BGP路由泄露研究

賈佳，延志偉，耿光剛，金鍵

（1. 中國科學院大學計算機網(wǎng)絡(luò)信息中心，北京 100190；2. 中國互聯(lián)網(wǎng)絡(luò)信息中心互聯(lián)網(wǎng)域名管理技術(shù)國家工程實驗室，北京 100190）

BGP路由泄露研究

賈佳1,2，延志偉2，耿光剛2，金鍵1,2

（1. 中國科學院大學計算機網(wǎng)絡(luò)信息中心，北京 100190；2. 中國互聯(lián)網(wǎng)絡(luò)信息中心互聯(lián)網(wǎng)域名管理技術(shù)國家工程實驗室，北京 100190）

隨著互聯(lián)網(wǎng)規(guī)模的急劇擴大，邊界網(wǎng)關(guān)協(xié)議（BGP， border gateway protocol）在域間路由系統(tǒng)中的作用愈加重要。BGP本身存在很大的安全隱患，導(dǎo)致前綴劫持、AS_PATH劫持及路由泄露攻擊事件頻頻發(fā)生，給互聯(lián)網(wǎng)造成了嚴峻的安全威脅。目前，國內(nèi)外針對路由泄露的介紹及安全研究機制相對較少。對BGP路由泄露進行了詳細研究，介紹了BGP內(nèi)容、路由策略及制定規(guī)則，分析了重大路由泄露安全事件及發(fā)生路由泄露的6種類型，并比較了當前針對路由泄露的安全機制和檢測方法，最后對路由泄露安全防范機制提出了新的展望。

BGP；路由策略；路由泄露；路由安全

1 引言

BGP于1989年問世，作為互聯(lián)網(wǎng)中最重要的域間路由協(xié)議，主要用于不同自治系統(tǒng)（AS，autonomous system）路由器之間交換路由信息。隨著互聯(lián)網(wǎng)規(guī)模的急劇擴大，AS之間的路由選擇愈加復(fù)雜，不同互聯(lián)網(wǎng)絡(luò)性能相差很大，由此考慮到路徑的使用代價和安全因素，AS之間的路由選擇必須要考慮相應(yīng)路由策略，選出較優(yōu)路徑。所以，BGP的核心目標是找到一條能夠到達目的網(wǎng)絡(luò)并且較優(yōu)的路由。

然而，BGP在設(shè)計上存在較大的安全缺陷［1,2］，由此導(dǎo)致了許多安全事故。據(jù)統(tǒng)計，主要造成威脅域間路由安全的原因如表1［3］所示。

表1 域間路由問題

由表1可知，最常見的BGP路由安全事件的緣由中BGP錯誤配置比例高達31%。目前，針對BGP前綴劫持攻擊［4］和AS_PATH路徑劫持攻擊［5］的安全防御技術(shù)研究最為火熱，如BBN公司提出的S-BGP［6］、思科公司推出的soBGP［7］以及目前國際互聯(lián)網(wǎng)工程任務(wù)組（IETF， Internet engineering task force）中安全域間路由（SIDR， secure inter-domain routing）工作組正在研究的RPKI［8］與BGPsec［9］技術(shù)，但是以上幾種安全機制本身也存在很多安全漏洞和性能缺陷，至今無法全面部署與實施。同時，路由泄露對于BGP安全有非常重要的影響，但目前對路由泄露的原因和規(guī)避機制研究較少。

本文詳細介紹了BGP內(nèi)容、路由策略及其制定規(guī)則，以及發(fā)生在2015年的重大BGP路由泄露安全事件，并對路由泄露的原因進行了分析。根據(jù)分析結(jié)果，本文介紹了目前已提出的路由泄露的定義及6種類型，并對路由泄露的安全機制進行了匯總整理與分析比較。最后本文提出了針對路由泄露安全防范機制的展望。

2 BGP協(xié)議概述

2.1 BGP分組介紹

RFC4271［10］中規(guī)定了BGP-4的4種分組格式，分別是Open分組、Update分組、Keepalive分組及Notification分組，同時在RFC2918［11］中增添了Route-refresh分組。幾種分組功能介紹如表2所示。

