互聯(lián)網(wǎng)域間選路中的bgp安全研究

互聯(lián)網(wǎng)域間選路中的bgp安全研究

bps（b）協(xié)議是連接網(wǎng)絡(luò)的重要協(xié)議之一，也是互聯(lián)網(wǎng)上最重要的協(xié)議之一。bp協(xié)議起源于20世紀(jì)80年代。當(dāng)時，網(wǎng)絡(luò)的前身迅速發(fā)展。為了解決網(wǎng)絡(luò)規(guī)模的急劇擴張，網(wǎng)絡(luò)可能會變成一個網(wǎng)絡(luò)。為了解決網(wǎng)絡(luò)規(guī)模從單個合作網(wǎng)絡(luò)向多個自治系統(tǒng)（as）分散和連接的問題，rc827提出了一個解決方案，將自治系統(tǒng)從一個單一的合作網(wǎng)絡(luò)轉(zhuǎn)變?yōu)橐粋€自治系統(tǒng)（也稱為自治系統(tǒng)，簡稱as）。自治系統(tǒng)也稱為自治系統(tǒng)，由獨立實體管理。對于自治范圍內(nèi)的ospf、rip和其他域之間的自治協(xié)議，自治范圍內(nèi)的自治協(xié)議采用相同的自治協(xié)議。第一個區(qū)域間路徑協(xié)議是由亞盤縣使用的egg（外部感染協(xié)議）。egg協(xié)議可以說是bmp協(xié)議設(shè)計的原型。它適用于早期基于骨干網(wǎng)的ar盤縣，只支持基本結(jié)構(gòu)的網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)拓撲結(jié)構(gòu)從樹向網(wǎng)連接向網(wǎng)絡(luò)的轉(zhuǎn)變，egg協(xié)議難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境。在這種情況下，bp協(xié)議作為電子郵件協(xié)議的替代品啟動。首個BGP協(xié)議版本在RFC1105中制定.歷經(jīng)IETFIDR工作組的多次修改,目前,互聯(lián)網(wǎng)中實際運行的版本為BGP-4.BGP協(xié)議是一種路徑矢量(pathvector)協(xié)議,它支持CIDR、路由聚合以及靈活多變的路由選擇策略歷史上,BGP對于互聯(lián)網(wǎng)的商業(yè)化和全球化立下了汗馬功勞.然而,BGP協(xié)議的設(shè)計在安全方面留有巨大的缺陷,這直接導(dǎo)致了互聯(lián)網(wǎng)安全歷史上多起重大事件的發(fā)生.比較知名的有1997年的AS7007誤配事件、2004年的TTNet路由注入事件、2008年的YouTube劫持事件以及2012年的澳洲網(wǎng)絡(luò)中斷事件.此外,BGP協(xié)議的設(shè)計缺陷也使黑客對BGP協(xié)議的攻擊興趣日漸濃厚.例如,2008年的DEFCON黑客大會,兩位演講者演示了對BGP協(xié)議進行中間人攻擊以實現(xiàn)流量劫持的攻擊方法.所有這些安全事件及攻擊行為都充分暴露了BGP路由協(xié)議在安全上的脆弱性.基于此,有關(guān)BGP安全的研究一直非常受人關(guān)注.在國家層面,美國國土安全部于2003年正式將BGP安全納入網(wǎng)絡(luò)空間國家安全戰(zhàn)略,美國國家標(biāo)準(zhǔn)與技術(shù)研究院也在2007年制定了BGP協(xié)議安全標(biāo)準(zhǔn)文檔.在學(xué)術(shù)界,BGP安全也是網(wǎng)絡(luò)安全領(lǐng)域的一個重要研究方向,許多研究者和安全組織一直在對其進行深入研究.比較典型的有BBN公司設(shè)計的S-BGP、Cisco公司推出的soBGP以及IETF安全域間路由(secureinter-domainrouting,簡稱SIDR)工作組正在開發(fā)的RPKI&BGPsec協(xié)議.這些都為解決BGP安全問題提供了技術(shù)思路和努力方向.遺憾的是,由于BGP安全問題技術(shù)復(fù)雜而又牽涉面太廣,BGP安全至今仍是一個亟待解決的難題.本文對BGP安全進行了系統(tǒng)而全面的深入研究,主要貢獻如下:(1)統(tǒng)計分析歷次重要的BGP安全事件,歸納討論BGP面臨的主要安全威脅;(3)探討現(xiàn)有的BGP安全機制,分析它們各自在保護BGP安全方面的作用并指出其不足;(5)指出了未來BGP安全研究的發(fā)展趨勢和努力方向.本文第1節(jié)概述BGP協(xié)議的主要特性.第2節(jié)介紹BGP協(xié)議的安全漏洞以及由此帶來的各種安全威脅第3節(jié)對現(xiàn)有的BGP安全機制進行概括和討論.第4節(jié)對過往的BGP安全增強研究進行綜合分類和詳細比較第5節(jié)展望BGP安全的未來研究趨勢.第6節(jié)進行全文總結(jié).1bgp的路由特性BGP是目前互聯(lián)網(wǎng)實際使用的標(biāo)準(zhǔn)域間路由協(xié)議,它將為數(shù)眾多、拓撲各異、大小不一的自治域連接在一起并相互交換路由信息.BGP使用TCP作為路由交換的底層傳輸協(xié)議,其交換路由信息是以增量更新而非周期性更新的方式來進行.與其他路由協(xié)議相比,BGP最主要的特性在于它具有獨特的路由傳播方式,同時,它還可以實現(xiàn)靈活多變的路由策略.1.1實現(xiàn)cidr路由的加快作為路徑矢量協(xié)議,BGP在傳播路由時攜帶有重要的路徑信息.路徑信息一方面用于指示到達該路由的網(wǎng)絡(luò)拓撲,另一方面也用于路由選擇.BGP傳播的路徑信息主要包含網(wǎng)絡(luò)層可達信息(networklayerreachabilityinformation,簡稱NLRI)和路徑屬性(pathattribute).網(wǎng)絡(luò)層可達信息包含IP前綴(prefix)和長度,用于標(biāo)識目的網(wǎng)絡(luò)的CIDR地址.路徑屬性描述到達該CIDR地址的路由的特殊屬性.