qq_41914036的博客

RFC8211（2017年发布）从INR持有者视角分析了RPKI系统中6类不利行为（删除、抑制、破坏、修改、撤销、注入）对6种核心对象（CA证书、清单、CRL、ROA等）的影响。研究显示，外包CA与仓库的部署场景风险最高，可能引发路由劫持等安全问题。文档为RPKI安全机制设计提供了威胁模型参考，指出不利行为会导致路由验证错误或安全机制失效，但强调RPKI仍优于传统IRR技术。关键发现包括：CA证书影响范围最广，竞争ROA可能导致未授权路由，外包场景需加强安全审计和冗余设计。

RFC 6811定义了BGP前缀起源验证机制，基于RPKI体系的ROA数据转换为VRP(验证ROA负载)，通过判断路由前缀是否被VRP覆盖及AS号匹配，将路由划分为Valid、Invalid、NotFound三种状态。该标准仅验证路由起源合法性(不涉及路径验证)，支持四字节AS号，验证结果可用于路由策略过滤或优先级调整。核心局限包括依赖数据库安全性、无法防御中间人攻击等。文档详细说明了验证流程、状态定义、策略应用及安全考量，为防范BGP前缀误宣告提供了标准化解决方案。

摘要：本文重新评估了RPKI（资源公钥基础设施）验证机制，指出当前"资源完全包含"的层级验证模型存在严重脆弱性——上级证书资源不一致会导致下级所有证书失效，可能引发大规模路由故障。研究提出资源可分离验证方案，将证书资源视为独立单元进行验证，而非证书整体，同时探讨允许不同资源通过不同验证路径生效的扩展思路。该方案在保留RPKI核心框架前提下，将资源不一致的影响范围限定在单个资源，显著提升了系统鲁棒性，降低了运营风险，为RPKI部署提供了更优的验证机制。

RFC6480定义了支持安全互联网路由的基础设施RPKI，包含三大核心组件：1）资源PKI体系，通过X.509证书绑定IP/AS号权属；2）路由源授权（ROA）机制，由地址持有者授权AS号发起特定前缀路由；3）分布式存储库系统，通过清单（Manifest）校验对象完整性。该架构采用分层设计匹配IP分配体系，支持BGP路由起源验证，同时复用现有标准（如CMS签名）降低部署成本。关键特性包括：EE证书单次使用、强制rsync协议同步、多宿主场景灵活授权，并为IPv4/IPv6提供统一安全框架。

本文提出Argus系统，通过控制平面与数据平面深度关联实现前缀劫持精准检测。系统监控三类路由异常（起源、邻接、策略），结合分布式探测点的可达性测试，计算指纹相关性系数进行判定。经1年互联网实测验证，从4万条异常中识别220起劫持事件，误报率仅0.2%，检测延迟数秒。研究揭示了劫持事件的关键特征：20%持续时间<10分钟、部分2分钟内污染90%互联网，91%针对最具体前缀。该系统无需修改现有基础设施即可部署，具有低误报、实时检测等优势，已提供公共在线服务。

本文提出一种基于多代理的域间诊断系统，用于检测和恢复前缀劫持。系统通过跨AS ping测试（基于向量相似度）和AS_PATH变更验证（结合邻居关系与IRR数据）两种方法提升检测准确性。恢复方案包括劫持回夺（利用BGP路径优选规则）和前缀隔离（使用NO_EXPORT标签）。实验表明，ping测试能有效区分劫持与合法MOAS行为，AS_PATH验证检测到17次告警（含1起确认劫持），两种恢复方案均可快速缓解劫持影响。该系统无需修改BGP协议，兼顾检测准确性和恢复时效性。

本文提出iSPY系统，一种基于前缀所有者视角的IP前缀劫持实时检测方案。系统创新性地利用劫持事件会导致拓扑分散的AS污染并产生独特不可达签名（多切割点）的特性，通过轻量级主动探测（仅针对3742个中转AS）获取AS级路径，对比路径切割点数量区分劫持与正常路由故障。实验表明，该系统在25天互联网部署（88个AS、108个前缀）和15次可控劫持测试中，误报率仅0.17%、漏报率0.45%，检测延迟1.4-3.1分钟，满足实时性、准确性等六大核心需求，且无需修改现有协议即可部署。

摘要：该研究提出一种实时检测IP前缀劫持的混合方案，结合控制平面异常检测与数据平面指纹验证。通过分析MOAS/subMOAS冲突及AS路径约束识别可疑路由更新，并利用OS指纹、IPID等特征进行主动探测验证。创新性地采用反射扫描技术解决子网劫持探测难题。实验表明，该系统能在4分钟内完成检测，将MOAS冲突误报率从100%降至8.9%，有效覆盖5类劫持中的4类。部署无需修改现有协议，实测2周处理3685个冲突案例，最终筛选出332个高置信度劫持事件，验证了方案的实用性与准确性。主要局限是无法检测未触发路由更新

