学术论文：IP源地址欺骗的域间防御技术研究(可编辑文本).pdf

国防科学技术大学研究生院博十学位论文 摘要 随着互联网的飞速发展，社会对网络依赖程度日益加重，网络可信任性对国 家经济持续发展和国家安全稳定起到越来越重要的作用。然而，网络安全事件的 频繁发生，严重威胁网络可信任性。口源地址欺骗是网络攻击中普遍采用的手段。 攻击者伪造报文源i p 地址，不仅削弱了防御机制检测和过滤攻击报文的能力，还 为攻击者逃避责任提供了方法。由于i p 源地址欺骗破坏了网络可信任性的重要基 础之一，即网络层报文源i p 地址真实性，因此需要研究i p 欺骗防御机制以增强网 络的可信任性。 域间i p 欺骗报文过滤是i p 欺骗防御研究的重点。目前域间i p 欺骗防御通常 采基于标识和基于路由的两种机制。但这两种机制都存在防御范围小、提前过滤 能力弱等不足。本文将上述两种机制结合，通过有效控制源i p 地址验证状态信息 聚合粒度和防御实体协同范围，对域间i p 欺骗问题展开研究，主要研究工作包括： 针对防御机制的部分部署问题，提出基于i p 地址验证状态集扩充的域间i p 欺 骗防御扩展机制m a s k ( m u l t i p u r p o s ea n t is p o o f i n gk e y ) 。根据网络t r a n s i t s t u b 模型和自治域问商业关系，m a s k 防御实体维护邻居中未部署防御机制的s t u b 域 的源i p 地址信息，扩充了防御实体的源i p 地址验证状态集，并通过代理s t u b 域 参与到i p 欺骗防御中，扩展了防御服务的保护范围。理论分析和模拟结果表明， m a s k 能够以较低的额外开销，扩展防御机制的保护范围，并提高防御实体运行 效率。 针对i p 欺骗报文消耗网络资源的问题，提出基于全程a s 防御体联合的域间 i p 欺骗防御增强机制e s p ( e n h a n c i n gs p o o f i n gp r e v e n t i o n ) 。e s p 将域间d 欺骗 防御协同从源一目的自治域协同扩展为全程防御实体协同，通过源标识方法减小了 中间防御实体维护状态信息带来的开销。通过引入前缀安全节点及其检测机制， e s p 不但可有效控制标识传播范围，而且可进一步减小防御实体标记和过滤开销。 针对自治域内i p 地址欺骗问题，提出域内拓扑感知的i p 欺骗防御机制r i s p ( r e f i n i n gi n t e r - d o m a i ns p o o f i n gp r e v e n t i o n ) 。r i s p 动态感知域内网络拓扑变化， 根据路由器端口聚合网络源i p 地址空间，即通过采用非对称、细粒度的源端路由 器端口目的端自治域标识，在域间i p 欺骗报文过滤基础上增加了对域内路由器端 口间i p 欺骗报文的过滤。通过使用基于流异常检测的和动态触发的细粒度标识， 耻s p 可有效抑制细粒度标识带来的计算和存储开销膨胀。 最后，本文针对一体化i p 欺骗防御中协同问题，提出了层次化协同模型h c m ( h i e r a r c h i c a lc o o r d i n a t i o nm o d e l ) 。基于h c m 模型，可将自治域内部采用集中式 第i 页 国防科学技术大学研究生院博士学位论文 防御机制与自治域间采用的分布协i 司的防御机制有效结合，形成一利，层次式i p 欺 骗防御体系，增强了互联网对i p 欺骗报文过滤的能力。 主题词：i p 欺骗、部分部署、状态聚合、防御扩展、全程防御、层次化1 办同 第i i 页 国防科学技术大学研究生院博士学位论文 a bs t p a c t t h et r u s t w o r t h i n e s so ft h ei n t e r n e th a si m p o s e da l li m p o r t a n ti n f l u e n c eo nt h e d e v e l o p m e n to ft h es o c i e t ya n dt h es e c u r i t yo ft h es t a t e h o w e v e r ，s e c u r i t ye v e n t so f n e t w o r k sh a p p e nf r e q u e n t l y ，w h i c hi m p a i r st h et r u s t w o r t h i n e s so ft h ei n t e r n e t f o r e x a m p l e ，a t t a c k e r sf o r g es o u r c ei pa d d r e s s e so fp a c k e t sa n dl a u n c hi ps p o o f m ga t t a c k s ， w h i c hc r i p p l et h ef o u n d a t i o no ft h et r u s t w o r t h i n e s so ft h ei n t e r n e t ，n a m e l y ，t h ev a l i d i t y o fs o u r c ei pa d d r e s s e s h e n c e ，i