例如,AS_PATH屬性列出了到達目的網(wǎng)絡(luò)所經(jīng)過的一串AS路徑,NEXT_HOP屬性說明了該路由的下一跳地址.BGP的路由傳播過程如圖1所示:兩臺BGP路由器通過BGP協(xié)議建立連接后成為BGP對等體,對等體之間通過BGPUpdate消息互相交換新的路由信息.獲得的新路由經(jīng)過路由過濾,并與現(xiàn)有路由表中的路由進行比較,如果成為最佳路由,則該路由隨后被傳播到下一個AS.如此相互傳播下去,最終,所有相連的AS都將獲知到各自所屬網(wǎng)絡(luò)的路由信息.1.2實現(xiàn)平臺出站策略路由策略是指AS制定的接收路由、選擇最佳路由以及對外通告路由的策略.BGP對路由策略的豐富支持是BGP協(xié)議得以成為互聯(lián)網(wǎng)核心路由協(xié)議的關(guān)鍵.實際運營中,AS通過設(shè)置BGP路由的路徑屬性來實現(xiàn)其路由策略.與路由策略相關(guān)的路徑屬性主要有AS_PATH,LOCAL_PREF和MULTI_EXIT_DISC屬性.BGP協(xié)議規(guī)定,LOCAL_PREF值更高、AS_PATH路徑更短、MULTI_EXIT_DISC值更小的路由會被選為最佳路由.AS路由策略的制定通常取決于AS之間的關(guān)系(ASrelationships).互聯(lián)網(wǎng)是一個分散自治的系統(tǒng),AS之間可以依據(jù)地理鄰接和商業(yè)利益進行互聯(lián).互聯(lián)的AS之間根據(jù)彼此的商業(yè)關(guān)系,執(zhí)行相應(yīng)的入站和出站路由策略來控制流量,其目的是實現(xiàn)各自商業(yè)利益的最大化.AS之間的商業(yè)關(guān)系大致可分為4種:customer-to-provider(C2P),provider-to-customer(P2C),peer-to-peer(P2P)和sibling-to-sibling(S2S),其中,前3種關(guān)系最為重要.如上面圖1所示,ProviderAS為CustomerAS提供到其他AS的傳輸(transit)服務(wù),PeerAS之間則提供各自流量傳輸?shù)綄Ψ骄W(wǎng)絡(luò)的服務(wù).假定一個AS的provider,peer以及customer都向其通告了到達同一網(wǎng)絡(luò)的不同路由,則考慮到流量所產(chǎn)生的經(jīng)濟利益,AS選擇最佳路由的優(yōu)先次序為Customer>Peer>Provider.此外,基于同樣的經(jīng)濟利益考量,AS通常還會制定如下的路由出站策略:1)來自customer的路由通告給customer,peer以及provider;2)來自peer的路由僅通告給customer,不向peer和provider傳播;3)來自provider的路由僅通告給customer,不向peer和provider傳播.1.3bgp協(xié)議關(guān)于bgp的設(shè)計缺陷客觀來說,BGP協(xié)議在路由功能上的設(shè)計非常穩(wěn)健和可靠,這一點已被迄今為止Internet所表現(xiàn)出來的穩(wěn)定性所證明.不過與之相比,BGP協(xié)議在路由安全上的設(shè)計則顯得有些薄弱.已有的研究表明,BGP協(xié)議在安全上存在著非常明顯的設(shè)計缺陷和安全漏洞.BGP最主要的設(shè)計缺陷存在于BGP路由傳播過程之中.按照BGP協(xié)議規(guī)范,BGP在進行路由傳播時,AS只能向外通告自己所擁有的CIDR地址塊.然而,由于BGP協(xié)議設(shè)計成默認接受對等體通告的任何路由,也即無條件信任對等體的路由宣告,這就導(dǎo)致即使一個AS向外通告不屬于自己的前綴,也將會被對端接受并繼續(xù)傳播.這種錯誤的路由傳播無疑會導(dǎo)致許多安全問題的發(fā)生.BGP的上述設(shè)計缺陷可以歸結(jié)為BGP缺乏一個安全可信的路由認證機制,也即BGP無法對傳播路由信息的真實性和完整性進行驗證.2bgp安全威脅BGP運行于AS之間,理論上,互聯(lián)網(wǎng)上的任意一個AS都可以通過BGP協(xié)議來影響其他任意AS的路由決策.這種緊密相關(guān)的特性猶如現(xiàn)實世界中的“蝴蝶效應(yīng)”,容易使BGP協(xié)議乃至互聯(lián)網(wǎng)因某一突發(fā)性的錯誤或攻擊而遭受重大的安全威脅.目前,研究者聚焦討論最多的BGP安全威脅是前綴劫持(prefixhijacking),它起源于BGP在交換路由信息時缺乏可信路由認證機制這一主要設(shè)計缺陷;其次,由于BGP協(xié)議使用TCP傳輸路由信息,通過攻擊TCP來威脅BGP通信也一直是人們研究的熱點;再者,因近期互聯(lián)網(wǎng)發(fā)生了多起造成網(wǎng)絡(luò)大規(guī)模中斷的路由泄漏(routeleak)事件,路由泄漏也因此成為引人關(guān)注的一個新威脅.圖2是我們按時間順序統(tǒng)計的重要BGP安全事件,每一事件都代表一種相應(yīng)的安全威脅.以下我們對這3類威脅進行具體討論.2.1惡意前置被劫持前綴劫持是指一個AS對外通告了一個未獲授權(quán)的前綴.所謂“未獲授權(quán)”是指該前綴屬于其他AS所有或者該段地址空間尚未分配.Internet地址分配遵循由IANA到RIR(regionalInternetregistries)再到LIR(locaInternetregistries)的授權(quán)層級,AS違反授權(quán)對外通告非法的前綴將直接造成流量劫持的發(fā)生.例如,2006年AS27506(ConEdison公司)錯誤地通告了AS2033(Panix公司)擁有的IP前綴/16,造成流向Panix公司的部分流量被劫持到AS27506.過往的研究表明,前綴劫持的產(chǎn)生主要是由于管理員對BGP路由器進行了錯誤的配置,其原因大多與IGP(interiorgatewayprotocol)到BGP的路由重分發(fā)(redistribute)有關(guān).