买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：清华大学

摘要：本发明公开了一种通过毒化路径加剧路由集中程度的方法和装置，该方法包括：通过伪造BGP宣告的方式将目标域间瓶颈链路到操作自治系统的预定路径的分支链路进行毒化，以加剧目标域间瓶颈链路的路由集中程度；其中，毒化使得操作自治系统不能经过该链路将路由报文传输给互联网的其它自治系统。本发明通过伪造BGP宣告的方式将目标域间瓶颈链路到操作自治系统的预定路径的分支链路进行毒化，从而加剧目标域间瓶颈链路的路由集中程度。

主权项：1.一种通过毒化路径加剧路由集中程度的方法，其特征在于，包括：通过伪造BGP宣告的方式将目标域间瓶颈链路到操作自治系统的预定路径的分支链路进行毒化，以加剧目标域间瓶颈链路的路由集中程度；其中，所述毒化使得所述操作自治系统不能经过该链路将路由报文传输给互联网的其它自治系统。

全文数据：通过毒化路径加剧路由集中程度的方法及装置技术领域本发明涉及互联网技术领域，尤其涉及一种通过毒化路径加剧路由集中程度的方法及装置。背景技术互联网由于设计原因，大量的路由会经过少数中心网络及其相连的链路。这样的大量路由汇聚在少量链路的现象称之为路由集中routeconcentration，而发生大程度路由集中的链路则称为路由瓶颈routingbottleneck。一个自治系统的路由瓶颈承载着大量与该系统通信的路由，一旦收到超过其负荷能力的大量流量，瓶颈链路会发生网络拥塞甚至中断，该自治系统内的用户将会面临高延迟、高丢包的通信异常。通常恶意操作自治系统会通过链路洪泛linkflooding的手段，用高强度的流量对路由瓶颈进行冲击，从而影响该瓶颈链路相关联的网络中用户的网络接入性能。但同时现有技术人员也可以通过链路洪泛linkflooding的手段来有意的对目标链路进行冲击。现有的技术人员通常采用直接对路由瓶颈进行数据层的类似DDoS技术来实现对目标链路进行冲击，然而该种操作会使得操作目标明确，特别容易被相关安全系统针对。因此，现有技术人员可通过伪造BGP宣告技术采用间接的手段实现路由集中程度的加剧，在路由集中的基础上，使用更分散、更隐蔽的流量冲击链路，影响目标网络性能。具体由于BGP宣告的设计没有对AS路径进行加密和验证操作，各自治系统均可以对其宣告转发的路由更新进行修改。因此可通过伪造BGP宣告而加剧域间路由瓶颈，一旦瓶颈链路处的路由集中程度加大，就会有通向不同前缀的更多流经过瓶颈，这些不同目的地址的流量都会引起瓶颈拥塞。但该种加剧路由集中程度的方式会使得互联网中自治系统被欺骗的数目增加，仍会使得操作目标明确，容易被相关安全系统针对。前缀劫持技术是现有技术中使用较普遍的劫持方法，其通过控制伪造BGP宣告控制路由报文的前缀，吸引互联网其它自治系统访问该前缀的流量经过自身，从而进行窃听、篡改、丢弃等操作，然而其路由集中程度较低。因此，亟需一种既不容易被相关安全系统针对，同时加剧路由集中程度的效率较高的加剧路由集中程度的方法。发明内容本发明所要解决的技术问题是现如今加剧路由集中程度的方法容易被相关安全系统针对，从而影响集中程度的效率，同时加剧集中程度的效率偏低。现有的前缀劫持方式容易被相关安全系统针对，从而影响劫持效果，同时路由集中程度也偏低。为了解决上述技术问题，本发明提供了一种通过毒化路径poisonedpath加剧路由集中程度的方法，包括：通过伪造BGP宣告的方式将目标域间瓶颈链路到操作自治系统的预定路径的分支链路进行毒化，以加剧目标域间瓶颈链路的路由集中程度；其中，所述毒化使得所述操作自治系统不能经过该链路将路由报文传输给所述目标域间瓶颈链路。优选的是，所述预定路径为所述目标域间瓶颈链路到操作自治系统的最优路径。优选的是，通过伪造BGP宣告的方式将目标域间瓶颈链路到操作自治系统的预定路径的分支链路进行毒化步骤包括：计算目标域间瓶颈链路到操作自治系统的最优路径；根据所述最优路径选取所有毒化对象；根据所有所述毒化对象生成毒化报文；逐跳毒化所述最优路径的分支链路。