上述分組中，Update分組作用最為重要，標識了路徑屬性（AS_PATH、Local_pref、Multi_exit_disc等）和網(wǎng)絡(luò)層可達性信息（NLRI， network layer reachability information）。其中，AS_PATH屬性表明Update分組所經(jīng)過的AS序列。Local_pref屬性代表本地優(yōu)先級，用于告知路由器，當有多條路徑時，選擇優(yōu)先級最高的路由。Multi_exit_disc屬性則是告知外部AS到達本地AS的最佳路徑選擇，即選擇Multi_exit_disc值更小的路由。NLRI包含一個或一組該路由通告的IP地址前綴。當BGP路由器接收到新的Update分組時，首先根據(jù)路由表選擇下一跳AS，并在AS_PATH中添加自己所屬的AS號，以完成路由通告的轉(zhuǎn)發(fā)與傳遞。

2.2 路由策略介紹

BGP路由器轉(zhuǎn)發(fā)路由不僅要根據(jù)路由表，還要參考路由策略。路由策略是指AS制定的接收路由、選擇最佳路由以及對外通告路由的策略［12］。目前，路由策略的設(shè)定主要取決于AS_PATH、Local_pref及Multi_exit_disc路徑屬性值，在同等條件下，優(yōu)先選擇Local_pref值更高、AS_PATH路徑更短及Multi_exit_disc值更小的路由為最佳路由。除了上述影響路徑性能的屬性作為考慮因素之外，路由策略的制定還要考慮政治、經(jīng)濟及安全等方面的影響。

表2 BGP分組功能

路由策略的制定通常取決于AS之間的關(guān)系［12］，AS關(guān)系反應(yīng)了2個BGP路由器發(fā)言人關(guān)于商業(yè)關(guān)系的協(xié)議。AS之間的商業(yè)關(guān)系大致可以分為4種，如表3所示，分別是C2P（customer to provider）、P2C（provider to customer）、P2P（peer to peer）和S2S（sibling to sibling）［13］。Provider AS為Customer AS提供到其他AS的傳輸服務(wù)，Peer AS之間則提供各自流量傳輸?shù)綄Ψ骄W(wǎng)絡(luò)的服務(wù)。所以，出于經(jīng)濟利益的考慮，AS優(yōu)先選擇來自Customer AS的路由，其次是Peer AS及Provider AS。換句話說，大部分網(wǎng)絡(luò)采用的路由策略規(guī)則如下［14］。

1） 來自Customer AS宣告的路由允許傳遞給Customer、Peer和Provider。

2） 來自Peer AS宣告的路由允許傳遞給Customer，不允許通告給其他的Peer和Provider。

3） 來自Provider AS宣告的路由允許傳遞給Customer，不允許通告給其他的Peer和Provider。

表3 BGP路由器商業(yè)關(guān)系

3 路由泄露事件及類型介紹

3.1 Google服務(wù)器中斷安全事件

2015年3月11日10：30 UTC到3月12日09：15 UTC，大量Google前綴通告被改變路徑，所有路由都經(jīng)過了Airtel AS9498，如圖1所示［15］，所有Update分組中的AS_PATH屬性都包括9498、17488、15169。發(fā)生這種事故的原因是Google AS15169的對等端Hathway AS17488，將由Google發(fā)起的前綴信息泄露給Hathway AS17488的服務(wù)提供者Airtel AS9498。同時Airtel AS9498也與許多其他的互聯(lián)網(wǎng)服務(wù)交換中心相連，導(dǎo)致大量的路由被重新選擇與通告。

AS15169與AS17488是Peering關(guān)系，AS9498是AS17488的Provider，即AS9498為AS17488提供服務(wù)。假設(shè)AS1000與AS15169、AS9498分別是P2P與P2C關(guān)系，路由泄露發(fā)生之前，AS1000選擇其他路徑達到AS15169，當AS1000發(fā)現(xiàn)到達某前綴可以通過Customer端，AS1000則會考慮最佳經(jīng)濟效益，優(yōu)先選擇AS9498并且會重新通告路由，導(dǎo)致目標網(wǎng)絡(luò)不可達。Google是最大的互聯(lián)網(wǎng)網(wǎng)站，平均每天處理數(shù)10億的終端用戶，長時間的不可訪問會造成極大的經(jīng)濟損失，甚至對整個互聯(lián)網(wǎng)絡(luò)產(chǎn)生嚴重影響。

