BGP基础: 理解和增强网络安全

BGP安全:理解风险与增强策略
于 2023-09-17 03:54:03 发布
阅读量234 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: web安全 网络 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YtyVerilog/article/details/132934665
本文探讨了BGP的基本原理,指出其在网络安全方面的隐患,包括路径欺骗、路由信息泄露和伪造AS号等问题,并提出了BGP MD5认证、路由更新过滤、路由验证及BGP TTL安全等增强措施来保障网络的安全。

在当今互联网的架构中,边界网关协议(BGP)是一种重要的路由协议,用于在自治系统(AS)之间交换网络前缀信息。然而,由于BGP的开放性和复杂性,它也引发了一系列的网络安全问题。本文将介绍BGP的基础知识,并探讨如何通过一些常见的安全增强措施来保护BGP网络。

BGP简介:
BGP是一种路径矢量协议,它通过交换网络前缀信息来确定最佳路径,并使不同自治系统之间的路由互联。每个自治系统(AS)都有一个BGP路由器,负责与其他AS的BGP路由器进行邻居关系的建立和路由信息的交换。BGP使用AS路径属性来确定最佳路径,并遵循一定的路由选择策略。

BGP安全问题:
由于BGP的开放性和基于信任的设计,它面临着多种安全威胁和攻击可能性。以下是一些常见的BGP安全问题:

  1. 路径欺骗:攻击者可以伪造BGP路由更新,欺骗其他AS将流量发送到错误的目的地。这可能导致流量劫持、拒绝服务(DoS)攻击或中间人攻击。

  2. 路由信息泄露:BGP路由器通常会将路由信息广播到所有邻居,这可能导致敏感信息泄露给未经授权的AS。攻击者可以利用这些信息进行网络侦察或发动其他形式的攻击。

  3. 伪造AS号:攻击者可以伪造AS号,欺骗其他AS相信他们拥有更短的路径,从而获得流量。

  4. 路由抑制:恶意的AS可以发布虚假的路由信息,导致网络中断或流量被重定向到不正确的路径。

BGP安全增强措施:
为了保护BGP网络免受上述威胁,可以采取一些安全增强措施。以下是一些常见的措施:

