS所有者向IRR發起路由注冊時，主要注冊的object對象包含AS、AS-SET、route/route6 等，其中AS對象包括AS號與歸屬團體信息（部分運營商還注冊與其它AS連接與路由通告關系），AS-SET對象包括AS成員關系，Route/route6對象描述了IPv4（Internet Protocol version 4，互聯網協議版本4）/IPv6（Internet Protocol version 6，互聯網協議版本6）Prefix與ASN（Autonomous System Number，自治系統號）之間的對應關系。IRR采用RPSL（routing policy specification language，選路策略規范語言）作為描述語言，AS所有者根據與相鄰AS的關系及傳遞策略描述其網絡的輸入、輸出策略。其他AS通過查詢IRR數據庫，可以鑒別某條路由的起源屬性，還可以驗證該路由的宣告是否違反了AS之間的路由策略，因此可作為發生路由泄露和路由劫持的關鍵判斷依據。

IRR目前在互聯網運營商中廣泛采用，但其自主自愿注冊原則無法保證數據的完整性，同時由于缺乏認證與授權措施，數據容易遭到篡改，無法保證數據的準確性，完整性與準確性的缺失制約了IRR在防止路由泄露與劫持方面的應用。

相比于IRR，ROA信息庫則是基于PKI（public key infrastructure，公鑰基礎設施）公鑰體系、對IP路由前綴Prefix與AS號對應關系進行數字簽名認證后建立的數據庫，安全可信度較高。RPKI（resource public key infrastructure，資源公鑰基礎設施）用于證書的發布以及對路由通告合法性的驗證。ROA認證及證書通過分布式的RPKI證書庫系統（RPKI repository system）實現，互聯網每臺 BGP 路由器都可以從自己所屬的ISP（Internet Service Provider，互聯網服務提供商）分發點進行ROA認證并獲取證書。由于目前RPKI無法在增強安全與降低開銷及部署難度方面取得平衡，截止至2019年7月，全球互聯網70萬路由中僅約12%進行了ROA認證，遠遠無法滿足路由認證需求，也無法完整有效地防御路由泄露與路由劫持。

防偽認證信息庫的設計理念，是綜合IRR路由庫完整性以及ROA路由信息安全可靠性的優勢，達到完整、準確、可靠的效果。同時，AS所有者可以進一步融合本網IP地址庫、ROA路由起源認證信息庫、互聯網路由注冊IRR信息庫等多維度信息，按照不同優先級別排序，構建屬于自己的路由防偽認證信息庫，如圖3。其中本網/本地IP地址庫是指以AS所有者自身申請的IP地址為基礎建立的本地地址庫。

圖3 互聯網路由防偽認證信息庫

路由防偽認證信息庫可分為兩部分：一個是AS合規性數據庫，基于IRR路由數據庫中提取的AS、ASSET、路由注冊信息等建立，主要針對路由泄露場景。另一個是路由歸屬合法性數據庫，基于ROA路由起源認證信息庫/RPKI路由認證庫及IRR信息庫中提取的路由認證注冊信息，并疊加本地庫數據建立而成，主要針對路由劫持場景。由于全球網絡路由注冊與變更經常發生，為保證的路由防偽認證信息庫的有效性與準確性，信息庫需定期與各數據庫同步，及時更新路由信息。

對于路由歸屬合法性數據庫，由于采集了多個組織來源的IP路由數據庫，可能會存在重復且沖突的情況。基于可靠性考慮，建議AS所有者首先以本地地址庫作為最高可信級別；以ROA路由起源認證信息庫作為第二可信級別；以IRR路由數據庫作為更次之的可信級別，目前全球包括RADB及各大NIC（Network Information Center，網絡信息中心）/ISP等在內，大概有25個IRR路由注冊數據庫，AS所有者可以選擇其中主要的幾個或者全部做鏡像并自定義優先級排序，建立自用的IRR信息庫。對于路由歸屬合法性數據庫，當一個prefix在多個路由數據庫中出現沖突（歸屬不同AS）時，將按照“路由歸屬本地庫”→“路由ROA認證庫”→ 排序后的“IRR路由注冊數據庫”的查詢順序進行合法性和歸屬關系驗證。