3.2 路由泄露類型

路由泄露是BGP路由系統(tǒng)存在的系統(tǒng)漏洞導(dǎo)致的安全問題，據(jù)調(diào)查［16］，每天都會檢測出路由泄露安全事件的發(fā)生，輕則導(dǎo)致網(wǎng)絡(luò)不可達，重則可能會導(dǎo)致整個互聯(lián)網(wǎng)癱瘓。根據(jù)對已發(fā)生的路由泄露安全事件的觀察分析，可以將其分為6種類型［17］。

如圖2所示，假設(shè)有6個自治系統(tǒng)，分別從AS1～AS6。多宿主AS3分別為AS1和AS2的Customer，AS2為AS6的Customer，其余AS1、AS2、AS5為Peering關(guān)系，AS3與AS4為Peering關(guān)系。具體6種路由泄露類型如下。

圖1 Google服務(wù)器中斷展示

圖2 路由泄露

1） AS1向AS3宣告前綴P的路由，AS3將此路由信息泄露給AS2。

2） AS1向AS2宣告前綴P的路由，AS2將此路由信息泄露給AS5。

3） AS1向AS3宣告前綴P的路由，AS3將此路由信息泄露給AS4。

4） AS1向AS2宣告前綴P的路由，AS2將此路由信息泄露給AS6。

5） AS1向AS3宣告前綴P的路由，AS3作為路由源向AS2宣告P的路由信息，改變路徑信息。

6） AS將其內(nèi)部不可通告前綴或更長前綴路由通告給其他AS。

綜上所示，來自Provider和Peer的路由通告只能傳播給其Customer，否則就會造成路由泄露。

4 路由泄露安全機制

4.1 前綴過濾及路徑過濾機制

前綴過濾［18,19］是保護BGP路由器免受惡意或非惡意攻擊最基本的安全機制，包括出站前綴過濾和入站前綴過濾。前綴過濾可類比為防火墻，不允許違背合法規(guī)則的前綴通過。AS可以獲知其Customer AS 與Peer AS的通告前綴，并將其作為過濾前綴的一部分，不允許不符合條件的IP前綴入站或出站。同時對于通信雙方，發(fā)送方AS的出站過濾器規(guī)則要與對等端AS的入站過濾器規(guī)則相匹配。如圖3所示，AS1出站過濾器設(shè)定規(guī)則為出站前綴屬于前綴集合P，對于AS1的 BGP對等端，AS2則建立入站過濾器，確保經(jīng)過入站過濾器后的前綴仍屬于P。上述過濾操作可以有效防止攻擊者在傳遞中對前綴信息進行偽造或者更改等惡意操作。

圖3 前綴過濾規(guī)則實例

除上述設(shè)計規(guī)則外，還有一些其他需要考慮的規(guī)則。

1） 拒絕現(xiàn)在或者將來用于特殊用途的前綴［20］通過。

2） 拒絕未被分配使用的前綴通過。

3） 拒絕擁有不符合條件的前綴長度的前綴通過。

4） 盡可能合并聚合路由。

5） 拒絕內(nèi)部網(wǎng)絡(luò)的IP地址通過等。

但是，對于ISP來說，構(gòu)建Customer AS集合的前綴過濾器非常困難，尤其是Customer集合中包含更多的層次劃分。而且ISP需要定期對過濾器進行維護、保持過濾規(guī)則的正確性、保證過濾器中前綴的時效性和正確性等，這些要求對于規(guī)模龐大的ISP看來，具有極大的挑戰(zhàn)性。所以，前綴過濾機制針對防范路由泄露只能起到輔助互補作用，無法全面保證其安全性與正確性。

路徑過濾機制［21］則是利用觀測到的所有Customer AS和AS Path，構(gòu)造AS Path路徑過濾規(guī)則，防止其他AS重新宣告已存在路徑的路由。針對AS Path的路徑過濾機制比前綴過濾機制具有輕量級的優(yōu)勢，減少對路由器的性能負載。

但是，AS之間不同會話可能代表著不同的關(guān)系模型，所以，基于AS Path路徑過濾的方法會限制AS之間正常路由的傳遞，而且對AS Path過濾器參數(shù)的設(shè)置錯誤仍可能會導(dǎo)致路由泄露的發(fā)生。

4.2 路由注冊表過濾機制

利用互聯(lián)網(wǎng)路由注冊［22］（IRR， Internet routing registries）信息和路由策略規(guī)范語言［23,24］（RPSL， routing policy specification language）對人工管理進行路由過濾是一種理論上可行的方法。

