十种机制保护三大网络基础协议（BGP、NTP和FTP）

除了DNS，还有其他网络基础协议也会变成攻击者的武器，该如何保护呢?

涉及基础互联网协议的攻击见诸报端时，人们的视线往往集中在Web上，HTTP或DNS是绝对的主角。但历史告诉我们，其他协议也会被当做攻击脆弱公司企业的武器和入口。

比如BGP(边界网关协议)、NTP(网络时间协议)和FTP(文件传输协议)，就是攻击者用以破坏运营或盗取数据资产的利器。最近频发的加密货币钱包劫持事件，充分展现出了BGP劫持作为攻击链一部分的有效性。从大多数用户的角度来看，BGP的神秘源于其复杂性，而大多数公司企业仅在其网络变得非常巨大之时才考虑应用BGP，更是增添了公司的风险。

NTP常被看做是仅提供对时便利性的协议，让用户免去自行对时并手动录入系统的麻烦。但实际上，从数据加密到文件传输等一应事务，都依赖NTP协议从标准服务器获取权威时间。因此，NTP协议无处不在，对攻击者非常有价值。

另外，虽然用户更喜欢用HTTP在系统间传输文件，但很多应用程序和系统仍将FTP作为基本的文件传输机制。因为常被用于传输大文件，只要能够对目标使用，FTP就是网络罪犯的有力武器。

对大多数公司而言，“停止使用这些协议”并不现实;有太多应用程序和用户都依赖这些协议，很长时间内都无法放弃其中哪一个。而且BGP和NTP这两个协议甚至都没有替代方案可用。所以，公司企业有必要找到保护这些协议的方法，让它们作为工具为公司所用，而不是作为武器为攻击者所用。

保护网络基础协议的方法当然有很多，其中有一些是可以激发思维，推动防御策略向前发展的。下面我们就为读者呈上几种保护网络基础协议的有效方法。

1. BGP：保护发言人

BGP是路由器间相互告知所处位置的协议，还可供路由器组用以建立数据包发送的最佳路径。其实现过程中需要确定路由器仍然接在互联网上：通过发言人(Speaker)每隔60秒在179端口发送一条TCP消息来保持与其相邻节点的连接。如果发言人被拿下，不仅仅是路由器掉线，还会打开非法路由器顶替上位的大门。

很明显，在已知端口上定期通信的关键网络链路是脆弱的，网络拥有者需采取特别的预防措施来保护它。互联网工程任务组(IETF)的专家们建议，可以采用访问控制列表(ACL)来屏蔽掉来自非邻居路由器节点的通信。

另外，网络管理员还应在控制层和数据层上施加速率限制，预防数据包洪水把发言人挤掉线。不仅仅是攻击洪水，过量的合法流量也会将网络从互联网上挤掉。所以，预设速率限制是个不错的预防方法。

2. BGP：TTL保安全

ACL是保护BGP的首要方法，其次就是利用网络防护中一个更广泛的机制：生存时间(TTL)。

TTL安全在 IETF RFC 5082 的“通用TTL安全机制”(GTSM)中有所描述。其大意是，花费太长时间到达的数据包不可能来自邻居节点，而不是来自邻居节点的数据包是可以丢弃的。

TTL安全的基本操作是：将TTL设置成255(最大值)，也就是要求数据包来自直接连接。因为第3层设备每碰一次数据包，都会导致TTL的衰减，所以绕来绕去的数据包是达不到TTL要求的。

3. BGP：前缀过滤器

想要保护BGP及其在网络中的职能，须得确保通告特定路由的路由器具备通告该路由的权限。比如说，如果有路由器通告称，“访问AWS要经过一家小电锯修理厂的路由器”，那这台路由器就肯定是恶意路由器，应被禁止其路由通告行为。可以预防恶意路由通告的方法之一，是前缀过滤——有点复杂，还有些现实世界的局限性，但是非常有效的方法。

前缀过滤可以判断路由器是否具备通告某路由的权限。其基本方法是基于互联网路由注册表(IRR)中包含的信息来过滤前缀。但因为IRR未必能及时更新，所以该方法在实际应用上情况有点复杂。

前缀过滤应仅允许路由器接受合法邻居节点的路由，仅传送合法路由到下游邻居节点。虽然非常有效，但网络管理员却必须时常维护更新合法节点列表。当网络(或客户网络)有很多冗余内部和外部路由时，管理员的工作就会变得相当复杂。不过，在安全非常重要的场合，还是值得为此付出努力的。

4. BGP：保护会话

因为BGP使用TCP进行传输，所以保护BGP会话也就意味着保护TCP会话，用于保护通用TCP的很多机制同样能用在保护BGP会话上。可以采用 RFC 2827 和 RFC 3704 中的建议，在网络边界处封锁明显的欺骗数据包。

有了数据包封锁，MD-5或TCP身份验证选项(TCP-AO)就可以提供有效防护了。