ti si m p o r t a n tt ob u i l de f f e c t i v ep r e v e n t i o nm e c h a n i s m s t of i l t e ri ps p o o f i n gp a c k e t sa n dt ob u i l dt h et r u s t w o r t h yn e t w o r k m e a n w h i l e ，r e s e a r c h e so n e x i s t i n gs p o o f i n gp r e v e n t i o nm e c h a n i s m ss u c ha s s p o o f i n gp r e v e n t i o n sb a s e do nl a b e l sa n df i l t e r sb a s e do n , r o u t e s ，d i s c o v e r e dt h a tt h e s p o o f i n gp r e v e n t i o ni sb e i n gb u r d e n e dw i t hs e r i o u sp r o b l e m s f o re x a m p l e ，t h es m a l l d o m a i n so ft h ep r e v e n t i o n sa n dt h ec o a r s e g r a i n e df i l t e r i n gh a v er e s u l t e di nt h ed e f e c t o fs p o o f i n gp r e v e n t i o n s i nt h i st h e s i s ，b yi n t e g r a t i n gt h ea b o v et w om e t h o d sa n d c o n t r o l l i n gt h eg r a n u l a r i t yo fa g g r e g a t i n gs o u r c ei pa d d r e s s e sa n dt h ed o m a i no ft h e c o o r d i n a t i o no fd e f e n d e r s ，w er e s e a r c ho nt h ei n t e r d o m a i ni ps p o o f i n gp r e v e n t i o n n e m a i nc0 ：h t r i b u t i o no ft h et h e s i si sd e t a i l e da sf o l l o w s ： 。r e c e n tp r o p o s a l so fi ps p o o f i n gp r e v e n t i o n sa r ei n e f f i c i e n ta tf i l t e r i n gs p o o f i n g p a c k e t sd u et op a r t i a ld e p l o y m e n t s t o a d d r e s st h ep r o b l e m ，w ep r o p o s ea ne f f i c i e n t m e c h a n i s mc a l l e dm a s kt oe x t e n dt h ed o m a i no fi n t e r - d o m a i ni ps p o o f i n gp r e v e n t i o n s o u r c em a s kn o d e si n f o r md e s t i n a t i o nm a s kn o d e sa b o u tt h es o u r c ei ps p a c e sa n d l a b e l so ft h e i rn e i g h b o rs t u b - a s e si no r d e rt oi m p l e m e n tt h em a r k i n ga n dv e r i f i c a t i o n o fp a c k e t st o w a r d st h es t u b - a s e s ，a n dl i m i tt h en u m b e ro fm a s kp e e r st h r o u g ht h e p r o p a g a t i o no fb g pu p d a t e ss oa st or e d u c et h eo v e r h e a d so fc o m p u t i n ga n ds t o r i n go f l a b e l s b yu t i l i z i n gt h em e t h o do fe x t e n d i n gt h es p o o f i n gp r e v e n t i o nt os t u b - a s e s ， m a s kc o u l dn o to n l ye n l a r g et h ed o m a i no ft h es p o o f i n gp r e v