使用带认证的入口包标记追踪IP源地址

本文首先介绍了几种国际上最新的网络攻击IP源地址追踪方案,随后提出了一种带认证机制的、对入口包进行标记的IP地址追踪方案,最后对几种方案进行了比较,说明入口包标记方案具有较好的特性。

基于Bloom滤波器的IP源地址假冒过滤

提出将Bloom滤波器结构应用到IP源地址假冒过滤技术中.利用Bloom滤波器存储的紧凑性,提高过滤效率,减少过滤成本.给出其伪代码,通过采集深圳大学城网络中心数据进行实验验证.实验结果表明,该方法简捷有效,且易于推广.

IP源地址伪造问题研究

IP源地址伪造是Internet上多种攻击的基础.分析了IP源地址伪造的原理,深入探讨了与IP源地址伪造相关的攻击,并简述了其后果,给出了防御IP源地址伪造的方法和措施.

基于Internet无尺度特性的IP源地址假冒过滤

提出一种基于Internet无尺度特性的StackPi在途中过滤方法,与原有的StackPi在目的端过滤的方法相比,只须配置少量的(少于总节点量的10%)途中过滤机制就能在整个Internet范围内有效抑制IP源地址假冒。准确地找到Internet中具有高连接特征的集散节点是该方法的前提,使用该方法需要Internet的拓扑知识或其他能够定位集散节点的算法。

互联网自治域间IP源地址验证技术综述

当前,互联网是基于目的地址转发,对源地址不作验证.而互联网很多安全问题的根源在于源地址的不可信.另一方面,随着互联网规模和复杂度的增大以及对政治、经济利益影响的加深,域间路由系统对互联网的稳定运行起着愈发关键的作用.美国国土安全部将域间路由安全问题列入了美国信息安全的国家战略.近年来,以IP源地址伪造为主要方式的分布式拒绝服务攻击不断地对互联网的安全性和可用性造成极大的破坏,这其中,以跨越多个管理域和国家的攻击最为频繁.因此,建立以自治域为单位的源地址验证防御体系,对互联网的安全意义重大.尽管在相关的标准和研究领域已经提出了多种域间源地址验证技术,但是目前仍未有适用于大规模部署的技术方案.对域间源地址验证的已有研究和标准进展进行了细致的梳理.首先,分析了源地址安全性缺失的原因及后果,结合国际标准化领域的研究现状,指出了域间源地址验证的重要意义;其次,从域间源地址验证技术的特征类别入手,对已有各类研究成果的技术原理和优缺点进行了深入的总结,对研究的演进脉络进行了详细的分析,并在此基础上提出了目前域间源地址验证技术面临的困境及原因;最后,提出了域间源地址验证技术未来可能的研究发展方向及设计原则建议,为后续相关研究工作的开展提供了参考.

DDoS攻击中的IP源地址伪造协同处置方法

IP源地址伪造是多种DDoS攻击的基础,给安全事件的溯源和响应处置造成了很大困难。URPF主要用于防止基于源地址欺骗的网络攻击行为,边界过滤法用于对来自网络内部的数据包进行检查。基于基础电信运营企业网络,文章提出了基于URPF技术和边界过滤法的IP源地址伪造协同处置方法,可在网内和边界出口双重过滤伪造IP源地址。实验结果表明,该方法有效阻止了IP源地址伪造流量。某省电信骨干网大规模应用后,CNCERT监测数据证实骨干路由器已无本地伪造流量和跨域伪造流量出现。

互联网中IP源地址伪造及防护技术

随着互联网使用环境的变化，互联网技术的存在的问题日益体现出来，其中一个重要的问题就是不保证源地址的真实性。据统计，一星期内利用伪造IP源地址发动的DoS攻击可达有4000余次。因而，在报文中保证源地址的真实性成为目前互联网技术亟待解决的问题。一、伪造IP源地址的含义为了能够在互联网中正常的通信，发送报文时发送者须在所发送的报文源地址字段写入发送者真实的IP地址，这样报文的接收者在回复时才能够知道将回复发给哪个地址。由于某些特殊目的，报文的发送者在发送报文时所填写的地址为虚假地址，这类行为我们称之为伪造IP源地址。目前互联网还不能完全对伪造IP源地址的报文做到有效的拦截和过滤，而且路由器在对报文进行转发时只看目的地址，对于源地址的真实与否不加考虑。因此，伪造IP源地址的报文是可以到达目的地的，这就为利用伪造IP源地址发动网络攻击提供了条件。由于难以查出伪造IP源地址的真正源头，因而在网络攻击发生后追查真正的攻击者就变得困难重重。

IPv6网络自治系统间源地址验证技术研究

现有互联网的寻址体系结构对接收和转发的IP分组的源地址并不进行严格的检查,很容易伪造IP分组的源地址。本文提出了在IPv6网络下在自治系统间实现源地址验证的方法,其对IPv6网络的安全,计费,管理和应用都会有所帮助。针对进行源地址验证的两个自治系统直接互联的情况,提出了基于自治系统互联关系的验证方法,针对进行源地址验证的两个自治系统非直接互联的情况,提出了基于签名的验证方法。本文阐述了其设计,实现,以及在CNGI-CERNEF2,一个大规模纯IPv6主干网上部署的情况。

