BGP的安全风险分析及对策

（2）通过TCP增强认证[4]来增强BGP的安全性，相对于TCP MD5机制，TCP增强认证提供了多个摘要算法，对密钥分配和密钥更新机制也做了改进。但这种机制目前在实际应用中还未普及。
　　（3）采用BTSH（BGP TTL Security Hack）机制[5]，通过设置为IP头部的TTL预设一个值，使得只有当后者离发送者是精确的一跳步的时候，才允许那些BGP包到达接收路由器。这种方法在邻接路由器之间可以一定程度上防范黑客攻击S-BGP（Secure BGP）[6]，是一套完整的BGP安全解决方案，采用PKI为发布的路由前缀和路径信息进行授权，有效避免了发布虚假路由的问题；另外对UPDATE消息进行扩展，引入新的属性对UPDATE进行授权，防止被篡改。S-BGP还应用IPsec实现了BGP端到端的安全，由于S-BGP过于复杂，且需要部署PKI，目前不具备广泛部署的条件。
　　（4）SoBGP（Secure Origin BGP）[7]是由思科公司提出的，其主要思想是建立一个集中式的层级模型来认证IP前缀所有权。SoBGP同时建立一个关于全球AS的拓扑图，SoBGP采取的方法是建立一个关于全球AS的拓扑图，对AS-PATH中的路径与该拓扑图进行比较来看是否有效。
　　（5）PsBGP（Pretty Secure BGP）[8]对路由前缀信任模型没有采用层次化的结构，而是采用类似信任网络的方式，即：“你的邻居都信任你，那我也信任你”。AS-PATH的信任模型与S-BGP类似。
　　（6）域间路由发布监测与验证机制，主要思想不同于S-BGP和soBGP的授权认证，而是假定所有路由前缀和路径信息都是真实可信，而对这些信息进行检查和验证，及时发现虚假路由向网管人员发布告警。采用这种思想的有：基于MOAS的BGP冲突检测[9]、域间路由验证[10]（Inter-domain Routing Validation, IRV）、Light-Weight[11]方法、iSPY系统[12]等等。
　　（7）TCP MD5签名和TCP增强认证可以有效改善BGP连接的安全性，其中TCP MD5是目前比较成熟、应用较为广泛的一种扩展。BTSH是通过一定的设置来减少BGP受外部攻击的风险。S-BGP、SoBGP、PsBGP则需要建立新的信任模型，可以解决路由前缀和路由路径的认证问题，复杂性较高，短期内无法在全网部署。域间路由监测和验证系统是一类过渡手段，在BGP的安全性没有从协议本身彻底完善前，通过部署一定的系统来及时发现BGP异常，将危害控制在一定范围内。
　　4　目前工作
　　BGP是互联网非常重要的基础设施，对于AS域的网络管理者来说，必须对BGP的安全运行给予足够的重视，鉴于BGP先天的安全性缺陷，对BGP的管理决不能简单将其配置联通即可，必须参考现有成熟经验和最佳实践，指定详细地BGP配置管理流程，以下是几点建议：
　　（1）强制与BGP对等体之间采用TCP MD5签名，并且定期更换密钥。
　　（2）一般情况下不与经过多条的BGP对等体建立邻接关系，并开启BTSH机制。
　　（3）根据AS自身情况部署一定的BGP路由实时监测和报警机制或系统。
　　（4）执行Unicast-RPF（单播逆转路径过滤），检查被接收的BGP消息是否包含对等BGP发言人的源地址。
　　（5）设置同一BGP对等体最大前缀上限，如果一个对等体宣告太多前缀，这个对等会话将被终止。
　　（6）制定严格BGP配置审核机制，并对网管员进行培训。
　　参考文献
　　[1] Y. Rekhter, Ed., “A Border Gateway Protocol 4 (BGP-4)” RFC 4271, January 2006
　　[2] S. Murphy.,”BGP Security Vulnerabilities Analysis”, RFC 4272, January 2006
　　[3] Heffernan, A., "Protection of BGP Sessions via the TCP MD5 Signature Option", RFC 2385, August 1998
　　[4] J. Touch., "The TCP Authentication Option" RFC 5925, June 2010
　　[5] V. Gill, J. Heasley, D. Meyer. The BGP TTL Security Hack (BTSH). NANOG-27 meeting, Arizona, USA, 2002(10):320~328.
　　[6] S. Kent, C. Lynn, K. Seo. Secure Border Gateway Protocol (S-BGP). IEEE Journal on Selected Areas in Communications, 2000, 18(4):582~592.
　　[7] R. White. Securing BGP Through Secure Origin BGP. The Internet Protocol Journal, 2003.9, 6(3):15~22.
　　[8] Wan T,Kranakis E,Van O P.Pretty Secure BGP(psBGP).In:Proc.NDSS,2005.
　　[9] X. Zhao, D. Pei, L. Wang, et al. Detection of Invalid Routing Announcement in the Internet. DSN '02: Proceedings of the 2002 International Conference on Dependable Systems and Networks, IEEE Computer Society, 2002.59~68.
　　[10] G. Goodell, W. Aiello, T. Griffin, et al. Working around BGP: An incremental approach to improving security and accuracy in inter-domain routing. Proceedings of Symposium on Network and Distributed Systems Security, San Diego, California, USA. 2003.192~210.
　　[11] Changxi Zheng,Lusheng Ji,Dan Pei,Jia Wang,Paul Francis.A light-weight distributed scheme for detecting ip prefix hijacks in real-time.Proceedings of the 2007 conference on Applications,technologies,architectures,and protocols for computer communications,August 2007.Kyoto,Japan.
　　[12] Zheng Zhang,Ying Zhang,Y.Charlie Hu,etc.Ispy:detecting ip prefix hijacking on my own.Proceedings of the ACM SIGCOMM 2008 conference on Data communication,2008.NY,USA.