SAVI和IP地址防欺骗.ppt

1.制定符合中国电信特色的SAVI标准 2010年11月~2011年1月 基于PPP方式的SAVI方案，提出draft-ietf-savi-ppp 目前的SAVI标准只研究了IPoE方式下的部署 DSLAM 汇聚Switch SR BRAS 楼道Switch CPE 园区Switch OLT SAVI部署点（潜在） 2.进行SAVI现网试点部署 2011年1~3月 SAVI交换机实验室测试，研究室/CNGI驻地网部署 PPP草案成熟并设备实现（DSLAM/PON） 2011年4~6月 SAVI设备实验室测试 制定现网部署方案 2011年下半年 现网试点 标准改进 中国电信股份有限公司北京研究院 * SLAAC：无状态地址自动配置机制； * * 第一个声明该一个源地址的主机有使用权，声明以后就必须使用相同的地址，指导同一个源地址再次声明； 需要考虑，主机位置发生移动的情况； 当收到新的声明，需要到旧的端口上去确认一下，NSIO去确认原有的host是否存在响应。 * 用戶至上 用心服务 Customer First Service Foremost SAVI和IPv6地址防欺骗 目录 IP地址防欺骗技术 SAVA/SAVI介绍 SAVI技术的应用和部署 下一步工作计划 IP地址欺骗问题 现有互联网对分组报文来源不做验证，恶意攻击者伪造分组中的源IP地址，导致安全攻击泛滥。 IP地址欺 骗行为 是一些危害巨大的网络攻击的技术基础。为其它攻击提供了隐匿真实攻击源、加大攻击效果、增加防御难度的手段。 获取网络拓扑信息、消耗受害者的资源、获取受害者的敏感信息、引发一系列重大的管理和服务问题，例如计费、故障排查 MIT ANA Spoofer project 工作组的实验说明NAT技术、跳板技术、僵尸网络的出现并没有缓解地址欺骗的问题。当前的过滤手段成效并不明显。 IP地址防欺骗 IP地址防欺骗 是指能对IP源地址进行验证以确保分组来源的真实性，并在发现伪造地址的分组后能对伪造源进行追溯。 意义 安全 管理 审计 维稳 降低攻击的发生率及影响，提供互联网安全可信基础 对源地址进行监控、追溯 实现基于源地址的计费服务 打击网络犯罪，保护国家社会安全稳定 * IP地址防欺骗的难点和目标 难点攻击者可随机伪造地址，隐藏身份和来源，因此 难以从合法的数据流中区分攻击分组 难以完全防止攻击流进入网络 难以在攻击造成影响前阻截并丢弃攻击分组 目标 1 2 3 IPv4地址防欺骗技术 方案 部署于终端（接收方） 部署于路由器 路由器与终端协作 典型 方法 加密：IPSec 探测：OS指纹探测，TCP探测 其他：SYN cookies，IP puzzles 被动：Hop count过滤 Ingress/egress 过滤 逆向路径转发 SPM Passport DPF SAVE IDPF BASE Pi StackPi 优点 不依赖于路由器的功能 易于部署 更有效 在攻击造成影响前进行阻截 缺点 攻击已造成影响 不可追溯 需要路由器参与，部署困难 不可追溯 可追溯 参考资料: Toby Ehrenkranz and Jun Li, On the state of IP spoofing defense. 2009. * IPv6地址防欺骗技术 基于分组过滤的体系结构 自我验证的结构体系 SAVA 基于密钥的地址结构 基于自我验证的体系结构 CGA，TrueIP IPSec，HIP，AIP 参考资料： A Source Address Validation Architecture (SAVA) Testbed and Deployment Experience , RFC5210 Security Architecture for the Internet Protocol(Ipsec) , RFC2401 3. Cryptographically Generated Addresses (CGA) , RFC3972 4. Host identity protocol (HIP) architecture, RFC 4423 5. Accountable Internet Protocol (AIP), Proc.ofACMSIGCOMM,2008 6. TrueIP: prevention of IP spoofing attacks using identity-based cryptography, SIN’09 SAVA(源地址验证体系结构) 将真实有效的IP地址动态绑定到交换机的端口上，通过建立三元绑定关系终端IPv6地址，终端MAC（Me