4 路由分析監測

基于路由防偽認證信息庫中AS合規性數據庫、路由歸屬合法性數據庫，可分析監測網絡中是否出現路由泄露和路由劫持，為進一步實施路由管控策略提供輸入與依據。如需實現在線監測，則將路由分析監控模塊加載到網絡中（例如裝載在服務器并接入網絡），作為AS所有者網絡中的RR（Route Reflector，路由反射器）Client獲取RR反射的路由更新信息，實時跟蹤監測網絡的路由變化。

4.1 路由泄露監測

裝載了路由分析監控模塊（或者整個域間路由安全智能管控系統）的服務器將作為網絡的RR Client獲取路由信息，提取需監測的某個特定AS1的路由條目（只針對網間第一個AS為該AS1的條目），并與合規性數據庫中該AS1已注冊的AS-SET/下游客戶AS-member信息進行比對，判斷條件是收到路由條目AS-PATH的最后一個AS是否包含在該AS1的下游客戶AS-SET中，只允許屬于該AS1本身或其下游客戶AS列表中的路由通過，如AS1發布了超出上述范圍的路由（視為非合規路由），則認為發生路由泄露。域間路由安全智能管控系統可產生路由安全告警、生成異常路由分析報告或者直接過濾（具體管控手段視實際需要設定）。

路由分析監控模塊需根據路由防偽認證信息庫及RR反射的路由更新消息及時且自動修正判斷結果及響應，維護路由的合規性。

4.2 路由劫持監測

路由分析監控模塊從RR反射獲取路由信息后，提取需監測的某個Prefix的路由關系：Prefix、Originator、AS-PATH、Origin AS（即AS-PATH中最后一個AS）等信息。隨后針對Prefix，遵循本地庫 → ROA → 排序IRR的次序在路由歸屬合法性數據庫中按最優最長匹配查詢其對應的路由歸屬AS（例如AS2），比對Origin AS與AS2是否一致，一致則表示路由正常，否則提示發生路由劫持并進一步產生路由安全告警、生成異常路由分析報告或者直接過濾（具體管控手段視實際需要設定）。

路由歸屬合法性數據庫雖然整合了全球大部分組織的路由數據庫，但仍不能達到100%的路由覆蓋，或者新增路由不能實時同步更新，故查詢匹配的結果除了“正常”、“異常”（劫持）之外，少量情況下會由于Prrfix在數據庫中無法匹配到AS2而出現“未知”狀態，此時需要人工干預判斷。

同樣地，路由分析監控模塊需根據路由防偽認證信息庫及RR反射的路由更新消息及時且自動修正判斷結果，并觸發響應機制（包括告警的撤銷、提示以及路由控制列表的增刪改等）。

5 路由智能管控

5.1 建全路由管控機制

為了營造一個更安全更“干凈”的全球互聯網絡，主要應從兩方面完善路由管控機制：AS所有者應保證自身路由合法性，同時不接收不傳遞外來的非法路由。

一方面，每個AS所有者都應該從自身網絡做起，規范互聯網IP地址及路由的注冊和管理機制。AS所有者應該自覺、及時地在IRR上進行自有路由的注冊，至少包括route/route6及AS/AS-SETS等信息；條件允許時，尤其是ISP、大型ICP（Internet Content Provider，網絡內容服務商），建議同時進行ROA路由認證，這已經是國際主流互聯網運營商的發展趨勢。如AS所有者缺乏路由注冊能力，則建議上游AS協助其完成路由信息的注冊工作。這對健全、凈化全球互聯網路由，防范路由安全事故具有重要意義，也是實現BGP路由安全智能管控方案的基礎及關鍵環節。尤其對于ISP及大型ICP來說，應考慮將路由注冊工作嵌入業務運營及生產流程，并作為日常運維工作看待。

