文章

签署您真正关心的内容-高效地保护BGP AS路径

作者:

志良王，以及

夏阴作者信息和声明

计算机网络：国际计算机和电信网络杂志,体积57,发行10

页2250-2265

https://doi.org/10.1016/j.comnet.2012.11.019

出版:2013年7月1日出版历史

摘要

事实上的域间路由协议，即边界网关协议（BGP），对Internet路由系统的可靠性起着至关重要的作用。然而，恶意攻击或错误配置生成的伪造BGP路由也可能会破坏系统。这一安全问题引起了相当大的关注，尽管提出了几种解决方案，但由于计算成本高或潜在的安全漏洞等弱点，没有一种得到广泛部署。本文提出了快速安全BGP（FS-BGP），这是一种有效的机制，可以通过对关键AS路径段进行签名来保护AS路径并防止前缀劫持。我们证明，FS-BGP实现了与S-BGP类似的安全级别，但具有更高的效率。与S-BGP相比，FS-BGP中的签名和验证成本可以降低几个数量级，我们使用从实际骨干路由器收集的BGP UPDATE数据进行的实验证明了这一点。事实上，签名和验证可以像最突发的BGP UPDATE到达一样快速完成，这意味着FS-BGP几乎不会延迟路由信息的传播。

工具书类

[1]

Y.Rekhter，T.Li，S.Hares，RFC 4271：边界网关协议4<http://tools.ietf.org/html/rfc4271>, 2006.

[2]

S.Murphy，Rfc 4272:Bgp安全漏洞分析<http://tools.ietf.org/html/rfc4272>, 2006.

[3]

E.Zmijewski，互联网路由和全球连接面临的威胁<http://www.renesys.com/tech/presentations/pdf/20thAnnualFIRST.pdf>, 2008.

[4]

RIPE，Youtube劫持：一个成熟的ncc-ris案例研究<http://www.ripe.net/news/study-youtube-haicking.html>, 2008.

[5]

Ramachandran，A.和Feamster，N.，《了解垃圾邮件发送者的网络级行为》。收件人：SIGCOMM，ACM。第291-302页。

[6]

Mahajan，R.、Wetherall，D.和Anderson，T.，理解bgp错误配置。收件人：SIGCOMM，ACM。第3-16页。

[7]

Zheng，C.，Ji，L.，Pei，D.，Wang，J.和Francis，P.，一种用于实时检测ip前缀劫持的轻量级分布式方案。收件人：SIGCOMM，ACM。第324-334页。

[8]

Hu，X.和Mao，Z.M.，准确实时识别ip前缀劫持。摘自：IEEE安全与隐私研讨会，IEEE计算机学会。第3-17页。

数字图书馆

[9]

张，Z.，张，Y.，Hu，Y.C.，Mao，Z.M.和Bush，R.，iSPY：我自己检测ip前缀劫持。收件人：SIGCOMM，ACM。第327-338页。

[10]

Chi，Y.-J.、Oliveira，R.和Zhang，L.，独眼巨人：AS级连接观测站。ACM SIGCOMM计算机通信审查。7-16.

[11]

L.Subramanian、V.Roth、I.Stoica、S.Shenker、R.H.Katz，《倾听与耳语：BGP的安全机制》，收录于：NSDI，USENIX，2004年，第127-140页。

[12]

Karlin，J.、Forrest，S.和Rexford，J.，《非常好的BGP：通过谨慎地采用路由来改进BGP》。In:ICNP，IEEE计算机学会。第290-299页。

[13]

A.Haeberlen，I.Avramopoulos，J.Rexford，P.Druschel，《网络评论：检测域间路由何时出错》，载于：第六届网络系统设计与实现研讨会论文集（NSDI’09），USENIX协会，2009年。

[14]

Zhang，M.，Liu，B.和Zhang（B.），通过解耦路径传播和采用来保护数据交付。In:INFOCOM，IEEE。第421-425页。

[15]

Kent，S.、Lynn，C.、Mikkelson，J.和Seo，K.，《安全边界网关协议（S-BGP）》。IEEE通讯选定领域杂志。v18.103-116。

[16]

G.Goodell，W.Aiello，T.Griffin，J.Ioannidis，P.D.McDaniel，A.D.Rubin，《围绕BGP工作：提高域间路由安全性和准确性的增量方法》，收录于：NDSS，互联网协会，2003年。

[17]

R.White，安全源BGP的架构和部署注意事项<http://tools.ietf.org/html/draft-white-sobgp-architecture（http://tools.ietf.org/html/draft-white-sobgp-architecture）>, 2006.

