该文献来源于:Practical Defenses Against BGP Prefix Hijacking
该文献提出增量部署的 BGP 前缀劫持防御方案 ,核心包含反应式防御 (虚假路由清除 + 有效路由提升)和主动式防御 (客户路由过滤):反应式防御通过选择高连通度 AS 作为 "救生员 AS",清除虚假路由并利用 AS SET 缩短有效路由路径,仅 20 个参与 AS 即可将网络污染率从 50% 降至 15%;主动式防御(客户路由过滤)单独部署效果有限,80 个参与 AS 仅能将污染率降至 9%,但与反应式防御结合可进一步提升防护效果;同时发现依赖 BGP 数据的检测系统存在检测规避风险(0.2% 的 AS 对可实现规避),为 BGP 路由安全提供了实用且易部署的解决方案。
一、研究概述
- 核心问题:BGP 协议缺乏安全机制,前缀劫持(常规劫持、子前缀劫持)易导致网络污染,但现有防御方案存在缺陷 ------ 加密类方案(如 S-BGP)部署成本高,检测类方案依赖人工响应,主动过滤方案效果未被量化。
- 研究创新:提出 "反应式防御 + 主动式防御" 的组合方案,重点突破反应式防御的自动化与增量部署能力,同时首次量化主动式防御(客户路由过滤)的效果与局限。
- 关键目标:在无需全局改造 BGP 协议的前提下,通过少量 AS 参与即可显著降低网络污染率,兼顾防御效果与部署可行性。
二、核心防御方案设计
(一)反应式防御:虚假路由清除 + 有效路由提升
-
核心逻辑:基于检测系统识别的攻击者、受害者及目标前缀,由预选的 "救生员 AS" 执行自动化防御动作,快速遏制虚假路由传播。
-
两大核心动作:
- 虚假路由清除(Bogus Route Purging):救生员 AS 从路由表中删除已识别的虚假路由,阻断其进一步传播。
- 有效路由提升(Valid Route Promotion):精选 "推广者 AS"(未受污染的救生员 AS),将有效路由的 AS 路径封装为 AS SET(BGP 聚合机制),使路径长度在决策中视为 1,提升有效路由优先级。
-
关键角色选择策略:
角色 选择策略 说明 救生员 AS 度数策略 选择连通度最高的 AS,净化效果最优(20 个最高度数 AS 可使污染率从 50%→24%) 救生员 AS 弹性策略 选择提供商数量最多的二级 AS,提升推广效果 救生员 AS 混合策略 一半度数策略 + 一半弹性策略,平衡净化与推广效果 推广者 AS 随机 / 远近 / 最优策略 最优策略效果最佳(多为二级 AS),随机策略易部署且效果接近 推广者 AS 全策略 所有救生员均为推广者,应对 collusion 攻击(多攻击者协同) -
协议兼容性:方案符合 BGP 协议规范,仅利用 AS SET 聚合机制,不修改路由协议核心逻辑;且已证明该方案不影响 BGP 收敛性,收敛时间≤Δ・D(Δ 为最小路由通告周期,D 为最长 AS 路径长度)。
(二)主动式防御:客户路由过滤
- 设计逻辑:ISP(提供商 AS)与直接客户 AS 维护路由注册表,客户仅能宣告注册表内的前缀(自身及下游客户锥的前缀),未注册前缀直接被过滤。
- 部署现状:部分大型 ISP 已实践,但缺乏效果量化研究。
- 核心局限 :
- 仅过滤客户链路,对对等 / 提供商链路无防护,仍可能导入虚假路由。
- 防御无效链路占比高:80% 的 "防御责任链路" 因攻击者与受害者处于同一客户锥,无法有效拦截。
三、实验验证与性能指标
(一)实验环境
- 拓扑基础:基于 RouteViews 数据推断的 AS 拓扑,含 23289 个 AS、55352 条链路(44315 条提供商 - 客户链路、10494 条对等链路)。
- 模拟配置:BGP 路由策略遵循 "客户路由>对等路由>提供商路由",路径长度与 AS 号为次要决策因素;200 次随机常规前缀劫持模拟,攻击者与受害者随机选择。
(二)关键性能结果
-
反应式防御效果:
参与 AS 数量 防御动作 网络污染率变化 额外说明 20 仅清除虚假路由 50% → 24% 度数策略救生员效果最优 20 清除 + 提升(单推广者) 24% → 15% 剩余污染减少 33%~57% 20 清除 + 提升(全推广者) 50% → <10% 应对 5 个 collusion 攻击者有效 -
