一種針對(duì)bgp路由協(xié)議雪崩式攻擊的預(yù)防方法
【專(zhuān)利摘要】本發(fā)明提供了一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，將BGP路由更新數(shù)據(jù)包的更新周期由固定周期改為非固定周期，并對(duì)各個(gè)鏈路的BGP更新數(shù)據(jù)包數(shù)量進(jìn)行監(jiān)控，設(shè)定一個(gè)限制參數(shù)，當(dāng)某一鏈路的BGP更新數(shù)據(jù)包數(shù)量超過(guò)限制參數(shù)時(shí)，則對(duì)此鏈路的BGP更新數(shù)據(jù)包進(jìn)行隨機(jī)丟棄處理或延遲響應(yīng)處理。本發(fā)明提供的針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，在不影響路由器正常服務(wù)的前提下，改變更新周期并建立應(yīng)對(duì)策略，有效防止BGP路由協(xié)議雪崩式攻擊的發(fā)生，保證了路由器的正常工作。
【專(zhuān)利說(shuō)明】一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，屬于通訊【技術(shù)領(lǐng)域】?！颈尘凹夹g(shù)】
[0002]目前針對(duì)骨干路由器的BGP路由更新協(xié)議出現(xiàn)了一種雪崩式攻擊，其基本原理是在整個(gè)網(wǎng)絡(luò)范圍內(nèi)，通過(guò)對(duì)骨干路由器的分布情況和拓?fù)浣Y(jié)構(gòu)的分析，在骨干路由器中選取一些關(guān)鍵節(jié)點(diǎn)的路由器，對(duì)這些路由器的BGP更新協(xié)議進(jìn)行攻擊。這種攻擊會(huì)導(dǎo)致被攻擊的路由器收不到BGP更新路由包，從而使得這些路由器認(rèn)為與其相連的路由器失去服務(wù)功能，進(jìn)而觸發(fā)路由器的BGP更新算法，同時(shí)向其它相鄰路由器發(fā)送BGP更新路由包。通過(guò)這種對(duì)BGP協(xié)議的路由更新，可能會(huì)導(dǎo)致整個(gè)互聯(lián)網(wǎng)上與其相鄰的路由器都重新計(jì)算BGP路由表，并發(fā)出新的BGP路由更新數(shù)據(jù)包，如此產(chǎn)生一種蝴蝶擴(kuò)散效應(yīng)。這種雪崩式攻擊還會(huì)讓最初被攻擊的路由器在很短的時(shí)間內(nèi)恢復(fù)路由存活數(shù)據(jù)包，使得被攻擊的路由器又重新發(fā)現(xiàn)與其相鄰的路由器能夠正常提供服務(wù)，于是在路由器再次重新計(jì)算路由表，并發(fā)出路由更新包。當(dāng)被攻擊的路由器處于頻繁的鏈路通斷的狀態(tài)時(shí)，該路由器會(huì)不斷的產(chǎn)生路由更新包。由于路由更新包在整個(gè)互聯(lián)網(wǎng)上會(huì)產(chǎn)生疊加和擴(kuò)散效應(yīng)，因此在一段時(shí)間之后，整個(gè)互聯(lián)網(wǎng)上的骨干路由器都會(huì)陷入高負(fù)荷的BGP路由更新算法的計(jì)算過(guò)程中，從而導(dǎo)致路由器失去服務(wù)功能。

【發(fā)明內(nèi)容】

[0003]本發(fā)明要解決的技術(shù)問(wèn)題是克服現(xiàn)有的缺陷，提供一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，有效防止BGP路由協(xié)議雪崩式攻擊的發(fā)生，保證路由器正常工作。
[0004]為了解決上述技術(shù)問(wèn)題，本發(fā)明提供了如下的技術(shù)方案:
一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，將BGP路由更新數(shù)據(jù)包的更新周期由固定周期改為非固定周期，并對(duì)各個(gè)鏈路的BGP更新數(shù)據(jù)包數(shù)量進(jìn)行監(jiān)控，設(shè)定一個(gè)限制參數(shù)，當(dāng)某一鏈路的BGP更新數(shù)據(jù)包數(shù)量超過(guò)限制參數(shù)時(shí)，則對(duì)此鏈路的BGP更新數(shù)據(jù)包進(jìn)行隨機(jī)丟棄處理或延遲響應(yīng)處理。
