阮曉龍+楊明

摘 要：隨著互聯(lián)網(wǎng)的快速發(fā)展，人民的生活和工作方式都演變了更加高效快捷的模式。但隨著人民在眾多領(lǐng)域愈發(fā)依賴于網(wǎng)絡(luò)，信息安全的問(wèn)題也凸顯出來(lái)。提出一種IP黑名單聚合的解決方案，來(lái)聚合互聯(lián)網(wǎng)中已有的黑名單數(shù)據(jù)，并加以利用，在一定程度上加強(qiáng)互聯(lián)網(wǎng)的安全性。

關(guān)鍵詞：IP黑名單；聚合；BGP

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)志碼：A

Aggregation and Application Implementation of IP Black List Based on Internet Multi Data Sources

RUAN Xiao-long1，YANG Ming2

（1.The Network Information Center of Henan University of Chinese Medicine，Zhengzhou，Henan 450000；

2.School of Information Technology，Henan University of Chinese Medicine，Zhengzhou，Henan 450000，China）

Abstract：With the rapid development of the internet， peoples life and work style has evolved a more efficient and efficient model.But with the people in many areas increasingly dependent on the network， the issue of information security is also highlighted.In this paper， we propose a solution to the aggregation of IP black list， which can be used to enhance the security of the Internet in a certain extent.

Key words：IP black list，polymerization，BGP

1 引 言

IP黑名單是指被設(shè)置禁止通行的IP地址列表。在一個(gè)管理完備的網(wǎng)絡(luò)中，往往會(huì)設(shè)置IP黑名單列表，以阻斷有安全風(fēng)險(xiǎn)的地址的訪問(wèn)。發(fā)往IP黑名單的數(shù)據(jù)包不會(huì)被正常的轉(zhuǎn)發(fā)[1]，而被丟棄（稱為black hole route，即黑洞路由，一般是送到Null0空接口）或者是發(fā)送到特殊的目的地（稱為sinkhole路由，送到專門的流量處理設(shè)備進(jìn)一步處理），配合單播反向路徑轉(zhuǎn)發(fā)可以高效的將來(lái)自IP黑名單的數(shù)據(jù)包丟棄。IP黑名單的應(yīng)用可以顯著的加強(qiáng)網(wǎng)絡(luò)的安全性。

隨著互聯(lián)網(wǎng)的發(fā)展，互聯(lián)網(wǎng)的安全問(wèn)題尤為重要。盡管現(xiàn)在許多企業(yè)和機(jī)構(gòu)都有自己的黑名單庫(kù)，但是能夠共享在互聯(lián)網(wǎng)中且能供開(kāi)放使用的卻少之又少。提出了一種基于多數(shù)據(jù)源進(jìn)行IP黑名單數(shù)據(jù)聚合，并面向互聯(lián)網(wǎng)提供開(kāi)放服務(wù)的解決方案。

2 IP黑名單數(shù)據(jù)獲取

2.1 數(shù)據(jù)來(lái)源

討論時(shí)所使用的黑名單數(shù)據(jù)來(lái)源有以下三個(gè)：1、中國(guó)科學(xué)技術(shù)大學(xué)（http：//blackip.ustc.edu.cn），2、東北大學(xué)（http：//antivirus.neu.edu.cn/scan/）3、OpenBL（http：//www.openbl.org），但是系統(tǒng)可以平滑擴(kuò)展到支持更多的數(shù)據(jù)源。上述三個(gè)IP黑名單數(shù)據(jù)源主要以文本格式提供數(shù)據(jù)[2]，其發(fā)布在Web服務(wù)器上，通過(guò)HTTP GET請(qǐng)求即可獲取黑名單數(shù)據(jù)。

2.2 數(shù)據(jù)清洗機(jī)制

首先向目標(biāo)數(shù)據(jù)源發(fā)起HTTP GET請(qǐng)求（例如http：//blackip.ustc.edu.cn/list.php？txt）獲取到全部的IP黑名單地址信息，然后通過(guò)正則表達(dá)式匹配，獲取到每個(gè)IP地址存入到數(shù)組中[3]，并去除重復(fù)的數(shù)據(jù)。然后將過(guò)期時(shí)間設(shè)置為24小時(shí)之后，存入數(shù)組中，最終形成一個(gè)IP地址和過(guò)期時(shí)間的二維數(shù)組。