[18]

van Oorschot，P.C.、Wan，T.和Kranakis，E.，关于域间路由安全和非常安全的BGP（psBGP）。ACM信息和系统安全事务。第10版。

[19]

Hu，Y.C.，Perrig，A.和Sirbu，M.A.，SPV：用于保护BGP的安全路径向量路由。在：SIGCOMM，ACM中。第179-192页。

[20]

Bruhadeshwar，B.，Kulkarni，S.S.和Liu，A.X.，《对称密钥方法保护bgp——一点点信任就足够了。In:ESORICS、Springer。第82-96页。

[21]

Nicol，D.M.、Smith，S.W.和Zhao，M.，使用并行模拟评估BGP路由公告的有效安全性。仿真建模实践与理论。v12.187-216。

[22]

Goldberg，S.、Schapira，M.、Hummon，P.和Rexford，J.，域间路由协议的安全性如何？。收件人：SIGCOMM，ACM。

[23]

S.M.Bellovin，E.R.Gansner，使用链接剪切攻击互联网路由<http://hdl.handle.net/10022/AC:P:9052>, 2003.

[24]

Zhang，K.，Zhao，X.和Wu，S.F.，《bgp中选择性丢弃攻击的分析》，收录于：IEEE国际性能计算与通信会议（IPCCC）论文集，施普林格。

[25]

成熟的myasn系统<http://www.ris.ripe.net/myasn.html>, 2012.

[26]

M.Lad、D.Massey、D.Pei、Y.Wu、B.Zhang、L.Zhang，PHAS：前缀劫持警报系统，USENIX Security，2006年。

[27]

BGPmon.net公司<网址：http://bgpmon.net/>, 2012.

[28]

G.Huston，G.Michaelson，RFC 6483：使用资源证书公钥基础设施（PKI）和路由起源授权（ROA）验证路由起源<http://tools.ietf.org/html/rfc6483>, 2012.

[29]

RIPE NCC，资源认证<http://ripe.net/认证/>, 2011.

[30]

Butler，K.、Farley，T.R.、McDaniel，P.和Rexford，J.，《bgp安全问题和解决方案调查》。IEEE会议记录。100-122.

[31]

Aiello，W.、Ioannidis，J.和McDaniel，P.D.，域间路由中的源认证。参加：美国计算机与通信安全会议（ACM Conference on Computer and Communications Security）。第165-178页。

[32]

C.Alaettinoglu、C.Villamizar、E.Gerich、D.Kessens、D.Meyer、T.Bates、D.Karrenberg、M.Terpstra、RFC 2622、路由策略规范语言（RPSL）<http://tools.ietf.org/html/rfc2622>, 1999.

[33]

Wang，F.和Gao，L.，关于推断和表征互联网路由策略。参加：ACM互联网测量会议。第15-26页。

[34]

Gao，L.和Rexford，J.，《没有全球协调的稳定互联网路由》。IEEE/ACM网络交易。第9.681-692节。

[35]

Wang，J.H.，Chiu，D.M.，Lui，J.C.S.和Chang，R.K.C.，通过ASPP的as内部入站流量工程。网络和服务管理事务。第3版。

[36]

J.Cowie，《经济衰退与路径表》<http://www.nanog.org/meetings/nanog47/presentations/Lightning/Cowie._Recession_Lightning_N47.pdf>, 2009.

[37]

R.Oliveira、B.Zhang、D.Pei、R.Izhak-Ratzin、L.Zhang，《量化互联网中的路径探索》，载于《第六届ACM SIGCOMM互联网测量会议（IMC）论文集》，ACM，巴西里约热内卢，2006年。

数字图书馆

[38]

G.Huston，RFC 6485：资源公钥基础设施（RPKI）中使用的算法和密钥大小概要<http://tools.ietf.org/html/rfc6485>, 2012.

[39]

管线视图项目<http://www.routeviews.org>, 2012.

[40]

S.Turner，BGP算法、密钥格式和签名格式<http://tools.ietf.org/html/draft-ietf-sidr-bgpsec-algs>, 2012.

[41]

R.Kisteleki，B.Haberman，用rpki签名保护rpsl对象<http://tools.ietf.org/html/draft-ietf-sidr-rpsl-sig>, 2010.

[42]

D.McPherson，S.Amante，针对bgpsec的路由泄漏攻击<http://tools.ietf.org/html/draft-fo-sidr-simple-leak-attack-bgpsec-no-help>, 2012.

[43]

Butler，K.R.B.，McDaniel，P.和Aiello，W.，通过利用路径稳定性优化bgp安全。参加：美国计算机与通信安全会议（ACM Conference on Computer and Communications Security）。第298-310页。

[44]

S.M.Bellovin、R.Bush、D.Ward，bgp路径验证的安全要求<http://tools.ietf.org/html/draft-ymbk-bgpsec-reqs>, 2011.

[45]

Cidr报告<http://www.cidr-report.org/as2.0/>, 2012.

[46]

D.Farinacci，V.Fuller，D.Meyer，D.Lewis，定位器/ID分离协议（LISP）<http://tools.ietf.org/html/draft-ietf-lisp>, 2012.

[47]

D.Jen，M.Meisel，D.Massey，L.Wang，B.Zhang，L.Zhang，APT：一种实用的公交地图服务<http://tools.ietf.org/html/draft-jen-apt>, 2007.

