CN116055120B 域间源地址异常检验方法、装置、存储介质及网络设备 （清华大学）

为当前自治域内的边界路由器推断初始的源地中的每条表项至少包含允许通过的源地址前缀间进行源地址验证以降低全球互联网假冒IP源2根据全局BGP路由表为当前自治域内的边界路由器推断初始的源地址前缀及对应的入基于所述映射表中信息进行探测，检验所述映射表中的起源自治域、在当前自治域与第二自治域非直接物理邻接但逻辑邻接的情况下址前缀和该目的地址前缀的路由路径的AS_path属性中当前自治域的前一跳自治域，通过址前缀对应的入接口替换该已存在的地址前缀对应的入接口，并将可信度设置为预设值；基于所述映射表中信息进行探测，检验所述映射表中的起源自治域、生成并发出探测数据包，所述探测数据包的源地址是基若在设定时间周期内通过指定入接口采集到返回的探测响应若在设定时间周期内通过指定入接口未采集到返回的探测响应2.根据权利要求1所述的域间源地址异常检验方法，采集当前自治域内的任一边界路由器学习到的全局BGP路由表信息，获得每个目的地3址前缀以及最初宣告该目的地址前缀的起源针对所述任一边界路由器，分别针对面向用户自治域的入接口将计算的各源地址前缀集合中的源地址前缀与对应的边界路由根据当前自治域内所有边界路由器的初始的全局域间源地址检验表，分别计算面向用户自治域的入接口、面向对根据全局BGP路由表中的路由，计算全局BGP路由表中所有起源自治获取当前自治域内任一边界路由器采集的周期时间窗口内任与第一自治域邻接的第二自治域将经过第一自治域的路由选择信息通知给所述第一所述第一自治域根据获取的信息更新其全局域间其中，所述第一自治域和所述第二自治域均为部署了权利要求1若所述第二自治域基于BGP路由表获取到目的地址前缀的下一跳是所述第一自治域，则所述第一自治域与所述第二自治域的控制器之间建立TCP连接会话，所述第二自治域将源自治域的第二自治域、目的地址前缀和第二自治域的BGP路由表中该目的地址前缀的下4所述第一自治域的控制器收到所述路由选择信息后，通过查询本地该基于该入接口和该入接口允许通过的前缀集合更新全局域间源地址检验表对应的表之间间隔至少一个未部署权利要求1～6中任一项所述的域间源地址异常检验方法的自治所述与第一自治域邻接的第二自治域将经过第一自治域的路由选择信息通知给所述所述第二自治域通过查询BGP路由表，得到AS_path属性中包含所述第一自治域与所述第二自治域的控制器之间建立TCP连接会话，所述第二自治域将与所述第一自治域及该目的地址前缀集合中地址前缀相关的路由选择信息通知给所述的地址前缀的路由路径的AS_path属性中所述第一自治域的前一所述第一自治域的控制器收到所述路由选择信息后，通过查询本地基于该入接口和该入接口允许通过的地址前缀集合更新全局域间源地址检验表对应自治域的控制器将允许经过所述第一自治域的起源自治域和目的地址前缀的信息传播到初始化模块，用于根据全局BGP路由表为当前自治域内的边界路由器推断初始的源地5地址检验表中的每条表项至少包含允许通过的源地址前缀和该前缀映射计算模块，用于根据入流量信息计算起源自治域、目的地址探测更新模块，用于基于所述映射表中信息进行探测，检验所述映射探测数据包的目的地址是基于对应表项中起源自治域宣告的任一地址前缀随机选择的地所述探测更新模块还用于：在当前自治域与第二自治域非直接物理自治域的第二自治域、目的地址前缀和该目的地址前缀的路由路径的AS_path属性中当前对应的入接口，并将第二自治域的地址前缀添加到该入接口允许通过的地址前缀集合中，基于该入接口和该入接口允许通过的地址前缀集合更新全局域间源地址检验表对应的表6[0004]由于并不是所有的自治域网络内都部署SAV并对发出的数据包进行源地址检验和[0007]根据全局BGP路由表为当前自治域内的边界路由器推断初始的源地址前缀及对应ID和可信度，所述根据全局BGP路由表为当前