Skip to main content
QUICK REVIEW

[论文解读] Peerlock: Flexsealing BGP

Tyler McDaniel, Jared M. Smith|arXiv (Cornell University)|Jun 11, 2020
Internet Traffic Analysis and Secure E-voting参考文献 19被引用 3
一句话总结

Peerlock 是一种 BGP 路由泄漏缓解系统,使传输提供商能够在无需全局协调或信任基础设施的情况下自主实施过滤协议。实际实验表明,在一级网络之间已部署了 48% 的潜在 Peerlock 过滤器,而在大型 ISP 中战略性部署 Peerlock-lite 可缓解 80% 的模拟一级网络路由泄漏。

ABSTRACT

BGP route leaks frequently precipitate serious disruptions to interdomain routing. These incidents have plagued the Internet for decades while deployment and usability issues cripple efforts to mitigate the problem. Peerlock, introduced in 2016, addresses route leaks with a new approach. Peerlock enables filtering agreements between transit providers to protect their own networks without the need for broad cooperation or a trust infrastructure. We outline the Peerlock system and one variant, Peerlock-lite, and conduct live Internet experiments to measure their deployment on the control plane. Our measurements find evidence for significant Peerlock protection between Tier 1 networks in the peering clique, where 48% of potential Peerlock filters are deployed, and reveal that many other networks also deploy filters against Tier 1 leaks. To guide further deployment, we also quantify Peerlock's impact on route leaks both at currently observed levels and under hypothetical future deployment scenarios via BGP simulation. These experiments reveal present Peerlock deployment restricts Tier 1 leak export to 10% or fewer networks for 40% of simulated leaks. Strategic additional Peerlock-lite deployment at all large ISPs (fewer than 1% of all networks), in tandem with Peerlock within the peering clique as deployed, completely mitigates 80% of simulated Tier 1 route leaks.

研究动机与目标

  • 解决导致重大互联网中断的 BGP 路由泄漏这一长期问题。
  • 消除对广泛合作或信任基础设施的依赖以实现泄漏缓解。
  • 设计一种可扩展且可部署的系统,使传输提供商能够自主保护其网络。
  • 通过实际实验和 BGP 仿真评估 Peerlock 的实际部署情况及其影响。

提出的方法

  • Peerlock 在传输提供商之间建立双边过滤协议,从源头阻止泄漏的路由。
  • Peerlock-lite 是一种轻量级变体,通过简化过滤器交换来降低部署复杂度。
  • 该系统使用 BGP 控制平面测量来验证实际互联网环境中部署和有效性的结果。
  • BGP 仿真用于模拟当前和未来的部署场景,以量化不同配置下的泄漏缓解效果。
  • 通过一级网络和其他大型 ISP 的实际数据测量过滤器部署情况。
  • 该方法依赖于对等方之间的相互协议,无需全球策略协调或信任模型。

实验结果

研究问题

  • RQ1在真实互联网中,Peerlock 过滤器在一级网络之间的部署程度如何?
  • RQ2在当前部署水平下,Peerlock 在限制一级网络路由泄漏传播方面的有效性如何?
  • RQ3在大型 ISP 中广泛部署 Peerlock-lite 对缓解模拟一级网络路由泄漏的影响是什么?
  • RQ4与当前 Peerlock 部署相比,假设的未来部署场景在泄漏遏制方面表现如何?
  • RQ5当大型 ISP 部署 Peerlock-lite 并与对等圈中已存在的 Peerlock 结合时,是否能显著提升泄漏缓解效果?

主要发现

  • 在对等圈的一级网络之间,48% 的潜在 Peerlock 过滤器已实际部署,表明其在现实世界中已有实质性采用。
  • 在当前部署水平下,Peerlock 使 40% 的模拟泄漏中一级网络的泄漏导出至 10 个或更少的网络。
  • 若在所有大型 ISP 中战略性部署 Peerlock-lite(代表全部网络的不足 1%),可完全缓解 80% 的模拟一级网络路由泄漏。
  • 即使协调有限,Peerlock 部署也能显著减少路由泄漏的传播范围,证明其单位部署具有强大影响力。
  • 对等圈中的 Peerlock 与大型 ISP 的 Peerlock-lite 结合,构成一种高效且可扩展的缓解策略。
  • 结果表明,通过有针对性的、渐进式的 Peerlock 变体部署,可在 BGP 路由安全方面实现显著改进。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。