IRR是一個開源的分布式數(shù)據(jù)庫，提供了一種驗證BGP宣告信息內(nèi)容正確性的機制。RPSL是一種豐富的規(guī)范語言，允許用戶根據(jù)與相鄰AS關(guān)系和傳遞策略描述出該網(wǎng)絡(luò)的輸入、輸出策略。針對上述特性，AS可以利用IRR和RPSL構(gòu)造出所有相鄰網(wǎng)絡(luò)的前綴和AS路徑的過濾集合，用來過濾非法路由。早期階段，出現(xiàn)了很多嘗試利用路由注冊信息準確過濾的工具。

但此種方法在實際應(yīng)用中面臨很大的問題，注冊路由表數(shù)量龐大，全部加載到路由器會造成路由器很大的性能負載，而且IRR缺乏監(jiān)管機制，無法保證其絕對完整性與正確性，甚至可能包含沖突信息。目前，很多地區(qū)的互聯(lián)網(wǎng)運營商不再使用路由注冊的方式，而是采用自己定制的一些工具，所以，采用這種方式防范泄露和攻擊存在很大的安全風險。

4.3 RPKI&BGPsec

RPKI&BGPsec［25］是當前IETF SIDR工作組主推的BGP安全防范機制，主要針對前綴劫持攻擊和AS_PATH路徑劫持攻擊2種攻擊形式。根據(jù)已有研究［26］，RPKI&BGPsec可以有效解決上述路由泄露攻擊類型中5、6這2種攻擊類型。

類型5介紹了Customer AS將從其Provider AS得到的IP前綴據(jù)為己有，作為路由源重新向另一個Provider AS通告這個路由前綴。另一個Provider AS一旦部署了RPKI，當接收到篡改路由源的路由時，首先檢查合法的路由源授權(quán)（ROA， route origin authorization）過濾表，此時路由源AS與IP前綴不匹配，丟棄分組，類型5路由泄露攻擊失敗。如圖4所示，AS2將自己作為前綴P的路由源向其Provider AS3重新通告，AS3收到路由后檢測ROA過濾表，發(fā)現(xiàn)前綴P由AS1合法通告，所以，此條路由無效，繼而丟棄路由。

圖4 RPKI防范路由泄露

類型6則是典型的AS內(nèi)部前綴泄露，這些前綴不允許被通告到互聯(lián)網(wǎng)中。如圖5所示，這種情況下，接收方AS可以利用ROA將其進行過濾。因為這些前綴沒有對應(yīng)的ROA授權(quán)或者有專門的特殊ROA過濾表。

圖5 防范內(nèi)部前綴（禁止傳遞）IP展示

當AS泄露了其更詳細的前綴時，如圖6所示，ROA過濾表包含短前綴的IP地址，根據(jù)RPKI制定規(guī)則［27］，路由將被標識為無效，類型6路由泄露攻擊失敗。

圖6 防范內(nèi)部前綴（長前綴）IP展示

然而，RPKI&BGPsec無法防范前4種針對路由策略和AS關(guān)系的路由泄露類型，所以，為了更好地加固BGP安全機制，需要在不影響現(xiàn)有功能和性能的前提下，對RPKI&BGPsec進行安全功能擴展。

4.4 RLP保護機制

路由泄露保護（RLP， route-leak protection）機制［26］是在每一跳的Update分組中添加一個新的字段，即RLP字段，以待接收端路由器檢測AS_PATH中是否存在不應(yīng)該轉(zhuǎn)發(fā)的路由證明。

為了檢測和緩解路由泄露的問題，RLP字段值有2種選擇：一種是00，表示默認的選擇，即不受任何限制；另一種是01，表明不允許向上游AS及（不可傳遞）Peer AS轉(zhuǎn)發(fā)。目前有2種情景可以設(shè)置為01，即發(fā)送Update分組給其Customer AS或者其（不可傳遞）Peer AS。同時，為了保證區(qū)別處于不同商業(yè)模式中相同的前綴通告分組，RLP字段為每一個前綴和每一個鄰居AS做標注。