3 IP黑名單數(shù)據(jù)存儲(chǔ)

IP黑名單數(shù)據(jù)源存儲(chǔ)采用關(guān)系型數(shù)據(jù)庫(kù)存儲(chǔ)。

3.1 數(shù)據(jù)庫(kù)設(shè)計(jì)

存放IP黑名單數(shù)據(jù)的關(guān)系表的關(guān)鍵字段如表1所示。

3.2 緩存機(jī)制

獲取到的黑名單信息并非直接更新到數(shù)據(jù)表，而是采用文本緩存的機(jī)制，最大限度的減少數(shù)據(jù)庫(kù)讀寫壓力，數(shù)據(jù)緩存的基本字段與格式為：緩存記錄={IP地址＼＼t過(guò)期時(shí)間＼＼n}。

緩存數(shù)據(jù)的機(jī)制一般有以下幾個(gè)步驟。

①讀取現(xiàn)有的IP黑名單信息，形成一個(gè)IP地址和過(guò)期時(shí)間的二維數(shù)組A1。

②將最新獲取到的黑名單數(shù)據(jù)存入數(shù)組A2，將數(shù)組A2與A1取交集，得到數(shù)組B=A1∩A2。

③取A2與B的差集得到C=A2-B，即為需要插入數(shù)據(jù)庫(kù)中的黑名單數(shù)據(jù)數(shù)組[4]。

④將A1中過(guò)期時(shí)間小于當(dāng)前時(shí)間的黑名單數(shù)據(jù)，從A1中刪除并存入A3，則A3為需要?jiǎng)h除的黑名單數(shù)據(jù)數(shù)組。

⑤將數(shù)組A1剩余的數(shù)據(jù)與數(shù)組A2取并集，得到D=A1∪A2，即為當(dāng)前所有未過(guò)期的黑名單數(shù)據(jù)，并將數(shù)據(jù)更新到緩存數(shù)據(jù)中。

利用數(shù)據(jù)緩存機(jī)制，在盡可能減少數(shù)據(jù)庫(kù)操作的情況下實(shí)現(xiàn)數(shù)據(jù)的有效、可靠更新。

3.3 數(shù)據(jù)更新

根據(jù)3.2的計(jì)算，得到需要插入到數(shù)據(jù)庫(kù)的黑名單數(shù)據(jù)C與需要?jiǎng)h除的黑名單數(shù)據(jù)A3。將C的數(shù)據(jù)格式化，插入到數(shù)據(jù)庫(kù)中，將A3中的IP地址的status字段值改為deleting狀態(tài)。

3.4 數(shù)據(jù)備份endprint

數(shù)據(jù)備份是指將原有的數(shù)據(jù)拷貝一份，生成一個(gè)原有的數(shù)據(jù)的副本，當(dāng)原有的數(shù)據(jù)被破壞時(shí)，使用已備份的副本數(shù)據(jù)恢復(fù)原有數(shù)據(jù)。因此為了保障黑名單數(shù)據(jù)安全性，數(shù)據(jù)備份必不可少。

可通過(guò)Linux任務(wù)計(jì)劃，建立自動(dòng)備份機(jī)制，具體的做法如下所示。

①每天0點(diǎn)，進(jìn)行一次全量數(shù)據(jù)備份，并保存最近15個(gè)備份數(shù)據(jù)；

②每周一0點(diǎn)，將上一周的7個(gè)備份數(shù)據(jù)發(fā)布到遠(yuǎn)程FTP服務(wù)器上，實(shí)現(xiàn)遠(yuǎn)程備份數(shù)據(jù)存儲(chǔ)。

4 聚合計(jì)算

4.1 數(shù)據(jù)聚合的實(shí)現(xiàn)

根據(jù)2和3中提到的數(shù)據(jù)獲取與存儲(chǔ)機(jī)制，一個(gè)數(shù)據(jù)源從獲取到存儲(chǔ)的過(guò)程如圖1所示。

而實(shí)際上，獲取的黑名單數(shù)據(jù)接口源不止一個(gè)，這個(gè)時(shí)候每個(gè)數(shù)據(jù)接口所獲取到的數(shù)據(jù)應(yīng)該是獨(dú)立存在的，并通過(guò)來(lái)源和類型作為接口區(qū)分，互不影響，保障數(shù)據(jù)的可靠性。

4.2 多進(jìn)程數(shù)據(jù)聚合

為了提高采集效率，可使用多進(jìn)程的方式，針對(duì)每個(gè)數(shù)據(jù)接口使用一個(gè)獨(dú)立的進(jìn)程來(lái)完成一個(gè)完整的聚合流程。