基于边界路由动态同步的互联网地址域内真实源地址验证方法

互联网架构设计之初,假设所有网络成员都是可信的,并没有充分考虑不可信网络成员带来的安全威胁。在很长一段时间内,路由器只根据报文的目的IP地址转发消息,不对报文的源IP地址的真实性进行验证。数据分组真实性验证的缺乏会导致报文头部信息被恶意篡改。提出了基于边界路由动态同步的互联网地址域内真实源地址验证方法。该机制基于前缀拓扑信息同步的方法构建过滤表,解决了路由不对称导致过滤表和实际路由状态不一致的问题,避免了验证过程中的假阳性和假阴性,实现了低开销、低时延的地址域内IP地址前缀级粒度的真实源地址验证。

构建基于真实IPv6源地址验证体系结构的下一代互联网

现有互联网对接收和转发的IP分组的源地址并不进行严格的检查,由此引发了很多安全、管理和计费的问题.基于IPv6协议提供的巨大的IP地址空间,提出了一种"真实IPv6源地址验证体系结构"(SAVA:source add-ress validation architecture),用以验证互联网中转发的每一个分组的IP地址的真实性.这一体系结构的主要设计原则是轻权、松耦合、多重防御和支持增量部署.本文阐述了这一体系结构的设计,实现和部署的细节,包括接入子网内、自治系统内、自治系统间3个组成部分.重点介绍了自治体系间IP源地址验证的协议设计.这一体系结构已经部署在CNGI-CERNET2,一个大规模纯IPv6主干网上.这一体系结构将有助于提高互联网的安全性和可信任性.

IP追踪新进展

在信息化社会发展过程中,互联网的应用已成为人们最重要的通信手段.然而,在网络应用大规模发展的同时,网络安全的状况不容乐观,网络安全问题也日益突出.在众多网络安全问题当中,分布式拒绝服务攻击(DDoS)是最具威胁的问题之一.IP源追踪技术是监测和防御DDoS攻击的重要手段,能够实时隔离或阻断攻击,使得各项入侵响应措施更加准确有效,且在提供法律举证和威慑攻击者等方面具有积极作用,对于缔造一个安全可信的网络环境具有重要意义.本文介绍了近几年IP追踪算法的新进展,分析比较各种算法的优缺点,并指出IP追踪技术所面临的问题展望了其今后的发展趋势.

改进的密码生成地址方法

提出一种改进的密码生成地址方法,ACGA涉及到两组公钥和私钥对,一组是ISP的公钥和私钥对,其中私钥在分配AC-GA地址中使用,公钥在验证该地址是否存在或是否来自声称的ISP中使用。另一组是ACGA地址主人的公钥和私钥,公钥用来生成OCGA地址,而私钥用来对该地址发送的消息进行数字签名。ACGA能够克服原始密码生成地址算法即CGA算法的不足,抑制各种情况下的IPv6源地址假冒攻击。

实现IP over ATM网络安全

IPoverATM网络是目前的一个研究课题。为了在ATM网上实现IP传输,人们提出了一些新的协议,但这些协议本身的安全性还没有进行深入地了解和验证。该文讨论了“经典IPoverATM”网络中存在的一些安全问题及其解决方案,提出了基于交换机的配置方法和对ATMARP服务的扩展。

基于自治域防御联盟源宣告的域间源地址验证

针对国际互联网工程任务组IETF源地址验证增强SAVI工作组重点解决了接入网的IP源地址验证,而自治域间的源地址验证仍然面临挑战的问题,以入口和出口过滤(ingress/egress filtering)防御技术为基础,提出了一种基于自治域防御联盟的域间源地址验证系统方案.该方案通过设计特定的源宣告方式及相关路由策略,确立了联盟成员的验证规则配置形式,在保证方案轻量性的基础上提升了原入口和出口过滤技术的防御性能;着重研究了自治域防御联盟的源宣告策略,针对多路径和误宣告现象引发的回流误判提出了解决方法,证明了以自治域防御联盟为单位的过滤技术具备有效的域间源地址验证能力.

基于网络安全的TCP欺骗的研究

网络安全是网络建设研究的一个重要方面。对TCP欺骗进行了分析,并提出了降低TCP欺骗的方法。

URPF配置及自动核查研究

IP源地址伪造是多种攻击的基础,给安全事件的定位和应急响应造成了很大困难。URPF的主要功能是防止基于源地址欺骗的网络攻击行为。本文介绍了URPF处理流程、现网实施技术方案和典型配置,并实现了设备URPF启用状态自动核查,从源头抑制攻击,有效提升了互联网安全防护水平。

对主机和交换机端口的有效定位

案例一：用户主机定位 星期一早上．网管员上班后接到很多用户投诉上不了网。网管员检测路由其端口．发觉带宽拥塞。由于没有广域网流量监测工具，又没有路由器的登录权限．无法知道在广域网上的流量类别和数据来源．只好在路由器前100兆口作流量分析．这需要通过设置交换机镜像口。通过这个方法．他发觉有多个不知名的IP源地址．从一个MAC向外发包。初步估计是这台机器中了病毒。

被遗忘的路由

基于策略的路由比传统路由更灵活，它使网络管理者不仅能够根据目的地址，而且能够根据协议类型、报文大小、应用、IP源地址或者其他的策略来选择转发路径。笔者结合工作实际，介绍一则策略路由带来的隐蔽故障的发生和解决。

基于URPF和精确ACL的DRDoS协同处置方法研究

DRDoS攻击通过伪造地址来隐藏攻击源,具有放大效果显著、治理追溯困难的特点,给安全事件的溯源和响应处置造成了很大困难。本文给出一种基于URPF和精确ACL的DRDoS协同处置方法,实现全流程精确处置DRDoS攻击。实验结果表明,该方法有效地阻止了DRDoS攻击。在安徽联通骨干网大规模应用后,CNCERT的监测数据证实骨干路由器已无反射攻击流量出现。