优选的是，所述目标域间瓶颈链路包括一条或多条。优选的是，计算目标域间瓶颈链路到操作自治系统的最优路径步骤包括：利用宽度优先搜索算法计算出所述目的域间瓶颈链路到所述操作自治系统的最优路径。优选的是，利用宽度优先搜索算法计算出所述目的域间瓶颈链路到所述操作自治系统的最优路径步骤包括：选择所述目的域间瓶颈链路的客户自治系统作为起始自治系统；选取所述起始自治系统的客户自治系统形成客户集合Sn，其中n的初始值为1；判断所述客户集合Sn中是否包括所述操作自治系统，若包括所述操作自治系统则转至下一步，否则将所述客户集合Sn中的所有自治系统作为新的起始自治系统，且n加1，转至上一步；依据供应商自治系统与客户自治系统的相互关系从所述操作自治系统开始回溯并记录，得到从所述操作自治系统到所述目的域间瓶颈链路的客户自治系统的最优路径。优选的是，根据所述最优路径选取所有毒化对象步骤包括：选择所述最优路径上的所有自治系统的供应商或同伴作为毒化对象，其中所述毒化对象不在所述最优路径上。优选的是，根据所有毒化对象生成毒化报文步骤包括：将所有所述毒化对象的自治系统号排列于两个所述操作自治系统的自治系统号之间，并将其写入路由报文中形成毒化报文。优选的是，逐跳毒化所述最优路径的分支链路步骤包括：所述操作自治系统将所述毒化报文发送给所有的供应商自治系统和同伴自治系统，所述毒化报文逐跳毒化所述最优路径的分支链路，完成毒化。根据本发明的另一个方面，提供了一种通过毒化路径加剧路由集中程度的装置，包括数据处理器和存储有计算机程序的计算机可读存储介质，所述计算机程序可被所述数据处理器执行以完成上述任一所述的通过毒化路径加剧路由集中程度的方法的步骤。与现有技术相比，上述方案中的一个或多个实施例可以具有如下优点或有益效果：应用本发明实施例提供的通过毒化路径加剧路由集中程度的方法，通过伪造BGP宣告的方式将目标域间瓶颈链路到操作自治系统的预定路径的分支链路进行毒化，从而加剧目标域间瓶颈链路的路由集中程度。进一步地，将预定路径的分支链路进行毒化后，使得操作自治系统只能通过预定路径将路由报文发送给目标域间瓶颈链路，并通过目标域间瓶颈链路将路由信息传递到互联网的其它自治系统。具体的，本发明还可应用在前缀劫持中，通过对BGP路径进行毒化，使得一般的基于BGP宣告加重域间路由瓶颈的方法效率明显提升。在有策略的对操作自治系统到目标域间瓶颈链路的预定路径的分支链路进行毒化后，可以使得互联网中自治系统被欺骗的数目下降，但是在目标域间瓶颈链路上经过的路由数目增多，从而既降低了被安全机制发现的风险，又达到加强路由集中程度的目的。本发明的其它特征和优点将在随后的说明书中阐述，并且部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。附图说明附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例共同用于解释本发明，并不构成对本发明的限制。在附图中：图1示出了本发明实施例一通过毒化路径加剧集中程度方法的一种实施步骤示意图；图2示出了本发明实施例一通过毒化路径加剧集中程度方法中的宽度优先搜索算法计算最优路径的步骤示意图；图3示出了本发明实施例二通过毒化路径加剧集中程度方法的一种实施方式的互联网拓扑示意图；图4示出了本发明实施例三通过毒化路径加剧集中程度方法的另一种实施方式的互联网拓扑示意图。具体实施方式以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。需要说明的是，只要不构成冲突，本发明中的各个实施例以及各实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护范围之内。链路洪泛是用高强度的流量对路由瓶颈进行冲击，进而影响该瓶颈链路相关联的网络中用户的网络接入性能的手段，是一种恶意的攻击行为。现有技术人员也可以利用一定的链路洪泛手段来有意的冲击目标链路。现有技术中直接对路由瓶颈进行数据层的类似DDoS技术来实现对目标链路的冲击，会使得操作目标明确，特别容易被相关安全系统针对。