MD5认证
Keychain认证
GT ***
限制从对等体接受的路由数量
AS_Path长度保护
RPKI
为BGP的所有类型报文的数据进行MD5加密,也可以对用来建立邻居关系的TCP三次握手报文进行加密
通信双方都要配置
peer {group-name | peer-address} password {cipher | simple} password
group-name 对等体的名称
peer-address 对等体的IP地址
两端都配置完后,在发送的过程中,统统进行MD5加密,且在包头中添加了MD5 Signature字段
若只使用MD5认证将面临诸多问题:MD5抗碰撞性弱,目前已经不安全、若一个完整的通信过程中只使用一个密钥,那么一旦这个密钥被窃/破解,整个通信过程中的信息都会变得不安全
Keychain可以在不中断业务的情况下,切换使用不同的密钥与加密方式,来证通信的安全
Keychain类似于一个密钥串,其允许用户定义一组密钥,形成一个密钥串,同时每个密钥可以使用不同的加密算法。通过对密钥串中每个密钥生效时间段的规定,来确保在不中断业务的情况下,自动切换密钥与加密算法
其密钥串中每一个密钥+加密算法+生效时间(通过设置不同key-id的接收与发送时间来实现动态变更认证信息)对应一个key-id
若keychain中每个key的生命周期(生效时间)具有连续性,那么随着时间推移,各个key依次生效,实现切换在一次通信过程中切换不同密钥与加密算法从而保证即使有一个密钥泄露依旧可以保证后续路由信息等安全目的
当一端key-id发生改变(切换)时,理论上对端也应该立刻改变,但由于时间不同步的原因,对端使用的key-id可能未立刻发生改变,会有时延。所以对于接收方,需要设置一个过渡时间,当key-id变化时一段时间不传输报文(防止因双方key-id不同导致丢包的现象),这个时间段就成为接受容忍时间
1:使用keychain两端的加密算法与密钥必须相同
2:同一个keychain内的各个key的生效时间段(生命周期)不可重叠(即同一时间段不能对应多个key-id),确保在同一时刻,只使用一个key对发送的报文进行校验。
为了防止恶意用户接入BGP网,并发送大量合法报文消耗路由器CPU资源而导致过载等严重的问题,启用GT *** 技术(通用TTL安全机制)
GT *** 通过限制报文IP包头中的TTL值来避免类似于拒绝服务类型的攻击
管理者通过配置TTL的范围来限制到达路由器数据包经历的跳数(TTL更大为255,每经一个路由器减1),从而防止恶意用户向BGP核心网中发送大量合法报文消耗路由器资源。
不同AS间传递时默认将TTL值设为1,应用GT *** 后其默认值变为255(因为TTL值更大为255),这样EBGP发送端会将其TTL置为255后发给EBGP接收端,接收端只有在检测到TTL值为255的情况下,才会接收该报文(若攻击者连在了EBGP发送端路由器上,向EBGP接收端路由器发送大量合法的BGP报文,由于报文要经过发送端路由器才可以到达接收端路由器,所以TTL值更高也只能是254,不满足255,被丢弃)
多跳一般发生于:IBGP邻居间、利用环回口配置的EBGP邻居
由于多跳的情况(即路由不止传给一个peer,而是传给多个peer的情况),在IBGP邻居中,一条路由信息通常会传给多个IBGP邻居,这时限制TTL值会影响通信,所以应当限制TTL值的范围(例如249~255)
peer valid-ttl-hops num
num:用于配置hops值的大小
开启GT *** 后,被检测报文限制TTL值的范围为 {255-hops+1,255}
例:peer valid-ttl-hops 1 ——> TTL范围 {255-1+1,255} 也就相当于 255
peer route-limit 设置允许从对等体收到的路由数量
peer {group-name | ipv4-address | ipv6-address} route-limit limit [ percentage ] [ alert-only | idle-forever | idle-timeout times]
limit:指定对等体允许的更大路由数量。整数形式,取值范围 1~2000000(200w)
percantage:指定路由器开始生成警告消息时的路由数量百分比。缺省值为75(1~100)
alert-only:对路由超限仅限于产生警告,不再接收超限后的路由
idle-forever:路由超限断连,且不自动重新建立连接直到 reset bgp
idle-timeouttimes:路由超限断连后,自动重新建立连接的超时定时器。整数形式,取值范围1~1200,单位:分钟。在定时器超时前,可执行 reset bgp重新建立连接
不配置以上参数时,路由超限产生警告并记入日志,断开邻居,30s后自动重新连接建立邻居关系
as-path-limit 命令用来自设置AS_Path属性中AS号的更大个数
缺省情况下,AS_Path属性中AS号的更大限制值是2000
as-path-limit [ as-path-limit-num ]
配置as-path-limit命令后,接收路由时会检查AS_Path属性中的AS号是否超限。如果超限则丢弃路由。
资源公共密钥基础架构(Resource Public Key Infrastructure,RPKI)将IP地址与其拥有者的公钥绑定在一起。RPKI实现了路由器的源路由验证(Route Origin Validation,ROV),以阻止例如IP前缀注入之类的严重攻击
RPKI主要用来解决路由传递过程中攻击者通过发布更精确的路由导致数据传输过程中 流量被窃取的问题
RPKI存储着源路由授权(Route Origin Authorization,ROA):将IP地址块与允许在BGP中宣告它的AS绑定签名的记录。
ROA(一般将保存在RPKI服务器中,在需要认证时同步到本地进行验证)可以被BGP路由器用于源路由验证(Route Origin Validation,ROV):验证并丢弃来自未授权AS的“无效的”BGP路由宣告。
关于BGP IP前缀类的攻击最常见的为 BGP hijack,具体攻击方式将会在下一次介绍
图片源于网络 饮食 考虑到便捷性,如果在学校食堂就餐的话,一顿午餐价格通常在10美元以内,还可以自己动手做几个家常菜解解馋。 例如期末,学业特别繁忙的时候,可以去快餐店,通常在麦当劳店吃一顿...
在ai中怎么快速设计方案小圆圈放缩转动情况实际效果呢?下边就为大伙儿共享Ai小圆圈转动图案设计的方式实例教程,有必须的能够来掌握掌握哦。 在ai中怎么快速设计方案小圆圈放缩转动情况实际效果...
现如今,毕业生就业工作压力日益不容乐观,随着着政府政策正确引导社会发展意识的变化,大学毕业生的自主创业观念、就业方向也悄悄地更改。对学生开展自己创业问卷调查统计调查,掌握学生的自主创业状况,剖析自主创...
虽然电脑中系统自带有截图功能,但是每次在使用的时候都需要用户调出来,很是麻烦,因此对于一些使用chrome浏览器的用户来说,想要截图网页中的全部内容时,就可以使用chrome浏览器的截图功能,那么...
有网民曝料韩国电视剧《九尾狐传》中很多设置都和郑秀晶、黄景瑜出演的《结爱·千岁大人的初恋》很像,提出质疑这一部剧剽窃,但是故事情节還是有非常大不一样的,也让结爱的粉絲忍不上,二者有什么故事情节类似?下...
财务在别人眼中一直是高端岗位,固定时间上下班,朝九晚五年终还有奖金拿,说是铁饭碗也不为过,而且工作轻松,实际上真的是这样吗?所谓外行看热闹,很多不为人知的事情只有内行人才了解。 财务是是指财务...