互聯網是一個相互連接的自治系統(AS域)的集合,由各種互聯網服務提供商(ISP)、大學和其它獨立機構管理,一般情況下,兩個AS之間通過專用的連接線路或IXP相互連接,在前一種情況下,根據雙方業務的協議,一方支付費用給另一方,來達到信息傳輸的功能,或者雙方根據商業協議各自支付一半的費用。很明顯,通過專用的BGP路由器進行連接只能促使一對連接相互成功互通。相反,IXP是一種共享的互聯基礎設施,其中多個自治系統可以通過IXP上的交換機和路由器彼此進行互連,每個AS只需要承擔自己到IXP所需要架設的設備的費用即可。
專用連接線路
當然,除了給IXP提供相應的設備管理費用外,更重要的是,AS可以在根據自身業務協議的情況下,儘可能的連接到更多的其它AS
IXP共享連接線路
專用線路情況下,在不使用技術手段暴力擊穿的情況下,基本不存在信息被劫持的風險。因為彼此之間的路線單一,沒有分叉,沒有第三方關係。相比IXP共享連接線路,由於多個自治系統的信息交換中心都處於同一個機房,彼此之間相對“裸露”而AS之間的又是由BGP路由進行廣播來向互聯網中傳輸信息,這樣就很容易被有目的的信息劫持,例如:
AS1AS4進行正常的業務協議通信,AS1以廣播的形式通知全網,持有IP:X.X.X.1
但AS3因為某些特殊原因需要對AS1與AS4之間的通信進行竊取劫持,於是在AS1進行廣播結束後,也進行一次廣播,將自己加入在BGP AS_Path中,這樣以來,導致AS1和AS4在進行通信時,經過了原本不需要經過的路徑節點。
數據印證
為了得到更全面的BGP路由視圖,我下載了三個月內所有的BGP路由表,並將它們合併在一個路由表中,並且將AS_Path全部解析去重,迴環型路徑刪除。
選定其中一臺探測機的IP為探針,以探針為基礎,將解析出的AS_Path全部記錄下來,然後,通過搜索IXP數據庫中的IP塊,檢查轉發IP路徑中是否包含IXP的IP塊,進而對應AS_Path得出三個月中,路徑中是否存在,在選取時間段內被其它AS劫持的情況發生。
結論
由於主機硬件限制,BGP數據非常大,3個月的數據已經足夠撐爆硬盤...
在有限的數據集中,並沒有發現路徑中存在明顯的劫持特徵,這種情況有兩種可能:
- 網絡空間中信息劫持已經是明目張膽,不需要銷燬證據,一次劫持永久劫持,劫持路徑點已經成為被當做正常路徑點出現在路徑中
- 發生劫持的時間點,剛好避開我所選取的時間段
總之,在互聯網發展的今天,網絡安全越來越被大家關注,相比較使用暴力手段擊穿終端機進行信息竊取,在通信過程中進行劫持轉發會更加具有隱蔽性,且開銷最低,所以,通信網絡的搭建,交換中心的規範化建設,以及網絡拓撲地圖的繪製就成為網絡安全的新方向。
