本書重點介紹了域間路由尋址方面的安全監(jiān)測和防御技術��。首先系統(tǒng)化地介紹了邊界網關協(xié)議的基本原理和互聯(lián)網域間路由安全面臨的風險和挑戰(zhàn)���;然后梳理了互聯(lián)網域間路由安全監(jiān)測關鍵技術����;最后著重介紹了互聯(lián)網域間路由知識譜系和構建方法�、互聯(lián)網域間路由異常的檢測方法以及互聯(lián)網域間路由安全防御技術����。
域間路由協(xié)議作為網絡空間的基礎設施,提供了自治系統(tǒng)間的通信機制,控制著域間流量轉發(fā)走向,對互聯(lián)網運行起著重要的作用��。隨著互聯(lián)網的飛速發(fā)展����,網絡設備和自治域在數(shù)量上呈現(xiàn)爆炸增長的趨勢,網絡拓撲變得復雜���。域間路由協(xié)議缺乏任何形式的路徑或者來源的驗證,使得這一協(xié)議在歷突發(fā)狀況時(網絡攻擊�、鏈路中斷���、錯誤配置等)造成域間路由選路發(fā)生劇烈變化�����。帶有破壞性的路由事件會造成網絡可用帶寬變小�����、網絡延時變大以及應用服務訪問中斷����,影響網絡和應用服務的性能,嚴重的事件可能造成國家能源、銀行����、交通運輸國防工業(yè)及國家重要基礎設施等方面的網絡服務不可達,嚴重影響社會濟和人民生活的正常運行�����。此外,路徑變化也會危及國家網絡,網絡流量含大量的敏感信息,揭示網絡運營者的競爭策略��、商業(yè)秘密甚至國家機密等,惡意攻擊者可從中實現(xiàn)大規(guī)模竊聽�、身份欺騙甚至選擇性內容修改,且執(zhí)行這樣的攻擊不用訪問或接近受影響的網絡,甚至這種攻擊不會使受害者的網絡通信產生中斷,可持續(xù)較長時間而不被受害者發(fā)現(xiàn)。
本書根據作者在域間路由監(jiān)測和防御方面多年的研究驗,對域間路由監(jiān)測和防御關鍵技行了系統(tǒng)梳理���。本書共分為8章:第1章介紹邊界網關協(xié)議的基木概念����,閘述了域間路由面臨的風險和面臨的挑戰(zhàn)�����。第2章對域間路由監(jiān)行了概述括邊界網關協(xié)議基本概述��、域間路由報文采集技術和全球相關采集工程����、BGP路由異常監(jiān)測技術以及常用的知名系統(tǒng)。第3章介紹了域間路由知識譜系括互聯(lián)網碼號資源分配����、互聯(lián)網信息資源數(shù)據庫、路由宜告數(shù)據���、網站IP地址映射�、AS 知識挖掘以及域間路由知識譜系構建�����。第4~6章介紹了城間路由異常監(jiān)測的關鍵技術括域間路由前綴監(jiān)測、路由泄露監(jiān)測���、路由中斷監(jiān)測等����。第7章介紹了域間路由防御技術括主動防御和被動防御技術以及自治域間地址驗證���。第8章為本書的結束語
本書的部分研究成果來源于國家研發(fā)計劃“大規(guī)模可信的編址路由關鍵技術和應用示范”項目課題“網間互聯(lián)可信路由關鍵技術與設備研發(fā)”,該課題主要研究網間互聯(lián)可信路由關鍵技術,支持域間路由行為協(xié)作和攻擊防范����。本書作者所在的郵電大學計算機學院(性軟件學院)信息網絡中心路由研究團隊,長期從事網絡空間測量、路由監(jiān)測�����、互聯(lián)網基礎資源測繪工作,承擔了若干面向網絡空間的國家研發(fā)計劃課題�、國家自然科學等項目,在路由監(jiān)測領域有深厚的技術積累。
感謝郵電大學計算機學院信息網絡中心的馬嚴教授��、黃小紅教授以及清華大學網絡科學與網絡空間研究院張晗助理教授����。馬嚴教授是下一代互聯(lián)網領域研究的專家,長期從事互聯(lián)網協(xié)議�����、IPv6 技術以及網絡空間方面的研究�,對本書關鍵技術和寫作思路提出了建設性意見�����,也是作者本人的啟蒙導師��。黃小紅教授是實驗室團隊負責人�,在網絡優(yōu)化、網絡空間等方面有深厚的科研積累��,在科研方法�����、科研條件等方面給予了作者大力支持,在本書寫作過程中也提出了寶貴的指導意見��,拓展了作者寫作的思路�。張晗助理教授在可控的IPv6下一代互聯(lián)網體系結構領域已開展十多年基礎理論研究和核心技術攻關,研究成果在網絡基礎設施建設和運行中得到了應用,在本書撰寫過程中從理論和工程層面提出了寶貴意見���,也參與了書籍部分內容的撰寫此外����,在本書撰寫過程中,得到了實驗室研究生、團隊老師們的大力支持�����。參與本書相關工作的研究生有張毓���、徐鵬舉、舒坤博�����、趙仕棋���、曾曼���、劉仰斌、白俊東����、嚴歡���、王子昊、李赫楊���、陽乾宇����、袁晟等人�,作者在此表示誠摯的謝意。
張沛,北京郵電大學講師�。2007年9月至2012年5月,于北京郵電大學信息網絡中心從事網絡測量�、網絡管理、大數(shù)據分析等方面研究����,獲博士學位。2012年9月至2014年9月于清華大學博士后流動站從事網絡空間安全研究����,2015年1月加入北京郵電大學網絡技術研究院信息網絡中心研究團隊��,主要研究領域包括知識驅動的網絡空間數(shù)據智能分析�����、數(shù)據可視化等方向��。
第1章緒論
1.1邊界網關協(xié)議
1.2域間路由風險
1.3域間路由面臨的挑戰(zhàn)
第2章互聯(lián)網域間路由監(jiān)測概述.