e n t i o ns e r v i c e ，b u ta l s o f i l t e rs p o o f i n gp a c k e t si na d v a n c e i n t e r - d o m a i ni ps p o o f i n gp r e v e n t i o n si g n o r et h ef l o o d i n go fs p o o f i n gp a c k e t so n m i d d l en e t w o r k s t oh a n d l et h ea b o v ep r o b l e m ，an o v e lm e c h a n i s mn a m e de s pt o e n h a n c et h ei n t e r d o m a i ni ps p o o f i n gp r e v e n t i o ni s p r o p o s e d v i ai n t e g r a t i n gp a t h l a b e l si n t os o u r c el a b e l se s ps o l v e st h ec o l l i s i o no fs o u r c el a b e l sa td e s t i n a t i o n n e t w o r k sa n de n a b l e sf i l t e r i n gi ps p o o f m gp a c k e t st o w a r do t h e rn o d e si nm i d d l e n e t w o r k s ，t h u sp r e v e n t i n gf l o o d i n ga t t a c k si na d v a n c ea n de x t e n d i n gt h ep r o t e c t e d d o m a i no ft h es p o o f i n gp r e v e n t i o n b a s e do nb g pu p d a t ee s pd e v e l o p st h ev a l i d a t i o n o fp r e f i xs e c u r i t yt or e s t r i c tt h es c o p eo ft h ep r o p a g a t i o no fl a b e l s ，t h u sd e c r e a s i n gt h e c o s to ft h ec o m p u t i n ga n ds 幻r i n go fl a b e l s m a n yp r o p o s a l so ft h ei ps p o o f i n gp r e v e n t i o n sh a v et h es h o r t c o m i n gt h a tc a n t f i l t e rs p o o f i n gp a c k e t sf o r g i n gi pa d d r e s s e so fo t h e rh o s t si nt h es a m ed o m a i n t o 第i i i 页 国防科学技术大学研究生院博十学位论文 = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = ：= ：= = = = = = = = = = = = = = z = = h a n d l et h ep r o b l e m ，am e c h a n i s mc a l l e dr i s pt or e f i n et h ei n t e r d o m a i ni ps p o o f i n g p r e v e n t i o ni sp r o p o s e d b a s e do nt h es t a b i l i t yo ft h et o p o l o g i e s o fa s e s ，r i s p i n t r o d u c e su n s y m m e t r i c a lf i n e g r a i n e dl a b e l sb e t w e e ns o u r c es u b n e t sa n dd e s t i n a t i o n a s e s w h i c hc o u l df i l t e rs p o o f i n gp a c k e t so r i e n t i n gf r o ma s e so rs u b n e t s b a s e do i lm e m a i nc h a r a c t e r i s t i c so ft h ea t t a c k se m p l o y i n gi ps p o o f i n g ，r i s pc o m b i n e st h ea n o m a l y d e t e c t i o nw i t hi ps p o o f i n gp r e v e n t i o n s ，w h i c hc o u l dt r i g g e rd y n a m i cm