本文将介绍BGPWatch，一个提供详细全面BGP路由分析信息和诊断信息的平台。BGPWatch能够展示BGP路由的全面状况，提供与路由劫持相关事件的信息，识别攻击者和被攻击者，并提供一系列BGP路由相关的统计数据，包括劫持数据、路由路径，和其他各种功能。

BGPWatch能够提供路由异常事件的严重性评估、路由异常事件的自动提醒和路由异常路径的重放，提升网络管理员的响应能力。此外，该平台提供了一套旨在帮助网络管理员监控其网络的工具，包括用于显示AS关键信息的数据可视化看板，正向、反向和双向路由路径，并支持路由异常变化的订阅服务。

2.1 BGP劫持检测算法

BGP劫持包括前缀劫持和路径劫持两种形式。在前缀劫持中，攻击者通过简单地宣布属于另一个AS的IP前缀，即可引发多源AS（MOAS，Multi Origin AS）的冲突。为了规避多源AS，一些攻击者在宣布IP前缀的同时篡改AS-PATH，这称为路径劫持。路径劫持的一个重要指标是看不见的链路的出现。,这些链路通常是由操纵AS-PATH的攻击者引入的。

BGPWatch平台采用混合方法，整合规则和机器学习（Machine Learning）技术，利用领域知识（如路由源授权（ROAs）、网络路由注册库（IRR）、AS关系等），并结合实时BGP路由数据流分析实现（如图1）。

图1. BGPWatch的BGP劫持事件检测算法

首先，算法提取领域知识和特征，并获取用于训练机器学习分类器的真实数据。在运行过程中，平台从实时BGP数据流中获取BGP更新信息，提取多源AS和不可见的LINK数据，随后使用与领域知识整合的规则进行过滤。

在没有可用规则来过滤事件的情况下，这些事件将由一个经过良好训练的分类器进行分析，产生一个从0 到 1的预测值。该值表示事件合法的概率。超过预设阈值的事件被视为有效，而低于阈值的事件被视为无效。合法事件将会被定期整合到训练过程中，以提高平台的准确性。

2.2 劫持事件导航页

在本页，您可以实时浏览、查看和搜索劫持事件（如图2）。

图2. 实时监测劫持事件

该表显示的信息包括路由劫持事件类型、危害程度、攻击者和被攻击者的AS名称、AS号（ASN）、其所属的经济体，以及包括劫持事件的开始时间、结束时间、持续时间。

根据被劫持AS前缀中的网站数量，事件被分类为“高”、“中”、“低”三种危害级别。当被劫持AS前缀中的网站数量大于5时，该事件标记为“高”危害级别。当被劫持路由前缀中的网站数量大于1但小于5，或者被劫持AS是数据中心、CDN或顶级内容提供商时，该事件标记为“中”危害级别；此外的情况，劫持事件将被标记为“低”危害级别。

通过点击页面左上角的“下箭头”按钮，您可以将这些数据下载为.csv格式文件。

2.3 劫持事件详情

在BGPWatch平台，每个列出的事件都可以获得详细的信息，如图3所示。图中显示了将此多源AS识别为劫持事件的原因（如图3）。

图3. 事件详细信息

在“事件查阅”网页中，您可以看到关于路由劫持事件的攻击者和受害者的反向路由路径的信息。并且您可以使用时间戳，将滑块移动到不同的时间以获取更多信息。您也可以点击播放按钮，系统将自动从一个时间点滑动到另一个时间点来帮助您查看完整的事件（如图4）。

图4. 事件回放

在“评论”网页中，您可以对此次路由劫持事件写下评论，系统可以根据网站用户的评论和投票来评估劫持事件为蓄意或错报。

3.1 可视化看板

“可视化看板”展示了特定ASN的相关信息，包括AS号、ASN的组织名称、其所属经济体，以及源自该ASN的IPv4和IPv6的前缀信息，以及该ASN的peer信息。您可以通过搜索ASN、AS名称或组织名称进行检索并了解信息。来自该AS的所有前缀信息都将呈现在表格中（如图5）‍

