【大學(xué)課件】基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)

1、基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)1ppt課件主要內(nèi)容IP黑名單介紹基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)結(jié)構(gòu)接收黑名單的路由器配置測試情況結(jié)語 2022/8/202ppt課件IP黑名單介紹IP黑名單（IP blacklist）是指被設(shè)置成禁止通信的IP地址。管理完備的網(wǎng)絡(luò)中，往往會設(shè)置IP黑名單列表。發(fā)往IP黑名單的數(shù)據(jù)包，不會被正常地轉(zhuǎn)發(fā)被丟棄（稱為blackhole route，即黑洞路由，一般是送到Null0空接口）或發(fā)送到特殊的目的地（稱為sinkhole路由，送到專門的流量處理設(shè)備進(jìn)一步處理）。IP黑名單的應(yīng)用，可以顯著的減輕DDoS攻擊的危害，也可以減慢網(wǎng)絡(luò)蠕蟲的傳播。2022/8/

2、203ppt課件IP黑名單介紹（2）如最近年很多校園網(wǎng)都受到很多木馬程序的影響。目前反向連接的木馬占主流，并且多采用被動傳播方式。木馬下載網(wǎng)站是木馬傳播的主要途徑，木馬程序利用網(wǎng)站做跳板傳播或更新。一旦把這些網(wǎng)站IP地址添加到IP黑名單，禁止正常計算機(jī)與它的通信，這些木馬程序的傳播就無法進(jìn)行，很快就能抑制住校園網(wǎng)內(nèi)木馬程序的傳播，ARP欺騙等影響網(wǎng)絡(luò)穩(wěn)定的事件在校園網(wǎng)明顯減少。 同樣可以減少黃色網(wǎng)站、釣魚網(wǎng)站等的影響。2022/8/204ppt課件惡意網(wǎng)站的實例內(nèi)嵌惡意代碼的網(wǎng)站多用于被動傳播木馬瀏覽器訪問時，如果存在漏洞，會自動下載木馬軟件等惡意軟件，在用戶后臺執(zhí)行通常利用flash、rea

3、lplayer、windows下的漏洞這些網(wǎng)站往往會被嵌入到正常的網(wǎng)站上，俗稱被“掛馬”惡意代碼中轉(zhuǎn)站為了幫助木馬程序的更新，設(shè)立一些下載網(wǎng)站，木馬程序啟動后，自動下載最新的程序代碼2022/8/205ppt課件一個“掛馬”例子深圳職業(yè)技術(shù)學(xué)院汽車與交通學(xué)院/ReadNews.asp?NewsID=809這個網(wǎng)頁中有下面一段代碼1.js內(nèi)容是/a0076159/a07.htm的內(nèi)容是new.html是利用幾個媒體播放漏洞下載惡意軟件的代碼2022/8/206ppt課件一個“掛馬”例子wide/ script /ads/gb.js frame/a11.html frame/index.html

4、frame/fl.htm frame/i11.html frame/cx.htm object/bak.css frame/06014.htm object/bak.css frame/I7.htm object/yg.exe frame/ff.htm object/bak.css frame/real10.htm object/bak.css frame/real11.htm object/bak.css script /855299/ystat.js最近利用IE7 0day攻擊的惡意程序2022/8/207ppt課件一個網(wǎng)站被掛了多個“馬”Log is generated by FreSh

5、ow.wide/ script/include/javascript/common.js frame/b7.htm?a023 frame/flash.htm frame/14.htm frame/office.htm frame/lz.htm frame/re10.htm frame/re11.htm frame/fs/7.htm frame/a192/fxx.htm frame/a192/fx.htm frame/a192/ilink.html frame/a192/flink.html frame/a192/ss.html frame/a192/ms06014.htm frame/a192