a r k i n g ，a n d - r e s t r a i nt h ec o s to fc o m p u t i n ga n ds t o r i n go fl a b e l sf r o me x p a n d i n ga n dl i m i tt h er a t e s o fm a l i c i o o sf l o w s t o w a r d st h ec o o r d i n a t i o ni nt h e i n t e g r a t i v e i p s p o o f i n gp r e v e n t i o n ，h c m ( h i e r a r c t n c a lc o o r d i n a t i o nm o d e l ) i sp r o p o s e d b yc o m b i n i n gt h ec e n t r a l i z e dc o n t r o lo f i n t r a d o m a i na n dt h ed i s t r i b u t e dc o o r d i n a t i o no fi n t e r - d o m a i n ，w h i c ha d o p t sh c m ，w e d e v e l o pt h eh i e r a r c h i c a li ps p o o f ；n gp r e v e n t i o n ，w h i c he n h a n c et h ea b i l i t yo ft h e o f i n gp r e 、，e n t i o n k e yw o r d s ：i ps p o o f i n g ，p a r t i a ld e p l o y m e n t ，a g g r e g a t i n go fi ps p a c e o x , t e n d i n g4 。! 。cp r e v e n t i o n ，c o o r d i n a t i n go fd e f e n d e r s ，h i e r a r c h i c a lc o o r d i n a t io n 第i v 页 国防科学技术大学研究生院博士学位论文 表目录 表3 1网络拓扑结构属性一3 1 表5 1路由器接口参数6 8 表5 2 流属性6 9 表7 1防御机制比较9 1 第v 页 围藏科学技术大学研究生院博士学位论文 图1 1 图2 1 图2 2 图2 3 图2 4 图2 5 图2 6 图2 7 图2 8 图3 1 图3 2 图3 3 图3 4 图3 5 图3 6 图3 7 图3 8 图3 9 图3 1 0 图3 1 1 图3 1 2 图3 1 3 图4 1 图4 2 图4 3 图4 4 图4 5 图4 6 图4 7 图4 8 图4 9 图目录 允许伪造源i p 地址的网络统计2 s p m 原理9 s t a c k p i 标记，l 】 链式标记计算1 2 i n g r e s s 过滤13 通过路由协议建立入表_ 1 4 通过s a v e 协议建立入表1 5 i d p f 过滤能力。1 7 防御机制部署激励比较。18 源i p 欺骗防御中三级信任模型2 l t r a n s i t - s t u b 域模型2 2 b g p 路由决策：“一2 3 邻居中s t u ba s 分布一2 4 m a s k 对等体选择：，一2 5 m a s k 会话建立一2 6 m a s k 标记与验证矗l 2 7 标识平均识别率。2 9 平均攻击带宽3 0 过滤能力确矗) 比较3 2 过滤能力欢( f ) 比较3 3 追踪能力( f ) 比较3 4 多宿主结构容错机制3 6 目的端和中间防御节点过滤比较4 0 a s 路径长度分布4 1 标识冲突与消解4 3 e s p 标识传递与计算4 4 e s p 传递4 6 e s p 标记4 7 e s p 过滤：4 8 攻击报文消耗带宽比例5 1 e s p 在部分部署环境中应用5 3 第页 国防科学技术大学研究生院博士学位论文 图5 1 过滤粒度一5 6 图5 2p o p 结构：一5 7 图5 3t c p 会话过程一- 5 9 图5 4r i s p 原理一：一6 0 图5 5目的端处理。：o 小6 1 图5 6 源端处理| 6 2 图5 7 动态组相联流c a c h e ( 2 路) j 6 3 图5 8 流异常检测。6 6 图5 9 路由器端口数分布：，：一6 8 图5 1 0 相同入口路由器数分布6 8 图5 1 1活跃流统计j 6 9 图5 1 2 流特征实时统计7 0 图5 1 3 流特征序列7 1 图5 1 4 攻击检测7 2 图6 1 域内和域间信息共享- 7 8 图6 2 域内标记与验证8 3 图6 3 表组织8 4 图6 4 域间标记与验证：8 5 图6 5 通信带宽开销比较- 一8 6 图6 6 状态汇聚时延8 7 图7 1 一体化防御技术h c m - s p 验证演示环境9 2 第v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意 学位论文作者签名：一啤一 日期： 矿够年，汐月汐日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文 ( 保密学位论文在解密后适用本授权书) 学位论文题目! 