林思敏

（中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司 汕尾市分公司，廣東　汕尾　516600）

邊界路由器BGP協(xié)議的脆弱性分析

林思敏

（中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司 汕尾市分公司，廣東汕尾516600）

文章重點(diǎn)分析了邊界路由器上邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol，BGP）協(xié)議的脆弱性，深入研究了CXPST算法的攻擊原理，并提出了相應(yīng)的改進(jìn)型的震蕩路徑選取策略，從理論上完成了對(duì)改進(jìn)型震蕩路徑選取策略的更優(yōu)性的證明。根據(jù)實(shí)驗(yàn)結(jié)果可知，通過(guò)筆者設(shè)計(jì)的BGP協(xié)議，可以在更短時(shí)間內(nèi)使得運(yùn)行BGP協(xié)議的骨干路由器無(wú)法正常工作，效果明顯強(qiáng)于CXPST算法。

BGP協(xié)議；脆弱性；路由器；CXPST；DDoS攻擊

BGP協(xié)議又稱(chēng)邊界網(wǎng)關(guān)協(xié)議，它是一種運(yùn)行在TCP上的自治系統(tǒng)路由協(xié)議，一般都由網(wǎng)絡(luò)上的骨干路由器完成邊界網(wǎng)關(guān)協(xié)議路由器的運(yùn)行。關(guān)于骨干路由器和骨干路由器上運(yùn)行的BGP協(xié)議安全性的研究有很多，這是因?yàn)楣歉陕酚善髟诰W(wǎng)絡(luò)上深受人們的關(guān)注。BGP協(xié)議扮演著至關(guān)重要的通信角色，是邊界網(wǎng)關(guān)路由器運(yùn)行的最經(jīng)典的路由協(xié)議。

1　邊界路由器BGP協(xié)議的脆弱性分析

1.1BGP協(xié)議攻擊原理

如圖1所示，當(dāng)對(duì)邊界路由器拓?fù)鋾r(shí)，只需連接圖中的任何一條邊，就可以公式推算出通信的權(quán)值，其計(jì)算公式如下：

Droute（AB， e）= ∑route（AB，e）

其中，route（AB， e）可以被理解為從A點(diǎn)到B點(diǎn)全路徑的固定邊長(zhǎng)e，它是一個(gè)定值，當(dāng)路徑經(jīng)過(guò)邊e，那么，route （AB，e）的值就為1，而如果路徑完全沒(méi)有經(jīng)過(guò)e邊，那么它的值就為0。

有一種利用BCP協(xié)議攻擊的情況，如圖1所示，其原理也就是選取某一已知的兩個(gè)節(jié)點(diǎn)A和B，從而選取網(wǎng)絡(luò)，然后計(jì)算出AB之間的關(guān)鍵路徑并視職位震蕩路徑。然后根據(jù)策劃者的策略，利用ZMW的攻擊算法完成攻擊關(guān)鍵路徑分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）的任務(wù)［1］，最后導(dǎo)致連接關(guān)鍵路徑的路由器只能偵測(cè)到其鏈路上出現(xiàn)的時(shí)斷時(shí)續(xù)的狀態(tài)。鑒于此，如果路由器的更新信息不幸被附近的其他路由器接收到，那么該接收路由器也可以更新路由表，并向與其相鄰的其他路由器傳遞更新之后的信息，這時(shí)如果突然切斷兩個(gè)路由器之間的連接鏈路，路由器會(huì)自動(dòng)更新其路由表，同時(shí)向其相鄰的路由器發(fā)送路由表更新信息。如此循環(huán)，路由表的更新信息就會(huì)擴(kuò)散至整個(gè)網(wǎng)絡(luò)的所有區(qū)域。只要保證網(wǎng)絡(luò)應(yīng)用在運(yùn)行狀態(tài)上的正常，BCP協(xié)議就能在一個(gè)較為穩(wěn)定的環(huán)境下運(yùn)行，BGP協(xié)議之間之所以很少出現(xiàn)路由器的更新過(guò)程，是因?yàn)槁酚善骱苌俪霈F(xiàn)不停斷開(kāi)或連接的情況［2］。

