一种路由劫持自动封堵方法及装置与流程

1.本发明涉及路由劫持领域，尤其是一种路由劫持自动封堵方法及装置。


背景技术：

2.整个互联网是由很多的网络组成的，这些网络被称为是“自治系统(as)”，各自治系统之间是通过边界网关协议(bgp)实现路由信息交换。一般情况下，bgp用来确定在独立运营的网络或自治系统之间路由数据的最佳路径。路由劫持即利用bgp操纵因特网路由路径，最近几年中已经变得越来越频繁，攻击者通过错误地宣布他们实际上并不拥有、控制或路由的prefix(ip地址组)的所有权来实现这一点。
3.因为bgp决定了数据从源端到目的地端的传输方式，所以必须要关注该协议的安全性。通过操纵bgp，攻击者可以按照自己的意愿来修改数据的传输路线，从而达到拦截或者修改数据的目的。为了劫持因特网级别的bgp，需要配置一个边界路由器，让它发送含有未分配给它的前缀的通告。如果恶意通告比合法通告还要具体，或者声称提供更短的路径，那么流量就可能被定向到攻击者那里去。令人惊讶的是，大型网络或网络组的运营商会肆无忌惮地进行此类恶意活动。但考虑到现在全球有超过80,000个自治系统，有些人不值得信任也就不足为奇了。此外，路由劫持并不总是显而易见或易于检测。不良行为者可能会伪装他们在其他自治系统之间的活动，或者可能会宣布未使用的prefix(ip地址组)，这些prefix(ip地址组)不太可能被注意监控到。最近几年来，已经有多起路由劫持攻击被记录在案。因此运营商想要网络健康运行，拥有一种有效的路由劫持检测手段迫在眉睫。