然而,2008年,巴基斯坦電信為限制其國內(nèi)用戶訪問YouTube網(wǎng)站,對YouTube的前綴進行了惡意的主動劫持.自那以來,研究界對這種惡意前綴劫持行為的研究越來越多.一般而言,惡意攻擊者可以通過偽造NLRI信息和AS_PATH路徑來達到成功實施前綴劫持的目的.2.1.1日bgp最短路徑選擇此種情況下,惡意的AS偽造BGPUpdate消息中的NLRI信息,向外通告一個非法的前綴.如圖3(a)所示,AS1是前綴/16的合法擁有者,它向外通告到達該段網(wǎng)址的路由.在圖3(b)中,AS5惡意偽造NLRI也向外通告到達/16的路由.如此,根據(jù)BGP選取最短AS_PATH路徑的原則,AS4將優(yōu)先選取經(jīng)AS5到/16的路徑.更進一步地,如果攻擊者不但偽造NLRI中的前綴,而且修改成一個更長的前綴長度,那么依據(jù)BGP的最長匹配原則,所有其他的AS將選擇該偽造路徑,如圖4所示.2.1.2asp的修改上述偽造NLRI信息實施前綴劫持的攻擊方式會造成多源AS(multipleoriginAS,簡稱MOAS)沖突,即一個前綴被多個AS通告.MOAS沖突容易被已有的各類BGP監(jiān)測工具檢測出來.為避免此類監(jiān)測,攻擊者可通過同時修改NLRI信息和AS_PATH路徑來解決MOAS問題.如圖5所示,AS5偽造前綴/16,同時準(zhǔn)備修改AS_PATH.為避免產(chǎn)生MOAS,攻擊者可將AS_PATH直接修改為{1},但這樣通告的路由會被AS4拒絕原因是BGP規(guī)定AS_PATH屬性的最后一跳AS要與通告路由器本身的AS號(此處為5)一致.可行的修改方式是將AS_PATH修改為{5…1}之類的起源為1,最后一跳為5的路徑,這里假設(shè)AS_PATH被修改成{51}.如此AS4將收到兩條到達/16的AS_PATH路徑{321}和{51},依據(jù)最短路徑原則優(yōu)先選擇經(jīng)AS5到達/16.這樣,AS4中目的地為/16的流量原本應(yīng)該路由到AS1中,卻被劫持到了AS5中.總而言之,前綴劫持是BGP協(xié)議面臨的最主要的威脅,其結(jié)果輕可造成路由黑洞(blackhole)和中間人攻擊(man-in-the-middleattack,簡稱MITM),重則容易導(dǎo)致互聯(lián)網(wǎng)的大規(guī)模癱瘓.2.2r-to-cud研磨bgp的路由策略路由泄漏是一種能夠造成BGP路由發(fā)生嚴(yán)重錯誤、進而導(dǎo)致互聯(lián)網(wǎng)部分中斷的重要威脅.鑒于最近幾起路由泄漏事件的破壞性,路由泄漏在近期逐漸為研究人員所關(guān)注.目前,研究界對路由泄漏尚未有確切的定義,文獻嘗試對其給出定義,但未獲IETFSIDR工作組的認可.本文在此對路由泄漏進行一個初步的界定.我們界定路由泄漏的依據(jù)主要來源于對具體路由泄漏事件的綜合調(diào)查.利用RouteViews和RIPERIS收集的BGP路由歷史數(shù)據(jù),我們對這些泄漏事件進行了充分的取證分析,并建立了如圖6所示的兩種路由泄漏模型.圖6(a)和圖6(b)分別表示違反peer-to-peer路由策略和違反provider-to-customer路由策略的兩種路由泄漏.在圖6(a)中,ASN將接收自peer的路由通告給了它的provider和另外的peer;圖6(b)中,ASN將接收自provider的路由通告給了它的peer以及另外的provider.這兩種路由通告行為雖然都符合BGP協(xié)議的路由傳播規(guī)范,但卻明顯違反了我們在第1節(jié)中介紹的BGP路由出站策略.依據(jù)文獻構(gòu)建AS圖G=(V,E)的方法,我們以r代表ASN路由表中的每條BGP更新路由,r.last_as代表該路由AS_PATH中最左邊的AS,也即通告該路由的上一個AS.以export(M,N)代表ASN到ASM的出站路由策略,export(M,N)[r]代表ASN對路由r應(yīng)用出站路由策略后向ASM通告的路由.同時,以provider(N),peer(N),customer(N)分別代表ASN的provider,peer以及customer,則上述路由泄漏模型可以表示為路由泄漏通常會造成流量重定向.例如在圖6(a)中,假設(shè)peer2與provider2互聯(lián)且為peer-to-peer的關(guān)系,peer2的prefix被ASN違反策略“泄漏”給了provider2.此時,provider2的路由表中有兩條到達peer2prefix的路由,一條來自peer(peer2),另一條來自customer(ASN).根據(jù)第1節(jié)所描述的選擇最佳路由的優(yōu)先次序Customer>Peer>Provider,則provider2將舍棄直連到達peer2的路徑,轉(zhuǎn)而選擇經(jīng)ASN到達peer2網(wǎng)絡(luò),這就造成provider2訪問peer2網(wǎng)絡(luò)流量的重定向.同理,在圖6(b)中,路由泄漏也會使得從provider2訪問provider1的流量重定向到ASN.綜合上述分析,我們可以歸納出路由泄漏的3個特征:(1)路由泄漏通告的路由合法,因此路由泄漏不屬于前綴劫持的范疇;(2)路由泄漏通告的路由明顯違反了AS之間的路由策略;(3)路由泄漏的后果是造成流量重定向.2.3as商業(yè)關(guān)系BGP使用TCP協(xié)議作為傳輸層,自然,針對TCP協(xié)議的攻擊手段都將給BGP安全帶來風(fēng)險.傳統(tǒng)的TCPSYN,TCPSYNACK,TCPACK,TCPRST/FIN/FIN-ACK等各種TCP攻擊方式,都可能用于威脅BGP會話的安全.此外,從信息安全的角度來說,對TCP會話保密性和完整性的攻擊也會給BGP安全造成重大影響.