6、/GLWORLD.html frame/sina.htm frame/UU.htm frame/a192/Thunder.html frame/a192/real.htm frame/a192/Real.html2022/8/208ppt課件惡意代碼中轉(zhuǎn)站感染病毒的機(jī)器會下載/1234.txt這個文件內(nèi)容是ooc0=http:/ /bbs/forum-31-1.html /forumdisplay.php?fid=22 /report.asp從校園網(wǎng)對外訪問的日志中分析查找訪問較明顯序列的日志，如1.exe 2.exe 3.exe發(fā)現(xiàn)可疑的URL，可以把下載的文件提交給 / 測試，檢查是否是惡

7、意軟件通過以上方式,經(jīng)過幾個月的累計,我們已經(jīng)搜集了700余條IP黑名單2022/8/2011ppt課件惡意網(wǎng)站的一般封堵方法客戶端封堵某些瀏覽器或個人防火墻在訪問惡意網(wǎng)站的時候，會給出提示，并阻擋訪問校園出口封鎖防火墻檢測到下載惡意軟件時可以阻擋IPS入侵防御系統(tǒng)可以阻斷管理員手工增加黑名單路由，更新復(fù)雜，維護(hù)成本高網(wǎng)絡(luò)主干封鎖增加黑名單路由，發(fā)往這些地方的數(shù)據(jù)包被丟棄教育網(wǎng)主干增加了約150條黑名單路由，禁止對這些IP的訪問但由于大部分學(xué)校都用其他出口，因此封堵效果一般2022/8/2012ppt課件教育網(wǎng)主干網(wǎng)黑名單路由例子hef1-bgwshow ip route | inc B 9

8、200/70 via , 2d11hB 96 200/70 via , 2d11hB 19 200/70 via , 2d11hB 36 200/70 via , 2d11hB 36/32 200/70 via , 2d11hB 04/32 200/70 via , 2d11hB 89/32 200/70 via , 2d11hB 13/32 200/70 via , 2d11hB 32 200/70 via , 2d11hB 34/32 200/70 via , 2d11hB 3/32 200/70 via , 2d11h2022/8/2013ppt課件在路由器上封鎖IP的方式首先在路由器上

9、增加 null 0 路由ip route 55 null0把要封鎖IP的下一跳設(shè)置為,如要封鎖3,有兩種方式直接手工增加靜態(tài)路由ip route 3 55 需要在所有路由器上增加利用BGP注入路由（遠(yuǎn)程觸發(fā)黑洞路由，Remote-Triggered Black Hole Routing ） 在一個觸發(fā)路由器上增加，利用BGP廣播給其他路由器 做法可以參考/3c6vl7 （Worm Mitigation Technical Details ）2022/8/2014ppt課件遠(yuǎn)程觸發(fā)黑洞路由優(yōu)缺點優(yōu)點在一臺觸發(fā)路由器上配置，自動廣播到其他路由器，使用方便數(shù)據(jù)包是在最近的路由器上丟棄缺點手工修改配置

10、比較麻煩無法有效的跟蹤相關(guān)信息(如：什么時候增加的，增加的原因)無法自動刪除黑名單，必須要手工刪除總之，管理員比較辛苦2022/8/2015ppt課件基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)黑名單信息存放在數(shù)據(jù)庫中黑名單信息管理方式管理員通過Web界面添加/刪除黑名單程序與入侵檢測系統(tǒng)自動進(jìn)行添加/刪除管理員在添加時可以設(shè)置有效期，到期后自動刪除通過一個簡單的BGP客戶端，把數(shù)據(jù)庫里的黑名單信息發(fā)送給路由器剩下的操作與傳統(tǒng)遠(yuǎn)程觸發(fā)黑洞路由完全一樣2022/8/2016ppt課件系統(tǒng)結(jié)構(gòu)WEB界面管理數(shù)據(jù)庫路由服務(wù)器路由器BGP協(xié)議管理員BGP協(xié)議2022/8/2017ppt課件簡化的BGP客戶端程序