塑地址教盟鲍缝阅喳御遮盛叠究 学位论文作者签名： i 垦玉兰象 储舯蝴摊：乒业l 日期：二0 0 8 # 仞月2 , - o 日 日期：硝年，月哆日 国防科学技术大学研究生院博士学位论文 第一章绪论 随着互联网的普及，社会对网络的依赖程度与日俱增，人们对互联网可信任 性要求也越来越高。然而互联网体系结构的脆弱性以及网络从设计、实现到管理 中存在的各种缺陷导致网络安全事件频繁发生。特别是攻击者很容易伪造报文源 i p 地址，造成i p 源地址欺骗( 1 - ps p o o f i n g ) 。i p 源地址欺骗一方面削弱了防御机 制检测和过滤攻击报文的能力，另一方面为攻击者逃避责任提供了手段。因此需 要研究i p 欺骗防御机制，以增强网络的可信任性。 1 1 课题研究背景 网络的可信任性以源地址的真实性为基础，然而目前互联网缺乏对报文源地 址真实性的验证机制，使得攻击者很容易伪造报文源i p 地址，发起i p 欺骗攻击。 i p 欺骗攻击严重威胁网络服务的正常运作，降低了互联网的可信任性。 互联网的可信任性关系到国家经济健康发展、社会和谐安定和国家安型1 2 。 然而，当前互联网中频繁爆发的网络安全事件如敏感信息泄漏【3 】、地址欺骗【4 ，5 1 、 身份假冒【6 j 、拒绝服务攻击【7 j 等，使人们对其应用前景表现出极大的担忧。用户很 难将关键应用迁移到互联网上，因此制约了互联网巨大潜力的发挥。 只有在可信任的网络基础设施上，各种网络业务，如电子商务、远程医疗、 科技协作、个人通信等，才能够正常开展。网络的可信任性包括多方面的属性， 如真实性( a u t h e n t i c i t y ) i s j 、可审计性( a c c o u n t a b i l i t y ) 例、可控性( c o n t r o l l a b i l i t y ) 【l o 】、抗毁性( s u r v i v a b i l i t y ) 【1 l 】等。真实性是可信任性的前提和基础【1 2 】。可信网络 从网络基础设施层次上保证信息来源的真实性i l3 1 4 j ，尤其是网络层报文源地址的 真实性，并以此为基础实现各种网络服务的可信任性。由于互联网缺乏对报文源 i p 真实性的验证，因此导致了严重的网络安全问题。 ( 1 ) 攻击者容易发起i p 欺骗攻击 由于互联网采用尽力而为转发【1 5 】和端到端【1 6 】设计思想，在缺乏源i p 真实性验 证的情况下，攻击者很容易伪造报文源i p 地址，发起i p 欺骗报文攻击【1 7 j ，如s y n 泛洪攻击【1 8 , 1 9 】、反射攻击口o 】等。在端到端设计思想指导下，即使源端节点利用伪 造源i p 地址的报文发起网络攻击，中间网络也不会检查并控制攻击流。网络只能 被动地向目标节点转发报文。因此恶意用户很容易伪造报文的源地址，并能成功 地向目标节点发送大量恶意的攻击报文，从而消耗目标端系统中有限的计算和存 储资源，甚至破坏目标系统正常运行。 ( 2 ) 攻击者能够隐藏身份 第i 页 国防科学技术大学研究生院博士学位论文t 在互联网中，网络层和传输层实体分别由i p 地址以及i p 地址加端口号确定。 这导致i p 语义过载( i po v e r l o a d ) 2 h ，即i p 地址承载过多的功能，同时作为网络 实体的身份标识( i d e n t i f i e r ) 和位置标识( l o c a t o r ) 。攻击者伪造报文源i p 地址， 不仅篡改了发送报文实体的位置，也改变了发送报文实体的身份。这不仅使得受 害者很难正确识别发送报文的网络实体位置，也破坏了受害者计算和存储资源公 平分配机制 2 2 1 。而同时由于i p 地址又作为身份标识，伪造报文源i p 地址就可以隐 藏攻击者的身份，避免被追究其责任。 综上所述，在互联网缺乏源i p 真实性验证的情况下，攻击者很容易伪造报文 的源i p 地址，随意或者故意选择源i p 地址，并成功发起源i p 欺骗攻击。而目前 互联网又缺乏有效的攻击源追踪机$ 1 j 2 3 , 2 4 ，因此应用源i p 地址欺骗方式的攻击很 普遍，其危害十分严重。 为了评估互联网中允许i p 欺骗的安全漏洞，m i ts p o o l e r 9 5 1 项目组织各地测试 者向专用服务器发送源i p 地址欺骗的报文，并对允许i p 欺骗网络按照i p 地址、 网络前缀和自治域等多种粒度分别进行统计。图1 1 表示了2 0 0 8 年9 月1 0 日互联 网中允许i p 欺骗网络统计，其中测试会话为8 9 9 7 个，测试次数为1 3 4 3 8 次。1 9 8 的i p 地址表示的端系统能够成功伪造报文源i p 地址，1 6 3 的网络前缀表示的站 点中攻击者能够成功伪造报文源诤地址，2 4 7 的自治域中攻击者能够成功伪造 报文源口地址。以上结果表明互联网中存在巨大的i p 欺骗漏洲2 6 j 。 