作为互联网基础设施的重要组成部分,域间路由系统在维护互联网的稳定性和安全性方面起着至关重要的作用。域间路由系统采用边界网关协议(Border Gateway Protocol,BGP)在自治系统(Autonomous System,AS)之间交换路由可达信息。互联网拓扑结构的真实建模可以揭示一些潜在的政治和商业动态,例如由于国际冲突导致的路由中断,以及国家或组织之间的商业合作引起的AS之间的互连建立。
2023年初,中国电信安全公司发布了第一版国家层面互联网拓扑图(下文称“2022版”)。在此之后,我们持续关注全球路由的变化状态,从宏观时序的层面分析国际路由的态势,感知国际路由变化,进一步提升我国在互联网控制层面的安全感知能力。
与2022版保持一致,我们将国家层面互联网拓扑图建模为一个内引力图,其节点代表所有国家/地区,而连线为根据路由表中的AS路径所推断出来的国家间的路由连接。如下图所示,我们对AS路径进行了国家维度的聚合。例如,对于IP段 23.15.244.0/24来说,在AS维度上ChinaNet需要进行5跳路由跳转,而在国家维度上仅需要3跳。
在国家层面互联网拓扑图中,我们将中国放置在圆心,其他每个国家节点将以极坐标 (radius, angle) 的形式绘制在圆上,其角坐标 (angle) 由该国的地理经度所表示,其相对圆心的距离 (radius) 的倒数标识着该国家对于ChinaNet路由通达互联网全域的影响程度,相应的,我们定义其为引力。其引力越强,越靠近圆中心的位置。基于IPv4和IPv6的路由数据,我们绘制了两幅图,分别刻画了IPv4和IPv6的互联网拓扑。
从中国电信的视角来看,IPv4整体路由基本态势并没有显著变化,仍然呈现以美国占据绝对主导,从中国到其他许多国家的AS连通仍然需要通过美国进行路由跳转。一些经济发达体,如西欧国家和亚太地区(日韩等),仍然处于核心位置。各个跳数的国家数量和不可达国家数量没有发生显著变化。
与IPv4图相比,IPv6图中的连接相对稀疏,这是因为IPv6仍处于发展阶段。与IPv4的分析一致,美国和西欧国家仍然占据主导地位。然而,一些新兴经济体,如印度、巴西、越南和沙特阿拉伯,在IPv6图中位置更为凸显,这表明它们已经大规模部署和应用了IPv6以满足其经济快速发展的需求。
为了更好地比较两年间的路由变化趋势,我们绘制了刻画在IPv4和IPv6国家层面互联网拓扑图中的变化趋势散点图,X轴表示从2022年12月到2023年12月,引力在IPv4图上的变化比率。其中,正值表示这些节点的引力在此期间有所增加,负值节点表示引力减少,值为0表示这些节点的引力相对不变。同理,Y轴表示在IPv6图上的变化比率。
从图中看出,在IPv4上,欧洲国家的引力大多呈上升趋势,而亚非国家则呈下降趋势,整体上是存在马太效应的。相反,在IPv6上,亚非国家引力是上升的,而欧洲国家普遍下降。同时当前的数据表明,与前几年IPv6普遍增长的趋势不同的是,2023年全球IPv6的加速部署出现了明显的减缓。
从国家层面来看,有很多国家相比于去年发生了较大的变化,比如说:印度在IPv4图中从1跳国家变成了2跳国家,土耳其在IPv4图中变弱而在IPv6图中变强了,印度尼西亚在IPv6图有较为明显的变强。基于进一步的分析,电信安全团队发现这几个国家的变化大多跟AS2914的路由变化相关。AS2914归属于NTT America, Inc.,它是日本电信公司(Nippon Telegraph and Telephone Corporation,简称NTT)在美国的子公司之一;与印度AS9583直连的路由变成了经由AS2914绕转,AS2914建立了与印度尼西亚AS38496的连接,AS2914与土耳其AS9121的路由连接已被弃用。可见NTT America, Inc.在亚洲地区有较为快速的业务扩张。同时,电信安全团队还重点关注了如以色列、巴勒斯坦等国家,这些国家的路由链路未发生明显变化,但在图中呈现日趋减弱的趋势。
上述的分析均基于中国视角,从国家层面来描述互联网连接情况,下文将更加详细地从AS4134内部的视角呈现全球范围内各个国家和地区的网段前缀(prefix,下文简称前缀)进入AS4134时的边界接入点情况。路由器的路由表中包含了名为originator_id的属性,用于标记一条路由在AS域内的始发路由器,对于通过eBGP传播的路由而言,可以认为originator_id属性标记的路由器即为前缀传入域内经过的边界路由器,或称为接入点。
以国家或者地区为粒度,将一个国家或地区A拥有的所有路由前缀作为分析对象,在该前缀传入AS4134时,认为其从AS4134位于某个国家B的边界路由器接入的概率(从B接入的A的前缀数/A的所有前缀数),反映了A的路由传入AS4134时,对B国的依赖程度,也即dependency_B(例如dependency_US)。同时,采用信息熵来表达A对位于不同国家的边界路由器的整体选择倾向性,熵越高说明A的前缀经由的边界路由器在地理位置上分布更加丰富。
将所有国家和地区按照大洲分组,把它们对位于中美两国的边界路由器的依赖程度,绘制堆积柱状图。每个大洲内的国家和地区,按照其拥有的前缀数量降序排列,图中重点标注了拥有前缀数量排行前20的国家和地区,以及少数值得关注的国家。
从大洲方面看,除欧洲地区外,大部分国家的前缀主要从中美两国的边界路由器接入,且美国接入点的优势更加明显。亚洲地区由于地缘优势,从中美节点接入的比例相对较为均衡,非洲与大洋洲大部分通过美国节点接入,且总体熵值较低。欧洲地区则主要从美国及欧洲节点接入。总体上熵值较高的洲,如亚洲和欧洲,其网络发展状况较好,前缀资源丰富,接入点分布广泛。国家方面,大部分拥有前缀数量较少的国家和地区,均通过位于美国的接入点接入。而有些国家熵值则很高,如俄罗斯、马来西亚,因为其接入点位于多个国家,并且拥有前缀数量较多,网络资源较为丰富。拥有的前缀数量位于世界前20的国家里,有3个国家(土耳其、墨西哥、乌克兰)通过中国接入点接入前缀的占比极低,例如乌克兰,其所有前缀基本均通过欧洲和美国接入。
中国电信安全公司长期关注并持续开展全球路由连接的分析,致力于将先进的分析方法应用于实际生产环境,从而不断提升对全球AS的路由通达关系实时变化的感知、溯源及处置能力,进一步降低突发情况下路由变化对网络流量的影响,助力我国互联网控制层面的安全应急能力的提升。国家层面互联网拓扑图的更多详细信息(如分析方法细节、数据源说明等),可点击阅读原文。
![互联网路由连接的拓扑可视化分析]( "互联网路由连接的拓扑可视化分析")
原文始发于微信公众号(安全牛):互联网路由连接的拓扑可视化分析
评论