[0005]進(jìn)一步地，所述非固定周期為完全的隨機(jī)間隔周期或在固定周期之間插入少量隨機(jī)間隔周期的混合周期。
[0006]進(jìn)一步地，所述隨機(jī)間隔周期的隨機(jī)時(shí)長(zhǎng)范圍可以由用戶(hù)自行設(shè)定。
[0007]進(jìn)一步地，對(duì)于BGP更新數(shù)據(jù)包數(shù)量的監(jiān)控為階段性監(jiān)控，進(jìn)行當(dāng)前階段的監(jiān)控時(shí)，前一階段的監(jiān)控?cái)?shù)據(jù)自動(dòng)清除。
[0008]進(jìn)一步地，所述限制參數(shù)的預(yù)值可以由用戶(hù)自行設(shè)定。
[0009]進(jìn)一步地，所述隨機(jī)丟棄處理是將超過(guò)限制參數(shù)的新產(chǎn)生的BGP更新數(shù)據(jù)包進(jìn)行隨機(jī)性的丟棄。
[0010]進(jìn)一步地，所述延遲響應(yīng)處理是對(duì)于超過(guò)限制參數(shù)的新產(chǎn)生的BGP更新數(shù)據(jù)包，延后間隔時(shí)間再進(jìn)行處理，且在延遲響應(yīng)處理期間，舊的BGP更新數(shù)據(jù)包將被新到達(dá)的BGP更新數(shù)據(jù)包替換掉，舊的BGP更新數(shù)據(jù)包被丟棄，執(zhí)行新到達(dá)的BGP更新數(shù)據(jù)包。
[0011]進(jìn)一步地，所述間隔時(shí)間可以由用戶(hù)自行設(shè)定。
[0012]本發(fā)明一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，在不影響路由器正常服務(wù)的前提下，改變更新周期并建立應(yīng)對(duì)策略，有效防止BGP路由協(xié)議雪崩式攻擊的發(fā)生，保證了路由器的正常工作。
【具體實(shí)施方式】
[0013]以下對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行說(shuō)明，應(yīng)當(dāng)理解，此處所描述的優(yōu)選實(shí)施例僅用于說(shuō)明和解釋本發(fā)明，并不用于限定本發(fā)明。
[0014]一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，將BGP路由更新數(shù)據(jù)包的更新周期由固定周期改為非固定周期，并對(duì)各個(gè)鏈路的BGP更新數(shù)據(jù)包數(shù)量進(jìn)行監(jiān)控，設(shè)定一個(gè)限制參數(shù)，當(dāng)某一鏈路的BGP更新數(shù)據(jù)包數(shù)量超過(guò)限制參數(shù)時(shí)，則對(duì)此鏈路的BGP更新數(shù)據(jù)包進(jìn)行隨機(jī)丟棄處理或延遲響應(yīng)處理。
[0015]非固定周期為完全的隨機(jī)間隔周期或在固定周期之間插入少量隨機(jī)間隔周期的混合周期，前者適用于路由器負(fù)荷較輕的情況，后者適用于路由器負(fù)荷較重的情況。
[0016]隨機(jī)間隔周期的隨機(jī)時(shí)長(zhǎng)范圍可以由用戶(hù)自行設(shè)定。
[0017]對(duì)于BGP更新數(shù)據(jù)包數(shù)量的監(jiān)控為階段性監(jiān)控，進(jìn)行當(dāng)前階段的監(jiān)控時(shí)，前一階段的監(jiān)控?cái)?shù)據(jù)自動(dòng)清除。
[0018]限制參數(shù)的預(yù)值可以由用戶(hù)自行設(shè)定。
[0019]隨機(jī)丟棄處理是將超過(guò)限制參數(shù)的新產(chǎn)生的BGP更新數(shù)據(jù)包進(jìn)行隨機(jī)性的丟棄。
[0020]延遲響應(yīng)處理是對(duì)于超過(guò)限制參數(shù)的新產(chǎn)生的BGP更新數(shù)據(jù)包，延后間隔時(shí)間再進(jìn)行處理，且在延遲響應(yīng)處理期間，舊的BGP更新數(shù)據(jù)包將被新到達(dá)的BGP更新數(shù)據(jù)包替換掉，舊的BGP更新數(shù)據(jù)包被丟棄，執(zhí)行新到達(dá)的BGP更新數(shù)據(jù)包。
