论文部分内容阅读
基于源地址欺骗的网络攻击已成为当前网络安全最主要的威胁之一。源地址验证技术是解决源地址欺骗问题的有效方法之一,具有重要的理论意义和实用价值。当前,国内外研究人员已提出多种源地址验证技术。本文对这些典型技术进行分类,总结这些技术的主要思想及优缺点,并在此基础上提出了一个新的源地址验证体系结构SVA(Source Validation Architecture)。SVA提供两个可选的验证机制:主动路径标识机制Active SPi和OSPF辅助的逆向路径转发机制OAuRPF。Active SPi机制属于源地址端系统验证技术,由路由器对报文进行标记,端系统执行过滤功能。该机制采用IP地址的hash值来计算标记值,使用固定长度标记方案,并提前将报文传输路径上下一跳的信息标记到报文中。端系统采取一种主动验证技术,通过向报文源端发送验证报文,依据源端回复报文所带标识值,判断报文源地址的真实性。这一机制采用的端系统过滤机制部署激励比较高,并能动态适应网络拓扑结构变化。通过对OSPF的路由对称性进行分析,本文提出了OAuRPF机制。OAuRPF属于源地址网络验证技术,由路由器依据所学习的路由信息来执行过滤功能。需在路由器控制平面添加一个路由对称性判断模块,依据对对当前路由对称性的判断生成相应的过滤规则,形成一张匹配表,并在转发平面添加一个源地址验证模块,该模块与转发表及匹配表进行交互,动态对报文进行过滤。这一机制可以提高uRPF机制在非对称路由情况下的有效性,降低合法非对称路由报文的丢弃率。本文实现了基于Linux系统的源地址验证体系结构SVA的原型系统,并构建多种域内网络拓扑结构进行模拟试验。试验结果表明,SVA能对源地址伪造攻击快速响应,且过滤效果较好。