基于自治域防御联盟源宣告的域间源地址验证 贾溢豪 任罡 刘莹 清华大学 2016年10月25日
关于伪造源地址攻击 IETF SAVI工作组:解决关于接入子网层面的域间源地址验证 源地址伪造是DDoS攻击的重要组成部分 665 Gbps 超大规模DDoS攻击 反射-伪造源地址 无需握手 (UDP) 协议利用-放大报文
IETF BCP 38/84 Ingress/Egress Filtering 跨越国家、AS的DDoS 频繁 + 严重 IETF BCP 38/84 Ingress/Egress Filtering 本质:对内防御 无法防御来自域外的 伪造源地址攻击 需要全局部署 对内防御--无部署激励 域间防御遥遥无期
IEF验证原理 IEF扩展:单个AS -> AS联盟 AS防御联盟如何协作? 对内:拒绝向域外转发本域不拥有的源地址报文 对外:拒绝转发外来且持有本域所持有的源地址的报文 IEF扩展:单个AS -> AS联盟 对内:拒绝向团体外转发本团体不拥有的源地址报文 对外:拒绝转发外来且持有本团体所持有的源地址的报文 AS防御联盟如何协作?
? AS防御联盟协作方式 防御联盟过滤实施方案: 对内:AS防御联盟内所有AS开启Ingress Filtering 防御联盟内AS如何传递彼此持有的IP源? 洪泛:联盟内每个AS均持有本联盟所有AS所持有的IP前缀集合 ?
防御联盟对外发出的流量是否会回流至本联盟?
定义Flow(a, b): 为以自治域a为源流至自治域b的流 AS防御联盟协作失误 回流误判 1:多路径 Flow(4, 2): [4,5,2] 或 [4,10,2] 回流误判 2:误宣告 Flow(7, 9): [7, 8, 3, 1, 9] 如何避免? 定义Flow(a, b): 为以自治域a为源流至自治域b的流
AS防御联盟协作错误规避 证明关键:若仍存在回流,则定存在Valley-Free违背 即路由泄漏,其亦不可容忍 回流误判 1:多路径解决方案 提升同类链路下,连接至本防御联盟的链路路由偏好值至本类下最高 证明关键:若仍存在回流,则定存在Valley-Free违背 即路由泄漏,其亦不可容忍
AS防御联盟协作错误规避 证明关键:域间流量流向的本质遵循AS间互联关系 回流误判 2:误宣告解决方案 源宣告按照自治域互联关系导出表进行 物理防御联盟 -> 若干逻辑防御联盟 以逻辑防御联盟为单位对外实施过滤 证明关键:域间流量流向的本质遵循AS间互联关系
AS防御联盟配置方案 AS防御联盟-Ingress Filtering: FilterOut(α)=Whitelist{space(α)} AS防御联盟-Egress Filtering: 则:FilterIn(β│I)=Blacklist{∑AS∈L(V) space(γ)}, β∈L(V) 定义α为物理联盟内任意AS节点; 定义β为逻辑联盟边缘AS节点:即该节点至少存在一个接口I连接至逻辑联盟外AS节点; 定义连通子图L为某特定逻辑防御联盟
AS防御联盟特性分析 防御联盟本质特性: IEF防御性能:AS联盟 > 单个AS 防御性能∝防御面积(成员数量) 验证开销∝查表速率 增量部署特征: 部署激励∝防御性能∝防御面积 新增部署节点 联盟边缘节点 承担对外防御职能 联盟规模激增 表项聚合
域间源地址验证防御 离不开 自治域协作 新的激励模式-->协作关系 互联网治理<>儒家思想 达则兼善天下,穷则独善其身 互联网发展已脱离大同社会的构想 为世界提供更好的服务,绝不与腐败势力同流合污 ROA提供了一个好的实现案例 在分布式的域间环境下,我们难以独善其身 基于防御联盟的IEF仅仅是一种最简洁的协作方式,未来新的优秀防御技术的提出仍然离不开AS间的相互协作 新的激励模式-->协作关系
Thank you! Q&A 2016年10月25日