域间IP欺骗防御服务净化机制

IP地址真实性验证成为构建可信网络的基础,基于粗粒度的源-目的自治域标识(密钥)的域间IP欺骗报文过滤机制具有处理简单、保护范围广、部署激励高等优点,却存在不能过滤自治域内子网间IP欺骗报文等不足.而细粒度的源-目的子网标识能够解决过滤粒度粗的问题,却带来了更严重的处理复杂、计算和存储开销大等问题.针对IP欺骗防御机制的计算复杂度和过滤粒度之间的矛盾,提出一种新颖的域间IP欺骗防御服务净化机制RISP.RISP立足于域间IP欺骗防御,根据自治域内拓扑结构的稳定性,引入非对称的细粒度的源子网-目的自治域标识方式,实现对自治域间和自治域内子网间IP欺骗报文的检测与过滤.根据主要的IP欺骗报文攻击的流特征,引入流异常检测机制,实现细粒度标识的动态触发,进一步降低细粒度标识的计算和存储开销,同时对子网内恶意数据流进行流速限制.RISP在不增加自治域内防御实体的情况下,使得防御实体能够过滤自治域内子网间IP欺骗报文,计算和存储开销小,过滤粒度细,而且具有较高的部署激励.

域间IP欺骗防御服务增强机制

IP地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级IP欺骗过滤和基于源标识(公钥)的端系统级IP认证均采用了端-端方式试图解决IP欺骗.端-端认证方式实现简单,但却忽略了IP欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向IP欺骗防御联盟成员的域间IP欺骗防御服务增强机制——ESP(enhanced spoofing prevention).ESP引入开放的路由器协同机制,提供了源-目的路径中ESP节点信息通告和协同标记的框架.基于源标识IP欺骗防御,ESP融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了ESP节点根据报文标识提前过滤IP欺骗报文.基于BGP(border gateway protocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了ESP节点的标记和过滤开销.ESP继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用Routeview提供的RIB(routing information base)进行评估,ESP增强了IP欺骗防御服务的能力,而且能够提前过滤IP欺骗报文.

域间IP欺骗防御服务扩展

拒绝服务攻击严重影响Internet的可用性,而攻击者通常采用源IP欺骗方式,使得网络防御更加困难.尽管已经提出许多防御IP欺骗的机制,但只是部分部署,防御效果差.本文首次提出一种域间IP欺骗防御服务扩展机制-MASK,在给定防御节点覆盖的情况下,延伸防御机制保护范围,增强节点的防御能力.借鉴Transit-Stub AS模型,根据BGP消息MASK节点代理邻居中Stub AS与目的端AS协商标识,共享源IP地址空间信息,向Stub AS提供IP欺骗防御服务.同时利用BGP消息约束源-目的端之间MASK会话数,减小了标识的计算和存储开销.MASK不仅扩大了防御机制保护范围,且提前过滤了IP欺骗数据流.应用Routeview提供的RIB进行评估,MASK在相同覆盖下能够扩展IP欺骗防御机制的保护范围,是一种高效的域间IP欺骗防御机制,可为建设新一代可信网络提供有力支撑.