一种路由泄露实时监测方法技术

本发明专利技术公开一种路由泄露实时监测方法，包括：建立RR反射，通过BGP协议建立对等的IBGP邻居，从而学习到目标AS域内的路由信息；通过RR获取路由表数据，通过RR学习的到的路由表信息对应解析其中的邻居AS属性，将其中的第一个解析为ASPATH，最后一个解析为目标AS存到数据表中；配置合法AS和对应的AS集合；比对配置判断是否为泄露路由；周期性刷新泄露路由数据。本发明专利技术通过建立RR邻居获取当前AS域路由表信息，然后检测分析路由表中AS路由是否合法,由此得到非法AS的泄露路由。本发明专利技术能够全面的检查出所有非配置范围内的泄露路由；基于BGP路由表快速更新的特性比传统检测方式更为快捷和实效。效。效。

【技术实现步骤摘要】
一种路由泄露实时监测方法


[0001]本专利技术涉及路由监测领域，尤其是一种路由泄露实时监测方法。

技术介绍

[0002]自治系统(AS，Autonomous System)之间的通信，需要通过边界路由器按照BGP(Border Gateway Protocol，边界网关协议)表中相应的AS路径进行路由转发。AS路径可以理解为一组由不同AS的ASN(Autonomous System Number，自治系统号)组成的编码，AS路径也可以称为路由策略。如果边界路由器未按照BGP表中相应的AS路径进行路由转发，就可能发生了路由泄露。路由泄露会破坏通信关系，容易造成信息泄露等不良情况发生。
[0003]由于互联网行业迅速发展相应的通信业务也越来越紧密联系到大家的生活，在2019年国际上也发生了重大的路由泄露事故，相应网络安全也成为重中之重。为了保障运营商网络中路由实时的安全性，相应做了路由泄露的实时监测方法装置，以达到实时高效的现网路由安全检查，最大化避免路由泄露事故发生。