自治域内的边界路由器推断初始的源地址前7[0011]采集当前自治域内的任一边界路由器学习到的全局BGP路由表信息，获得每个目[0013]将计算的各源地址前缀集合中的源地址前缀与对应的边界路由器ID及入接口信者自治域的入接口从相应类型自治域学习到的BGP路由的AS_path属性中所包含自治域的[0019]获取当前自治域内任一边界路由器采集的周期时间窗口内任一接口的入流量信[0020]根据所述入流量信息和所述全局BGP路由表，统计入流量的源地址所匹配的地址[0026]与第一自治域邻接的第二自治域将经过第一自治域的路由选择信息通知给所述8[0030]在一些实现方式中，在所述第一自治域与所述第二自治域直接物理邻接的情况[0031]若所述第二自治域基于BGP路由表获取到目的地址前缀的下一跳是所述第一自治起源自治域的第二自治域、目的地址前缀和第二自治域的BGP路由表中该目的地址前缀的[0033]基于该入接口和该入接口允许通过的前缀集合更新全局域间源地址检验表对应[0035]所述与第一自治域邻接的第二自治域将经过第一自治域的路由选择信息通知给[0037]所述第一自治域与所述第二自治域的控制器之间建立TCP连接会话，所述第二自治域将与所述第一自治域及该目的地址前缀集合中地址前缀相关的路由选择信息通知给该目的地址前缀的路径AS_path属性中所述第一自治域的前一跳9[0039]基于该入接口和该入接口允许通过的地址前缀集合更新全局域间源地址检验表一自治域的起源自治域和目的地址前缀的信息传播到下一个与其邻接[0042]初始化模块，用于根据全局BGP路由表为当前自治域内的边界路由器推断初始的间源地址检验表中的每条表项至少包含允许通过的源地址前缀BGP路由表为当前自治域内的边界路由器推断初始的源地址前缀及对应的入接口，得到当此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因[0057]在相关技术中，由于并不是所有的自治域网络内都部署SAV(SourceAddressValidation，源地址验证)并对发出的数据包进行源地址检验和过滤，因此在自治域AS(AutonomousSystem)间进行源地址验证有利于降低全球互联网假冒IP源地址的DDoS攻击[0061]本实施例提供一种域间源地址异常检验方法，应用于当[0062]步骤S101、根据全局BGP路由表为当前自治域内的边界路由器推断初始的源地址验表中的每条表项至少包含允许通过的源地址前缀和该前缀获得每个目的地址前缀以及最初宣告该目的地址前缀的起源自治域OriginAS。根据全局口和面向提供者自治域的入接口从相应类型自治域学习到的BGP路由的AS_path属性中所即边界路由器r的入接口f对应的Adj_RIB_In路由表)的AS_path属性中包含的所有AS的集合Af中的所有OriginAS的源地址前缀的集合P_customer。集合P_customer中包含的地址前缀是入接口f收到的跨自治域流量的可能口g对应的Adj_RIB_In路由表)的AS_path属性中包含的所有AS的集合，记作Ag。根据全局BGP路由表中的路由(也即RIB路由表)，计算全局BGP路由表中属于集合Ag中的所有OriginAS的源地址前缀的集合P_peer。集合P_peer中包含的地址前缀是入接口g收到的跨自治域[0079](3)对于边界路由器r面向providerAS(提供者)的接口按照前述类似的方法计算[0080]步骤S101c、将计算的各源地址前缀集合中的源地址前缀与对应的边界路由器ID[0084]初始的全局域间源地址检验表F的粒度相对较粗，包含了可能的允许进入该入接BGP路由信息和数据层面的探测信息，生成和优化了全局域间源地址检验表的表项及其可[0087]步骤S102a、获取当前自治域内任一边界路由器采集的周期时间窗口内任一接口[0089]假如入流量中发现从ASs到映射表中目的地址前缀p的探测数据包，则说明入流量应允许通过对应的入接口。