1.2改進(jìn)型振蕩攻擊路徑計(jì)算

1.2.1CXPST算法震蕩路徑計(jì)算中的問(wèn)題

定理1：最佳方案為選取關(guān)鍵路徑作為震蕩路徑。

證明：根據(jù)以上結(jié)果的值，關(guān)鍵路徑e的是應(yīng)對(duì)BCP協(xié)議攻擊的重要因素，方法為選擇觀景路徑e為最高邊，它一定要是多條連接AB路徑邊中具有最高共享程度的，因此，所有經(jīng)過(guò)AB的路徑大多數(shù)都要經(jīng)過(guò)e邊。

圖1　BGP協(xié)議攻擊原理

只要e被選作為震蕩路徑，只要網(wǎng)絡(luò)拓?fù)渲谐霈F(xiàn)了路徑震蕩的情況，路由器都會(huì)將更新消息發(fā)送至e邊附近的其他路徑。

只要路由器完成了對(duì)路由表的更新任務(wù)，其他的路由器就都能夠接收到來(lái)自此路由器的信息。由于擴(kuò)散疊加效應(yīng)的作用，在一次路徑震蕩時(shí)有路由器生成的路由表會(huì)將更新次數(shù)最多的路由器和它附近路徑中的路由器連接，并不是將其直接連接到e邊上。如圖1中的R1， R2所示。一旦數(shù)據(jù)量過(guò)大的信息更新使得關(guān)鍵路徑中的路由器難以正常運(yùn)行時(shí)，就可以依據(jù)路由的擴(kuò)散疊加效應(yīng)，由關(guān)鍵路徑路由器附近的其他路由器進(jìn)行信息處理，因此，會(huì)出現(xiàn)某些路由器加大信息計(jì)算量的情況。

1.2.2改進(jìn)震蕩路徑設(shè)計(jì)原理

為了對(duì)震蕩路徑在選取的設(shè)計(jì)上進(jìn)行進(jìn)一步的優(yōu)化處理，實(shí)驗(yàn)人員引入了震蕩影響因子的概念。

定義1：震蕩影響因子。該因子可以理解為當(dāng)前路由器路徑選擇會(huì)被網(wǎng)絡(luò)拓?fù)渲械哪骋欢温窂剿绊?，影響的因素取決于該路徑震蕩的程度，記為f（R， path（a，b））。

路由器的路由表之所以會(huì)更新，必定是因?yàn)榫W(wǎng)絡(luò)上的某段路徑發(fā)生震蕩，該路徑的震蕩對(duì)路由器的影響因子則被稱(chēng)為f（R， path（a，b））=1。

如果震蕩發(fā)生在它和某一路由器直接相連的路徑，那么此路徑的震蕩就會(huì)成為影響路由器的因子，該因子用f（R， path （a，b））表示，結(jié)果為1。如圖1所示，如果路由器的R3和R4的路徑出現(xiàn)震蕩的現(xiàn)象，那么對(duì)路由器R3的影響因子數(shù)值就為1。如果出現(xiàn)震蕩現(xiàn)象的路徑和當(dāng)前的路由器沒(méi)有直接連接起來(lái)，那么此時(shí)的影響因子就既有可能小于1，也有可能大于1，但肯定不再為1。具體的震蕩影響因子的計(jì)算過(guò)程如下：

如圖2所示，對(duì)于已知的AB網(wǎng)絡(luò)拓?fù)鋪?lái)說(shuō)，所有的節(jié)點(diǎn)都是運(yùn)行BCP協(xié)議的邊界路由器。

R2和R10之間的路徑發(fā)生震蕩，所以有f（R2， path（R2，R10））=1。

由于R7有3個(gè)不同的轉(zhuǎn)發(fā)分支，假設(shè)每個(gè)分支進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的代價(jià)是均等的，則R7的影響因子由如下公式計(jì)算得到：

