基于自治域防御联盟源宣告的域间源地址验证.ppt

《基于自治域防御联盟源宣告的域间源地址验证.ppt》由会员分享，可在线阅读，更多相关《基于自治域防御联盟源宣告的域间源地址验证.ppt（15页珍藏版）》请在麦多课文档分享上搜索。

1、基于自治域防御联盟源宣告的域间源地址验证,贾溢豪 任罡 刘莹 清华大学,2016年10月25日,关于伪造源地址攻击,IETF SAVI工作组：解决关于接入子网层面的域间源地址验证 源地址伪造是DDoS攻击的重要组成部分 DDoS攻击自2012年开始攻击愈发迅猛,超大规模DDoS攻击 反射-伪造源地址 无需握手 (UDP) 协议利用-放大报文,IETF BCP 38/84 Ingress/Egress Filtering,跨越国家、AS的DDoS 频繁 + 严重,本质：对内防御 无法防御来自域外的 伪造源地址攻击,需要全局部署 对内防御-无部署激励 域间防御遥遥无期,IEF验证原理,对内：拒绝向

2、域外转发本域不拥有的源地址报文 对外：拒绝转发外来且持有本域所持有的源地址的报文,IEF扩展：单个AS - AS联盟,对内：拒绝向团体外转发本团体不拥有的源地址报文 对外：拒绝转发外来且持有本团体所持有的源地址的报文,AS防御联盟如何协作?,AS防御联盟协作方式,防御联盟过滤实施方案： 对内：AS防御联盟内所有AS开启Ingress Filtering 对外：联盟边缘AS过滤流经联盟的、且源地址属于本联盟的流,防御联盟内AS如何传递彼此持有的IP源？,洪泛：联盟内每个AS均持有本联盟所有AS所持有的IP前缀集合,？,防御联盟对外发出的流量是否会回流至本联盟？,AS防御联盟协作失误,回流误判 1

3、：多路径 Flow(4, 2): 4,5,2 或 4,10,2,定义Flow(a, b): 为以自治域a为源流至自治域b的流,回流误判 2：误宣告 Flow(7, 9): 7, 8, 3, 1, 9,如何避免？,AS防御联盟协作错误规避,回流误判 1：多路径解决方案 确认多路径AS节点 根据AS互联关系归类 提升同类链路下，连接至本防御联盟的链路路由偏好值至本类下最高,即路由泄漏，其亦不可容忍,证明关键：若仍存在回流，则定存在Valley-Free违背,AS防御联盟协作错误规避,回流误判 2：误宣告解决方案 源宣告按照自治域互联关系导出表进行,证明关键：域间流量流向的本质遵循AS间互联关系,物

4、理防御联盟 - 若干逻辑防御联盟,以逻辑防御联盟为单位对外实施过滤,AS防御联盟配置方案,AS防御联盟-Ingress Filtering： FilterOut()=Whitelistspace(),AS防御联盟-Egress Filtering： 则：FilterIn(I)=BlacklistASL(V) space(), L(V),定义为物理联盟内任意AS节点； 定义为逻辑联盟边缘AS节点：即该节点至少存在一个接口I连接至逻辑联盟外AS节点； 定义连通子图L为某特定逻辑防御联盟,AS防御联盟特性分析,防御联盟本质特性： IEF防御性能：AS联盟 单个AS 防御性能防御面积（成员数量） 验证开销查表速率 仅逻辑联盟边缘节点配置增强型EF 验证总开销 联盟规模 ,增量部署特征： 部署激励防御性能防御面积 新增部署节点 联盟边缘节点 承担对外防御职能 联盟规模激增 表项聚合,域间源地址验证防御 离不开 自治域协作,新的激励模式协作关系,Thank you!,Q&A,2016年10月25日,互联网治理儒家思想 达则兼善天下,穷则独善其身,互联网发展已脱离大同社会的构想,互联网安全是基于大同社会的构想,域间源地址验证防御 离不开 自治域协作,分布式的域间环境下，难以独善其身,