路径膨胀影响:
- 防御后,50% 以上的未污染 AS 路径长度无变化,70% 以上路径膨胀<20%,几乎所有路径膨胀<50%,对网络性能影响可接受。
-
主动式防御效果:
参与 AS 数量 防御动作 网络污染率变化 对比反应式(同参与数量) 16 客户路由过滤 50% → 32% 反应式(16 个 AS)→20%,效果差 12% 80 客户路由过滤 50% → 9% 反应式(20 个 AS)→15%,80 个 AS 仅优 6% -
组合防御效果:
- 4 个度数策略救生员(反应式)+ 客户路由过滤:污染率较单独过滤降低 10% 以上;
- 8 个度数策略救生员(反应式)+ 客户路由过滤:污染率可降至 5% 以下,实现协同增益。
四、方案部署与局限
-
部署优势:
- 增量部署:仅需 20 个高连通度 AS 参与,即可实现显著防御效果。
- 低运维成本:救生员 AS 可通过 RCP(路由控制平台)集成,无需改造路由器硬件。
- 信任要求低:仅需救生员 AS 与 mitigation 系统通过 SSL 认证,无需全局 PKI。
-
局限性:
- 依赖检测系统准确性:误报会导致路径轻微变长,漏报则无法触发防御。
- 子前缀劫持需受害者配合:需受害者快速宣告被劫持子前缀,才能转化为常规劫持防御。
- 客户路由过滤依赖注册表新鲜度:前缀分配 / 变更需及时同步注册表,否则影响过滤效果。
五、研究贡献
- 提出首个自动化反应式防御方案,通过 "清除 + 提升" 实现增量部署,20 个 AS 参与即可将污染率降至 15%。
- 首次量化客户路由过滤的效果,揭示其 "防御无效链路占比高" 的核心局限,为组合防御提供依据。
- 发现检测系统的规避风险,量化其影响范围,为后续检测系统优化提供方向。
关键问题
问题 1:反应式防御的核心动作 "虚假路由清除" 与 "有效路由提升" 如何协同工作?仅 20 个救生员 AS 参与时,防御效果具体表现是什么?
- 答案:协同逻辑为 "先阻断传播,再提升有效路由优先级"------ 清除动作由所有救生员 AS 执行,删除虚假路由以减少污染扩散;提升动作由精选的推广者 AS 执行,通过 AS SET 缩短有效路由路径,使未清除的虚假路由失去优先级。20 个最高度数的救生员 AS 参与时,防御效果为:①仅清除动作:网络污染率从 50% 降至 24%;②清除 + 提升动作:污染率进一步降至 15%,剩余污染减少 33%~57%;③应对 collusion 攻击(5 个攻击者):全推广者模式可使污染率<10%,且路径膨胀≤50%,对网络性能影响可控。
问题 2:客户路由过滤作为主动式防御,其核心局限是什么?与反应式防御组合后为何能提升效果?
- 答案:核心局限有两点:①防护范围有限,仅过滤客户链路,对等 / 提供商链路仍可能导入虚假路由;②防御无效链路占比高,80% 的 "防御责任链路" 因攻击者与受害者处于同一客户锥,无法拦截。组合防御能提升效果的原因是 "互补短板"------ 反应式防御通过清除 + 提升快速处理已传播的虚假路由,客户路由过滤则从源头拦截部分虚假路由(尤其是客户锥外的攻击者),减少反应式防御的处理压力,最终实现 "1+1>2" 的效果:8 个反应式 AS + 客户路由过滤的污染率,低于单独 80 个 AS 执行客户路由过滤的效果。
问题 3:检测规避的本质是什么?哪些 AS 更容易实现规避攻击?这种风险对整体防御方案有何影响?
- 答案:检测规避的本质是 "攻击者利用 BGP 路由优先级规则,使所有检测节点的有效路由优先级高于虚假路由,导致检测系统无法识别劫持"。更容易实现规避的 AS 特征为:①攻击者多为边缘 AS(72% 为 4-5 级 AS);②受害者与攻击者需满足 "有效路由为客户 / 对等路由,虚假路由为提供商路由" 或 "路径长度更短" 等条件。对防御方案的影响:①风险可控,仅 0.2% 的 AS 对可实现规避,且 40% 的规避攻击者仅能污染 10% 的网络;②需依赖组合防御,主动式防御(客户路由过滤)可从源头拦截部分规避攻击,反应式防御可处理未被拦截的污染,两者结合可大幅降低规避风险的实际影响。