通過這兩種攻擊,攻擊者可以竊聽BGP路由信息,推斷AS之間的商業(yè)關(guān)系;還可惡意刪除、修改以及重播BGP消息造成BGP路由的撤銷和震蕩,進而引起網(wǎng)絡(luò)中斷.近來,針對BGP協(xié)議的TCP攻擊有了新的發(fā)展.借助于Kuzmanovic等人提出的Low-rateTCP-targetedDoS攻擊方式,Zhang等人避開BGP的安全防御機制,對選定的BGP鏈路實施數(shù)據(jù)平面的遠程拒絕服務(wù)攻擊由于BGP會話的控制平面與數(shù)據(jù)平面共享同一信道,數(shù)據(jù)平面的TCP會話擁塞必然引起控制平面的TCP擁塞因此,受攻擊的BGP會話將被重置,進而引起路由撤銷和網(wǎng)絡(luò)不可達.這種新的BGP攻擊方式以3位作者的名字被命名為ZMW攻擊,并且一出現(xiàn)就引起研究人員的關(guān)注.Schuchard等人進一步拓展了ZMW攻擊的方式和效果,他們通過僵尸網(wǎng)絡(luò)(botnet)對多個BGP會話同時發(fā)起協(xié)作式跨平面會話終止(coordinatedcrossplanesessiontermination,簡稱CXPST)攻擊.這種攻擊將使BGP會話因反復(fù)重置而產(chǎn)生大量的BGP更新消息.這些巨量的BGP更新將被傳播到互聯(lián)網(wǎng)的所有核心路由器,引起路由器的CPU過載,進而嚴(yán)重影響互聯(lián)網(wǎng)的路由性能.Schuchard等人展示的這種攻擊被媒體形象地稱為“數(shù)字大炮(digitalordnance)”.3gtsm機制上節(jié)所描述的眾多安全威脅,促使BGP協(xié)議不斷地更新和完善.經(jīng)研究者和BGP開發(fā)人員的共同努力BGP發(fā)展了很多加強協(xié)議安全性的機制.然而,并非所有的安全機制都能適應(yīng)互聯(lián)網(wǎng)這個分散自治的系統(tǒng),考慮到性能開銷以及現(xiàn)實部署等多方面的原因,目前已經(jīng)得以應(yīng)用的安全機制并不多.概括而言,AS常用的BGP安全機制主要包括TCPMD5、GTSM(generalizedTTLsecuritymechanism)、路由抖動抑制(routeflapdamping)、路由過濾(routingfiltering)以及路由注冊(routingregistries)這5種.TCPMD5是Cisco公司在RFC2385中提出的一種用于保護BGP會話的簽名選項.該方案在每個TCP段中加入了一個包含MD5摘要信息的擴展項.用于計算MD5摘要的內(nèi)容包括TCP偽首部、首部、數(shù)據(jù)段以及一個對話雙方獨立共享的密鑰.接收者使用本地密鑰按照相同的算法計算MD5摘要,并與接收到的摘要相比較,相同則接受,不同則丟棄此數(shù)據(jù).TCPMD5簽名選項在一定程度上可以保證BGP會話消息的真實性、完整性以及抗重播性,但顯然無法保證會話的機密性.此外,MD5算法在今天看來也并不安全,它本身存在產(chǎn)生“碰撞”的問題.而且,對MD5算法的破解也發(fā)展成采用彩虹表(rainbow)查表的方式,這使MD5算法的安全性大為降低,進而相應(yīng)地減弱了使用TCPMD5簽名選項的安全效果.GTSM是一種對數(shù)據(jù)包的TTL值進行檢測,進而判別攻擊威脅的安全機制.它利用IP數(shù)據(jù)包經(jīng)過路由器時TTL值減1這一原理,通過鑒別接收數(shù)據(jù)包的TTL值來抵御外部攻擊.GTSM機制比較適用于會話雙方直接相連的協(xié)議.由于BGP會話大都是點到點連接,所以GTSM可以很好地應(yīng)用于BGP.具體來說,采用GTSM機制的BGP路由器發(fā)送數(shù)據(jù)包時將TTL值設(shè)為最大值255,接收數(shù)據(jù)包的BGP對等體檢查數(shù)據(jù)包的TTL值,若該值等于255,則接受,否則,丟棄.根據(jù)上述原則,GTSM可以有效防止針對BGP路由器的遠程攻擊.遠程攻擊者通常處于與被攻擊路由器距離1跳以外的位置,無論它采取包括IP欺騙在內(nèi)的何種攻擊手段,攻擊數(shù)據(jù)包到達被攻擊路由器時的TTL值都將小于255,攻擊數(shù)據(jù)包將因此而被GTSM機制拒絕接收.GTSM機制簡單、有效,它對BGP會話的安全起到重要的保護作用.不過,在實際配置時,考慮到IBGP可以不直連以及EBGP可能使用多跳連接等因素,GTSM的TTL判別閾值需要做出相應(yīng)的調(diào)整.3.3路由擺動抑制路由抖動是指BGP路由反復(fù)被通告而后又被撤銷的現(xiàn)象.頻繁的路由抖動將增加路由器的CPU負擔(dān),同時影響B(tài)GP路由的可達性,進而可能造成網(wǎng)絡(luò)不穩(wěn)定而發(fā)生中斷.為此,RFC2349提出了路由抖動抑制的方法來解決該問題.該方法對抖動的路由分配一個懲罰值,懲罰值隨抖動次數(shù)的增多而增大,當(dāng)懲罰值增大到抑制門限(suppresslimit)時,該路由將被抑制,停止向外通告.路由抖動抑制一直以來都被當(dāng)作增強BGP路由系統(tǒng)穩(wěn)定性的機制,不過后來的研究表明,路由抖動抑制會顯著地影響路由收斂時間,而且因為不同路由器廠商對MRAI(minimumrouteadvertisementinterval)時間設(shè)置的差異,路由抖動抑制反而有可能造成正常的路由通告被錯誤抑制.3.4基本原則及其應(yīng)用路由過濾是現(xiàn)階段用于保護BGP安全的最重要的手段.AS應(yīng)盡可能地根據(jù)自己的路由策略制定詳細的入站和出站路由過濾規(guī)則.事實上,歷次BGP安全事件的調(diào)查分析均表明,沒有實施正確的路由過濾是導(dǎo)致事件發(fā)生的重要原因.鑒于此,很多研究詳細討論了用于路由過濾的基本原則.