图5. 源自所选AS的所有前缀信息

这些前缀已被添加超链接。您可以点击它们并跳转到该前缀的反向路由路径页面。

在“IPv4 peers”和“IPv6 peers”页面中，如图6所示连接图表显示了所选AS的关键BGP邻居（如图6）。

图6. 该AS的关键邻居

图中连接的线显示了该AS从providers、peers和customers分别导入和导出的前缀数量。

在网页的下方，您将找到一个表格。表格显示了该AS所有BGP邻居的ASN、组织名称、所属经济体或地区、AS customer cone数量、与这些邻居的关系，以及该AS从它们导出或向它们导入的前缀数量。表格内AS neighbors列展示相邻的AS号。这些都被添加了超链接，如果您点击任何一个AS号，您将被重定向到该ASN的可视化看板部分（如图7）。

图7. 该AS的所有邻居

3.2 路由监视

在BGP中，正向路由路径用于确定数据包从源到目的地必须经过的最佳路径。路由器评估不同路径的各种属性来确定最佳路径，例如路径长度和前缀的起源，然后将最佳路径添加到BGP路由表中，并用于转发数据包。

反向路径显示了数据包是如何从特定AS路由到您AS内的前缀的。

路由路径页面显示了到特定前缀或IP的正向路由路径。

在路由路径中，您必须从上方的列表中选择其中一个自治域作为源，然后将IP前缀或地址作为目的地输入。输入的可以是IPv4或IPv6前缀或地址。系统将返回输入前缀的所有子前缀的路由路径信息，并对具有相同路径的子前缀汇聚，如图8所示。

图8. 按相同的前缀分组展示

在页面左侧的前缀列表中，您可以看到一些分组，它们由于共享相同路径的网络而在同一组（如图8）。如果您点击任何一个颜色的前缀模块，右侧的图中将会突出显示该组的正向路由路径。页面右上角的“前缀总计”显示了您所选的ASN与平台共享的前缀总数。

系统默认突出显示第一个颜色模块的路径。如果您点击下一个颜色前缀模块，系统将会突出显示相对应颜色模块的路由路径。

在反向路由路径部分，您可以输入IPv4或IPv6前缀，然后点击搜索。系统将为输入的前缀寻找最佳匹配反向路由路径，并提供从外部网络到达该前缀的最佳拓扑路线（如图9）。

图9. 反向路由路线

页面右下角的图例显示了反向路径的层次结构，它使用不同颜色来进行编码。您可以单击图例来添加或删除层次结构到您的路由树中。

如果您想看到某个AS前缀的反向路由路径，只需单击该AS或在搜索字段中输入ASN。您将能够看到源自该AS的反向路径，该路径即流量如何到达您搜索的前缀路线。

在“路由路径”菜单中的“双向路由路径”子菜单页面展示了连接源和目的地IP地址或前缀的正向和反向路由路径。您可以输入IPv4或IPv6格式的IP地址或前缀。

请注意，由于庞大的路由数据量，系统从所有路由信息共享平台中选择了部分数据集。如果系统显示“找不到数据”，并不一定意味着没有路由路径，这可能表明系统未处理相应的数据。

3.3 订阅

网络管理员可以订阅其感兴趣的ASN和前缀。系统会主动检测已订阅的ASN和前缀，并在前缀修改、劫持、AS peer或AS-PATH更改等情况下即时通过电子邮件通知。订阅相关信息需要使用授权登录。

当前，BGPWatch平台已经成功完成了前缀劫持检测功能，并且还开发了各种工具，旨在协助网络管理员更好地监控其网络情况。到目前为止，我们项目的15个国际合作伙伴已经测试了BGPWatch，并对平台功能给予了非常积极的反馈。BGPWatch平台还在不断改进中，我们非常欢迎并重视您的反馈和建议。如有任何建议或反馈，请通过[email protected]与我们联系。