f（R7， path（R2，R10））= *f（R2， path（R2，R10））

同理可計(jì)算得到：

f（R8， path（R2，R10））= *f（R7， path（R2，R10））

f（Rl， path（R2，R10））= *f （R8， path（R2，R10））

同時(shí)， R2 路由表更新直接也會(huì)對(duì) R1 產(chǎn)生影響， 因此有：

f（Rl， path（R2，R10））= *f （R2， path（R2，R10））

以此類(lèi)推， 可以得到路徑 R（R，path（10，2））的震蕩，對(duì)路由器R1的總影響因子為：

Totle（f（R1， path（R2， R10）））= *f （Ri，path（R2， R10））

其中Ri代表與路由器 R1 相鄰的5個(gè)路由器。

圖 2　改進(jìn)型震蕩路徑的選取

受BCP協(xié)議的擴(kuò)散效應(yīng)影響，每個(gè)路由器在更新了路由表之后都會(huì)立即向其他的路由器發(fā)動(dòng)更新信息，由于每個(gè)路由器的更新速度不同，因此更新完成的時(shí)間點(diǎn)也不同，通常不會(huì)同時(shí)達(dá)到其他路由器。由此看來(lái)，關(guān)鍵路徑上的路由器對(duì)路由表的更新頻率與震蕩路徑對(duì)路由器的總震因子密切相關(guān)［3］。

2　仿真實(shí)驗(yàn)

為了驗(yàn)證此策略的可行性，筆者專(zhuān)門(mén)建立了最接近真實(shí)的實(shí)驗(yàn)環(huán)境，對(duì)骨干路由器的組成以及網(wǎng)絡(luò)路由器的更新過(guò)程進(jìn)行了真實(shí)模擬。實(shí)驗(yàn)結(jié)果表明路由器CPU負(fù)荷受到來(lái)自震蕩路徑的影響，為了有效降低震蕩路徑影響骨干路由器CPU負(fù)荷的程度、縮短測(cè)量的時(shí)間，本文從中選取了在實(shí)驗(yàn)條件內(nèi)的路由器組成的24段拓?fù)渚W(wǎng)絡(luò)，用這些網(wǎng)絡(luò)建立震蕩路徑進(jìn)行實(shí)驗(yàn)，然后根據(jù)上文所提到的算法，將網(wǎng)絡(luò)拓?fù)滏溌分械倪@24段震蕩路徑取出，然后對(duì)比CXPST所選取的另外24段震蕩路徑。

最終的測(cè)量結(jié)果如圖3所示。可以看出，在進(jìn)行實(shí)際測(cè)量時(shí)，采用本文設(shè)計(jì)的算法，相對(duì)而言，骨干路由器CPU的負(fù)荷比較高，而在20s的時(shí)候，使用筆者所給出的算法進(jìn)行處理，路由器的CPU已經(jīng)接近滿負(fù)荷運(yùn)轉(zhuǎn)，但使用CXPST的算法，路由器CPU的負(fù)荷卻維持在正常水平，只有不到90%。因此，筆者的方法會(huì)更快地導(dǎo)致網(wǎng)絡(luò)拓?fù)鋱D中產(chǎn)生震蕩路徑，使得路由器難以正常運(yùn)轉(zhuǎn)。

圖3　振蕩路徑對(duì)路由器CPU負(fù)荷的影響

［1］況曉輝，趙剛，溫研，等.大規(guī)模分布式系統(tǒng)脆弱性分析框架研究［J］.計(jì)算機(jī)科學(xué)，2012（6）：58-60.

［2］李德毅.復(fù)雜網(wǎng)絡(luò)與網(wǎng)絡(luò)安全［J］.軍隊(duì)指揮自動(dòng)化，2015（6）：15-20.

［3］邢栩嘉，林闖，蔣屹新.計(jì)算機(jī)系統(tǒng)脆弱性評(píng)估研究［J］.計(jì)算機(jī)學(xué)報(bào)，2014（1）：1-11.

Vulnerability analysis of BGP protocol in border router

Lin Simin
（Shanwei Branch of China United Network Communications Limited， Shanwei 516600， China）

This paper analyzes the vulnerability of BGP agreement on boundary router， in-depth studies the attack principle of CXPST algorithm， and puts forward the corresponding improved shock path selection strategy， theoretically completed the proof that improved shock path selection strategy is more optimum. According to the experimental results， the design of BGP protocol can make the backbone router running BGP protocol can not work normally in a shorter period of time， and the effect is obviously stronger than the algorithm CXPST.

BGP protocol； vulnerability； router； CXPST； DDoS attack

林思敏（1987— ），女，廣東陸豐，助理工程師；研究方向：網(wǎng)絡(luò)工程。