i pa d d r e s s e s n e t b i o c k sa u t o n o m o u ss y s t e m s b l e 2 9 6 e s n m a t e d4 5 9m i l l i o no u to fe s t i m a t e d4 16 6 0o u to fe s t i m e t e d4 8 0 0o u to f19 5 3 8a s e s 2 3 2b i l l i o ni pa d d r e s s e s2 5 5 9 0 4n e t b l o c k ss p o o f a b l e s p o o f a b l e s p o o f a b l e 图1 i 允许伪造源i p 地址的网络统计 由于i p 欺骗是当前网络安全的薄弱环节，只要网络协议和系统漏洞继续存在， 源i p 欺骗攻击就可能发生【2 7 1 。因此需要设计报文源i p 真实性验证机制，提出具有 自我防护能力的、易于部署的i p 欺骗防御机制，进一步增强互联网的可信任性。 1 2i p 欺骗防御方法 报文源l p 真实性验证是实现对网络中i p 欺骗报文过滤的前提，对建设可信的 互联网基础设施具有重要意义。因此需要在网络中建立多个层次的源i p 欺骗防御 第2 页 国防科学技术大学研究生院博士学位论文 机制，验证报文源i p 的真实性并过滤i p 欺骗报文。、 1 - 2 1l p 欺骗问题描述 为了深入研究i p 欺骗问题及其防御技术，首先给出互联网i p 欺骗问题的形式 化描述： 定义1 1 网络实体在一定视角所能观察到的网络单元e ，其集合记为a e 。 例如，在域问路由系统中能观察到的网络单元为自治域a s ( a u t o n o m o u ss y s t e m ) 叫j ，在域内路由器系统中能观察到的网络单元为路由器等，在末端网络边界路由 器中能观察到的网络单元为端系统。彳e = su 叉u ，其中，为自治域集 合，s 。为路由器等网络设备集合，s ，。为端系统集合。 定义1 2 实体信息在一定视角能观察到的网络实体某一方面属性i n f ，其集 合记为i n f 。如在域问路由系统中能够观察到的自治域属性为网络i p 地址空间( 前 缀) 和连接度等。若自治域嬲的网络前缀为p ，表示为e n t i t y s ：a s ，jp ，其中 哟a e ，珐n 万。同时定义逆射e n t i t y s ：p l a s l 。 定义1 3 信息标识对网络实体信息的认证和索引k e y ，其集合记为s z g 。实 体信息经过某种运算，如h a s h l 2 9 等，的结果不仅可作为对实体信息完整性的验 证，也可作为实体信息索引值。若自治域嬲。网络前缀珐的标识为k e y ：，表示为 e n t i 加k ：p l _ 坳l ，其中见= e n t i t y s ( a s i ) 。同时定义逆射e n t i t y k ：k e y , 一p 1 定义1 4 报文由源节点发送给目的节点的数据坍，包含了与实体信息关联 的信息标识。其集合记为m ，则m ( s ，t ，七) m ，其中，上 伊，t z 矿，k 乏s ! g 。 定义1 5 i p 源地址欺骗简称源i p 欺骗或i p 欺骗( i ps p o o f i n g ) ，指报文源 i p 地址不是发送报文的端系统的i p 地址，而是伪造的。对于报文硝只厶妨mj 如果s 甓p ，p = e n t i t y k ( k ) ，则说明报文源r p 地址是伪造的。由于不同信息标识索 引的信息范围不同，防御实体识别i p 欺骗报文的粒度也不同。 1 2 2i p 欺骗防御方法 j p 语义过载是产生i p 欺骗的根源，因此解决i p 语义过载问题是i p 欺骗防御 的根本途径。目前这方面研究主要包括i p 地址双重功能分离 3 0 】以及网络实体标识 分离【3 1 】等。 ( 1 ) i p 地址双重功能分离。该方法是把网络实体身份标识和位置标识分离开。 分离不仅能防止i p 地址欺骗，也有助于解决i p 地址动态重分配以及不同网络区域 之间互访问题。此类方案主要有h i p 3 2 1 、f a r a t 3 3 】和p e e r n e t t 3 4 】等。h i p ( h o s ti d e n t i t y p r o t o c 0 1 ) 提出在域名空间和i p 地址空间之间加入主机标识层，i p 地址只作为主机 第3 页 国防科学技术大学研究生院博士学位论文 = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = ：= = = = = = = ：= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = ：= ：= = = = = 位置的标识，而用户身份由主机标识层的h i d ( h o s ti d e n t i t yd e s c r i p t o r ) 实现。f a r a ( f o r w a r d i n gd i r e c t i v e ，a s s o c i a t i o n ，a n dr e n d e z v o u sa r c h i t e c t u r e ) 基于把节点标识与网 络层地址分离思想，实体之间通过底层分组交换结构进行连接( a s s o c i a t i o n ) 。传输 层会话建立在主机标识上，i p 地址只被用来进行网络层路由，而不再用来标识主 机身份。采用上述机制后，由于i p 欺骗报文会因主机标识错误而丢弃，因此避免 了其滥用目的主机的计算和存储资源。 ( 2 ) 网络实体标识分离。