技术实现要素：

4.为了帮助运营商解决检测路由劫持这个痛点，本发明提供一种路由劫持自动封堵方法及装置，能够自动识别路由劫持数据并能自动对路由劫持进行封堵，以保证运营商网络健康运行。
5.为实现上述目的，本发明采用下述技术方案：
6.在本发明一实施例中，提出了一种路由劫持自动封堵方法，该方法包括：
7.定期从路由认证及注册数据库采集所有路由认证及注册信息，叠加路由归属本地库信息，构建路由归属数据库；
8.实时收集bgp路由信息，并判断bgp路由信息中的prefix的归属as是否与路由归属数据库中的路由归属as相同，若不同则认为发生了路由劫持，并生成路由劫持封堵策略，用户选择手动或自动执行路由劫持封堵配置。
9.进一步地，路由归属本地库提供可视化界面，允许用户设定 prefix的归属as信息。
10.进一步地，当一个prefix在不同的路由数据库中归属不同as时，按以下优先级顺序选择数据：
11.(1)路由归属本地库；
12.(2)路由认证数据库；
13.(3)优先级最高的路由注册数据库；
14.最终生成路由归属数据库信息。
15.进一步地，实时收集bgp路由信息，并判断bgp路由信息中的 prefix的归属as是否与路由归属数据库中的路由归属as相同，若不同则认为发生了路由劫持，并生成路由劫持封堵策略，包括：
16.加载路由归属数据库信息，并从路由反射器的当前路由表提取 prefix、originator、aspath以及originas记录；
17.根据路由记录中的prefix按掩码最长匹配方法在路由归属数据库中匹配查找，按originas与路由归属数据库中的路由归属as进行比较，若路由归属as与originas不同，则认为路由被劫持，并生成当前异常路由清单；
18.根据当前异常路由清单，生成路由劫持封堵策略，并提供可视化界面供用户对生成的路由劫持封堵策略进行编辑操作。
19.在本发明一实施例中，还提出了一种路由劫持自动封堵装置，该装置包括：
20.路由归属数据库构建模块，用于定期从路由认证及注册数据库采集所有路由认证及注册信息，叠加路由归属本地库信息，构建路由归属数据库；
21.路由劫持检测模块，用于实时收集bgp路由信息，并判断bgp路由信息中的prefix的归属as是否与路由归属数据库中的路由归属 as相同，若不同则认为发生了路由劫持，并生成路由劫持封堵策略；
22.路由劫持封堵策略管理模块，用于提供可视化界面供用户对生成的路由劫持封堵策略进行编辑操作。
23.路由劫持封堵配置模块，用于用户选择手动或自动执行路由劫持封堵配置。
24.进一步地，路由归属本地库提供可视化界面，允许用户设定 prefix的归属as信息。
25.进一步地，当一个prefix在不同的路由数据库中归属不同as时，按以下优先级顺序选择数据：
26.(1)路由归属本地库；
27.(2)路由认证数据库；
28.(3)优先级最高的路由注册数据库；
29.最终生成路由归属数据库信息。
30.进一步地，路由劫持检测模块，具体用于：
31.加载路由归属数据库信息，并从路由反射器的当前路由表提取 prefix、originator、aspath以及originas记录；
32.根据路由记录中的prefix按掩码最长匹配方法在路由归属数据库中匹配查找，按originas与路由归属数据库中的路由归属as进行比较，若路由归属as与originas不同，则认为路由被劫持，并生成当前异常路由清单；
33.根据当前异常路由清单，生成路由劫持封堵策略。
34.在本发明一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述路由劫持自
动封堵方法。
35.在本发明一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行路由劫持自动封堵方法的计算机程序。
36.有益效果：
37.1、本发明可以灵活配置ip地址值的归属as。
38.2、本发明可以定期更新路由归属数据库信息。
39.3、本发明可以实时检测路由劫持。
40.4、本发明可以实现人工确认下发路由封堵配置和自动触发下发路由封堵配置。
附图说明
41.图1是本发明路由劫持自动封堵方法流程示意图；
42.图2是本发明路由劫持自动封堵装置结构示意图；
43.图3是本发明计算机设备结构示意图。
具体实施方式
44.下面将参考若干示例性实施方式来描述本发明的原理和精神，应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。
45.本领域技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。
46.根据本发明的实施方式，提出了一种路由劫持自动封堵方法及装置，可以有效检测路由劫持并执行封堵。
47.下面参考本发明的若干代表性实施方式，详细阐释本发明的原理和精神。
48.图1是本发明路由劫持自动封堵方法流程示意图。如图1所示，该方法包括：
49.1、为用户提供可视化界面进行路由归属本地库管理，允许用户设定prefix(ip地址组)归属于哪个自治系统(as)。
50.2、定期从路由认证及注册数据库采集所有路由认证及注册信息，叠加路由归属本地库信息，构建路由归属数据库；
51.当一个prefix(ip地址组)在不同的路由数据库中归属不同自治系统(as)时，按以下优先级顺序选择数据：
52.(1)路由归属本地库；
53.(2)路由认证数据库；
54.(3)优先级最高的路由注册数据库；
55.最终生成路由归属数据库信息。
56.3、实时收集bgp路由信息，并判断bgp路由信息中的prefix(ip 地址组)的归属自治系统(as)是否与路由归属数据库中的路由归属自治系统(as)相同，若不同则认为发生了路由劫持，并生成路由劫持封堵策略；具体如下：
57.加载路由归属数据库信息，并从路由反射器的当前路由表提取prefix(ip地址组)、originator(路由始发者)、aspath(bgp经过的as路径)和originas(aspath中的最后一个as)记录；
58.根据路由记录中的prefix(ip地址组)按现有通用的掩码最长匹配方法在路由归属数据库中匹配查找，按originas与路由归属数据库中的路由归属自治系统(as)进行比较，若路由归属自治系统(as) 与originas不同，则认为路由被劫持，并生成当前异常路由清单；
59.根据当前异常路由清单，生成路由劫持封堵策略，并提供可视化界面供用户对生成的路由劫持封堵策略进行编辑操作。
60.4、用户选择手动或自动执行路由劫持封堵配置。
61.需要说明的是，尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
62.为了对上述路由劫持自动封堵方法进行更为清楚的解释，下面结合一个具体的实施例来进行说明，然而值得注意的是该实施例仅是为了更好地说明本发明，并不构成对本发明不当的限定。
63.实施例：
64.1、路由归属本地库管理
65.为用户提供了可视化界面，允许用户自己设定某些prefix(ip地址组)的归属as信息，生成路由归属本地库，后面在做路由劫持检测时以路由归属本地库数据的优先级更高。
66.2、路由注册信息采集
67.利用irrd(irrd是一个免费的，独立运行的因特网路由注册数据库服务器)软件，镜像radb(路由仲裁数据库,是一个分布式路由注册数据库的组成部分，以通用格式存储声明路由和路由策略)及其镜像的所有路由注册数据库，并每天同步数据到本地。
68.获取的路由注册数据库包括以下几种，并可以设置路由注册数据库的优先级：
[0069][0070]
从路由注册数据库中提取as(自治系统)和路由归属as信息，导入关系数据库(数据存储的持久化数据库如mysql/oracle)，方便进行查询分析。