另一方面，AS所有者還應具備路由監測管控能力，在網絡邊緣過濾不合規不合法的路由，不進一步向互聯網其他AS擴展。在健全互聯網路由注冊機制基礎上，完成防偽認證信息庫建模、路由分析監測之后，BGP路由安全智能管控方案的最后一個環節是針對監測結果進行管控。有條件的AS所有者，可以通過BGP路由安全智能管控系統與網管聯動方式下發配置策略到邊緣路由器，直接自動過濾非法路由；在條件不具備、或擔心誤操作、或需要針對個別AS/Prefix特殊化處理的情況下，可通過告警及報表輸出的方式，由運維人員根據告警信息進行人工處理。無論哪種方式，目的是不允許非法路由穿透本網并向更遠方擴展。

5.2 路由控制策略

AS所有者接收路由時如監測到路由泄露或路由劫持，需部署適當的路由策略以控制/過濾非法路由（無論自動或者人工方式）。具體的控制策略可以多種多樣，不一而足，以下給出的示例策略具有一定的通用型，但也僅供參考。

（1）針對路由泄露的路由控制策略

對于需要監測的對象B，在與其互聯的端口配置AS黑/白名單，并應用到EBGP（External Border Gateway Protocol，外部邊界網關協議）import路由策略上，實現基于AS的路由管控。白名單是指根據B的AS-SET列表里面下游AS member及其遞歸關系，生成白名單aspath white-list（在路由智能管控模塊中自動完成），并允許白名單上AS的路由通過；黑名單則是根據路由分析監測模塊提交的異常路由警告，針對不在B下游客戶范圍內的AS（即B泄露的AS）設置黑名單as-path black-list，并對黑名單上AS的路由實行封堵。若B未注冊AS-SET信息，為安全起見，建議僅允許B起源的路由前綴通過，并督促/幫助B盡快在IRR上完成路由注冊。

（2）針對路由劫持的路由控制策略

針對路由分析監測模塊提交的異常路由（路由劫持）IP Prefix 清單，通過配置黑名單方式過濾非法路由，并將其部署應用在路由器的EGBP import路由策略上。

6 應用前景

截止至2019年7月，AFRINIC、LEVEL3、NTTCOM、RISQ等25個IRR路由注冊數據庫中已注冊的AS記錄接近6.4萬，已注冊的IPv4地址族路由IP/Prefix記錄接近235萬，IPv6地址族路由IP/Prefix記錄接近21萬，上述記錄為多個數據庫累加結果，有重復。基于IANA（The Internet Assigned Numbers Authority，互聯網數字分配機構）RPKI的APNIC（Asia-Pacific Network Information Center，亞太互聯網絡信息中心）認證數據庫中IPv4記錄接近8萬條，IPv6記錄接近1.5萬條，即目前完成ROA認證的路由只占全球70萬路由的12%。

在某運營商開展的實驗案例中，基于本地庫及ROA、IRR鏡像建立了IPv4路由歸屬數據庫，獲取并整合為全網69.9萬條路由，接近全球路由量。通過對網絡實際接收路由與路由歸屬數據庫的比對分析，記錄某個時間段監測到發生路由劫持10萬條，其中ROA認證異常記錄占8%，IRR注冊異常記錄占58%，剩余34%為未注冊異常記錄，這34%需要人工進一步排查分析。

從理論分析、現網數據和實驗案例來看，本文提出的路由管控方案具有合理性和實用性，并可預見，隨著注冊認證機制的規范與普及，本方案對于規避防范路由安全事件風險將會更有效、更全面。

7 結束語

針對BGPv4協議的互聯網路由泄露/路由劫持監測與防護研究已成為當前網絡安全熱點之一，本文所闡述的域間路由安全智能管控方案綜合考慮IRR路由注冊和ROA認證的優勢資源進行建模，并通過黑白名單的方式對路由泄露和路由劫持場景進行管控，從而達到維護鞏固網絡安全的目的。但由于路由注冊認證尚未在全球范圍內強制性要求，因此在實際部署過程中可能會存在漏判誤判的情況。此外，全球路由安全管理機制尚未規范化，實際應用中還需要考慮業務、政策、法律等方面的風險規避。但隨著各ISP、大型ICP甚至國家層面對網絡安全的日益重視，網絡安全監控策略機制也必然會不斷探索中逐步走向成熟并得到推廣應用。