472                                                        软件学报  2026  年第  37  卷第  1  期


                 告进行过滤, 使得下游       AS  即使未部署   ROV  也可以不受到无效路由起源宣告的影响. 如图               4  所示, 部署了  ROV
                 的  AS 123  过滤了来自攻击者    AS 999  的无效路由起源宣告, 因此未部署         ROV  的下游   AS 124  也未受到无效路由
                 的影响. 附带收益会使未部署         ROV  的  AS  也表现出  ROV  过滤的行为, 造成推测的假阳性.


                                               1.1.0.0/24 999
                                           攻击者
                                           AS 999
                                                          部署 ROV      未部署 ROV
                                                           AS 123       AS 124
                                          前缀拥有者
                                                                     1.1.0.0/16 123 122
                                           AS 122 1.1.0.0/16 122
                                                  图 4 ROV  部署的附带收益

                    (3) 如何扩大   ROV  测量覆盖的范围. ROV     测量范围依赖于测量探针的可见性, 在不影响网络运行的情况下合
                 理利用探针扩大测量范围, 有助于更好更清晰地了解全互联网的                     ROV  部署情况.
                    近年来, 学术界、工业界针对全球           ROV  部署情况进行了多次测量工作. 这些测量工作可分为主动测量和被动
                 测量两类. 在主动测量方案中, 测量者主动向待测               AS  发送协议数据包测量待测        AS  与目的  AS  的连通性, 常用的
                 协议有   HTTP  协议、TCP  协议和   ICMP  协议. 在被动测量方案中, 测量者不主动发送数据包, 仅利用接入网络的测
                 量探针测量待测      AS  与目的  AS  的连通性. 测量工作按照测量者是否能够控制             IP  地址前缀和   ROA  分为受控制测
                 量和非受控测量.
                    Gilad  等人  [50] 在  2017  年首次提出一种被动  ROV  部署测量方案, 该方案在控制面上运行, 利用路由探针采集
                 路由数据. 该方案首先找出一个既发布有效              BGP  路由起源宣告, 又发布无效       BGP  路由起源宣告的      AS, 然后判断
                 在该  AS  和  BGP  收集器之间是否只存在一个转发       AS. 如果该转发    AS  满足以下两个条件, 则认为该       AS  部署了  ROV.
                    1) 该  AS  转发源  AS  发布的有效  BGP  起源宣告, 并且丢弃源     AS  发布的无效的    BGP  起源宣告.
                    2) 该  AS  的上述行为被至少    3  个起源  AS  观测到.
                    该方案测量于      2016 年  7 月进行, 覆盖了规模前    100 的  ISP, 发现  9 个  ISP  部署了  ROV, 78 个  ISP  未部署  ROV,
                 剩余  13  个  ISP  无法判断. 该方案较为简单, 难以判断过滤无效路由的行为是否由                ROV  引起, 要求待测   AS  是路径
                 中唯一表现出过滤无效路由行为的            AS, 这降低了附带收益的影响, 但同时也减少了测量覆盖的范围.
                    Reuter 等人  [54] 复现了  Gilad  等人的测量工作, 并且发现其是非受控的, 且测量结果高度依赖于路由收集器集
                 合的选取. 针对此问题, Reuter 等人提出了一种在控制面运行的受控测量方案, 测量者能够主动声明路由信息且发
                 布  ROA. 该方案需要待测     AS  满足两个前提假设.
                    1) 连接假设: 待测   AS  需要与测量者控制的       AS  直连.
                    2) 可见性假设: 待测    AS  的路由信息可被观测.
                    在该方案中, 测量者控制        AS  发布两个不同前缀的路由—对照前缀和实验前缀, 且交替使用两种                      ROA  配置.
                 测量中对照前缀的路由始终保持            valid  状态, 而实验前缀的路由有效性在       valid  和  invalid  之间切换. 如果实验前缀
                 的路由从    valid  变为  invalid  时, 待测  AS  过滤了实验前缀的路由或待测   AS  到达实验前缀的路由与对照前缀的路
                 由不同, 则推测待测      AS  部署了  ROV. 测量分别在    2017  年的  2  月、5  月和  8  月进行, 覆盖了  730  个  AS, 但满足连
                 接假设和可见性假设的        AS  仅有  68  个, 发现  3  个  AS  部署了  ROV. 该方案采用受控的测量方案, 引入对照前缀, 降
                 低了其他非    ROV  过滤因素的影响. 同时该方案的连接假设排除了上游                 AS  部署  ROV  带来的附带收益影响, 但连
                 接假设和可见性假设的引入也限制了测量覆盖的范围.
                    Hlavacek  等人  [55] 重复了控制平面的测量, 并且进一步提出了数据平面的测量方案. 该方案采用了受控制的测
                 量方案, 在前缀发布上与文献         [54] 略有不同. 在两个    AS  分别都发布两个前缀路由并设置两种            ROA  配置, 每种配
                 置都使一个    AS  的一个前缀的路由有效, 另一个前缀的路由无效, 而另一个                 AS  的前缀有效性相反. 在数据平面上
                 的测量方案有两种, 一种是使用          RIPE Atlas 的探针在两种   ROA  配置下分别对两个前缀进行         traceroute, 然后将  IP
                 路径映射为    AS  路径; 另一种是向    top 1.25M Alexa 网站服务器发送    TCP SYN  数据包, 通过接收服务器的回复情