深度解读：DFOH——一套检测伪造源 BGP 劫持的实时系统

在互联网的底层路由体系中，边界网关协议（BGP）负责跨自治系统（AS）通告路由路径，是全球网络互联的“血脉”。然而，由于 BGP 本身缺乏强认证机制，攻击者可以通过篡改路由信息对流量进行劫持，导致服务中断、数据泄露乃至经济损失等严重后果。虽然 RPKI/ROV 等防御机制已经在业界逐步部署，但一种更隐蔽、更难被现有机制捕获的攻击方式 —— 伪造源劫持（forged-origin hijacks） —— 却令运营者防不胜防。该类攻击通过在 AS 路径中人为插入合法起源 AS，使劫持公告在监测系统看来合法，从而绕过 RPKI-ROV 的过滤。

在这种背景下，Thomas Holterbach 及其合作团队在 2024 年 USENIX NSDI（21st USENIX Symposium on Networked Systems Design and Implementation） 上发表了论文 《A System to Detect Forged-Origin BGP Hijacks》，并提出了全球首个能快速、广泛检测该类攻击的系统 —— DFOH（Detecting Forged-Origin Hijacks）。

什么是伪造源劫持？

伪造源劫持是一种特定的 BGP 路由攻击，攻击者修改 AS 路径，使恶意通告看起来来源合法 AS，因此传统依赖路径合法性和 RPKI 检查的防御机制难以检测。与传统前缀劫持不同，这类攻击不会触发简单的原点不匹配告警，因而十分危险。

DFOH 的核心思想

DFOH 的关键在于识别“新出现的 AS 链接（new AS link）”——在真实网络拓扑中，伪造源劫持往往会引入一条此前未见过的 AS-AS 连接。DFOH 通过被动收集全球 BGP 路由数据，提取出包含这类新链接的路径，并利用精心设计的特征（包括拓扑结构特征、AS-路径模式、对等关系和双向性等），构建机器学习模型来判断这些新链接是否可疑，从而推断是否存在劫持行为。

DFOH 的技术亮点

• DFOH 能在约 5 分钟内检测出 90.9% 的伪造源劫持事件，这对于实时预警和调查响应极为关键。
• 每日平均仅生成约 17.5 条可疑告警，大大降低了运营团队的告警处理压力。
• 系统既能实时发现正在进行的攻击，也能用于回溯检测过去的劫持事件，为长期趋势分析和攻击归因提供数据支持。
• DFOH 不依赖于部署昂贵或难以实现的加密路由协议扩展（如 BGPSec/ASPA），只需利用现有公开的 BGP 数据和轻量级机器学习分析，即可发挥作用。

为什么这很重要？

网络运营者目前仍缺乏一种有效手段来全面监测伪造源劫持，因为现有主动防御机制（如 RPKI）并不覆盖这类攻击。DFOH 提供了一种低成本、可实际落地的检测框架，能帮助运营者提前发现异常并采取相应防护措施。它不仅填补了现有防御体系的空白，还为未来更健壮的路由安全机制的研究提供了方向。