本文提出一种增量部署的BGP前缀劫持防御方案，包含反应式防御（虚假路由清除+有效路由提升）和主动式防御（客户路由过滤）。实验表明：20个高连通度AS参与反应式防御可使网络污染率从50%降至15%；客户路由过滤单独部署效果有限（80个AS仅降至9%），但与反应式防御组合可显著提升防护效果。研究还发现0.2%的AS对可能规避检测系统，但整体风险可控。该方案通过少量AS参与即可实现显著防御效果，兼具实用性与部署可行性。

核心问题：BGP 协议缺乏路由认证机制，攻击者可注入虚假路由（前缀劫持、路径欺骗），用于流量劫持、垃圾邮件、钓鱼等恶意行为；现有防护依赖临时路由过滤或未广泛部署的安全扩展（如 S-BGP），实时检测工具存在检测范围窄、误报率高等问题。研究创新：提出基于 “路由信息对象稳定性” 的检测思路，无需依赖不完整的 WHOIS 数据库或复杂的 AS 关系推断，可覆盖各类虚假路由，兼顾检测精度与部署可行性。核心贡献系统支持检测所有类型虚假路由，包括 4 类前缀劫持和 2 类路径欺骗。

研究聚焦互联网前缀劫持与拦截问题，提出拦截方法论并基于Route-Views数据量化其影响。研究发现：一级AS可劫持/拦截52%-79%流量，三级以上AS能力显著降低（劫持13%-31%，拦截7%-17%）。实验验证拦截实施与劫持同样简单，仅需修改BGP策略。检测方面，结合控制与数据平面信息的方法因合法路由配置干扰无法明确识别拦截行为。研究揭示了前缀拦截的普遍威胁与检测挑战，为路由安全提供了重要参考。

摘要：前缀劫持是利用BGP协议漏洞的网络攻击，攻击者通过宣布非自有IP地址块获取不可追踪IP。研究显示，2005年6月存在约90起恶意劫持事件，而配置错误导致的无效路由宣布高达4000余起。恶意劫持多针对子块且持续时间短，而配置错误对BGP层的威胁更大。研究表明，优化路由器配置管理比防范恶意攻击更为紧迫，配置错误是当前互联网路由异常的主因。

摘要：本研究探讨BGP劫持攻击中难以检测的"影子区域"问题。分析表明，52%的AS响应traceroute，但73%的IXP对等互联AS及其客户缺乏BGP监控。研究提出新型下游攻击模型，利用IXP特性精准控制路由传播，发现1,328个AS既无监控也不响应探测，构成潜在攻击面。研究揭示了现有检测系统盲区，并指出IXP路由服务器导致的BGP路径隐藏问题可能影响评估准确性。研究为提升BGP安全性提供了新的检测盲区特征描述和量化分析。

摘要：BGP域间路由异常主要包括路由劫持和路由泄漏，虽持续时间短但影响范围广。现有研究利用机器学习方法（监督、半监督和无监督学习）进行异常检测，但面临小规模事件识别困难、异常特征差异等挑战。机器学习在网络安全领域展现优势，可应用于预测性维护和DDoS攻击检测，但不同类型异常需差异化处理。降维技术如主成分分析等被用于解决高维数据处理难题，当前研究重点在于优化有限数据集的处理方法。（149字）

摘要：BGP异常检测技术主要基于开放获取的路由数据，如RIPE NCC的RIS项目和RouteViews项目收集的BGP更新消息。通过预处理这些数据，可提取路径特征（如AS路径长度）和体积特征（如消息数量）用于检测异常。特征分为二元、连续和分类三类，分析消息序列比单条消息更能有效识别异常。典型方法包括利用工具将二进制数据转换为可读格式进行分析。（149字）

BGP协议是互联网路由的核心协议，用于自治系统(AS)间交换网络可达性信息。它基于TCP协议运行，通过OPEN、KEEPALIVE、UPDATE和NOTIFICATION四种消息类型建立并维护对等体连接。BGP支持CIDR和VLSM技术，能有效处理大规模网络路由。协议异常可分为四类：直接蓄意型(如BGP劫持)、直接非故意型(配置错误)、间接型(网络攻击影响)以及网络组件故障。这些异常可能引发路由中断、流量劫持等问题，需要持续监测和防护机制来保障互联网稳定运行。