该方法是对网络设备和服务等所有网络实体分别进 行命名。名字中包含实体认证信：息，实体通过名字进行通信，可实现通信双方身 份认证，从而杜绝了i p 欺骗。该类方案主要有l n a i 【3 引、d o n a 3 6 和n u t s s 3 7 1 等。l n a i ( al a y e r e dn a m i n ga r c h i t e c t u r ef o r t h ei n t e r n e t ) 提出了4 层名字空间结构， 分别是用户级描述符( 如搜索关键字、e m a i l 地址等) 、服务描述符、主机描述 ：符和妒地址。d o n a ( d a t a o r i e v _ t e dn e t w o r ka r c h i t e c t u r e ) 和n u t s s 类似，提出端 系统标识和域标识，并增加网关解析名字和建立会话功能。在会话建立过程中网 关建立会话双方状态信息，并验证报文合法性。 由于婵层是互联网协议的核心，对i p 语义的改变涉及到互联网基础架构的变 化，而且网络核心设备、端系统的协议栈、以及多种网络服务模型都需要相应的 改变。因此解决i p 语义过载问题是一个漫长而且投入巨大的过程。因i 此为解决i p 源地址欺骗这一现实问题，基于现有互联网结构，研究各种新型的i p 欺骗防街机 制：民有更加重要的意义。 现有许多网络安全机制，如网络接入控制、! p s e c 和源追踪等在一定范围内能 够解决i p 欺骗问题。工业界已经提出了大量的关于网络接入控制的标准，包括 8 0 2 i x 3 s , 3 9 】、p p p o e 4 0 , 4 1 1 以及d h c p + w e b 4 2 】等。虽然这些机制在端系统接入时对 其身份进行验证或向其分配有效的i p 地址，但在认证完成后不再对后续报文的i p 地址进行验证。i p s e c ( l , ! l t e m e tp r o t o c o ls e c t u i 哆) 4 3 , 4 4 能够实现数据源认证、保密 和数据完整性。但其是一种端到端的安全协议，因此中间的网络设备仍然无法验 证数据包来源的真实性。源追踪机制有s p i e l 4 5 , 4 6 、i t r a c e 4 7 , 4 s 乘l 概率分组标- i 已t 4 9 5 0 5 1 】 等，端系统在受到攻击后根据路由器对报文的标记恢复报文在网络中经过的真实 路径，从而发现其真实的源i p 地址。追踪机制的主要缺陷是路径恢复算法比较复 杂，而且事后追溯的方法无法及时发现并避免源i p 地址欺骗攻击。 婵欺骗过滤是近年来提出的，在现有互联网结构上专f - j 每- t - 对源i p 地址欺骗的 防御机制。该机制一经提出就得到了广泛的关注和深入的研究。i p 欺骗过滤机制 通过网络验证报文源i p 的真实性并过滤i p 欺骗报文。目前主要的过滤机制包括基 于标识的过滤机制和基于路由的过滤机制等。 基于标识的过滤机制主要有s p m ( s p o o f i n gp r e v e n t i o nm e t h o d ) 5 2 】、p i 【5 3 1 、 第4 页 国防科学技术大学研究生院博士学位论文 = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = s t a c k p i 5 4 】和b a s e ( b g pa n t i s p o o f i n ge x t e f l s i o n ) 【5 5 1 。s p m 提出源目的自治域对。 标识，实现了对域间i p 欺骗报文过滤，无法识别伪造域内i p 的欺骗报文；s t a c k p i 提出了栈式路径标识，在端系统过滤i p 欺骗报文，其过滤粒度是单个报文；b a s e 提出链式标识，具有比s p m 更高的部署激励。d e s p o o f i s 6 和h c f l 5 7 等方法将报文 t t l 作为一种特殊路径标识，利用报文t t l 的变化规律验证报文源i p 的真实性， 但这类机制在路由动态变化时可能出现误判。 基于路由的过滤机制主要包括i n g r e s s e g r e s s 过滤p 引、u r p f u n i c a s t r e v e r s e - p a t hf o r w a r d i n g ) 5 9 1 、i d p f ( i n t e r - d o m a i np a c k e tf i l t e r ) 6 0 】和s a v e ( s o u r c e a d d r e s sv a l i d i t ye n f o r c e m e n t ) 阱肄一但u r p f 无法解决非对称路由的问题；而i d p f 则需要扩展b g p 协议，当网络中的路由动态变化时可能导致丢弃正常的分组；另 外s a 、，e 缺乏部署激励，因此难以推广。 本文研究立足现有互联网结构，对域间i p 欺骗过滤机制进行深入研究。论文 第2 章还将对上述两种防御机制进行进一步的详细分析介绍。 1 2 3i p 欺骗防御面临的挑战 当前域间i p 欺骗防御机制研究取得了许多研究成果，但是仍然存在一些关键 阊题有待更深入的研究。 ：( 1 ) 如何扩展防御范围 由于互联网存在规模巨大、分布和自治的特点，任何一种新的协议和实现技 术都无法