2.1邊界網關協(xié)議概述
2.1.1自治系統(tǒng)
2.1.2BGP 協(xié)議概述
2.1.3BGP消息類型
2.1.4 BGP路由信息庫......
2.1.5BGP路由決策過程.......2.2BGP路由報文采集
2.2.1被動路由報文采集..
2.2.2實時流報文采集.
2.2.3 BGP監(jiān)控協(xié)議
2.3BGP路由報文采集工程...
2.3.1 RIPE NCC 路由信息服務.....
2.3.2Route Views
2.3.3BGPStream
2.4 BGP路由異常監(jiān)測技術..
2.4.1路由異常分類...
2.4.2路由異常威脅
2.4.3路由異常檢測方法
2.5常用系統(tǒng)介紹.
2.5.1 BGP.He,net "
2.5.2BGP,Potaroo.net
2.5.3BGPMon
第3章互聯(lián)網域間路由知識譜系
3.1互聯(lián)網號碼資源分配
3.1.1 AS號碼分配
3.1.2 IP地址分配.
3.2互聯(lián)網號碼資源數(shù)據庫3.2.1互聯(lián)網號碼注冊信息庫3.2.2互聯(lián)網路由注冊信息庫
3.2.3WHOIS信息查詢協(xié)議3.2.4 RDAP注冊數(shù)據訪問協(xié)議3.3路由宣告數(shù)據
3.3.1 AS路由前綴映射
3.3.2AS Peer關系
3.3.3路由傳播路徑
3.3.4路由前綴可見性3.3.S級別網絡拓撲3.4網站信息IP地址映射3.4.1網站行業(yè)主題分類3.4.2網站多源IP映射��。3.4.3解析IP地址映射3.S知識挖掘
3.5.1AS商業(yè)關系推斷
3.5.2AS組織機構映射
3.5.3AS性質分類
3.5.4AS等級排名
3.5.S地理疆域
3.6互聯(lián)網域間路由知識譜系構建3.6.1域間路由知識本體
3.6.2域間路由知識圖譜
第4章互聯(lián)網域間路由前綴監(jiān)測4.1路由事件分類
……
5.4.3路由泄露快速定位算法
5.4.4風險評估算法
第6章互聯(lián)網域間路由中斷監(jiān)測
6.1域間路由中斷事件分類
6.1.1根據路由中斷位置分類
6.1.2根據路由中斷原因分類
6.1.3根據路由中斷粒度
6.2典型域間路由中斷事件
6.2.1 Facebook 路由中斷事件
6.2.2KT路由中斷事件
6.3現(xiàn)有檢測方法
6.3.1路由不穩(wěn)定檢測
6.3.2路由中斷檢測
基于網絡拓撲與服務分析的BGP 中斷檢測.1路由可見性特征構建
.2關聯(lián)自治系統(tǒng)BGP 中斷事件檢測.3重要自治系統(tǒng)BGP 中斷事件檢測.4重要IP前綴BGP 中斷事件檢測第7章互聯(lián)網域間路由防御
7.1主動防御技術
7.1.1路由主動防御
7.1.2路由泄露主動防御
7.1.3自治域信譽評估
7.2被動防御技術
7.2.1域間路由緩釋
7.2.2域間路由防御聯(lián)盟
7.3自治域間源地址驗證
7.3.1路由分級過濾
7.3.2追溯審計技術
7.3.3真實源地址驗證體系
第8章結束語
參考文獻