具体由于BGP宣告的设计没有对AS路径进行加密和验证操作，各自治系统均可以对其宣告转发的路由更新进行修改。因此现有技术人员可通过伪造BGP宣告技术采用间接的手段进行路由集中程度的加剧。然而该种方式使得互联网中自治系统被欺骗的数目增加，同时也容易被相关安全系统针对。前缀劫持技术是现有技术中使用较普遍的劫持方法，其通过控制伪造BGP宣告控制报文的前缀，吸引互联网其它自治系统访问该前缀的流量经过自身，从而进行窃听、篡改、丢弃等操作。具体假设自治系统A的前缀为8.8.8.024，自治系统B的前缀为8.8.9.024，当自治系统A对流向自治系统B的流量进行劫持时，自治系统A将其发送的路由报文中的前缀替换为自治系统B的前缀8.8.9.024，使得流向自治系统B的一部分流量流向了自治系统A，即完成自治系统A对自治系统B的流量的劫持。然而在前缀劫持技术的使用过程中互联网中自治系统被欺骗的数目偏多，容易被相关安全系统针对，同时路由集中程度也偏低。而现有技术中也没有加剧前缀劫持中的路由的集中程度的方法的存在。为了进一步对本发明通过毒化路径加剧集中程度方法或装置进行详细的说明，先对以下名词进行解释。自治系统为互联网的组成单元，具有一定自主能力的集体或组织，常为应于某个网络供应商中国电信等独立实体。边界网关协议BorderGatewayProtocol，简称BGP，是目前唯一广泛运行在各个自治系统间的路由协议。AS路径：在BGP路由更新报文中的一个属性，表示自治系统到达报文对应的目的IP前缀需要依次经过的自治系统。伪造BGP：对BGP的控制报文的信息进行恶意修改如修改目的前缀、修改AS路径等，从而达到自身目的。实施例一为解决现有技术中存在的上述技术问题，本发明实施例提供了一种通过毒化路径加剧路由集中程度的方法。本发明通过毒化路径加剧集中程度方法包括如下步骤：选取操作自治系统和目标域间瓶颈链路，通过伪造BGP宣告的方式将目标域间瓶颈链路到操作自治系统的预定路径的分支链路进行毒化，以加剧目标域间瓶颈链路的路由集中程度；其中，操作自治系统为进行路径毒化操作的自治系统，目标域间瓶颈链路为需要进行路由集中的瓶颈链路，而毒化为操作自治系统不能经过该链路将报文传输给互联网的其它自治系统。需要说明的是，目标域间瓶颈链路可为一条瓶颈链路也可为多条瓶颈链路，而对操作自治系统到每条目标域间瓶颈链路的预定链路进行毒化的方法均相同，当对多条链路进行毒化时，将计算出的所有毒化对象放置在一个BGP路由报文中毒化并发出。以下仅以目标域间瓶颈链路为一条链路进行详细说明。在本发明的一个实施例中，预定路径为目标域间瓶颈链路到操作自治系统的最优路径。最优路径为目标域间瓶颈链路到操作自治系统的最短路径。同样需要说明的是，本申请中的预定路径还可以为目标域间瓶颈链路到操作自治系统的其它路径，在实际应用中预定路径可根据具体需求进行选取。图1示出了本发明实施例一通过毒化路径加剧集中程度方法的一种实施步骤示意图；参照图一，当预定路径为目标域间瓶颈链路到操作自治系统的最优路径时，通过伪造BGP宣告的方式将目标域间瓶颈链路到操作自治系统的预定路径的分支链路进行毒化的步骤具体包括如下步骤。步骤S101，计算目标域间瓶颈链路到操作自治系统的最优路径。具体地，图2示出了本发明实施例一通过毒化路径加剧集中程度方法中的宽度优先搜索算法计算最优路径的步骤示意图；参考图2，利用宽度优先搜索算法计算出目的域间瓶颈链路到操作自治系统的最优路径。其中，利用宽度优先搜索算法计算最优路径包括如下具体步骤：步骤S1011，选则目的域间瓶颈链路的客户自治系统作为起始自治系统；更进一步地，由于瓶颈链路包括一个供应商自治系统和一个客户自治系统，选取目的域间瓶颈链路中的客户自治系统作为起始自治系统，以作为后续寻找最优路径的起始自治系统。步骤S1012，选取起始自治系统的客户自治系统形成客户集合Sn，其中n的初始值为1；更进一步地，选取起始自治系统的所有客户自治系统形成客户结合S1。其中客户集合Sn中的数字n根据后续判断过程进行增加。