一般而言,以下這些指導(dǎo)規(guī)范ISP應(yīng)該遵循:(2)過濾特殊地址:特殊地址主要包括私有地址、回環(huán)地址、組播地址以及IPv6的鏈路本地地址等;(3)過濾前綴長度過長的地址:IPv4前綴長度超過/24,IPv6前綴長度超過/48的通常應(yīng)被過濾;3.5irr數(shù)據(jù)庫路由注冊(routingregistries)是指AS將自己的路由信息、路由策略注冊到公共數(shù)據(jù)庫以便相互查詢的行為目前,使用較為廣泛的路由注冊數(shù)據(jù)庫主要是1995年建立的IRR(Internetroutingregistry),該數(shù)據(jù)庫儲存了以RPSL(routingpolicyspecificationlanguage)語言描述的相關(guān)信息.這些信息由AS各自維護建立,記錄了AS的地址列表、入站和出站策略等內(nèi)容.通過查詢IRR數(shù)據(jù)庫,AS不但可以鑒別路由的起源,還可以驗證該路由是否違反了AS之間的路由策略這一點對AS防止前綴劫持和路由泄漏都很有益.不過,IRR在運營中存在一些問題,影響了它的實際使用效果這些問題主要包括:上述這些問題引起了一些研究人員的關(guān)注,Liu等人提出一種E-IRR機制,從提高實用性和安全性的角度出發(fā)設(shè)計一種前綴策略(prefixpolicy)注冊數(shù)據(jù)庫,用于更好地防范前綴劫持.4bgp安全增強研究方向上節(jié)所討論的BGP安全機制可在一定程度上保護BGP的安全,但要徹底解決BGP安全問題還需要進一步深入地加以研究.這一方面是因為BGP協(xié)議在安全上的設(shè)計缺陷仍然存在,研究者仍然需要為彌補這一設(shè)計缺陷而努力提出各種技術(shù)方案;另一方面也是基于BGP對互聯(lián)網(wǎng)牽一發(fā)而動全身的重要地位,任何一種BGP安全技術(shù)都需要認真考慮性能開銷、增量部署(incrementaldeployment)等可行性問題.概括而言,當(dāng)前絕大多數(shù)的BGP安全增強研究都致力于解決前綴劫持這一根本性的問題.這些研究大致可以分為兩個方向:一是給BGP協(xié)議的安全漏洞“打補丁”,即通過采用各種路由認證技術(shù)來修補BGP協(xié)議缺乏路由認證機制的缺陷;二是借鑒入侵檢測的思想發(fā)展各類BGP前綴劫持檢測技術(shù),在前綴劫持事件發(fā)生后及時發(fā)現(xiàn)并解決問題.下面我們分別從這兩個方面對現(xiàn)有的各類BGP安全技術(shù)加以詳述.4.1基于sbgp的bgp路由認證算法IETF的SIDR工作組將BGP的路由認證分解為兩個問題:A.一個AS是否擁有通告某一IP前綴的合法授權(quán)(originAS的真實性)?B.一條BGP路由中的AS_PATH是否與其NLRI實際傳播的路徑一致(AS_APTH的完整性)?這兩個問題實際上分別代表路由信息的真實性和完整性兩個方面,解決了這兩個問題就等于基本上消除了前綴劫持的安全威脅.圍繞這兩個問題的解決,涌現(xiàn)出了相當(dāng)多的技術(shù)思路.首先,最容易想到的思路是引入PKI對BGP路由消息進行數(shù)字簽名.數(shù)字簽名經(jīng)過多年的發(fā)展已被證明是解決身份認證問題最有效的方法.不過,由于數(shù)字簽名的計算開銷較大以及建立和部署PKI的難度,又有人研究以對稱密鑰加密來替代PKI的技術(shù)當(dāng)然,除此之外還有一些其他的另辟蹊徑的辦法,比如較早的基于DNS的NLRI信息源認證技術(shù)以及基于本地路由注冊思想的IRV技術(shù),等等諸如此類.受篇幅所限,本文將選擇最有影響力和代表性的一些技術(shù)方案進行分析.Kent等人提出的S-BGP(secureBGP)是使用PKI技術(shù)來增強BGP安全性的最早的文獻之一.通過建立一套用于證書發(fā)布和路由驗證的PKI,以及引入一種新的可選傳遞(optionaltransitive)路徑屬性,S_BGP構(gòu)建了一個完整的解決BGP路由認證問題的架構(gòu).具體來說:首先,IP地址分配和AS號碼分配都是依照從IANA到RIR再到ISP這一模式沿襲下去,S-BGP借鑒了該模式并建立了一套與之并行的PKI體系.IANA作為此體系的信任起點,為RIR簽發(fā)證書,RIR繼而為ISP簽發(fā)證書.一個ISP有兩種證書:IP地址塊證書和AS號碼證書.IP地址塊證書將ISP的公鑰與其申請的IP地址空間綁定,表明這些IP地址空間歸該ISP擁有;AS號碼證書則將ISP的公鑰與其申請的AS號碼綁定,表明這些AS號碼屬該ISP所有.其次,ISP也作為CA分別為其所管理的各個AS和BGP路由器簽發(fā)證書,這兩類證書用以鑒別AS和BGP路由器的身份.為了能使用上述證書對BGP路由進行認證,S-BGP還設(shè)計了兩類證明(attestations):地址證明(addressattestations)和路由證明(routeattestations).這里所謂的“證明(attestation)”是一段數(shù)字簽名數(shù)據(jù),其格式在文獻中給出定義,如圖7所示.“地址證明”的Signer是ISP,ExplicitPA字段包含有該ISP擁有的一段IP前綴,Target是ISP授權(quán)用于通告該IP前綴的AS號.ISP使用其私鑰對IP前綴和AS號碼數(shù)據(jù)進行簽名并置于Signature字段,以保護該段數(shù)據(jù)的完整性和真實性.“地址證明”實際上表明了哪個AS被ISP授權(quán)來通告其所擁有的前綴.“路由證明”的格式和“地址證明”的格式一樣.“路由證明”的Signer是BGP路由器,ExplicitPA字段含有要通告的IP前綴,Target是路由器對等體的AS號.“路由證明”用BGP路由器的私鑰進行簽名,“路由證明”實際上代表了BGP路由通告方對其對等體繼續(xù)通告該IP前綴的授權(quán).值得注意的是,S-BGP將“路由證明”設(shè)計為一種新的路徑屬性,隨update消息傳送.利用上述4種證書和兩種證明,BGP路由器可以實現(xiàn)對接收到的BGP路由進行認證.