基于自治域防御联盟源宣告地域间源地址验证.docxVIP

基于自治域防御联盟源宣告的域间源地址验证 贾溢豪 任罡 刘莹 清华大学 2016年10月25日 关于伪造源地址攻击 IETF SAVI工作组：解决关于接入子网层面的域间源地址验证 源地址伪造是DDoS攻击的重要组成部分 DDoS攻击自2012年开始攻击愈发迅猛 超大规模DDoS攻击 反射-伪造源地址 无需握手 (UDP) 协议利用-放大报文 IETF BCP 38/84Ingress/Egress Filtering 跨越国家、AS的DDoS 频繁 + 严重 本质：对内防御 无法防御来自域外的 伪造源地址攻击 需要全局部署 对内防御--无部署激励 域间防御遥遥无期 IEF验证原理 对内：拒绝向域外转发本域不拥有的源地址报文 对外：拒绝转发外来且持有本域所持有的源地址的报文 IEF扩展：单个AS - AS联盟 对内：拒绝向团体外转发本团体不拥有的源地址报文 对外：拒绝转发外来且持有本团体所持有的源地址的报文 AS防御联盟如何协作? AS防御联盟协作方式 防御联盟过滤实施方案： 对内：AS防御联盟内所有AS开启Ingress Filtering 对外：联盟边缘AS过滤流经联盟的、且源地址属于本联盟的流 防御联盟内AS如何传递彼此持有的IP源？ 洪泛：联盟内每个AS均持有本联盟所有AS所持有的IP前缀集合 ？ 防御联盟对外发出的流量是否会回流至本联盟？ AS防御联盟协作失误 回流误