互聯網自治域間IP源地址驗證技術綜述

一、文章信息

• 作者：賈溢豪，任罡，劉瑩
• 單位：清華大學
• 來源：軟件學報
• 時間：2017年

二、基於加密、簽名及標記信息

2.1 技術原理

　　采用端到端驗證的設計結構，其中以密鑰協商最為常見。通信雙方在事前協商可供彼此驗證的校驗標識，並將其加載在通信過程中的數據報文內以供接收方進行身份確認。若接收方驗證通過，則判定通信對端真實而接收報文；否則，視其為偽造而丟棄報文。

2.2 典型技術實例

2.2.1 SPM(spoofing prevention method)

　　SPM的核心思想在於建立安全聯盟體系。對於發往安全聯盟成員內的數據報文進行偽造源地址過濾檢測，並在此基礎上對發送的合法源數據報文添加其與目的端事先協商的特定標簽 Tag(Source,Destination)供目的端進行真實性檢驗，以防止安全聯盟內外的任何其他自治域偽造本域源地址向此通信對端嘗試非法通信。對於發生在聯盟外對內的反射式攻擊,聯盟成員則不具備區分能力,只能爭取擴大聯盟范圍以降低受到聯盟外反射攻擊的概率。

2.2.2 DISCS(distributed collaboration system)

　　DISCS賦予防御技術的最大貢獻在於,將防御功能分時空地按需調用執行。DISCS通過在BGP消息中設置可選、可傳遞的路徑屬性，以辨識不同的子聯盟，當自治域在接收到若干 BGP報文后，可選擇加入與之存在利益共識的聯盟，並最終將整個互聯網划分為多個並行的防御聯盟，每個聯盟內提供與SPM類似的防御保護，但聯盟之間並不建立防御共識。

2.2.3 技術分析

　　此類方法應用的安全性在於采用加密技術的安全性，主要技術難點在於設計安全、高效的標簽協商方案，即端到端特征協商方案。此外，密鑰協商的復雜性使得此類方案在大規模部署時具有較大的維護開銷，可擴展性受限，制約了其實用價值。並且，過多的對端校驗開銷使其方案本身也極易成為DDoS的攻擊目標，因而造成網絡擁塞甚至服務癱瘓。

　　此類方法優勢在於不受網絡拓撲動態性影響,過濾性能僅與擬采用加密算法的驗證特征相關,且不具備固有假陽性,極大地規避了自治域部署的運維風險。

三、基於域間路由信息

3.1 技術原理

　　攻擊者僅能偽造數據報文的源地址信息而不能控制報文的轉發路徑，當偽造源地址的數據報文從非法的路由端口進入時，路由器可進行真偽性驗證以過濾偽造報文。DPF(distributed packet filtering)通過對各個路由器的各轉發端口建立合法源地址綁定列表，並對轉發過程中接收到的綁定列表范圍之外的源地址報文判偽並丟棄。

3.2  典型技術實例

3.2.1 IDPF(inter-domain packet filtering)

　　IDPF通過學習BGP Update報文獲取各段前綴的路由方式，通過假定每段前綴的抵達端口與轉發端口一致，從而獨立地通過監聽BGP報文來建立過濾規則。最大優勢在於：其免除了自治域間的相互協作，極大地提高了部署的可行性。然而，獨立預測使得部署自治域不能獲得真實完整的路由信息。

3.2.2 SN(selection notice)

　　SN為BGP增加新的選路通知報文：當自治域接收到BGP路由更新時改變路由策略，均需要將新的選路策略通過BGP選路報文告知目的對端，而沿途所經各個自治域均可通過學習選路通知報文為其建立過濾規則。

3.2.3 技術分析

　　建立基於域間路由信息的過濾技術需要依賴兩項基本因素以建立過濾規則，一是獲取自治域號對所持前綴的合法映射，二是獲取源端路由選擇信息。基於域間路由信息的源地址驗證方法能夠使偽造報文在傳輸途中被盡早過濾，從而保護了帶寬資源的有效利用，其分布式的驗證機制也要求驗證規則必須根據路由變化而改變，因此具備較強的自適應性。然而，此類源地址驗證技術通常需要廣泛的部署才能夠取得較佳的過濾性能。

四、基於IP分組轉發經歷跳數

　　HCF(hop count filtering)不同於上述兩類源地址驗證技術，它巧妙地利用了報文TTL(time-to-live)剩余跳數的可行性范圍來確立對端實體的合法性。由於通信雙方的數據報文具備較為統一的轉發路徑，因此也應具備相對穩定的路由跳數。通信接收端在接受報文前對報文已轉發跳數進行計算，若對於特定的通信源地址而言，其報文跳數在合理的范圍之內，則可相信其在很大程度上未被偽造。　　

　　HCF的特征在於將驗證執行的位置移至通信主機，並未針對域間而進行設計優化。因為路由震盪的存在，HCF僅能保持較粗的過濾粒度，過濾能力相對有限。盡管HCF消除了密碼學帶來的龐大計算開銷，但其並不能取代為其提供的更為嚴密的安全保障。另一方面，互聯網同樣不對TTL的偽造執行任何檢查，使其驗證技術在得到攻擊者足夠“重視”后可以被徹底繞過。

五、基於自治域間商業互聯關系

5.1 技術原理

　　BGP協議的背后實質上卻是自治域間的商業關系。自治域間的商業關系存在一種最為顯著的商業特質：Valley-Free，即無低谷特性。Valley-Free特性使得任何自治域都沒有動力去為自身及其Customer以外的任何流量付費。由於商業關系是域間路由流量流向的最終本質，以自治域商業關系為基礎的過濾方案相比其他方案更加精煉和簡要。由於其僅從商業關系出發構建過濾策略，使得方案的部署將不受任何因域間路由缺陷而產生的固有限制或束縛。

5.2 典型技術實例

　　Arbif以自治域商業合作關系為基礎，在相鄰部署自治域內傳遞過濾規則。部署自治域在啟動防御技術時，其過濾規則生成引擎在其鄰居之間建立通信連接，生成初始過濾規則，並根據商業關系導出表選擇性地將部分過濾規則傳遞給特定的部署鄰居。部署鄰居在接收到新的過濾規則后，判斷是否需要更新自身過濾規則表，若更新發生，再決定是否選擇性地將部分過濾規則繼續傳遞給具備特定商業關系的部署鄰居。在過濾規則更新傳播中，規則將以自治域號的形式不斷擴散，這要求部署自治域直接相鄰，但Arbif卻未能對增量部署策略提出好的建議。

5.3 技術分析

　　此類方案的難點在於如何獲取完整的域間商業關系。一方面，利用現有檢測方案獲取的商業關系未能保證100%的正確性，仍使得過濾技術有少許假陽性存在；另一方面，由於商業關系是通過BGP獲取的，使得過濾系統未能與路由系統完全分離，而降低了防御方案的靈活性和擴展性。

六、源地址驗證技術特征歸納

 

　　通過對比可知:基於加密、簽名及標記信息的源地址驗證技術往往具有較好的過濾性能,極少引入假陽性的風險,但復雜性和開銷較高,規模可擴展性較低;而自治域間的商業關系作為互聯網域間的本質特征,無論直接利用商業關系或是間接以域間路由信息為基礎構建的防御技術均具有更好的靈活性和可擴展性。通過分析、概括各種方案的技術特征,域間源地址驗證技術面臨的挑戰主要包括以下 4 個方面：

• 協議設計存在缺陷
• 自治域間合作困難
• 協議開銷過重
• 缺乏部署激勵