[0071]
采集提取信息内容包括：
[0072]
as信息如下表1：
[0073]
表1
[0074]
属性编码属性名称示例
dbname注册数据库名称apnicasnumas号4134asnameas名称chinanet-backbonedescr描述no.31,jin-rong street beijing 100032mnt-by创建人apnic-hmcountry国家cncreated创建时间2018-11-08lastmodified最后修改时间2018-11-08
[0075] 路由归属as信息如下表2：
[0076]
表2
[0077]
属性编码属性名称示例dbname注册数据库名称apnicipprefix路由条目即ip地址组121.224.0.0/12asnum所属as号4134descr描述from jiangsu network of chinatelecommnt-by创建人maint-chinanetcreated创建时间 lastmodified最后修改时间 [0078]
3、rpki(互联网码号资源公钥基础设施)路由认证信息采集
[0079]
从ripe(世界互联网组织)网站每天下载rpki路由认证库， http://localcert.ripe.net:8088/export.csv.解析csv数据文件，在关系数据库中维护rpki路由认证库数据。
[0080]
csv格式如下表3：
[0081]
表3
[0082][0083]
4、构建路由归属数据库
[0084]
从路由认证及注册数据库提取所有路由认证及注册信息，叠加路由归属本地库信息，生成路由归属数据库信息。
[0085]
当一个prefix在不同的路由数据库中归属不同as时，按以下优先级顺序选择数
据：
[0086]
(1)路由归属本地库；
[0087]
(2)路由rpki认证库；
[0088]
(3)优先级最高的路由注册数据库；
[0089]
最终生成路由归属数据库信息如下表4：
[0090]
表4
[0091]
属性编码属性名称示例prefixip地址组202.97.32.0/24startip起始ip202.97.32.1stopip终止ip202.97.32.255asnum归属as号4134
[0092]
5、路由劫持实时检测
[0093]
加载路由归属数据库信息，并从rr(route reflector，路由反射器)当前路由表提取prefix(ip地址组)、originator(路由始发者)、aspath(bgp经过的as路径)及originas(aspath中的最后一个as)记录，根据路由记录的prefix按现有通用掩码最长匹配方法在路由归属数据库中匹配查找，按originas与路由归属数据库中的路由归属as进行比较，判定路由是否被劫持，生成当前异常路由清单，包括prefix，originator，aspath，originas，peeras(邻居as,aspath中的第一个as)，实际归属as和状态。
[0094]
(1)如果未查到路由归属as，状态记为“未知”；
[0095]
(2)如果路由归属as和originas不同，状态置为“异常”；
[0096]
当路由归属数据库信息更新后，触发重新加载上述检测数据。
[0097]
6、生成路由劫持封堵策略
[0098]
根据异常路由清单，生成路由劫持封堵策略，并提供可视化界面供用户对生成的路由劫持封堵策略进行编辑操作。用户可以选择手动或者自动下发封堵策略。
[0099]
路由劫持封堵策略列出了路由劫持的详细信息如下表5：
[0100]
表5
[0101]
封堵prefix列表接入设备路由源as应归属as202.97.32.0/24,197.97.24.0/24 asxxx-asnameasxxx-asname
ꢀꢀꢀꢀ
[0102]
7、路由劫持封堵配置
[0103]
下发路由劫持封堵策略时，登录到接收到此路由的接入设备上进行配置下发。
[0104]
下发配置如下：
[0105][0106]
配置的含义是此接入设备不再接收来自于as1234的路由 10.0.0.0/8和192.168.0.0/16，从而过滤掉非法路由信息，防止非法路由在网络中扩散。
[0107]
基于同一发明构思，本发明还提出一种路由劫持自动封堵装置。该装置的实施可
以参见上述方法的实施，重复之处不再赘述。以下所使用的术语“模块”，可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
[0108]
图2是本发明路由劫持自动封堵装置结构示意图。如图2所示，该装置包括：
[0109]
路由归属数据库构建模块101，用于定期从路由认证及注册数据库采集所有路由认证及注册信息，叠加路由归属本地库信息，构建路由归属数据库；具体如下：
[0110]
路由归属本地库提供可视化界面，允许用户设定prefix的归属 as信息；
[0111]
当一个prefix在不同的路由数据库中归属不同as时，按以下优先级顺序选择数据：
[0112]
(1)路由归属本地库；
[0113]
(2)路由认证数据库；
[0114]
(3)优先级最高的路由注册数据库；
[0115]
最终生成路由归属数据库信息。
[0116]
路由劫持检测模块102，用于实时收集bgp路由信息，并判断bgp 路由信息中的prefix的归属as是否与路由归属数据库中的路由归属 as相同，若不同则认为发生了路由劫持，并生成路由劫持封堵策略；具体如下：
[0117]
加载路由归属数据库信息，并从路由反射器的当前路由表提取 prefix、originator、aspath以及originas记录；
[0118]
根据路由记录中的prefix按掩码最长匹配方法在路由归属数据库中匹配查找，按originas与路由归属数据库中的路由归属as进行比较，若路由归属as与originas不同，则认为路由被劫持，并生成当前异常路由清单；
[0119]
根据当前异常路由清单，生成路由劫持封堵策略。
[0120]
路由劫持封堵策略管理模块103，用于提供可视化界面供用户对生成的路由劫持封堵策略进行编辑操作。
[0121]
路由劫持封堵配置模块104，用于用户选择手动或自动执行路由劫持封堵配置。
[0122]
应当注意，尽管在上文详细描述中提及了路由劫持自动封堵装置的若干模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
[0123]
基于前述发明构思，如图3所示，本发明还提出一种计算机设备 200，包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230，处理器220执行计算机程序230 时实现前述路由劫持自动封堵方法。
[0124]
基于前述发明构思，本发明还提出一种计算机可读存储介质，计算机可读存储介质存储有执行前述路由劫持自动封堵方法的计算机程序。
[0125]
本发明提出的路由劫持自动封堵方法及装置，可以灵活配置ip 地址值的归属as(自治系统)；可以定期更新路由归属数据库信息；可以实时检测路由劫持；可以实现人工确认下发路由封堵配置和自动触发下发路由封堵配置。
[0126]
虽然已经参考若干具体实施方式描述了本发明的精神和原理，但是应该理解，本发明并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能
组合以进行受益，这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
[0127]
对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。