步骤S1013，判断客户集合Sn中是否包括所述操作自治系统，若包括所述操作自治系统则转至下一步，否则将客户集合Sn中的自治系统作为新的起始自治系统，转至上一步，且n加1。更进一步地，由于初始时得到的客户集合为客户集合S1，因此对客户集合S1进行判断，若客户集合S1中包括操作自治系统，则转步骤S1014，否则将客户集合S1中的每一个自治系统均作为新的起始自治系统，并转至步骤S1012，重新生成相应的客户集合Sn，此时n在原始基础上加1。转至步骤S1012后，将客户集合S1中的每一个自治系统均作为新的起始自治系统，并选取每个起始自治系统的所有客户自治系统形成客户集合S2；依次类推，直到生成的客户集合Sn包括操作自治系统为止。步骤S1014，依据供应商自治系统与客户自治系统的对应关系从操作自治系统开始回溯，形成从操作自治系统到目的域间瓶颈链路的客户自治系统的最优路径。更进一步地，由于形成链路通常需要两个自治系统，且供应商自治系统与客户自治系统为相对应的关系，根据路由报文的传输路径，一个链路中发出数据报文的为客户自治系统，接收路由报文的为供应商自治系统，因此依据供应商自治系统与客户自治系统为相对应的关系，并根据与生成的客户集合的顺序相反的顺序，从操作自治系统开始回溯，到回溯到域间瓶颈链路的客户自治系统为止，形成从操作自治系统到目的域间瓶颈链路的客户自治系统的最优路径。步骤S102，根据最优路径选取所有毒化对象。具体地，选择最优路径上的所有自治系统的供应商和或同伴作为毒化对象，其中毒化对象不在最优路径上。更进一步地，最优路径包括不少于一个的自治系统，选取最优路径上的每个自治系统的所有供应商和或同伴作为毒化对象，其中当最优路径上的自治系统的供应商和或同伴在最优路径上时，不将其选为毒化对象。步骤S103，根据所有毒化对象生成毒化报文。具体地，将所有毒化对象的自治系统号排列于两个操作自治系统的自治系统号之间，并将其写入路由报文中形成毒化报文。更进一步地，通常自治系统在宣告或转发一条路由报文其AS路径假设为X,…,Y时，会将自己的自治系统号加在AS路径前端，当该路由报文被转发时，AS路径将会替换为A,X,…,Y假设A为该自治系统的自治系统号。本申请通过将操作自治系统和所有毒化对象的自治系统号进行排序，并将其按顺序写入AS路径来实现BGP宣告的伪造，生成毒化报文。具体操作自治系统和所有毒化对象的自治系统号的排序方式为：将所有毒化对象的自治系统号按任意顺序不重复的在两个操作自治系统之间排列。例如，假设操作自治系统的自治系统号为A，毒化报文的AS路径为A，L，M，A，则的自治系统号分别为L和M的自治系统被毒化。步骤S104，逐跳毒化最优路径的分支链路。具体地，操作自治系统将毒化报文发送给所有的供应商自治系统和同伴自治系统，毒化报文逐跳毒化最优路径的分支链路，完成毒化。更进一步地，操作自治系统将毒化报文发送出去以后，当毒化对象收到毒化报文时，由于自治系统的防环路机制，毒化对象会认为该毒化报文曾经由自身处理并转发过，为了避免形成路由环路而选择丢弃该毒化报文，从而使得毒化对象被毒化，进一步使得操作自治系统发送的数据报文只能通过到目标域间瓶颈链路的最优路径发送出去，以加剧目标域间瓶颈链路的路由集中程度。需要说明的是，如上述方法所示，攻击者通过毒化路径阻止其发出的路由报文由非域间路由瓶颈以外的其他链路传播至互联网的其他部分，从而使得所有被欺骗的路由集中于目标链路。以上算法给出的毒化路径算法是一个较保守的方法，即将目标链路到达攻击节点的最优路径的所有支路全进行了毒化。实际上，因为部分支路的路由优先级可能比通过目标链路的路径更低，这些支路即使不进行毒化，绝大多数自治系统的路由也会通过目标链路访问攻击者，所以我们可以对毒化对象进行一定程度的缩减。在互联网上，有大量的公共路由器，为网络工作者提供了访问服务。攻击者可以利用这些公共路由器，尝试逐步减少毒化对象，观察这些公共路由器访问被宣告前缀时，路由在目标链路上的集中程度：如果减少某个毒化对象后，路由集中程度下降明显，则不能缩减该自治系统；如果减少某个毒化对象后，路由集中程度几乎没有下降，则可以不对它进行毒化。