5 IP黑名單應(yīng)用

在黑名單數(shù)據(jù)庫(kù)聚合完成之后，即可將黑名單數(shù)據(jù)面向社會(huì)提供服務(wù)。為了減少路由記錄數(shù)量，可將IP黑名單數(shù)據(jù)通過(guò)路由計(jì)算進(jìn)行聚合，減少黑名單記錄條數(shù)，并以IP地址塊的格式提供服務(wù)。

5.1 面向服務(wù)器的應(yīng)用

5.1.1 文本格式

每5分鐘將數(shù)據(jù)庫(kù)中的黑名單數(shù)據(jù)聚合后生成txt文件，通過(guò)Web服務(wù)器發(fā)布，用戶通過(guò)HTTP GET請(qǐng)求獲得黑名單數(shù)據(jù)進(jìn)行應(yīng)用。

文本格式的黑名單數(shù)據(jù)主要用于類UNIX操作系統(tǒng)的內(nèi)置防火墻軟件使用。例如，某Linux服務(wù)器上開(kāi)啟iptables防火墻，在服務(wù)器上通過(guò)shell腳本自動(dòng)獲取黑名單數(shù)據(jù)并生成防火墻策略，實(shí)現(xiàn)黑名單數(shù)據(jù)中的IP地址無(wú)法訪問(wèn)該服務(wù)器。

以CentOS 6.5操作系統(tǒng)，通過(guò)BIND構(gòu)建的DNS服務(wù)器為例，通過(guò)以下的shell腳本可自動(dòng)獲取DNS黑名單數(shù)據(jù)并生成防火墻策略，以提升DNS服務(wù)器的安全性。

#！/bin/bash

iptables -F dns

curl http：//openblackip.online/api/txt/dns.txt > dnsblackip.txt

for ip in `cat dnsblackip.txt`；

do echo iptables -A dns -j DROP -s $ip；

iptables -A dns -j DROP -s $ip；

done

可通過(guò)cron配置每5分鐘執(zhí)行一次上述shell腳本，來(lái)達(dá)到防火墻策略實(shí)時(shí)更新的效果。

5.1.2 JSON格式

JSON是常用的數(shù)據(jù)交換格式之一，和文本格式發(fā)布方式相同，將黑名單數(shù)據(jù)生成JSON文件，通過(guò)Web服務(wù)器發(fā)布。使用者只需要讀取JSON接口就能夠獲取到黑名單數(shù)據(jù)。

JSON格式的黑名單數(shù)據(jù)如下例所示，獲取與使用的方法與文本格式的使用方法基本一致。

{

"code"： "0"，

"msg"： "success"，

"data"： {

"router"：[

1.0.151.84，

1.0.182.122，

1.1.164.230，

… …

] ，

"mail"：[

1.22.124.237，

1.23.103.205，

1.28.144.183，

… …

]，

… …

}

}

5.1.3 XML格式

XML格式是常用的數(shù)據(jù)交換格式之一，通過(guò)將數(shù)據(jù)庫(kù)中的黑名單數(shù)據(jù)以XML文檔的方式進(jìn)行Web方式發(fā)布。XML格式的黑名單數(shù)據(jù)如下例所示，獲取與使用的方法與文本格式的使用方法基本一致。

0

success

1.0.151.84

1.0.182.122

1.1.164.230

… …

1.22.124.237

1.23.103.205

1.28.144.183

… …

… …

5.1.4 API安全設(shè)計(jì)

為了保障業(yè)務(wù)的安全性，可在提供服務(wù)的接口增加訪問(wèn)認(rèn)證和數(shù)據(jù)加密，只有符合要求的用戶可從接口處獲取數(shù)據(jù)。獲取接口認(rèn)證所需要的令牌可通過(guò)注冊(cè)賬號(hào)的方式來(lái)獲取。

5.2 面向路由器的應(yīng)用

5.2.1 黑洞路由

黑洞路由是指一條路由的下一跳地址為null0，使得數(shù)據(jù)包無(wú)法被正常的轉(zhuǎn)發(fā)。黑洞路由通常用于解決DOS攻擊，同時(shí)也是一個(gè)封鎖黑名單的常用方法。例如某路由器想要封鎖IP地址1.0.151.84，具體的做法如下所示。