方法是:提取路由信息中的IP前綴,從其他地方獲取與該IP前綴綁定的ISP證書和“地址證明”,用ISP的公鑰驗證“地址證明”,就可證實路由的originAS是否具有通告該前綴的合法授權(quán);對于AS_PATH的認證,則可使用AS_PATH中每一跳AS的路由器證書來對路由消息中攜帶的“路由證明”逐個驗證,以證實該AS_PATH確實可信.S-BGP雖然成功地解決了路由認證問題,不過也相應(yīng)地帶來計算開銷大、路徑收斂時間延長的問題,更加上建立PKI需要IANA、RIR、ISP以及路由器廠商的共同參與,致使S-BGP始終未能實際部署.針對S-BGP存在的問題,Cisco公司提出了一套更為簡潔的BGP安全方案——soBGP(secureoriginBGP).soBGP設(shè)計了3類證書來實現(xiàn)路由認證:EntityCert,AuthCert(authorizationcertificate)和ASPolicyCert其中,EntityCert證書用于鑒定AS實體身份,頒發(fā)給每個AS,并將其AS號綁定到一個公鑰,由第三方進行簽名該證書的身份驗證基于網(wǎng)狀信任模型(Weboftrust),可以依賴于VeriSign這樣的知名認證服務(wù)提供商的公鑰來認證.AuthCert證書用于給AS提供通告一個IP地址塊的授權(quán).AuthCert將該AS和它可能通告的地址塊相關(guān)聯(lián)AuthCert證書采用TLV(type/length/value)格式和逐級授權(quán)機制.如圖8所示,地址塊所有者的上一級AS給下一級AS授權(quán)簽名,證書的驗證可以通過追溯上一級AS的公鑰進行,如此逐級往上,完成地址塊和通告AS的分配ASPolicyCert證書用于描述AS之間的拓撲連接關(guān)系.每個AS將其連接的各個對等體列表于該證書中,并使用其私鑰簽名,所有AS根據(jù)這些ASPolicyCert證書建立AS連接拓撲圖.依據(jù)此拓撲圖,AS可以判斷路由中的AS_PATH路徑是否屬實.ASPolicyCert證書可以說是soBGP方案最為巧妙的一個設(shè)計.所有上述3類證書都使用soBGP設(shè)計的一種名為SECURITYMessage的新的BGP消息類型來傳送.soBGP的設(shè)計力圖減輕由于增強安全性而帶來的負面開銷,它沒有采用S-BGP的層次結(jié)構(gòu)信任模型,因而也就不需要建立專門的PKI體系.然而也正因為如此,缺乏信任錨的地址授權(quán)認證體系使soBGP的安全性顯著地降低.IRV(interdomainroutingvalidation)是一種結(jié)合S-BGP和IRR思想的BGP安全方案.在IRV架構(gòu)中,一個AS可以向其他AS證明自己曾經(jīng)通告和傳播過的路由,其他AS獲取這些信息來對接收到的路由進行驗證.具體來說,每個AS都專門提供一臺驗證服務(wù)器,該服務(wù)器充當(dāng)“域間路由驗證器(interdomainroutingvalidator)”的角色.驗證服務(wù)器中記錄有本地AS路由策略信息、本地AS接收到的路由通告以及本地AS發(fā)送過的路由通告等信息.當(dāng)其他AS需要對某一接收路由進行驗證時,可以向該AS的驗證服務(wù)器查詢歷史路由通告記錄,以核對路由的有效性.如圖9所示,假設(shè)AS4收到一條前綴為/16,AS_PATH為{321}的路由通告.為驗證AS1是否是該路由的發(fā)起者,AS4可以向AS1的IRV驗證服務(wù)器查詢路由記錄,以證明AS1確實通告了此前綴.同時,為驗證AS_PATH路徑,AS4可以逐個地向AS1,AS2,AS3發(fā)起查詢,求證AS1是否將路由傳播給了AS2,而AS2又將路由傳播給了AS3.IRV的上述設(shè)計看似簡單有效,然而卻存在幾個重要的缺陷不容回避:其一,如何確保IRV驗證服務(wù)器信息的真實性和完整性?如果本地管理員錯誤地配置了路由信息或服務(wù)器遭到惡意攻擊導(dǎo)致信息錯誤,那將使路由驗證結(jié)果變得不可信;其二,IRV可以向其他AS證明自己是某個路由通告的發(fā)起者,但它無法證明這一路由通告中的IP前綴確實歸它所有,IRV方案本身也承認,要解決這一問題依然需要類似S-BGP那樣的地址證書.RPKI&BGPsec是目前IETFSIDR工作組正在開發(fā)的域間路由安全標(biāo)準(zhǔn).RPKI(resourcepublickeyinfrastructure)是一種“資源公鑰基礎(chǔ)設(shè)施”,用于證書的發(fā)布以及對路由通告合法性的驗證.BGPsec是一項BGP安全擴展,其目的是為BGPupdate消息中的AS_PATH屬性提供安全保護.RPKI與BGPsec結(jié)合,用以對BGP路由的真實性和完整性進行驗證.從SIDR工作組目前發(fā)布的部分RFC文檔及草案來看,RPKI&BGPsec基本沿襲了S-BGP方案的技術(shù)思路,即主要依靠數(shù)字簽名和證書來增強BGP協(xié)議安全.RPKI的證書發(fā)布體系與現(xiàn)有的地址分配和AS號碼分配體系相吻合,它從IANA和RIR向下逐級簽發(fā)資源證書,直到端實體(endentity).端實體擁有一段不可再細分的IP地址資源,它使用自己的私鑰為一段名為路由源授權(quán)(routeoriginationauthorizations,簡稱ROA)的信息進行簽名.ROA包含端實體的IP地址塊以及端實體指定用于通告該段地址的AS號.所有證書以及ROA均通過一套分布式的RPKI證書庫系統(tǒng)(RPKIrepositorysystem)進行集中和分發(fā),每臺BGP路由器都可以從自己所屬的ISP分發(fā)點獲取各類證書和ROA.利用端實體證書對ROA信息進行認證,就可以驗證AS_PATH中的originAS是否有通告NLRI的授權(quán).這一過程如圖10所示.RPKI中的ROA實際上相當(dāng)于S-BGP中的“地址證明”.