當接收端路由器接收到Update分組時，首先檢測此分組是否來自其Customer或者（不可傳遞）Peer AS，其次檢測Update中的RLP字段是否存在01值。如果存在，則表明AS_PATH中有一跳或者多跳發(fā)生了路由泄露。一旦發(fā)生了上述情況，路由器就將此條路由標記為“路由泄露”，從而優(yōu)先選擇其他安全路由。如果不存在其他未標記的可用路由，此條標記路由也可能被選擇并繼續(xù)轉(zhuǎn)發(fā)。接收端路由器的上述操作可以有效檢測和緩解路由泄露的發(fā)生。

然而，RLP保護機制也存在安全隱患。在很大情況下，一個泄露的路由器可能由于錯誤配置導(dǎo)致路由標記錯誤，并且RLP字段沒有任何加密機制，無法保證在傳播過程中不會被惡意攻擊者篡改或者存在錯誤配置的可能。所以，基于這種情況的考慮，RLP保護機制可以應(yīng)用到BGPsec安全模式中，作為簽名屬性的一部分進行逐跳傳遞與驗證。但BGPsec機制目前存在較大的性能問題，對于全面部署的目標還有很長的距離，而且將RLP字段添加到BGPsec屬性中，無疑會導(dǎo)致BGPsec分組增大并加重路由器的運行負載。

4.5 BGP角色確認機制

BGP角色確認機制［28］是利用BGP角色來表示雙方商業(yè)關(guān)系，以待第三方進行路由泄露檢測。具體來說，BGP路由器雙方在建立連接初始，即發(fā)送Open分組時，對本次通信中雙方的商業(yè)關(guān)系模式達成一致意見。BGP路由器之間的商業(yè)關(guān)系可以用BGP角色來表示，并將BGP路由器之間的BGP角色作為一種新的路徑屬性進行傳遞，作為進行路由決策的配置條件之一。發(fā)送方路由器在Open分組中向?qū)Φ榷税l(fā)送各種角色的代號，如0代表未定義、1代表發(fā)送方是Peer、2代表發(fā)送方是Provider、3代表發(fā)送方是Customer、4代表發(fā)送方是Internal。接收端路由器首先將雙方的角色與合法的商業(yè)關(guān)系規(guī)則進行匹配，如表3所示。如果不符合規(guī)則，接收端向發(fā)送方發(fā)送錯誤匹配的通知。

BGP Update分組屬性中添加了一項新的屬性，即OTC（only to customer），以下4種情況，需要對OTC屬性進行標識。

1） 如果接收端路由器的角色是Customer或者Peer時，所有的入站路由都應(yīng)該添加OTC屬性。

2） 攜帶有OTC屬性的路由禁止通告給BGP角色為Provider和Peer的對等端。

3） 如果BGP雙方在發(fā)送Open分組階段沒有發(fā)送BGP角色字段及未對雙方關(guān)系達成一致意見，并且發(fā)送方的角色是Provider或者Peer時，OTC屬性應(yīng)該被添加到接收端所有的出站路由中。

4） 當接收端路由器角色是Provider或者Peer時，攜帶OTC屬性的入站路由應(yīng)該刪除或者優(yōu)先級降低。

以上4種情況可以有效避免路由泄露的生成或者對路由泄露的發(fā)生進行檢測。后2種需要AS_PATH路徑中的其他AS對路由泄露進行判斷。

然而，OTC作為路徑屬性可能在傳播中被篡改或配置錯誤，所以，也可以與BGPsec機制結(jié)合，加密的傳遞環(huán)境可以保證其安全性。

4.6 其他

Geoff Huston從不同解決問題的視角提出了2種方法［14］：一種是利用數(shù)據(jù)簽名、RPKI及路由注冊表共同解決，但是由此導(dǎo)致系統(tǒng)更加龐大、問題更加復(fù)雜；另一種是從利用分布式算法解答聯(lián)立方程式的角度出發(fā)，方程式分別代表不同的路由策略，算法的最終目的是解決單個方程式及全網(wǎng)連通性的問題，從不同的角度看待路由策略和路由協(xié)議交互的方式。

5 未來研究趨勢

前文提到的幾種安全機制，在BGP路由泄露檢測與防范方面都存在缺陷與問題。前綴過濾機制、路徑過濾機制及基于路由注冊表的過濾機制等過濾方法，無法保證過濾表的時效性和正確性。RLP保護機制及BGP角色確認機制這種在分組中增添安全屬性，以待第三方驗證的方法無法保證傳遞信息不被篡改，并且可能會出現(xiàn)錯誤配置的可能。

