FRA是一种高效安全的域间路由防御机制,它建立在RPKI基础上并结合ROA技术,利用CSA及SPP算法,提供与BGPSec相同级别的安全性。FRA通过关键路径段证书验证AS路径,有效抵御路径伪造攻击,尤其在一跳和两跳距离内表现出色。
FRA实现了一种高效安全快速的防御劫持域间路由机制,并实现了和BGPSec相同等级的安全性。首先,FRA建立在RPKI的安全基石之上,融合了ROA的前缀鉴定技术,并利用关键路径段证书算法CSA和受抑制路径填充算法SPP,实现了对AS路径的高效防护。其次,对于路径鉴定,FRA 首先通过图1中对AS 路径中每个相邻AS三元组进行签名,实现对可用路径的鉴定,攻击者通过拼接可信关键路径段可以构造出未被其它AS 宣告过但能通过CSA 验证的AS 路径,同时通过对非最优路径进行保护,避免了伪造路径攻击。最后,FRA实现了和BGPSec至少同等的防护级别,满足前缀劫持防护模型AHIDR对前缀劫持防御的定义。根据实验测量发现,FRA的签名和验证开销相比BGPSec降低了两个数量级。即使在大量突发BGP更新的情况下,FRA的签名和验证通常也能实时完成,几乎不会延误路由信息的传播。
图1 FRA中的关键路径段证书
FRA利用了AS号与IP前缀的对应关系,能够有效过滤伪造前缀,并且无需部署RPKI,避免了信息注册错误。同时,路由可信机制利用了关键路径段与前缀无关的特征,有效抑制伪造路径攻击,提高了域间路由的安全性。
如图2和图3所示,在面对一跳距离内的路径伪造,Path-End和FRA均能在部分部署时发挥较好的作用,而RPKI不行;而在面对两跳距离的路径伪造,只有FRA能够起到保护,并且在较低的部署率时也能有较明显的效果,RPKI和Path-End均不行。因此FRA能检测包含异常源、异常链路和异常路由策略的攻击。两跳路径伪造攻击就是一个异常路由策略的攻击,攻击这里用了Internet中的两跳Valley路径。在互联网中,Valley路径非常多。我们从CAIDA上获取了其推测的2016年11月1日的互联网拓扑关系,检测全网出现的两跳的Valley路径,发现总数目可高达16604497对。也就是说,对某一个攻击者而言,它平均能成功地对2602个非stub自治系统发起该类攻击。由于互联网上有大量的非Tier-1的Peer邻接关系难以探测,导致存在大量隐藏的Valley路径。因此这类攻击的实际威胁对象还会更大。
通过比较我们还可以发现,FRA与IETF正在标准化中的BGPSec机制相比,50%部署率下抵御一跳伪造路径攻击能力可提高4倍,而与发表于SIGCOMM 2016的Path-end机制相比,可防范更多类型的伪造路径攻击,50%部署率下抵御两跳伪造路径攻击能力可提高8倍,因此FRA具有高度的可信性。
x轴为部署比例,y轴为被攻击比例
扫一扫
1645
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