同理,BGPsec新引入的路徑屬性BGPSEC_Path_Signatures也相當(dāng)于S-BGP中的“路由證明”.BGPSEC_Path_Signatures實際上代表了AS_PATH中的前一AS對后一AS繼續(xù)通告路由的授權(quán),簽名和驗證方式也與S-BGP中大致類似,這里不再贅述.ROVER(routeoriginverification)是最近提出的一種新的驗證BGP路由真實性的技術(shù).它的基本思想是利用反向DNS查詢來驗證AS是否具有通告相應(yīng)prefix的授權(quán).反向DNS查詢通常只能查詢一個IP地址,而不能查詢一段IP地址塊.ROVER的創(chuàng)新在于,它設(shè)計了一種編碼機制,可將一段任意長度的IP地址塊添加到一項新設(shè)計的SRO反向查詢資源記錄當(dāng)中.這種SRO資源記錄的示例如下:它的含義是授權(quán)AS4538作為/16的合法通告者.這樣,當(dāng)其他AS收到prefix為/16的路由通告時,就可以通過查詢1.16.的反向DNS資源記錄得到/16的合法通告AS號,并由此驗證這條BGP路由通告的真實性.從實際應(yīng)用的角度來看,ROVER技術(shù)很容易部署,它不需要對現(xiàn)有的BGP協(xié)議作任何修改,只需對DNS反向查詢區(qū)進行簡單的擴展即可.當(dāng)然,為了保證這種DNS反向查詢結(jié)果的可信,ROVER需要依賴于DNSSEC的支持.4.1.6取得平衡的研究有關(guān)BGP路由認證的其他研究多數(shù)以S-BGP為參考來進行.鑒于S-BGP無法在增強安全與降低開銷及部署難度方面取得平衡,這些研究主要圍繞以下幾個方面來探索:(1)安全且高效的originAS認證;(2)安全且高效的AS_PATH認證;(3)簡單、易部署的PKI體系;(4)輕量級的認證技術(shù).總之,這類研究均著眼于如何改進S-BGP的兩大缺陷,即:需要建立和部署復(fù)雜PKI體系的問題以及相應(yīng)的由于采用非對稱加、解密技術(shù)所帶來的計算開銷問題.4.2前置被劫案的檢測前綴劫持檢測是BGP安全領(lǐng)域的另一個研究熱點,同樣存在眾多不同的技術(shù)方案.實際上,大多數(shù)的方案都是基于前綴劫持的以下兩個重要特征來研究相關(guān)檢測技術(shù):基于上述兩個特征,一類檢測技術(shù)重在研究如何實時發(fā)現(xiàn)MOAS沖突,并進而判別是否發(fā)生了前綴劫持;另一類檢測技術(shù)使用主動探測手段,通過發(fā)送各種探測數(shù)據(jù)包并基于其響應(yīng)來判斷是否發(fā)生了前綴劫持.下面分別從MOAS檢測和主動探測兩個方面歸類敘述.4.2.1round-pgbgpMOAS檢測技術(shù)從控制平面提供的信息來檢測前綴劫持的威脅.MOAS檢測研究最早見于文獻,該文獻將MOAS沖突劃分為有效的MOAS和無效的MOAS.有效的MOAS可能由于多宿主(multi-homing)等因素所造成,無效的MOAS則由前綴劫持所產(chǎn)生.MOAS檢測技術(shù)的核心在于如何快速、準(zhǔn)確地檢測出無效的MOAS沖突.比較有影響的MOAS檢測技術(shù)包括如下幾種:MOASList是一種相對簡單的MOAS檢測機制.MOASList的基本思想是:創(chuàng)建一個包含所有授權(quán)通告某一前綴的originAS的列表(MOASlist),將該列表附于每一授權(quán)AS的路由通告中.當(dāng)其他路由器接收到關(guān)于這一前綴的所有路由通告時,比較通告中的MOASList是否一致,以此判斷是否發(fā)生了前綴劫持.MOASList技術(shù)之所以有效,主要在于Internet是一個高度互聯(lián)的mesh網(wǎng)絡(luò).無論是因惡意攻擊還是因管理員誤配所產(chǎn)生的前綴劫持,由于BGP路由傳播的多路徑特性,錯誤的MOASList和正確的MOASList最終都會被接收路由器收到,兩者的不一致就會使接收路由器意識到發(fā)生了前綴劫持事件.PHAS是目前得以實際應(yīng)用的另一類MOAS檢測技術(shù)的典型代表.它通過審查諸如RouteViews之類的BGP監(jiān)測項目收集的路由數(shù)據(jù),發(fā)現(xiàn)前綴劫持威脅并實時地向前綴所有者通報.PHAS的設(shè)計理念認為,當(dāng)出現(xiàn)MOAS沖突時,只有前綴所有者才能準(zhǔn)確地分辨出是合法的MOAS還是前綴劫持.基于此,PHAS建立了一個完整的劫持檢測及通知架構(gòu):用戶首先向PHAS系統(tǒng)注冊自己想要保護的前綴,系統(tǒng)將依據(jù)RouteViews的數(shù)據(jù)對該前綴進行監(jiān)測.當(dāng)發(fā)現(xiàn)前綴的起源發(fā)生變化時,系統(tǒng)將通過郵件等渠道向用戶發(fā)出警告,用戶根據(jù)警告提供的信息來判斷是否發(fā)生了前綴劫持.PHAS的優(yōu)點是設(shè)計簡單、部署容易且很有效;缺點是在缺乏PKI的情況下無法驗證用戶對其注冊的前綴的所有權(quán),存在惡意攻擊者冒稱某一前綴所有權(quán)的可能.PGBGP由Karlin等人提出.該方案建議BGP路由器審慎地應(yīng)對MOAS沖突.方案從改變路由器的決策規(guī)則著手,延遲可疑路由被采用和向外傳播的時間,以最大限度地減少前綴劫持可能帶來的損害.方案的核心在于如何定義可疑路由和正常路由.他們?yōu)榇瞬捎玫姆椒ㄊ?首先,在一段歷史時間(historyperiod)內(nèi)收集所有接收的update消息,通過結(jié)合update消息內(nèi)容和路由器的RIB,提取update消息中每一前綴對應(yīng)的originAS;其次在歷史時間過后,任何新接收的路由如果其前綴起源與上述提取結(jié)果相違背(產(chǎn)生MOAS),將被視為可疑路由并被隔離一段時間(suspiciousperiod).