①在路由器上增加靜態(tài)路由ip route 127.0.0.2 255.255.255.255 null0；endprint

②添加靜態(tài)路由 ip route 1.0.151.84 255.255.255.255 127.0.0.2。

5.2.4 IP黑名單BGP分發(fā)系統(tǒng)

通常使用手動(dòng)添加路由的方法不僅工作量大，路由可維護(hù)性差，且路由器的路由表不能夠?qū)崟r(shí)更新。利用BGP協(xié)議來(lái)控制黑名單的添加與刪除，能夠大大減輕管理員工作量，便于路由維護(hù)，且能夠達(dá)到路由表實(shí)時(shí)更新的效果。

IP黑名單BGP分發(fā)系統(tǒng)就是利用BGP客戶端，通過(guò)iBGP協(xié)議將黑名單數(shù)據(jù)發(fā)送給BGP路由服務(wù)器，然后由BGP路由服務(wù)器通過(guò)eBGP協(xié)議將黑洞路由分發(fā)給其他的路由器，具體架構(gòu)如圖2所示。

5.2.2 BGP服務(wù)器

邊界網(wǎng)關(guān)協(xié)議（BGP）是運(yùn)行于 TCP 上的一種自治系統(tǒng)的路由協(xié)議，主要功能是和其他的BGP系統(tǒng)交換網(wǎng)絡(luò)可達(dá)信息。網(wǎng)絡(luò)可達(dá)信息包括列出的自治系統(tǒng)（AS）的信息。

在Linux服務(wù)器上，可通過(guò)開(kāi)源軟件Quagga來(lái)構(gòu)建BGP路由服務(wù)器，具體的安裝與配置方法可參考官方文檔http：//www.nongnu.org/quagga/docs/quagga.pdf。

使用Quagga啟用BGP服務(wù)的關(guān)鍵配置如下所示。

ip route 127.0.0.2/32 Null0

router bgp 200

neighbor blackipclient peer-group

neighbor blackipclient ebgp-multihop 255

neighbor blackipclient prefix-list discard all in

neighbor blackipclient route-map blackip -out out

neighbor 211.69.35.115 remote-as 100

neighbor 211.69.35.115 peer-g roup blackipclient

access-list blackhole permit 127.0.0.2/32

ip prefix-list discard all seq 5 deny any

route-map blackip out permit 10

set ip next-hop 127.0.0.2

set community no-export

5.2.3 BGP客戶端的實(shí)現(xiàn)

（1）BGP數(shù)據(jù)報(bào)

BGP協(xié)議有以下四種數(shù)據(jù)報(bào)類型，分別為Open報(bào)文，Update報(bào)文，KeepAlive報(bào)文，以及Notifacation報(bào)文。四種類型報(bào)文的報(bào)頭格式是一樣的，都由Maker（16字節(jié)，可用來(lái)探測(cè)BGP對(duì)端的同步丟失，認(rèn)證進(jìn)入的BGP消息），Length（2字節(jié)，BGP包全長(zhǎng)，最小為19，最大為4096），Type（1字節(jié)，1表示Open報(bào)文，2表示Update報(bào)文，3表示Notifacation報(bào)文，4表示KeepAlive報(bào)文）所組成。

Open報(bào)文：Open報(bào)文是TCP連接建立后發(fā)送的第一個(gè)報(bào)文，用于BGP對(duì)等體之間的連接關(guān)系。主要由以下幾個(gè)字段組成。

①Version（1字節(jié)）：表示BGP協(xié)議版本號(hào)，當(dāng)前的BGP協(xié)議版本號(hào)為4；

②My Autonomous System（2字節(jié)）：發(fā)送者的自治系統(tǒng)號(hào)；

③Hold Time（2字節(jié)）：默認(rèn)為180，即BGP連接過(guò)期時(shí)間為180秒；

④BGP Identifer（4字節(jié)）：發(fā)送者的BGP router id；

⑤Open Parameters Length（1字節(jié)）：可選參數(shù)長(zhǎng)度，如果為0，則表示無(wú)可選參數(shù)。

⑥Opetion Params：可選參數(shù)。

圖3 Open報(bào)文格式

完整的Open報(bào)文的格式如圖3所示。

Update報(bào)文：Update消息用于在對(duì)等體之間交換路由信息。它既可以發(fā)布可達(dá)路由信息，也可以撤銷不可達(dá)路由信息，主要由以下幾個(gè)字段組成。