探测数据包的源地址是映射表中的目的地址前缀p随机选择[0090]以边界路由器r来说，其可以使用NetFlow(网络监测功能)采集周期时间窗口T内局BGP路由表，可以统计出入流量的源地址所匹配的地址前缀、源地址所属的起源AS项中的目的地址前缀p随机选择的地址，探测数据包的目的地址是对应表项中起源自治域据包的源地址是该表项t中目的地址前缀p随机选择的地址，目的地址是该表项t中的起源全局域间源地址检验表中已存在含该探测数据包的源地址对应的自治域所宣告的所有地[0096]以ASv根据前述映射表进行探测，以进一步校验起源AS到某个目的地址前缀p的可能的边界路由器通过NetFlow采集可能返回的探测响应数据包(例如ICMPechoreply或的源地址对应的AS所有的前缀和探测的入接口f的信息添加到F中。如果F中含有相同的表储的入接口，且源地址前缀与表项中存储的源地[0104]本实施例的域间源地址异常检验方法，结合了控制层面BGP路由信息和数据层面前缀集合可能会出现假冒源地址也被允许通过的情况。以P_customer集合来说，使用P_customer集合来过滤入接口f收到的流量的源地址，可能会出现假冒源地址也被允许通过见的非对称路由情况。分析发现，从入接口f流出的从源地址s到达某个目的地址d的数据[0114]若第二自治域基于BGP路由表获取到目的地址前缀的下一跳是第一自治域，则第一自治域与第二自治域的控制器之间建立TCP连接会话，第二自治域将经过第一自治域的地址前缀和第二自治域的BGP路由表中该目的地址前缀的下[0116]基于该入接口和该入接口允许通过的前缀集合更新全局域间源地址检验表对应[0117]仍以ASa和ASb为例进行说明，ASb部署的控制器在其本地的BGP路由表中查询发现到某些目的地址前缀p的下一跳是ASa，则ASb和ASa的控制器之间建立TCP连接会[0118](2)在第一自治域与第二自治域非直接物理邻接但逻辑邻接的情况下，第一自治域与第二自治域之间间隔至少一个未部署前述实施例的域间源地址异常检验方法的自治[0120]第一自治域与第二自治域的控制器之间建立TCP连接会话，第二自治域将与第一的AS_path属性中第一自治域的前一[0122]基于该入接口和该入接口允许通过的地址前缀集合更新全局域间源地址检验表path属性包含ASa的路由的目的地址前缀集合P。但是由于ASb和ASa并不存在物理直接前缀相关的路由选择信息(全局路由表(最施例一所提供的方法，基于单个AS生成并优化全局域间源地址验证表。通过BGP路由表信由宣告(然而在AS4的全局路由表里这仅表示AS4可以通[0136]AS4收到AS1和AS2的路由选择信息，可以知道AS1和AS2到某个目的前缀的路由是AS2的路由选择信息之后，会将本地的路由选择信息以及收到的邻居AS的路由选择信息利路由表可以发现如下信息：AS4的本地BGP路由表中也存在前缀p2(也可能AS4本地BGP路由AS的边界路由器建立BGP监控会话，采集边界路由器上的由器上的NetFlow信息，可以通过ping工具进行前述实施例一中单个AS部署本发明方法时[0138]物理直接邻接或者逻辑邻接的AS之间协作时，两个邻接AS的控制器之间建立TCP源地址检验表中的每条表项至少包含允许通过的源地址前缀[0152]在一些实现方式中，上述根据全局BGP路由表为当前自治域内的边界路由器推断息可以确定哪些AS宣告了哪些前缀，全局BGP路由表存储有最优路由选择的RIB(路由信息[0155]将计算的各源地址前缀集合中的源地址前缀与对应的边界路由器ID及入接口信者自治域的入接口从相应类型自治域学习到的BGP路由的AS_path属性中所包含自治域的[0160]获取当前自治域内任一边界路由器采集的周期时间窗口内任一接口的入流量信[0162]生成并发出探测数据包，探