E安全1月9日讯 边界网关协议（BGP）是运行于 TCP 上的一种自治系统的路由协议，是互联网运作的基础，但由于设计时间（1989年BGP诞生）过于久远，难免存在安全隐患。

系统管理员有时错误配置了BGP协议，导致流量被劫持插入广告，在某些情况下，实施恶意路由，劫持正常用户流量，从而影响用户体验。

为此，来自欧洲和美国的一组研究人员创建了一个框架——“自动及实时检测与缓解系统（ARTEMIS）”，供服务提供商在几分钟内解决BGP劫持问题。研究人员表示，ARTEMIS使提供实时流的公共BGP监控服务成为可能。

ARTEMIS系统怎样监控BGP

使用诸如RouteViews Project和RIPE路由信息服务（RIS）等基础设施，ARTEMIS允许运营商在自己的基础设施中缓解BGP劫持，而无需依靠第三方服务。研究人员认为，这就意味着使用BGP监控流量的网络运营商可响应BGP劫持，无需等待手动验证警报。

网络运营商可用自治系统（Autonomous System，AS）的信息配置ARTEMIS，观察影响AS-PATH事件的外部Feed，这意味着该系统能检测任何一类劫持事件，并生成警报。

ARTEMIS生成的警报包括各类输出，例如受影响的前缀、劫持企图类型、观察到的影响、涉及的AS号以及检测可信度。

当BGP劫持事件发生时，尽管ARTEMIS不会让网络运营商与其它运营商失去联系，但会将受影响的前缀作为响应进行拆分，这属于该系统自动生成的步骤。当检测到劫持10.0.0.0/23前缀，网络会执行前缀拆分，并宣告两个其它的子前缀：10.0.0.0/24和10.0.1.0/24。这些子前缀将在互联网中拆分，BGP会优先考虑更具体的前缀，受污染的AS将重建合法路由。

BGP MOAS宣告是ARTEMIS缓解策略的另一个组成部分，在该模型中，缓解攻击的企业使用BGP/MOAS或DNS将流量重定向到所在位置和清理中心，删除恶意流量，并将合法流量转发给受害者。

如果检测到BGP劫持，ARTEMIS系统会向负责缓解的企业发送警报，宣告位置或前缀遭遇劫持的路由器，这就意味着这家企业吸引了来自互联网的流量，因此可以将这些流量传回合法网络。

研究人员表示，实验中，他们可以在短短五秒内检测BGP劫持，并且绝大多数AS在60秒内从劫持中得以恢复。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/858227628.shtml

▼点击“阅读原文” 查看更多精彩内容