路由泄露的發(fā)生主要是由于路由器有意或者無意地違背了路由策略。對于路由泄露的安全防范機制可以從如下2個方面進行擴展和分析。

1） 過濾機制作為最基本的安全保障機制不可缺省，但未來的發(fā)展目標是保證其覆蓋范圍全面化且過濾規(guī)則簡單化，不可造成路由器負載重，過濾效果差的結(jié)果。

2） 添加新的安全字段標識路由泄露，利用下一跳或者每一跳路由器進行驗證的方法較過濾機制更能保障BGP安全，但這種安全機制需要與有效的加密方式相結(jié)合，才可以確保安全標識的可信度。

由此看來，目前最佳的解決方式是對RPKI&BGPsec進行功能擴展，在BGPsec的屬性中添加標識AS關(guān)系或者傳遞屬性的字段。同時，BGPsec機制也面臨規(guī)模龐大、性能負載重的困境，所以解決BGPsec存在的問題也不可忽視。

6 結(jié)束語

BGP是當前互聯(lián)網(wǎng)中唯一的域間路由協(xié)議，對互聯(lián)網(wǎng)安全起著至關(guān)重要的作用。然而，BGP協(xié)議本身存在很大的安全問題，導(dǎo)致前綴劫持、AS_PATH路徑劫持及路由泄露等攻擊形式層出不窮。目前，針對前綴劫持和AS_PATH路徑劫持的防范攻擊安全機制提出了很多方案，但路由泄露由于其危害程度不如前者，所以針對路由泄露的安全方案仍比較少。然而路由泄露攻擊形式占BGP安全攻擊的22%左右，且每天都會發(fā)生或大或小的路由泄露事件，所以路由泄露的研究對于BGP安全具有重大意義。

［1］ MURPHY S. BGP security vulnerabilities analysis［EB/OL］. https：//tools.ietf.org/pdf/draft-ietf-idr-bgp-vuln-01.pdf.

［2］ NORDSTR?M O， DOVROLIS C. Beware of BGP attacks［J］. ACM Sigcomm Computer Communication Review， 2004， 34（2）：1-8.

［3］ PHOKEER A. Interdomain routing security： motivation and challenges of RPKI［J］. Timss Technical Report， 2013.

［4］ 劉欣， 劉華富. 互聯(lián)網(wǎng)前綴劫持攻擊研究［J］. 計算機技術(shù)與發(fā)展， 2015（2）： 131-134. LIU X， LIU H F. Internet prefix hijack attack research［J］. Computer Technology and Development ， 2015 （2）： 131-134.

［5］ HUSTON G， BUSS R. Securing BGP with BGPsec［J］. Internet Society Org， 2011， 6（5）： 15-22.

［6］ Secure BGP project （S-BGP） ［EB/OL］. http：//www.ir.bbn. com/ sbgp/.

［7］ WHITE R. Securing BGP through secure origin BGP （SoBGP）［J］. The Internet Protocol Journal， 2003， 6（3）：15-22

［8］ LEPINSKI M， KENT S. An infrastructure to support secure Internet routing［EB/OL］. https：//www.rfc-editor.org/rfc/rfc6480.txt .

［9］ LEPINSKI M， SRIRAM K. BGpsec protocol specification［EB/OL］. http：//ietfreport.isoc.org/all-ids/draft-ietf-sidr-bgpsec-protocol-15. txt.

［10］ REKHTER Y， LI T， HARES S. A border gateway protocol 4（BGP-4）［S］. RFC 4271， 2006.

［11］ CHEN E. Route refresh capability for BGP-4［S］. RFC 2918， 2000.

［12］ 黎松， 諸葛建偉， 李星. BGP安全研究［J］. 軟件學報， 2013， 24（1）：121-138. LI S， ZHU-GE J W， LI X. BGP security studies［J］. Journal of Software， 2013， 24（1）： 121-138.

［13］ GAO L. On inferring autonomous system relationships in the Internet［J］. IEEE/ACM Transation on Networking， 2001， 9（6）：733-745.

［14］ HUSTON G. Leaking routes-the ISP Column 2012［EB/OL］. http：//www.potaroo.net/isp col/2012-03/leaks.html.