该毒化对象的缩减方法要求公共路由器有着较广泛的分布，可以使用RouteViews项目或者RIPE项目的公共路由器进行缩减。应用本发明实施例提供的通过毒化路径加剧路由集中程度的方法，通过伪造BGP宣告的方式将目标域间瓶颈链路到操作自治系统的预定路径的分支链路进行毒化，从而加剧目标域间瓶颈链路的路由集中程度。进一步地，将预定路径的分支链路进行毒化后，使得操作自治系统只能通过预定路径将路由报文发送给目标域间瓶颈链路。具体的，本发明还可应用在前缀劫持中，通过对BGP路径进行毒化，使得一般的基于BGP宣告加重域间路由瓶颈的方法效率明显提升。在有策略的对操作自治系统到目标域间瓶颈链路的预定路径的分支链路进行毒化后，可以使得互联网中自治系统被欺骗的数目下降，但是在目标域间瓶颈链路上经过的路由数目增多，从而既降低了被安全机制发现的风险，又达到加强路由集中程度的目的。实施例二为了更进一步的对本发明通过毒化路径加剧路由集中程度的方法进行详细的说明，以下将其具体应用到前缀劫持过程中以实现其路由程度的集中。图3示出了本发明实施例二通过毒化路径加剧集中程度方法的一种实施方式的互联网拓扑示意图；参考图3，本实施例中，操作自治系统的自治系统号为AS198348，被劫持前缀的自治系统的自治系统号为AS262152，目标域间瓶径链路两端自治系统的自治系统号为AS3216–AS3356。为了便于区分各自治系统，以下以各自治系统号代表各自治系统。操作自治系统和目标域间瓶径链路周围的自治系统级拓扑如图3所示。操作自治系统伪造BGP宣告对域间路由瓶颈进行加剧。为了更进一步的显示出目标域间瓶颈链路的路由集中程度的情况，以下对仅实施前缀劫持方法以及实施前缀劫持方法后再实施毒化路径方法的两种实施结果进行对比说明。具体步骤包括：第一步：从互联网数据分析中心CAIDA上获取互联网当前拓扑并注入域间路由仿真系统。第二步：使用域间路由仿真系统模拟AS262152正常进行BGP宣告时，互联网各自治系统的路由收敛结果完成。此时通过域间路由瓶颈链路AS3216-AS3356的路由数目为N1。第三步：使用域间路由仿真系统模拟AS198348对AS262152进行前缀劫持。待路由收敛后，通过该域间路由瓶颈链路的路由数目为N2，互联网中被欺骗的自治系统比例为D1。第四步：使用域间路由仿真系统模拟AS198348对AS262152进行前缀劫持，并使用本发明中提出的毒化路径算法进行路径毒化。路由收敛后，通过该域间路由瓶颈链路的路由数目为N3，互联网中被欺骗的自治系统比例为D2。具体毒化步骤为：S1：选择最优路由；S11：选择AS3216作为起始自治系统；S12：选择AS3216的客户自治系统形成客户集合S1，其中S1包括AS29226；S13：判断出客户集合S1中不包括操作自治系统AS198348，将n加1，并转至步骤S12；S12：选择S1中所有自治系统的客户自治系统形成客户集合S2，其中S2包括AS198348，其为AS29226的一个客户自治系统；S13：判断出客户集合S2中包括操作自治系统AS198348，转至步骤S14；S14：依据供应商自治系统与客户自治系统的对应关系从操作自治系统开始回溯，即AS198348-AS29226-AS3216，形成从操作自治系统到目的域间瓶颈链路的客户自治系统的最优路径。S2：根据最优路径选取所有毒化对象；AS198348的旁支为：AS8470AS29226的旁支为：AS8359,AS1299,AS29076AS3216的旁支为：AS20965即毒化对象包括AS8470，AS8359,AS1299,AS29076，AS20965。S3：根据所有毒化对象生成毒化报文；生成的毒化报文中的AS路径：198348,8470,8359,1299,29076,20965,198348。S4：操作自治系统将毒化报文发送给所有的供应商自治系统和同伴自治系统，逐跳毒化最优路径的分支链路，完成毒化。