[48]

联网命名内容。包含：CoNEXT，ACM。第1-12页。

[49]

Seskar，I.、Nagaraja，K.、Nelson，S.和Raychaudhuri，D.，移动第一个未来互联网架构项目。摘自：AINTEC’11第七届亚洲互联网工程会议论文集，ACM。第1-3页。

[50]

Schapira，M.、Zhu，Y.和Rexford，J.，《将bgp放在正确的路径上：下一跳路由的案例》。In:HotNets，ACM。

[51]

Godfrey，B.、Ganichev，I.、Shenker，S.和Stoica，I.，Pathlet路由。收件人：SIGCOMM，ACM。第111-122页。

[52]

Motiwala，M.、Elmore，M.，Feamster，N.和Vempala，S.，路径拼接。收件人：SIGCOMM，ACM。第27-38页。

[53]

He，J.和Rexford，J.，走向互联网范围的多路径路由。IEEE网络。v22。16-21.

引用人

曾美锂D张平（Zhang P）谢克黄X(2023)具有隐私保证的域间路由中的联邦路由泄漏检测ACM互联网技术交易10.1145/356105123:1(1-22)在线发布日期：2023年2月23日
https://dl.acm.org/doi/10.1145/3561051
副标题A奥利维拉·M瓦拉达斯R萨尔瓦多P帕切科A(2023)使用机器学习技术检测互联网范围内的流量重定向攻击IET网络10.1049/ntw2.1208512:4(179-195)在线发布日期：23年5月27日
https://dl.acm.org/doi/10.1049/ntw2.12085
马尼瓦南S萨提亚穆蒂(2014)基于强加密会话ID的无线网络会话劫持攻击防御模型控制论与信息技术10.2478/cait-2014-003214:3(46-60)在线发布日期：2014年9月1日
https://dl.acm.org/doi/10.2478/cait-2014-0032
显示更多引用者

索引术语

签署您真正关心的内容-高效地保护BGP AS路径
1. 网络
  1. 网络协议
    1. 网络层协议
      1. 路由协议

索引项已通过自动分类分配给内容。

建议

签署您真正关心的内容——高效地保护BGP AS路径
IFIP’12：第11届国际IFIP TC 6网络会议记录-第一卷

域间路由协议（Border Gateway protocol，BGP）对Internet路由系统的可靠性起着至关重要的作用，但恶意攻击或错误配置生成的伪造路由可能会破坏系统。安全。。。
阅读更多信息
了解外包缓解措施对BGP前缀劫持的影响
摘要
由于错误配置或恶意路由公告导致的BGP前缀劫持给当今的互联网带来了极大的麻烦。外包缓解措施是最近提出的一种自动劫持缓解方法。它减轻了劫持。。。
阅读更多信息
安全域间路由协议的安全性
SIGCOMM’10公司

为了应对备受关注的互联网中断，提出了BGP安全变体，以防止虚假路由信息的传播。为了告知应在互联网上部署哪种变体的讨论，我们量化了。。。
阅读更多信息

评论

信息和贡献者

问询处

发布于

封面图片《计算机网络：国际计算机与电信网络杂志》

计算机网络：国际计算机和电信网络杂志第57卷第10期

2013年7月

174页

国际标准编号：1389-1286

版权所有©Elsevier B.V.©2013。

出版商

Elsevier North-Holland公司。

美国

出版历史

出版：2013年7月1日

作者标记

限定符

第条

贡献者

其他指标

查看文章指标

文献计量学和引文

文献计量学

文章指标

4
引文总数
查看引文
0
下载总量

下载次数（过去12个月）0
下载次数（最近6周）0

其他指标

查看作者指标

引文

引用人

曾M锂D张平（Zhang P）谢克黄X(2023)隐私保证域间路由中的联合路由泄漏检测ACM互联网技术交易10.1145/356105123:1(1-22)在线发布日期：2023年2月23日
https://dl.acm.org/doi/10.1145/3561051
副标题A奥利维拉·M瓦拉达斯R萨尔瓦多帕切科A(2023)使用机器学习技术检测互联网范围内的流量重定向攻击IET网络10.1049/ntw2.1208512:4(179-195)在线发布日期：2023年5月27日
https://dl.acm.org/doi/10.1049/ntw2.12085
马尼瓦南S萨提亚穆蒂(2014)基于强加密会话ID的无线网络会话劫持攻击防御模型控制论与信息技术10.2478/cait-2014-003214:3(46-60)在线发布日期：2014年9月1日
https://dl.acm.org/doi/10.2478/cait-2014-0032
金·K金·Y金·D金·SLee S公司汉佐K伊斯梅尔R(2014)BIRD软件路由器的安全设备第八届全球信息管理与通信国际会议记录10.1145/2557977.2558043(1-8)在线发布日期：2014年1月9日
https://dl.acm.org/doi/10.1145/2557977.2558043

视图选项

查看选项

获取访问权限

登录选项

检查您是否可以通过登录凭据或您的机构访问本文。

完全访问权限

获取此出版物

媒体

数字

其他

桌子

查看问题目录