①Unfeasible Routes Length（2字節(jié)），表示需要撤銷路由的總字節(jié)長(zhǎng)度。0表示沒(méi)有撤銷路由；

②Withdrawn Routes：所有需要撤銷的路由條目；

③Total Path Attribute Length（2字節(jié)）：總的路徑屬性長(zhǎng)度，0代表在UPDATE消息中沒(méi)有網(wǎng)絡(luò)層可達(dá)信息域；

④Path Attributes：路徑屬性，包括ORIGN（來(lái)源）、AS_PATH（AS路徑屬性）、NEXT_HOP（下一跳地址）、MULTI_EXIT_DISC（優(yōu)先級(jí)），LOCAL_PREF（本地優(yōu)先屬性）等。

⑤Network Layer Reachbility Information：路由可達(dá)信息，可以多個(gè)。

完整的Update報(bào)文格式如圖4所示。

圖4 Update報(bào)文格式

KeepAlive報(bào)文：BGP會(huì)周期性地向?qū)Φ润w發(fā)出Keepalive消息[5-6]，用來(lái)保持連接的有效性，默認(rèn)沒(méi)60秒會(huì)發(fā)送一次KeepAlive報(bào)文。KeepAlive報(bào)文只包含BGP頭部的16個(gè)字節(jié)，不含其余字段。

Notification報(bào)文：當(dāng)BGP檢測(cè)到錯(cuò)誤狀態(tài)時(shí)[7]，就向?qū)Φ润w發(fā)出Notification消息，之后BGP連接會(huì)立即中斷。

（2）BGP數(shù)據(jù)報(bào)的構(gòu)建

BGP Open報(bào)文的實(shí)現(xiàn)如下所示。endprint

ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff //標(biāo)識(shí)

00，1d，01 //數(shù)據(jù)報(bào)總長(zhǎng)度為29，報(bào)文類型為Open

04 //BGP版本號(hào)v4

00，64 //AS號(hào)100

00，b4， //過(guò)期時(shí)間180秒

d3，45，23，73， //BGP ID為211.69.35.115

00 //可選參數(shù)長(zhǎng)度位0字節(jié)

BGP Update增加路由的報(bào)文實(shí)現(xiàn)如下所示。

ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff //標(biāo)識(shí)

00，3c，02 //數(shù)據(jù)包總長(zhǎng)度為60，報(bào)文類型Update

00，00 //撤回路由消息長(zhǎng)度為0字節(jié)

00，20 //路由屬性長(zhǎng)度為32字節(jié)

40，01，01，00 //ORIGIN：IGP 來(lái)源IGP

40，02，04，02，01，00，64 //AS_PATH AS路徑屬性為100

40，03，04，7f，00，00，02 //下一條地址為127.0.0.2

80，04，04，0，0，0，0 //MED

40，05，04，0，0，0，100 //Local_Pref為100

32 //IP前綴長(zhǎng)度32

01，16，7c，ed //路由可達(dá)信息（需要封鎖的黑名單地址）為1.22.124.237

BGP Update刪除路由的報(bào)文實(shí)現(xiàn)如下所示。

ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff，ff //標(biāo)識(shí)

0，1c，02 //數(shù)據(jù)報(bào)總長(zhǎng)度為28，報(bào)文類型為Update

0，05 //撤回路由消息長(zhǎng)度5字節(jié)

32 //撤回路由IP地址前綴長(zhǎng)度為31

01，16，7c，ed //撤回路由的IP地址為1.22.124.237

0，0 //路由屬性長(zhǎng)度為0

（3）客戶端程序邏輯的實(shí)現(xiàn)

BGP客戶端程序用于與路由服務(wù)器之間建立BGP鄰接關(guān)系，把數(shù)據(jù)庫(kù)中新增加的黑名單利用Update報(bào)文發(fā)送給路由器路由服務(wù)器，完成黑名單的添加；把需要?jiǎng)h除的黑名單利用Update Windthdraw報(bào)文發(fā)送給路由服務(wù)器，完成黑名單數(shù)據(jù)在BGP路由服務(wù)器上的刪除。

為了方便BGP協(xié)議處理各種異常情況[8]，BGP客戶端程序采用父子進(jìn)程的模式進(jìn)行。子進(jìn)程負(fù)責(zé)建立BGP連接，處理BGP通信，父進(jìn)程為監(jiān)控進(jìn)程，在子進(jìn)程異常退出后，等待一段時(shí)間再生成一個(gè)新的子進(jìn)程。