如果隔離時間過后可疑路由仍然存在路由表中,則可疑路由將被視為合法且被路由器采用.PGBGP方案實際上利用了大多數(shù)前綴劫持事件持續(xù)時間都較短(45%不超過24小時)這一統(tǒng)計現(xiàn)象,通過使路由器推遲采用可疑路由的辦法避開前綴劫持的威脅時間段,從而免受劫持事件帶來的影響.該方案存在的一個重要問題是如何確定歷史時間和隔離時間兩個參數(shù),以避免誤報或漏報.4.2.2目標(biāo)前置的網(wǎng)絡(luò)距離檢測主動探測技術(shù)從數(shù)據(jù)平面反饋的信息來印證前綴劫持的發(fā)生.主動探測技術(shù)一般需要設(shè)立若干觀測點(vantagepoint),從觀測點發(fā)出探測數(shù)據(jù)包,然后分析響應(yīng)數(shù)據(jù)包,提取相關(guān)特征信息以鑒別劫持事件的發(fā)生與否.根據(jù)觀測點所處網(wǎng)絡(luò)位置的不同,我們將主動探測技術(shù)歸納為以下兩類:(1)由外向內(nèi)探測這一類的探測技術(shù)將觀測點選擇在目標(biāo)前綴所處自治域的外部,比較典型的是Zheng等人提出的一種輕量級分布式前綴劫持檢測機制.該機制的建立出于以下兩點考慮:若未發(fā)生前綴劫持,則:A.從觀測點到目標(biāo)前綴的網(wǎng)絡(luò)距離應(yīng)該是穩(wěn)定的;基于上述兩個原則,Zheng等人設(shè)計了如下方案:首先,在目標(biāo)前綴所處自治域外部選取一定數(shù)量的觀測點之后,周期性地測量從觀測點到目標(biāo)前綴的網(wǎng)絡(luò)距離;若檢測到網(wǎng)絡(luò)距離發(fā)生顯著變化,則進一步測量觀測點到參考點路徑和到目標(biāo)前綴路徑的一致性;若存在顯著的不一致,則判定該目標(biāo)前綴已被劫持.(2)由內(nèi)及外探測這一類探測技術(shù)的觀測點位于目標(biāo)前綴所處自治域的內(nèi)部,代表方案是Zhang等人提出的ISPY.該方案利用了本節(jié)前面分析的前綴劫持的數(shù)據(jù)平面特征:源地址為被劫持地址的數(shù)據(jù)包可能有去無回.也就是說,前綴劫持使部分AS受到污染,從前綴合法所有者向這些被污染的AS發(fā)出探測數(shù)據(jù)包時會遭遇失敗,因為響應(yīng)數(shù)據(jù)包可能在返回途中被路由到劫持者的網(wǎng)絡(luò)中去.這種特征表現(xiàn)在AS這一層次上,就是以前綴所有者為中心到達外部AS的可達性視圖(viewofthereachability)存在很多cuts.當(dāng)然,這種cuts也可能是因鏈路中斷造成的,但Zhang等人的分析表明,前綴劫持所造成的cuts遠比鏈路中斷造成的cuts要多.基于上述原理,該方案成功地實現(xiàn)了以前綴所有者為中心的基于主動探測的前綴劫持檢測.由內(nèi)及外的探測技術(shù)因為只需要在目標(biāo)前綴所有者中部署,因此更易實施且實時性更好.不足之處是,此類技術(shù)需要連續(xù)不斷地向外發(fā)送探測數(shù)據(jù)包,對自治域本身網(wǎng)絡(luò)的性能會有所影響.4.2.3探測結(jié)果鑒別暴力路徑前面的分析表明,MOAS檢測技術(shù)可部署性強,適用面廣,但時效性差且容易產(chǎn)生誤報.主動探測技術(shù)能夠準(zhǔn)確、實時地檢測前綴劫持,但盲目地發(fā)送過多的探測數(shù)據(jù)會影響其效率.鑒于此,目前新的研究趨勢是嘗試將兩者相結(jié)合,首先利用MOAS檢測技術(shù)篩選出可疑的路由,然后針對這些可疑的路由發(fā)送主動探測數(shù)據(jù)包進行驗證,最后根據(jù)探測結(jié)果鑒別前綴劫持.這類技術(shù)的系統(tǒng)框架如圖11所示.4.3bgp安全研究中兩種技術(shù)的比較路由認證技術(shù)和前綴劫持檢測技術(shù)代表BGP安全研究的兩大方向,我們對這兩類技術(shù)作一個綜合的比較:表1列出了這兩種技術(shù)在各項評價指數(shù)上的對比結(jié)果.5rpki&bgpsec安全的影響B(tài)GP安全多年以來一直是一個懸而未解的難題,網(wǎng)絡(luò)運營商和學(xué)術(shù)界對此問題始終保持相當(dāng)?shù)年P(guān)注.鑒于BGP對互聯(lián)網(wǎng)不可替代的重要性,有關(guān)BGP路由安全的研究仍將是互聯(lián)網(wǎng)安全領(lǐng)域的研究熱點和重點.我們認為,未來BGP安全研究可能集中于以下幾個方向:(1)RPKI&BGPsec的安全性RPKI&BGPsec作為IETF著力推廣的BGP安全標(biāo)準(zhǔn),其安全性如何還有待深入研究.目前已經(jīng)有研究發(fā)現(xiàn),RPKI本身操作的不當(dāng)會給路由安全帶來不利的影響.此外,有關(guān)RPKI&BGPsec標(biāo)準(zhǔn)本身可能存在的安全漏洞也正在討論.再者,該標(biāo)準(zhǔn)的增量部署將會導(dǎo)致BGP路由交換環(huán)境變得混雜,部署了RPKI&BGPsec的AS與未部署該標(biāo)準(zhǔn)的AS同時存在于互聯(lián)網(wǎng),這極可能給攻擊者以可乘之機,從而給BGP安全帶來新的未知安全威脅.(2)基于DNS的BGP路由認證基于DNS擴展來驗證BGP路由的研究由來已久,不過一直以來進展不大.隨著ROVER在將CIDR地址編碼成反向DNS資源記錄技術(shù)上的突破,基于DNS的BGP路由認證研究正在重新引起關(guān)注,而且由于可以依賴DNSSEC來保證認證結(jié)果的真實性和完整性,這類技術(shù)極有可能成為未來與RPKI&BGPsec競爭的BGP安全方案.(3)基于域間多路徑路由的前綴劫持檢測域間多路徑路由是BGP協(xié)議可能的一個發(fā)展方向.多路徑路由因其最佳路徑不再單一,這將使前綴劫持在多路徑路由環(huán)境下更容易檢測出來.