rst报文如何危及bgp协议的安全

1、首先打开bgp协议，该协议是组成我们当今Internet的一种去中心化的自治系统间的动态路由协议。

2、其次IPS冒充服务器向终端发送RST报文拆链，造成互联网局部链路拥塞。

3、最后引发网络丢包，危及该协议的安全。

一、MP-BGP

传统的BGP-4只能管理IPv4单播路由信息，MP-BGP对BGP-4进行了扩展，提供对多种网络层协议的支持；

MP-BGP使用 扩展属性 和 地址族 来实现对IPv6、组播和VPN相关内容的支持，BGP协议原有的报文机制和路由机制并没有改变；

BGP4+，指MP-BGP对IPv6单播网络的支持特性；

MBGP，指MP-BGP对IPv4组播网络的支持特性；

MP-BGP为IPv6单播网络和IPv4组播网络建立独立的拓扑结构，并将路由信息存储在独立的路由表中，保持单播IPv4网络、单播IPv6网络和组播网络之间的路由信息相互隔离，实现用单独的路由策略维护各自网络的路由；

MP-BGP扩展属性

为实现对多种网络层协议的支持，BGP需要将网络层协议的信息反映到NLRI及Next-hop，因此MP-BGP引入了两个新的可选非过渡路径属性：

1、MP_REACH_NLRI    多协议可达NLRI

用于发布可达路由信息和下一跳信息；

内容含义：

（1）Flag标志位：可选非过渡属性；

（2）AFI为IPv6，SAFI为单播；

（3）可达路由信息为2000:10:1:1::/64，下一跳地址为fe80::2

2、MP_REACH_NLRI    多协议不可达NLRI

用于撤销不可达的路由信息；

内容含义：

（1）Flag标志位为可选非过渡属性；

（2）AFI是IPv6，NAFI为单播

（3）需要撤销的路由为2000:10.1:4::/64 , 2000:10:1:5::/64

二、BGP ORF     Outbound Route Filtering出口路由过滤

能将本端设备配置的基于前缀的入口策略通过路由刷新报文发送给BGP邻居；

BGP邻居根据这些策略构造出口策略，在路由发送时对路由进行过滤；

这样不仅避免了本端设备接收大量的无用路由，降低了本端设备的CPU使用率，还降低了链路带宽利用率；

需要两端同时配置，否则不生效，配置命令如下：

peer x.x.x.x capability-advertise orf ip-prefix both

三、路由衰减 dampening         只对EBGP路由起作用

路由振荡指路由表中添加一条路由后，该路由又被撤销的过程；

当发生路由振荡时，设备就会向邻居发布路由更新，收到更新报文的设备需要重新计算路由并修改路由表，所以频繁的路由振荡会消耗大量的带宽资源和CPU资源；

为了防止频繁的路由振荡带来的不利影响，BGP使用路由衰减来抑制不稳定的路由；

1、惩罚值penalty value     

用来衡量一条路由的稳定性，惩罚值越高说明路由越不稳定；

路由每发生一次振荡，路由就会增加1000的惩罚值；

2、抑制阀值suppress value    

当惩罚值达到或超过抑制阀值时（缺省为2000），路由被抑制（不加表，不通告给邻居）；

3、半衰期half-life

被抑制的路由每经过一段时间（半衰期，缺省为15min），惩罚值会减少一半；

4、使用阀值reuse value

当被抑制的路由经过半衰期减少到可用的阀值（缺省为750），路由恢复可用（加表，通告给邻居）；

5、最大上限值ceiling

惩罚值增加到一定程度后（惩罚上限值，缺省为16000），不会再增加；

6、抑制时间suppress time

从路由被抑制到路由恢复可用的时间；

路由衰减配置示例：

配置半衰期10分钟、使用阀值1000、抑制阀值2000、最大惩罚值5000；

bgp 100

dampening 10 1000 2000 5000

四、对等体组

在大型BGP网络中，对等体的数量会很多，其中很多对等体具有相同的策略，在配置时会重复使用一些命令，邻居越多配置量越大；

对等体组是一些具有某些相同策略的对等体的集合，对等体组中的对等体可以继承对等体组的配置，当对等体组的配置改变时，组内成员的配置也相应改变；

利用对等体组可以实现批量配置，简化管理的难度，并提高路由通告效率；

对等体组配置示例：

group ttt external

peer ttt as-number 200

peer ttt connect-interface loopback0

peer ttt ebgp-max-hop

peer 10.1.2.2 group ttt

peer 10.1.3.3 group ttt

五、BGP认证

BGP认证分为md5认证和keychain认证；

md5认证只能为TCP连接设置认证密码；

keychain认证除了可以为TCP连接设置认证密码外，还可以对BGP协议报文进行认证；

BGP使用TCP作为传输层协议，可以在建立TCP连接时进行md5认证，认证由TCP来提供；

peer x.x.x.x passward cipher xxx

md5认证配置后生成单一密码，需要人为干预才可以切换密码；

配置BGP keychain认证前，必须配置keychain-name对应的keychain认证；

peer x.x.x.x keychain xxx

keychain具有一组密码，可以根据配置自动切换，适用于对安全性要求比较高的网络；

六、BGP GTSM    Generalized TTL Security Mechanism

开启BGP GTSM功能，设备对所有BGP报文的TTL值进行检查，丢弃TTL值小于阀值的攻击报文，避免网络攻击报文占用CPU；

peer x.x.x.x valid-ttl-hops xxx

gtsm default-action drop

GTSM是对称的，需要在对等体双方都配置；

---