如下表1显示了两次加剧的实验整理结果，其中欺骗自治系统比例分别为D1和D2，路由增长数目分别为N2-N1和N3-N1：表1欺骗自治系统比例％路由增长数目仅前缀劫持89.83576前缀劫持并毒化66.74148可以看到，使用毒化路径算法由于增加了AS路径长度，能降低其欺骗自治系统的比例，同时可以让更多的路由经过域间路由瓶颈，从而增强路由集中。该实例证明了本发明的可用性。实施例三为了更进一步的对本发明通过毒化路径加剧路由集中程度的方法进行详细的说明，以下将其具体应用到另一个前缀劫持过程中以实现其路由程度的集中。图4示出了本发明实施例三通过毒化路径加剧集中程度方法的另一种实施方式的互联网拓扑示意图；参考图4，本实施例中，操作自治系统的自治系统号为AS24723，被劫持前缀的自治系统的自治系统号为AS63291，目标域间瓶径链路两端自治系统的自治系统号为AS4766–AS6939。为了便于区分各自治系统，以下以各自治系统号代表各自治系统。操作自治系统和目标域间瓶径链路周围的自治系统级拓扑如图4所示。操作自治系统伪造BGP宣告对域间路由瓶颈进行加剧。为了更进一步的显示出目标域间瓶颈链路的路由集中程度的情况，以下对仅实施前缀劫持方法以及实施前缀劫持方法后再实施毒化路径方法的两种实施结果进行对比说明。具体步骤包括：第一步：从互联网数据分析中心CAIDA上获取互联网当前拓扑并注入域间路由仿真系统。第二步：使用域间路由仿真系统模拟AS63291正常进行BGP宣告时，互联网各自治系统的路由收敛结果完成。此时通过域间路由瓶颈链路AS4766-AS6939的路由数目为N4。第三步：使用域间路由仿真系统模拟AS24723对AS63291进行前缀劫持。待路由收敛后，通过该域间路由瓶颈链路的路由数目为N5，互联网中被欺骗的自治系统比例为D3。第四步：使用域间路由仿真系统模拟AS24723对AS63291进行前缀劫持，并使用本发明中提出的毒化路径算法进行路径毒化。路由收敛后，通过该域间路由瓶颈链路的路由数目为N6，互联网中被欺骗的自治系统比例为D4。具体毒化步骤为：S1：选择最优路由；S11：选择AS4766作为起始自治系统；S12：选择AS4766的客户自治系统形成客户集合S1，其中S1包括AS1273；S13：判断出客户集合S1中不包括操作自治系统AS24723，将n加1，并转至步骤S12；S12：选择AS1273的客户自治系统形成客户集合S2，其中S2包括AS31500；S13：判断出客户集合S2中不包括操作自治系统AS24723，将n加1，并转至步骤S12；S12：选择AS31500的客户自治系统形成客户集合S3，其中S3包括AS24724；S13：判断出客户集合S3中不包括操作自治系统AS24723，将n加1，并转至步骤S12；S12：选择AS24724的客户自治系统形成客户集合S3，其中S3包括AS24723；S13：判断出客户集合S3中包括操作自治系统AS24723，转至步骤S14；S14：依据供应商自治系统与客户自治系统的对应关系从操作自治系统开始回溯，即AS24723-AS24724-AS31500-AS1273-AS4766，形成从操作自治系统到目的域间瓶颈链路的客户自治系统的最优路径。S2：根据最优路径选取所有毒化对象；AS24723的旁支为：无AS24724的旁支为：AS6453,AS1299AS31500的旁支为：AS8732,AS2603,AS3267,AS3356AS1273的旁支为：AS701AS4766的旁支为：AS174即毒化对象包括AS6453,AS1299,AS8732,AS2603,AS3267,AS3356，AS701，AS174。S3：根据所有毒化对象生成毒化报文；生成的毒化报文中的AS路径：24723,6453,1299,8732,2603,3267,3356,701,174,24723。S4：操作自治系统将毒化报文发送给所有的供应商自治系统和同伴自治系统，逐跳毒化最优路径的分支链路，完成毒化。如下表2显示了两次加剧的实验整理结果，其中欺骗自治系统比例分别为D3和D4，路由增长数目分别为N5-N4和N6-N4：表2欺骗自治系统比例％路由增长数目前缀劫持72.39600前缀劫持并毒化46.913465可以看到，当我们采用毒化路径算法之后，加剧域间路由瓶颈的方法效果得到了明显提高。