IP地址伪造与防御机制研究

针对IP地址伪造已经对互联网安全性造成较大负面影响,首先对伪造IP地址与网络安全之间的关系进行分析,并对三种常见的IP地址伪造网络攻击类型进行分析,最后从端到端防护、路径过滤技术以及Traceback防护三个方面论述具体的IP地址伪造防御机制。

基于伪造IP地址检测的轻量级DDoS防御方法

由于网络速率的不断增加和网络带宽的不断变大,采用维持连接状态的方式进行DDoS攻击防御变得越来越困难。通过检查伪造IP地址防御DDoS攻击是高速链路上防御DDoS攻击的一种有效方法。由WangHai-ning等人提出的HCF在训练完全的情况下对伪造IP地址具有较强的检测能力。但由于网络流量构成的显著变化,网络流量的动态性明显增强。在当前网络环境下的HCF很难训练完全,从而使得HCF在当前网络环境下的检测能力大幅降低。基于HCF使用的基本原理在其基础之上引入了主机安全指数的概念,并修改了其实现的数据结构,使其更加适应当前的网络环境。实验结果显示,该方法在当前网络环境下可以较好地防御基于伪造IP地址的DDoS攻击。同时与HCF相比,可以显著地降低误判率。

IP源地址伪造问题研究

IP源地址伪造是Internet上多种攻击的基础.分析了IP源地址伪造的原理,深入探讨了与IP源地址伪造相关的攻击,并简述了其后果,给出了防御IP源地址伪造的方法和措施.

DDoS攻击中的IP源地址伪造协同处置方法

IP源地址伪造是多种DDoS攻击的基础,给安全事件的溯源和响应处置造成了很大困难。URPF主要用于防止基于源地址欺骗的网络攻击行为,边界过滤法用于对来自网络内部的数据包进行检查。基于基础电信运营企业网络,文章提出了基于URPF技术和边界过滤法的IP源地址伪造协同处置方法,可在网内和边界出口双重过滤伪造IP源地址。实验结果表明,该方法有效阻止了IP源地址伪造流量。某省电信骨干网大规模应用后,CNCERT监测数据证实骨干路由器已无本地伪造流量和跨域伪造流量出现。

伪造IP数据远程检测方法研究

分析了相同跳数情况下往返时延的分布情况,提出建立往返时延与C类IP地址之间的映射关系,综合数据流中的跳数与往返时延参数对IP地址的真实性进行判断,完成对伪造IP地址数据的检测。真实环境下的测试结果显示,该方法可以快速准确地完成对伪造IP数据的识别。

利用X-Forwarded-For伪造客户端IP漏洞成因及防护

本文从Nginx到获取IP地址的普通手段进行了必要的介绍,从在对外的Nginx反向代理服务器上配置和遍历X-Forwarded-For头中的IP地址两个防范手段进行了说明,旨在促进互联网安全性的进一步提升。

IP欺骗原理分析

IP欺骗是一种复合型网络攻击技术。它将IP地址伪造技术、TCPSYN洪流攻击技术与TCP序列号猜测技术融为一体,并且在攻击过程中利用了具有信任关系的主机间采取的基于地址的认证方式。论文在介绍TCP/IP相关知识的基础上对IP欺骗的原理进行了全面、详尽的分析。

基于边界路由动态同步的互联网地址域内真实源地址验证方法

互联网架构设计之初,假设所有网络成员都是可信的,并没有充分考虑不可信网络成员带来的安全威胁。在很长一段时间内,路由器只根据报文的目的IP地址转发消息,不对报文的源IP地址的真实性进行验证。数据分组真实性验证的缺乏会导致报文头部信息被恶意篡改。提出了基于边界路由动态同步的互联网地址域内真实源地址验证方法。该机制基于前缀拓扑信息同步的方法构建过滤表,解决了路由不对称导致过滤表和实际路由状态不一致的问题,避免了验证过程中的假阳性和假阴性,实现了低开销、低时延的地址域内IP地址前缀级粒度的真实源地址验证。

URPF配置及自动核查研究

IP源地址伪造是多种攻击的基础,给安全事件的定位和应急响应造成了很大困难。URPF的主要功能是防止基于源地址欺骗的网络攻击行为。本文介绍了URPF处理流程、现网实施技术方案和典型配置,并实现了设备URPF启用状态自动核查,从源头抑制攻击,有效提升了互联网安全防护水平。

基于URPF和精确ACL的DRDoS协同处置方法研究

DRDoS攻击通过伪造地址来隐藏攻击源,具有放大效果显著、治理追溯困难的特点,给安全事件的溯源和响应处置造成了很大困难。本文给出一种基于URPF和精确ACL的DRDoS协同处置方法,实现全流程精确处置DRDoS攻击。实验结果表明,该方法有效地阻止了DRDoS攻击。在安徽联通骨干网大规模应用后,CNCERT的监测数据证实骨干路由器已无反射攻击流量出现。