文/溫占考 王宇

黑洞路由技術(shù)：簡(jiǎn)單快速的應(yīng)急手段

文/溫占考 王宇

黑洞路由是將所有無(wú)關(guān)路由吸入路由器中，使它們有來(lái)無(wú)回的路由。

應(yīng)急處置環(huán)節(jié)繁多

由于網(wǎng)絡(luò)和信息服務(wù)的復(fù)雜性，一項(xiàng)網(wǎng)絡(luò)服務(wù)的可靠運(yùn)行需要支撐的環(huán)節(jié)非常多，因此，應(yīng)急處置中要恢復(fù)網(wǎng)絡(luò)和信息服務(wù)就需要根據(jù)服務(wù)的實(shí)際情況，逐一對(duì)各個(gè)支撐環(huán)節(jié)進(jìn)行排查和恢復(fù)。而在現(xiàn)階段實(shí)際的應(yīng)急處置過(guò)程中，多數(shù)是應(yīng)對(duì)網(wǎng)站內(nèi)容被篡改、系統(tǒng)數(shù)據(jù)被泄露、服務(wù)器被入侵等安全事件，第一時(shí)間停止安全事件相關(guān)的某個(gè)網(wǎng)絡(luò)和信息服務(wù)是最常用和有效的技術(shù)手段。

從對(duì)互聯(lián)網(wǎng)提供服務(wù)的各個(gè)支撐環(huán)節(jié)來(lái)進(jìn)行應(yīng)急處置，就是針對(duì)每個(gè)支撐環(huán)節(jié)的實(shí)際特點(diǎn)選擇停止相關(guān)設(shè)備、服務(wù)或配置以達(dá)到停止服務(wù)的目的，比如從網(wǎng)絡(luò)路由、地址分配、DNS服務(wù)、出口網(wǎng)關(guān)、NAT服務(wù)器、出口防火墻、內(nèi)網(wǎng)網(wǎng)關(guān)、內(nèi)網(wǎng)防火墻、Web防火墻、私有云服務(wù)平臺(tái)、虛擬化平臺(tái)、主機(jī)操作系統(tǒng)等環(huán)節(jié)停止服務(wù)，也包含類(lèi)似人工斷開(kāi)網(wǎng)絡(luò)物理線路、斷開(kāi)服務(wù)器或網(wǎng)絡(luò)設(shè)備電源等物理層面處置手段。

東北大學(xué)根據(jù)網(wǎng)絡(luò)信息安全事件的危害水平，對(duì)于較高危害水平需要第一時(shí)間處置的網(wǎng)絡(luò)信息安全事件，使用基于ExaBGP的黑洞路由應(yīng)急處置技術(shù)斷開(kāi)事件相關(guān)IP地址的服務(wù)，包括面向互聯(lián)網(wǎng)和校園網(wǎng)內(nèi)的網(wǎng)絡(luò)服務(wù)，訪問(wèn)相應(yīng)的網(wǎng)站或信息系統(tǒng)將跳轉(zhuǎn)到指定頁(yè)面，在頁(yè)面中提示具體的封禁原因，并記錄詳細(xì)操作日志；對(duì)于較低危害水平的網(wǎng)絡(luò)信息安全事件，使用在校園網(wǎng)絡(luò)出口計(jì)費(fèi)系統(tǒng)封鎖對(duì)應(yīng)透明IP地址賬號(hào)或在出口網(wǎng)絡(luò)設(shè)備上配置安全策略來(lái)斷開(kāi)互聯(lián)網(wǎng)訪問(wèn)，校園網(wǎng)內(nèi)可以正常訪問(wèn)，便于相關(guān)責(zé)任部門(mén)進(jìn)行后續(xù)整改和處置。此外，對(duì)于在學(xué)校集中管理的虛擬主機(jī)平臺(tái)上的應(yīng)用系統(tǒng)，出現(xiàn)安全事件將暫停虛擬機(jī)服務(wù)，保留虛擬機(jī)相關(guān)狀態(tài)信息，支持后續(xù)分析整改。

基于ExaBGP的黑洞路由應(yīng)急處置技術(shù)

