基于自治域防御联盟源宣告的域间源地址验证

洪泛:联盟内每个AS均持有本联盟所有AS所持有的IP前缀集合 ... 确认多路径AS节点; 根据AS互联关系归类; 提升同类链路下,连接至本防御联盟的 ...
展开查看详情

1. 基于自治域防御联盟源 宣告的域间源地址验证 贾溢豪 任罡 刘莹 清华大学 2016 年 10 月 25 日

2.关于伪造源地址攻击 ■ IETF SAVI 工作组:解决关于接入子网层面的域间源地址验证 ■ 源地址伪造是 DDoS 攻击的重要组成部分 ■ DDoS 攻击自 2012 年开始攻击愈发迅猛 超大规模 DDoS 攻击 ■ 反射 - 伪造源地址 665 Gbps ■ 无需握手 (UDP) ■ 协议利用 - 放大报文 IETF SAVI 工作组成立

3. IETF BCP 38/84 Ingress/Egress Filtering 跨越国家、 AS 的 DDoS 频繁 + 严重 本质:对内防御 无法防御来自域外的 伪造源地址攻击 需要全局部署 对内防御 -- 无部署激励 域间防御遥遥无期

4. Source | Destination IEF 验证原理 source Space(77) ? IP Packet 1. 对内:拒绝向域外转发本域 不拥有的源地址报文 source Space(77) ? 2. 对外:拒绝转发外来且持有 77 本域所持有的源地址的报文 Source | Destination IP Packet IEF 扩展:单个 AS -> AS 联盟 source Space(1-7) ? 1. 对内:拒绝向团体外转发本团体不 1 S:space(7) |D: space(9) 拥有的源地址报文 IP Packet 2 3 2. 对外:拒绝转发外来且持有本团体 4 flow 所持有的源地址的报文 AS 防御联盟如何协 5 6 7 作?

5.AS 防御联盟协作方式 防御联盟过滤实施方案: 1. 对内: AS 防御联盟内所有 AS 开启 Ingress Filtering 2. 对外:联盟边缘 AS 过滤流经联盟的、且源地址属于本联盟的 流 防御联盟内 AS 如何传递彼此持有的 IP source Space(1-7) ? 源? 1 S:space(7) |D: space(9) 洪泛:联盟内每个 IP Packet ? 2 3 AS 均持有本联盟所 flow 4 有 AS 所持有的 IP 前 5 6 缀集合 7

6.防御联盟对外发出的流量 是否会回流 至本联盟?

7.AS 防御联盟协作失误 回流误判 1 :多路径 Flow(4, 2): [4,5,2] 或 [4,10,2] 回流误判 2 :误宣告 Flow(7, 9): [7, 8, 3, 1, 9] 如何避 定义 Flow(a, b): 为以自治域 a 免? 为源流至自治域 b 的流

8.AS 防御联盟协作错误规避 回流误判 1 :多路径解决方案 1. 确认多路径 AS 节点 2. 根据 AS 互联关系归类 3. 提升同类链路下,连接至本 防御联盟的链路路由偏好值 至本类下最高 证明关键:若仍存在回 流,则定存在 Valley- Free 违背 即路由泄漏,其亦不可容忍

9.AS 防御联盟协作错误规避 回流误判 2 :误宣告解决方案 • 源宣告按照自治域互联关系 导出表进行 物理防御联盟 -> 若干逻辑防御联盟 以逻辑防御联盟为单位 对外实施过滤 证明关键:域间流量流 向的本质遵循 AS 间互联 关系

10.AS 防御联盟配置方案 source Space(1-7) ? AS 防御联盟 -Ingress 1 S:space(7) |D: space(9) IP Packet 2 3 Filtering : 4 flow Filter Out(α)=Whitelist{space(α)} 5 6 7 AS 防御联盟 -Egress Filtering : 则: Filter In(β│I)=Blacklist{∑ AS∈L(V) space(γ)}, β∈L(V) • 定义 α 为物理联盟内任意 AS 节点; • 定义 β 为逻辑联盟边缘 AS 节点:即该节点至少存在一个接口 I 连接至逻辑联盟外 AS 节点; • 定义连通子图 L 为某特定逻辑防御联盟

11.AS 防御联盟特性分析 source Space(1-7) ? 1 S:space(7) |D: space(9) 防御联盟本质特性: 2 3 IP Packet • IEF 防御性能: AS 联盟 > 单个 AS 4 flow • 防御性能∝防御面积(成员数量) 5 6 7 • 验证开销∝查表速率 • 仅逻辑联盟边缘节点配置增强型 EF [ 验证总开销 <-> 联盟规 模 ] 增量部署特征: • 部署激励∝防御性能∝防御面积 • 新增部署节点  联盟边缘节点  承担对外防御职能 • 联盟规模激增  表项聚合

12. 域间源地址验证防御 离不开 自治域协作 新的激励模式 --> 协作关系

13. THANK YOU! Q&A 2016 年 10 月 25 日