  1. 使用BGP MD5认证:BGP MD5认证是一种基于共享密钥的认证机制,用于验证B
了解本专栏 订阅专栏 解锁全文
2022-07-29 网工进阶(二十二)BGP-其他特性(路由过滤、团体属性、认证、AS欺骗、对等体组、子路由器、路由最大接收数量)
x629242的博客
07-30 2055
1、使用filter-policy工具过滤。2、针对对等体使用ip-prefix过滤。这2种方法都有对2种方向的过滤,export(出方向)、import(入方向)。
边界网关协议(BGP):互联网路由的理论基石
最新发布
weixin_70208651的博客
09-02 964
BGP作为互联网核心路由协议,其理论根基深厚且多学科交叉。从图论视角,它将全球网络抽象为自治系统的拓扑图,通过路径矢量机制传递路由信息,利用半群理论证明无环路性。博弈论模型揭示了AS间策略路由的纳什均衡,而控制理论的反馈调节机制保障了稳定性。信息论优化了增量更新效率,多目标线性规划量化路由决策。前沿方向中,强化学习提升智能路由效率,量子网络探索纠缠资源分配,区块链重构分布式路由信任模型。BGP的演进始终围绕理论驱动创新,在稳定性、灵活性与安全性间寻求平衡,为未来互联网提供可扩展的路由范式。
BGP安全之争
weixin_33919941的博客
03-17 559
版权申明:此文转载自appleleaf 路由是IETF镇宅之宝,BGP又是其中的定海神针,其安全的重要性自然不在话下。IETF为此专门成立了一个工作组 – RPSEC(Routing Protocol Security Requirements) 关注于路由协议的安全威胁的分析以及安全需求文档的制定。但是折腾了几年在08年concluded了。仅仅搞出来了一篇RFC-...
通过BGP路径欺骗来影响BGP的路由选择
weixin_33759269的博客
11-13 600
今天我们来关注下面红色部分的第4条,继续关注BGP的路径选择,根据BGP路由选择决策过程 对于特定的目的地,BGP只选择一条最佳路径。但如果到达目标有多条路径,则将会依据以下这些策略进行路径选择: 1、选权重最高的路由(属cisco私有属性,只在当前本地路由器有效) 2、选择本地优先级最高的路由(注:只用于本地AS内部) 3、选择当前路由器的...
路径欺骗影响BGP的路由选择 配置与详解
qq_43210022的博客
06-16 420
实验目的:1、掌握如何配置路径欺骗影响BGP的路由选择。2、理解BGP的路径欺骗是MED的替代解决方法。实验拓扑:接口IP配置、路由协议基本配置详见:优快云https://mp.youkuaiyun.com/mp_blog/creation/editor/125206691 查看R1的路由表: 在之前实验中,可以通过MEDLocal Preference属性才影响R1选择路由。其实还可以通过AS-PATH来影响路由选择。其参照的是BGP的选路规则:优先选择AS-PATH最短的路径。为了验证AS-PATH对路
BGP总结
weixin_44599437的博客
02-16 802
BGP是一种高级的距离矢量型路由协议,主要靠属性做选路,tcp端口为179。更新方式为增量更新,如果路由不发生变动就永远不会传递。BGPAS范围是1-65535,其中公有1-64511,私有54512-65534。IGP的路由协议侧重点主要是路由的自动发现计算,而BGP是在于路由的控制选择上。 所有的路由协议都有状态机,BGP的状态机如下: Idle state Connect...
BGP入门:理解基本概念工作原理
BGP通过向相邻的路由器宣告自己所拥有的路由信息,并且接收来自相邻路由器的路由信息,从而实现互联网中不同自治系统之间的路由选择传输。 ## 1.2 BGP的重要性 BGP作为互联网中最重要的路由协议之一,承担着连接...
探索BGP协议:网络基石与安全挑战
通过模拟不同场景,如多宿主网络、互联网交换点网络安全问题,参与者可以掌握BGP的实际应用故障排查技巧。实验涵盖了BGP会话建立、路由信息交换、策略优化安全防护等方面,并提供了使用网络模拟器或实际设备...
BGP协议:深入理解WAN接入网络中的边界网关协议
- 单播多播:BGP协议支持多种数据传输方式,包括单播多播,使得数据的传输更加灵活高效。 - 强大的策略控制:BGP协议具有灵活的路由选择策略,可以根据需求进行精确的控制,实现高效的路由选择管理。 - 提供...
BGP 安全问题:伪AS连接隐藏真实AS
bin_kong的博客
10-26 4717
均其他常规配置,AS2隐藏变为65000 R1# E1/0  AS2  -------  AS3 e1/2 R2 e1/7--------R3e1/7  R1 router bgp 2  bgp router-id 1.1.1.1  bgp log-neighbor-changes  neighbor 2.2.2.2 remote-as 3  neighbor 2.2.2.2 local-as...
AS-PATH(路径属性)路由路径欺骗
weixin_30782293的博客
04-12 679
AS-PATH(路径属性)路由路径欺骗术: ①:抓取感兴趣流量——前缀与访问 ②:创建路由地图 ③:路由地图第一法则——permit 10 ④:在第一法则中,匹配(感兴趣流量) ⑤:设置 路径欺骗术——AS追加(距离增大)——AS不存在 ⑥:进入—路由第二法则——permit 20 ⑦:进入 BGP 进程 启用骗术 ⑧:通过邻居启用骗术——router map AS-PATH ou...
关于BGP安全那些事儿
Tencent_SRC的博客
10-19 4166
文|宙斯盾DDoS防护团队Rocky导语美国时间10月4日中午,Facebook公司网络出现重大故障,故障持续了6个小时后才恢复。官方给出的故障原因,简单来说是一次误操作引发了连锁反应。(...
BGP路径次序原则及ARP欺骗
weixin_33753003的博客
12-02 535
i 如果下一跳不可达,不考虑下一跳。 ii 优先选取有最大权重的路径。WEIGHT iii如果多余路由有同样的权重,优先选取具有最高本地优先级的路由。LOCALPREF iv如果有多条路由有相同的本地优先级,优先选取源自于本路由器上的BGP路由。 v 如果没有路由是源,优先选取具有最短AS路径的路由。 vi如果所有路径具有同样的AS长度,优先选取有最低源编码(IGP...
BGP 路由策略-路由汇总基础及其应用
m0_63825213的博客
01-17 2289
说明:该笔记作用于 BGP 的路由策略中的路由汇总讲解于应用,其携带命令参考 参考视频:红茶三杯 前置 路由策略知识点总共包含如下: BGP 路由汇总 正则表达式 通过 community 操控路由 Prefix-list 前缀列表 distribute-list 分发列表 Route-map 条件通告 ORF 以上加粗为新知识 BGP 自动汇总 我们在 RIP EIGRP 中会观察到,二者都.
关于BGP协议的一些认识(1)
加速却甩不掉伤悲的博客
07-05 2248
1.BGP为了保证可靠性使用TCP作为其承载协议,使用TCP 179端口,可跨越多跳路由器建立邻居关系。 2.由于使用单播建立连接使BGP只能手动制定邻居。 3.AS:09年1月之前:公有1-64511,私有64512-65534 09年1月之后:4字节表示AS,65536-4294967295。 4.BGP分为两种:EBGP用于建立不同AS中的路由器之间的邻居关系,IBGP用于建立同一AS中路由器之间的邻居关系。 5.BGP路由生成方式有两种:一Network,逐条引入,将IP路由表中的已经存在的
Google DNS劫持背后的技术分析
realmeh的专栏
03-18 1628
0x00 背景 最近世界真是越来越不太平了,尤其是对于大部分普通人而言。昨天又传来噩耗,根据网络监测公司BGPMon,Google的公开DNS服务器 IP 8.8.8.8被劫持到了委内瑞拉巴西超过22分钟。 Google DNS 服务器平均每天处理超过1500亿个查询,在被劫持的22分钟里起码几百万个查询包括金融系统,政府个大商业网站的DNS查询流量都被劫持走了。
BGP劫持的原理及防御详解
weixin_45967826的博客
06-24 4426
什么是BGP劫持? bgp劫持是指攻击者恶意改变互联网流量的路由。攻击者通过错误地宣布他们实际上并不拥有、控制或路由的IP地址组(称为IP前缀)的所有权来实现这一点。 bgp劫持很像是有人在高速公路上改变所有的标志,将汽车指向错误的出口。 整个互联网是由很多的网络组成,这些网络被称为是“自治系统(AS)”,因为边界网关协议(BGP)是建立在假设互联网络真正告诉他们拥有哪些IP地址的基础上的,所以BGP劫持几乎是不可能停止的 - 想象一下,如果没有人在看高速公路标志,那么判断这些标志是否被恶意更改的唯一方法
详解BGP-4
wei.zhou的专栏
05-01 7056
本文转自http://cunshen.cnblogs.com/archive/2006/02/11/149553.html,作者:cunshen ,转载至此仅为方便学习参考。 BGP    为什么使用BGP             BGP是可靠的,基于TCP(Port Numer 179)进行建立维护连接,并且具有并使用TCP的滑动窗口的机制来更新路由表,可以支持一次性的大量路由条目
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值