［15］ Finding and diagnosing BGP route leaks［EB/OL］.http：//blog. thousande yes.com/finding-and-diagnosing-bgp-route-leaks/.

［16］ BGP routing leak detection system routing leak detection system［EB/OL］.http：//pu ck.nether.net/bgp/eakinfo.cgi.

［17］ SRIRAM K， MONTGOMERY D， MCPHERSON D， et al. Problem definition and classification of bgp route leaks［S］. RFC 7908， 2016.

［18］ DURAND J， PEPELNJAK I， DOERING G. BGP operations and security［S］. RFC 7454， 2015.

［19］ KUHN R，SRIRAM K，MONTGOMERY D. Border gateway protocol security［EB/OL］. http：//csrc.nist.gov/publications/nistpubs/800-54/ SP800-54.pdf.

［20］ IANA.Special-use IPv4 addresses. RFC 3330［EB/OL］. https：//www. rfc-editor.org/rfc/pdfrfc/rfc3330.txt.pdf.

［21］ PATEL K， HARES S. Analysis of Existing work for I2NSF［EB/OL］https：//www.ietf.org/id/draft-ietf-idr-aspath-orf-11.txt.

［22］ Overview of the IRR［EB/OL］. http：//www.irr.net/docs/overview. html.

［23］ ALAETTINOGLU C， VILLAMIZAR C， GERICH E， et al. Routing policy specification language（RPSL）［S］. RFC 2622.

［24］ BLUNK L，DAMAS J，PARENT F， et al. Routing policy specification language next generation（RPSLng）［S］. RFC 4012.

［25］ Secure inter-domain routing （sidr）［EB/OL］. http：//datatracker.ietf. org/wg/sidr/.

［26］ SRIRAM K， MONTGOMERY D， DICKSON B， et al. Method for detection and mitigation of BGP route leaks［EB/OL］. http：//www. ietf.org/id/draft-ietf-idr-route- leak-detection- mitigation-04.txt.

［27］ HUSTON G， MICHAELSON G. Validation of route origination using the resource certification public key infrastructure（PKI） and route origin authorization （ROAs）［S］. RFC 6483.

［28］ AZIMOV A， BOGOMAZOV E，BUSH R. Route leak detection and filtering using roles in update and open messages［EB/OL］. http：//www.potaroo.net/ietf/idref/draft-ymbk-idr-bgp-open-policy/.

賈佳（1992-），女，河北石家莊人，中國科學院大學碩士生，主要研究方向為BGP安全。

延志偉（1985-），男，山西興縣人，博士，中國互聯(lián)網(wǎng)絡(luò)信息中心副研究員，主要研究方向為IPv6、DNS、BGP等，

耿光剛（1980-），男，山東泰安人，博士，中國互聯(lián)網(wǎng)絡(luò)信息中心研究員，主要研究方向為機器學習、對抗性信息檢索。

金鍵（1976-），男，湖北十堰人，博士，中國互聯(lián)網(wǎng)絡(luò)信息中心高級工程師，主要研究方向為DNS、大規(guī)模分布式數(shù)據(jù)協(xié)同、網(wǎng)絡(luò)可信與安全等。

Study on BGP route leak

JIA Jia1,2， YAN Zhi-wei2， GENG Guang-gang2， JIN Jian1,2
（1. Computer Network Information Center， University of Chinese Academy of Sciences， Beijing 100190， China；
2. National Engineering Laboratory for Naming and Addressing， China Internet Network Information Center， Beijing 100190， China）

With the rapid expansion of the scale of Internet， BGP plays a more and more important role in the Inter domain routing system. BGP has a lot of security risks， which result in prefix hijacking， AS_PATH hijacking and route leak attacks occuring frequently， causing serious threats to the Internet. In currently， the content introduction and security research mechanism were little， so a detailed study of BGP route leak was carried out. The BGP protocol， route policy and established rules were introduced， six types of major route leak security incidents were analysised， the current security mechanisms and methods were summarized and compared to solve and detect route leak. In the last， a new prospect for the security and protection mechanism of route leak was proposed.

BGP， route policy， route leak， route security

The National Natural Science Foundation of China （No.61303242）

TP393.08

A

10.11959/j.issn.2096-109x.2016.00074

2016-04-27；

2016-06-06。通信作者：賈佳，jiajia@cnnic.cn

國家自然科學基金資助項目（No.61303242）