路由增长的数目提高了约40％，同时欺骗自治系统的比例反而下降了。对攻击者而言，他关注的只是对瓶颈链路上的路由集中程度。欺骗的自治系统比例下降，反而可以保护他免受其他安全机制的检测。该实例证明了本发明的可用性和高效性。其中，实例二和实例三均为将本发明通过毒化路径加剧路由集中程度的方法应用到实际互联网中的真实案例。实施例四为解决现有技术中存在的上述技术问题，本发明实施例提供了一种通过毒化路径加剧路由集中程度的装置。本发明通过毒化路径加剧路由集中程度的装置包括数据处理器和存储有计算机程序的计算机可读存储介质，计算机程序可被数据处理器执行以完成实施例一的通过毒化路径加剧路由集中程度的方法的所有步骤。本实施例与实施例一所产生的有益相同，在此不在对其进行赘述。虽然本发明所公开的实施方式如上，但所述的内容只是为了便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属技术领域内的技术人员，在不脱离本发明所公开的精神和范围的前提下，可以在实施的形式上及细节上作任何的修改与变化，但本发明的保护范围，仍须以所附的权利要求书所界定的范围为准。

权利要求：1.一种通过毒化路径加剧路由集中程度的方法，其特征在于，包括：通过伪造BGP宣告的方式将目标域间瓶颈链路到操作自治系统的预定路径的分支链路进行毒化，以加剧目标域间瓶颈链路的路由集中程度；其中，所述毒化使得所述操作自治系统不能经过该链路将路由报文传输给互联网的其它自治系统。2.根据权利要求1所述的方法，其特征在于，所述预定路径为所述目标域间瓶颈链路到操作自治系统的最优路径。3.根据权利要求2所述的方法，其特征在于，通过伪造BGP宣告的方式将目标域间瓶颈链路到操作自治系统的预定路径的分支链路进行毒化步骤包括：计算目标域间瓶颈链路到操作自治系统的最优路径；根据所述最优路径选取所有毒化对象；根据所有所述毒化对象生成毒化报文；逐跳毒化所述最优路径的分支链路。4.根据权利要求3所述的方法，其特征在于，所述目标域间瓶颈链路包括一条或多条。5.根据权利要求3所述的方法，其特征在于，计算目标域间瓶颈链路到操作自治系统的最优路径步骤包括：利用宽度优先搜索算法计算出所述目的域间瓶颈链路到所述操作自治系统的最优路径。6.根据权利要求5所述的方法，其特征在于，利用宽度优先搜索算法计算出所述目的域间瓶颈链路到所述操作自治系统的最优路径步骤包括：选择所述目的域间瓶颈链路的客户自治系统作为起始自治系统；选取所述起始自治系统的所有客户自治系统形成客户集合Sn，其中n的初始值为1；判断所述客户集合Sn中是否包括所述操作自治系统，若包括所述操作自治系统则转至下一步，否则将所述客户集合Sn中的所有自治系统作为新的起始自治系统，且n加1，转至上一步；依据供应商自治系统与客户自治系统的相互关系从所述操作自治系统开始回溯并记录，得到从所述操作自治系统到所述目的域间瓶颈链路的客户自治系统的最优路径。7.根据权利要求3所述的方法，其特征在于，根据所述最优路径选取所有毒化对象步骤包括：选择所述最优路径上的所有自治系统的供应商或同伴作为毒化对象，其中所述毒化对象不在所述最优路径上。8.根据权利要求3所述的方法，其特征在于，根据所有毒化对象生成毒化报文步骤包括：将所有所述毒化对象的自治系统号排列于两个所述操作自治系统的自治系统号之间，并将其写入路由报文中形成毒化报文。9.根据权利要求3所述的方法，其特征在于，逐跳毒化所述最优路径的分支链路步骤包括：所述操作自治系统将所述毒化报文发送给所有的供应商自治系统和同伴自治系统，所述毒化报文逐跳毒化所述最优路径的分支链路，完成毒化。10.一种通过毒化路径加剧路由集中程度的装置，其特征在于，包括数据处理器和存储有计算机程序的计算机可读存储介质，所述计算机程序可被所述数据处理器执行以完成上述权利要求1-9中任一项所述的通过毒化路径加剧路由集中程度的方法的步骤。

百度查询： 清华大学 通过毒化路径加剧路由集中程度的方法及装置