[0021]間隔時(shí)間可以由用戶(hù)自行設(shè)定。
[0022]本發(fā)明一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，在不影響路由器正常服務(wù)的前提下，改變更新周期并建立應(yīng)對(duì)策略，有效防止BGP路由協(xié)議雪崩式攻擊的發(fā)生，保證了路由器的正常工作。
[0023]最后應(yīng)說(shuō)明的是:以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明，對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)，其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，其特征在于:將BGP路由更新數(shù)據(jù)包的更新周期由固定周期改為非固定周期，并對(duì)各個(gè)鏈路的BGP更新數(shù)據(jù)包數(shù)量進(jìn)行監(jiān)控，設(shè)定一個(gè)限制參數(shù)，當(dāng)某一鏈路的BGP更新數(shù)據(jù)包數(shù)量超過(guò)限制參數(shù)時(shí)，則對(duì)此鏈路的BGP更新數(shù)據(jù)包進(jìn)行隨機(jī)丟棄處理或延遲響應(yīng)處理。
2.根據(jù)權(quán)利要求1所述的一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，其特征在于:所述非固定周期為完全的隨機(jī)間隔周期或在固定周期之間插入少量隨機(jī)間隔周期的混合周期。
3.根據(jù)權(quán)利要求2所述的一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，其特征在于:所述隨機(jī)間隔周期的隨機(jī)時(shí)長(zhǎng)范圍可以由用戶(hù)自行設(shè)定。
4.根據(jù)權(quán)利要求1所述的一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，其特征在于:對(duì)于BGP更新數(shù)據(jù)包數(shù)量的監(jiān)控為階段性監(jiān)控，進(jìn)行當(dāng)前階段的監(jiān)控時(shí)，前一階段的監(jiān)控?cái)?shù)據(jù)自動(dòng)清除。
5.根據(jù)權(quán)利要求1所述的一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，其特征在于:所述限制參數(shù)的預(yù)值可以由用戶(hù)自行設(shè)定。
6.根據(jù)權(quán)利要求1所述的一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，其特征在于:所述隨機(jī)丟棄處理是將超過(guò)限制參數(shù)的新產(chǎn)生的BGP更新數(shù)據(jù)包進(jìn)行隨機(jī)性的丟棄。
7.根據(jù)權(quán)利要求1所述的一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，其特征在于:所述延遲響應(yīng)處理是對(duì)于超過(guò)限制參數(shù)的新產(chǎn)生的BGP更新數(shù)據(jù)包，延后間隔時(shí)間再進(jìn)行處理，且在延遲響應(yīng)處理期間，舊的BGP更新數(shù)據(jù)包將被新到達(dá)的BGP更新數(shù)據(jù)包替換掉，舊的BGP更新數(shù)據(jù)包被丟棄，執(zhí)行新到達(dá)的BGP更新數(shù)據(jù)包。
8.根據(jù)權(quán)利要求7所述的一種針對(duì)BGP路由協(xié)議雪崩式攻擊的預(yù)防方法，其特征在于:所述間隔時(shí)間可以由用戶(hù)自行設(shè)定。
【文檔編號(hào)】H04L12/751GK103746964SQ201310702398
【公開(kāi)日】2014年4月23日 申請(qǐng)日期:2013年12月19日 優(yōu)先權(quán)日:2013年12月19日
【發(fā)明者】黃力, 潘大慶, 羅海波, 盤(pán)承軍, 楊潔, 韋彬貴 申請(qǐng)人:柳州職業(yè)技術(shù)學(xué)院