1、基于自治域防御联盟源宣告的域间源地址验证,贾溢豪 任罡 刘莹 清华大学,2016年10月25日,关于伪造源地址攻击,IETF SAVI工作组:解决关于接入子网层面的域间源地址验证 源地址伪造是DDoS攻击的重要组成部分 DDoS攻击自2012年开始攻击愈发迅猛,超大规模DDoS攻击 反射-伪造源地址 无需握手 (UDP) 协议利用-放大报文,IETF BCP 38/84 Ingress/Egress Filtering,跨越国家、AS的DDoS 频繁 + 严重,本质:对内防御 无法防御来自域外的 伪造源地址攻击,需要全局部署 对内防御-无部署激励 域间防御遥遥无期,IEF验证原理,对内:拒绝向
2、域外转发本域不拥有的源地址报文 对外:拒绝转发外来且持有本域所持有的源地址的报文,IEF扩展:单个AS - AS联盟,对内:拒绝向团体外转发本团体不拥有的源地址报文 对外:拒绝转发外来且持有本团体所持有的源地址的报文,AS防御联盟如何协作?,AS防御联盟协作方式,防御联盟过滤实施方案: 对内:AS防御联盟内所有AS开启Ingress Filtering 对外:联盟边缘AS过滤流经联盟的、且源地址属于本联盟的流,防御联盟内AS如何传递彼此持有的IP源?,洪泛:联盟内每个AS均持有本联盟所有AS所持有的IP前缀集合,?,防御联盟对外发出的流量是否会回流至本联盟?,AS防御联盟协作失误,回流误判 1
3、:多路径 Flow(4, 2): 4,5,2 或 4,10,2,定义Flow(a, b): 为以自治域a为源流至自治域b的流,回流误判 2:误宣告 Flow(7, 9): 7, 8, 3, 1, 9,如何避免?,AS防御联盟协作错误规避,回流误判 1:多路径解决方案 确认多路径AS节点 根据AS互联关系归类 提升同类链路下,连接至本防御联盟的链路路由偏好值至本类下最高,即路由泄漏,其亦不可容忍,证明关键:若仍存在回流,则定存在Valley-Free违背,AS防御联盟协作错误规避,回流误判 2:误宣告解决方案 源宣告按照自治域互联关系导出表进行,证明关键:域间流量流向的本质遵循AS间互联关系,物
4、理防御联盟 - 若干逻辑防御联盟,以逻辑防御联盟为单位对外实施过滤,AS防御联盟配置方案,AS防御联盟-Ingress Filtering: FilterOut()=Whitelistspace(),AS防御联盟-Egress Filtering: 则:FilterIn(I)=BlacklistASL(V) space(), L(V),定义为物理联盟内任意AS节点; 定义为逻辑联盟边缘AS节点:即该节点至少存在一个接口I连接至逻辑联盟外AS节点; 定义连通子图L为某特定逻辑防御联盟,AS防御联盟特性分析,防御联盟本质特性: IEF防御性能:AS联盟 单个AS 防御性能防御面积(成员数量) 验证开销查表速率 仅逻辑联盟边缘节点配置增强型EF 验证总开销 联盟规模 ,增量部署特征: 部署激励防御性能防御面积 新增部署节点 联盟边缘节点 承担对外防御职能 联盟规模激增 表项聚合,域间源地址验证防御 离不开 自治域协作,新的激励模式协作关系,Thank you!,Q&A,2016年10月25日,互联网治理儒家思想 达则兼善天下,穷则独善其身,互联网发展已脱离大同社会的构想,互联网安全是基于大同社会的构想,域间源地址验证防御 离不开 自治域协作,分布式的域间环境下,难以独善其身,