子進(jìn)程的邏輯如下所示。

建立到路由的TCP連接；

發(fā)送Open報(bào)文；

接收對(duì)方的Open報(bào)文

發(fā)送KeepAlive報(bào)文；

連接數(shù)據(jù)庫(kù)；

將數(shù)據(jù)庫(kù)中status=added的IP地址打包成Update報(bào)文發(fā)送出去；

斷開(kāi)數(shù)據(jù)庫(kù)連接；

while（true）{

等待60秒；

發(fā)送KeepAlive報(bào)文；

連接數(shù)據(jù)庫(kù)；

將數(shù)據(jù)庫(kù)中所status=adding的IP地址打包成Update報(bào)文發(fā)送出去，并將status改為added；

將數(shù)據(jù)庫(kù)中所有status=delteing的IP地址打包成Update報(bào)文發(fā)送出去，并將status改為deleted；

斷開(kāi)數(shù)據(jù)庫(kù)連接；

}

由于BGP報(bào)文長(zhǎng)度最大為4096個(gè)字節(jié)，為了避免消息超出長(zhǎng)度上限，每條Update報(bào)文包含IP地址建議控制在500條以內(nèi)。

5.2.4 黑名單路由獲取

如果用戶想從BGP路由服務(wù)器獲取到黑名單路由信息，只需要在路由器上做如下配置，并與路由服務(wù)器建立鄰接關(guān)系，就可以獲取黑名單路由信息，從而對(duì)黑名單進(jìn)行封鎖。

router bgp 65500

no synchronization

bgp log-neighbor-changes

neighbor211.69.35.116 remote-as 200

neighbor 211.69.35.116 ebgp-multihop 255

no auto-summary

ip route211.69.35.116 255.255.255.255 x.x.x.x //xxxx為教育網(wǎng)的網(wǎng)關(guān)地址

ip route 127.0.0.2 255.255.255.255 Null0

5.2.5 BGP安全認(rèn)證

為了提高BGP服務(wù)的安全性，在建立鄰居關(guān)系時(shí)可加入認(rèn)證密鑰，只有兩個(gè)BGP路由器之間持有相同的密鑰時(shí)，才能夠獲取到黑名單路由信息。配置BGP認(rèn)證密鑰如下所示。

neighbor 211.69.35.116 password yourpassword

6 結(jié)束語(yǔ)

對(duì)于IP黑名單的聚合，目前只聚合了3個(gè)數(shù)據(jù)源的黑名單，數(shù)據(jù)量約11萬(wàn)條，而今后還將面臨更多數(shù)據(jù)的聚合，如何能夠高效的進(jìn)行黑名單聚合還有待研究。此外對(duì)于黑名單的來(lái)源，僅僅靠第三方來(lái)源是不夠的，還需要開(kāi)發(fā)一套蜜罐系統(tǒng)來(lái)捕獲黑名單。面對(duì)如此多的黑名單數(shù)據(jù)，開(kāi)發(fā)一套完善的Web管理系統(tǒng)也是很有必要的[9]。

參考文獻(xiàn)

[1] 張煥杰，楊壽保.基于BGP協(xié)議的IP黑名單分發(fā)系統(tǒng)[J].中國(guó)海洋大學(xué)學(xué)報(bào)，2008，（10）：157-159.

[2] 盧先鋒，楊頻，梁剛.基于動(dòng)態(tài)IP黑名單的入侵防御系統(tǒng)模型[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011，（1）：10-13.

[3] 雷鵬瑋.基于Snort的入侵檢測(cè)系統(tǒng)的改進(jìn)與實(shí)現(xiàn)[D].北京郵電大學(xué)，2015：1-16.

[4] 龔成清.基于linux的網(wǎng)頁(yè)抓取器的設(shè)計(jì)[J].電腦開(kāi)發(fā)與應(yīng) 用.2011，（2）：73-77.

[5] 徐金榮，李允.基于Linux系統(tǒng)的BGP協(xié)議的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)科學(xué)，2009，（4）：27-29.

[6] 黎松，諸葛建偉，李星.BGP安全研[J].軟件學(xué)報(bào)，2013，24（1）：121-138。

[7] Quagga Routing Suite [EB/OL].http：//www.quagga.net.

[8] REKH TER Y ， LI T ， HARES S .A Border Gatew ay Protocol 4（BGP-4）[R].RFC 4271.2006.

[9] Cisco Security Center.Worm Mitigation Technical Det ails[EB/OL].http：//www.cisco.com/web/about/security/intelligence/worm-mitigation-wh-itepaper.html#tt-sinkholes.endprint