在網(wǎng)絡(luò)安全事件發(fā)生后，需要第一時(shí)間將受攻擊的主機(jī)斷開(kāi)網(wǎng)絡(luò)，但是在如今越來(lái)越復(fù)雜的網(wǎng)絡(luò)環(huán)境、虛擬環(huán)境及云服務(wù)器環(huán)境下，對(duì)于每一位值班人員要快速定位主機(jī)位置且迅速斷開(kāi)其網(wǎng)絡(luò)連接并不是一件很容易的事情，所以在快速處置網(wǎng)絡(luò)信息安全事件過(guò)程中，黑洞路由技術(shù)是一個(gè)簡(jiǎn)單而快速的應(yīng)急手段，通過(guò)簡(jiǎn)單配置及部署后，普通值班人員也可以通過(guò)簡(jiǎn)單的Web入口將受影響的IP地址加入黑洞路由中。

黑洞路由簡(jiǎn)介

黑洞路由是將所有無(wú)關(guān)路由吸入路由器中，使它們有來(lái)無(wú)回的路由。在路由器上通常就是寫(xiě)出一條通往NULL0接口的路由，路由器就會(huì)把去往該目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)包直接丟往NULL0，而不進(jìn)行其他處理。其最大的好處是充分利用路由器的包轉(zhuǎn)發(fā)能力，對(duì)系統(tǒng)負(fù)載影響非常小。

黑洞路由技術(shù)可以把去往黑洞路由的數(shù)據(jù)包丟棄，但是對(duì)于一些支持RFC5635[Remote Triggered Black Hole Filtering with Unicast Reverse Path Forwarding (uRPF)]的路由器來(lái)說(shuō)，路由器可以通過(guò)啟用uRPF來(lái)丟棄源地址為黑洞路由的數(shù)據(jù)包，這個(gè)做法效率依舊很高。

實(shí)現(xiàn)方法

ExaBGP，BGP中的瑞士軍刀，一種通過(guò)將 BGP 消息轉(zhuǎn)換為友好的純文本或JSON 來(lái)實(shí)現(xiàn)軟件定義網(wǎng)絡(luò)的便捷方式，然后可以通過(guò)簡(jiǎn)單的腳本來(lái)處理。 它通常用于提高服務(wù)恢復(fù)能力，并提供防止網(wǎng)絡(luò)或服務(wù)故障的保護(hù)。同樣，它可以很方便地將文本消息轉(zhuǎn)成BGP消息傳遞到路由器中，實(shí)現(xiàn)遠(yuǎn)程黑洞路由觸發(fā)技術(shù)。

1.安裝

ExaBGP 支持 Debian、Ubuntu、ArchLinux、Gentoo、Mint、FreeBSD、OSX、OmniOS等操作系統(tǒng)。

3.運(yùn)行

exabgp /etc/exabgp.conf

4.所有路由器增加一條黑洞路由ip route 192.0.2.1 255.255.255.255 null 0

5.通過(guò)CURL增加路由curl -d 'command=announce route 1.1.1.1/32 next-hop 192.0.2.1' 10.1.1.1:5001

6.通過(guò)CURL刪除路由curl -d 'command=withdraw route 1.1.1.1/32 next-hop 192.0.2.1' 10.1.1.1:5001

做個(gè)簡(jiǎn)單的頁(yè)面，通過(guò)HTTP POST方式增加、刪除黑洞路由即可實(shí)現(xiàn)。我們基于ExaBGP開(kāi)發(fā)了“東北大學(xué)IP地址封鎖系統(tǒng)”，值班人員可以通過(guò)統(tǒng)一身份認(rèn)證后登錄該系統(tǒng)對(duì)某個(gè)IP地址進(jìn)行增加、刪除黑洞路由，并提供信息備注和日志歸檔功能。

其他

ExaBGP還有一個(gè)比較友好的界面， 參 考：ERCO: EXABGP ROUTES CONTROLLER [https://erco.xyz]。

（責(zé)編：王左利）

（作者單位為東北大學(xué)信息技術(shù)研究院）