技术实现思路

[0004]为克服路由泄露的问题，本专利技术提供一种路由泄露实时监测方法，通过建立RR邻居获取当前AS域路由表信息，然后检测分析路由表中AS路由是否合法,由此得到非法AS的泄露路由。
[0005]为实现上述目的，本专利技术采用下述技术方案：
[0006]在本专利技术一实施例中，提出了一种路由泄露实时监测方法，该方法包括：
[0007]S01、建立RR反射，通过BGP协议建立对等的IBGP邻居，从而学习到目标AS域内的路由信息；
[0008]S02、通过RR获取路由表数据，通过RR学习的到的路由表信息对应解析其中的邻居AS属性，将其中的第一个解析为ASPATH，最后一个解析为目标AS存到数据表中；
[0009]S03、配置合法AS和对应的AS集合；
[0010]S04、比对配置判断是否为泄露路由；
[0011]S05、周期性刷新泄露路由数据。
[0012]进一步地，所述S01中的学习为设备将自身路由转发给所有的IBGP对等体，互相学习到邻居设备路由。
[0013]进一步地，所述S02中的邻居AS属性为邻居AS的数值。
[0014]进一步地，所述S02中的数据表为路由泄露日志表。
[0015]进一步地，所述S03包括：
[0016]S031、按AS号和AS名称查询已配置AS信息，AS号严格匹配，AS名称模糊匹配；
[0017]S032、按照指定AS配置对应合法的AS集合。
[0018]进一步地，所述S04包括：
[0019]S041、读取客户AS路由监测配置数据，找到需要监测的客户AS及对应的ASSET的配
置；
[0020]S042、从路由注册数据库提取各客户合法AS集合的AS号清单；
[0021]S043从RR当前路由表提取PEERAS为上述客户AS的路由条目，维护客户AS实时路由表，并按路由ORIGINAS判定路由合规性，获取各AS实时路由合规情况。
[0022]进一步地，所述S043中判定路由合规性为判断该路由的path信息中目标AS是否在客户AS的白名单AS集合中，如果在即为合规路由，如果不在则为非法路由。
[0023]进一步地，所述S05包括：
[0024]S051、客户AS监测配置信息更新后，触发重新加载路由监测配置数据；每天路由注册数据库同步后，触发重新加载上述监测数据；
[0025]S052、接收RR路由表的路由更新消息，维护客户AS的实时路由表及路由合规情况，记录所有不合规路由的所有历史变化记录；
[0026]S053、每分钟对所有存在不合规路由的客户AS生成告警。
[0027]在本专利技术一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述路由泄露实时监测方法。
[0028]在本专利技术一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行路由泄露实时监测方法的计算机程序。
[0029]有益效果：
[0030]本专利技术通过建立RR邻居获取当前AS域路由表信息，然后检测分析路由表中AS路由是否合法,由此得到非法AS的泄露路由。本专利技术能够全面的检查出所有非配置范围内的泄露路由；基于BGP路由表快速更新的特性比传统检测方式更为快捷和实效。
附图说明
[0031]图1是本专利技术一实施例的路由泄露实时监测方法框图；
[0032]图2是本专利技术一实施例的计算机设备结构示意图。
具体实施方式
[0033]下面将参考若干示例性实施方式来描述本专利技术的原理和精神，应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本专利技术，而并非以任何方式限制本专利技术的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。
[0034]本领域技术人员知道，本专利技术的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。
[0035]根据本专利技术的实施方式，提出了一种路由泄露实时监测方法，通过建立RR邻居获取当前AS域路由表信息，然后检测分析路由表中AS路由是否合法,由此得到非法AS的泄露路由。
[0036]本专利技术涉及到的名词解释：
[0037]BGP：边界网关协议BGP(Border Gateway Protocol)是一种实现自治系统AS
(Autonomous System)之间的路由可达，并选择最佳路由的距离矢量路由协议。
[0038]AS：互联网是一个网络，它被分解成数十万个称为自治系统(AS)的小型网络。这些网络中的每一个本质上都是由单个组织运行的大型路由器池，自治系统是由单个组织管理的大型网络或网络组。AS可能有许多子网，但都共享相同的路由策略。通常，AS是ISP或具有自己的网络的非常大的组织，以及从该网络到ISP的多个上游连接(这称为“多宿主网络”)。每个AS都分配有自己的自治系统编号(ASN)，以便轻松识别它们。
[0039]RR反射:路由反射器(RR)的作用主要是为了简化IBGP邻居配置，使用反射器后允许反射器将来自IBGP邻居的路由信息发给另一个或一组IBGP邻居。路由器让被配置为路由反射器的路由器向其他IBGP对等体传输由IBGP所学到的路由来修改BGP的横向隔离规则，也就不再需要全互连的IBGP对等体。
[0040]ORIGINAS：起始自治系统号(origin
‑
as)。
[0041]PEERAS：相邻最近的自治系统号(peer
‑
as)。
[0042]ASPATH:BGP路由每经过一个AS，就会将这个AS号加本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种路由泄露实时监测方法，其特征在于，该方法包括：S01、建立RR反射，通过BGP协议建立对等的IBGP邻居，从而学习到目标AS域内的路由信息；S02、通过RR获取路由表数据，通过RR学习的到的路由表信息对应解析其中的邻居AS属性，将其中的第一个解析为ASPATH，最后一个解析为目标AS存到数据表中；S03、配置合法AS和对应的AS集合；S04、比对配置判断是否为泄露路由；S05、周期性刷新泄露路由数据。2.根据权利要求1所述的路由泄露实时监测方法，其特征在于，所述S01中的学习为设备将自身路由转发给所有的IBGP对等体，互相学习到邻居设备路由。3.根据权利要求1所述的路由泄露实时监测方法，其特征在于，所述S02中的邻居AS属性为邻居AS的数值。4.根据权利要求1所述的路由泄露实时监测方法，其特征在于，所述S02中的数据表为路由泄露日志表。5.根据权利要求1所述的路由泄露实时监测方法，其特征在于，所述S03包括：S031、按AS号和AS名称查询已配置AS信息，AS号严格匹配，AS名称模糊匹配；S032、按照指定AS配置对应合法的AS集合。6.根据权利要求1所述的路由泄露实时监测方法，其特征在于，所述S04包括：S041、读取客户AS路由监测配置数据，找到需要监测的客户AS及对应的ASSET的配置；S042...

【专利技术属性】
技术研发人员：江伟，
申请(专利权)人：中盈优创资讯科技有限公司，
类型：发明
国别省市：