11、BGP很復(fù)雜，但是BGP的協(xié)議很簡單每條消息不能超過4096字節(jié)消息頭固定19字節(jié)4種消息類型OPEN 建立tcp連接后發(fā)送，協(xié)商一些參數(shù)UPDATE 增加或撤回路由NOTIFICATION 出錯時KEEPALIVE 定時發(fā)送2022/8/2018ppt課件UPDATE廣播增加路由信息例如增加一條路由73/3200 38 02 消息長度56(0 x38)字節(jié)，類型UPDATE(02)00 00 Withdraw 信息長度為0(無withdaw路由)00 1C Total Path Attribute Length=28(0 x1c)字節(jié)40 01 00 ORIGIN: IGP40 02 00

12、ASPATH: 空40 03 04 C0 00 02 01 NEXT_HOP: 80 04 04 00 00 00 14 MED 2040 05 04 00 00 00 54 Local_Pref 10020 前綴長度32DE BF FB AD 732022/8/2019ppt課件UPDATE廣播撤回路由信息例如撤回一條路由73/3200 1C 02 消息長度28(0 x1c)字節(jié)，類型UPDATE(02)00 05 Withdrawn Routes Length=520 前綴長度32DE BF DB AD 7300 00 Total Path Attribute Length=0字節(jié)2022

13、/8/2020ppt課件接收黑名單的路由器配置WEB界面管理數(shù)據(jù)庫路由服務(wù)器路由器BGP協(xié)議BGP協(xié)議備用路由服務(wù)器BGP協(xié)議2022/8/2021ppt課件接收IP黑名單路由器上的配置router bgp 65500no synchronizationbgp log-neighbor-changesneighbor 7 remote-as 24362neighbor 7 ebgp-multihop 255neighbor 41 remote-as 24362neighbor 41 ebgp-multihop 255no auto-summaryip route 55 Null0ip rout

14、e 7 55 next_hopip route 41 55 next_hop注：65500是自治域號，隨便使用一個號就可以Next_hop是到7 41的網(wǎng)關(guān)7 41是路由服務(wù)器IP2022/8/2022ppt課件BGP連接正常的信息#show ip bgp neighborsBGP neighbor is 7, remote AS 24362, external link BGP version 4, remote router ID 7 BGP state = Established, up for 6d01h Sent Rcvd Prefix activity: - - Prefixes

15、Current: 0 699 (Consumes 33552 bytes) Prefixes Total: 0 700 Implicit Withdraw: 0 0 Explicit Withdraw: 0 1 Used as bestpath: n/a 6602022/8/2023ppt課件BGP連接正常的信息(2)#show ip bgpBGP table version is 703, local router ID is 1Status codes: s suppressed, d damped, h history, * valid, best, i - internal, S St

16、aleOrigin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path* 43/32 0 24362 i* 0 24362 i* 7/32 0 24362 i* 0 24362 i* 0/32 0 24362 i* 0 24362 i* 1/32 0 24362 i* 0 24362 i2022/8/2024ppt課件測試情況2008年7月開始在中國科大校園網(wǎng)使用這樣方式來管理黑名單，有安徽4所大學(xué),省外3所(東北大學(xué)、蘭州大學(xué)、電子科大）在使用這個黑名單目前封鎖了700個IP/至

17、今運行穩(wěn)定節(jié)省了各個學(xué)校自己維護(hù)IP黑名單的精力2022/8/2025ppt課件測試情況（2）以科大為例，最近1周從公網(wǎng)出口觀察到的批量木馬下載情況如下12月10日 無下載12月11日 無下載12月12日 2起 (/update/count.txt 3個IP下載, /logo.txt 1個IP下載 )12月13日 1起 (/bak.txt) 2個IP下載 12月14日 1起 (/0.htm) 1個IP下載 12月15日 1起 (/bak.txt，多了一個IP) 1個IP下載 12月16日 無下載期間未發(fā)生ARP攻擊情況2022/8/2026ppt課件結(jié)語 使用基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)，可以靈活高效地在多臺路由器上維護(hù)IP黑名單。這種分發(fā)方式，既有主干網(wǎng)上設(shè)置黑名單的一致性和方便性，又給了路由器管理員足夠的自主性。IP黑名單存放在數(shù)據(jù)庫中，非常適合由程序根據(jù)來自入侵檢測IDS等系統(tǒng)的信息，自動添加和刪除黑名單