發(fā)布時間：2025-01-10 20:18

　　 互聯(lián)網(wǎng)架構(gòu)設(shè)計之初,假設(shè)所有網(wǎng)絡(luò)成員都是可信的,并沒有充分考慮不可信網(wǎng)絡(luò)成員帶來的安全威脅。在很長一段時間內(nèi),路由器只根據(jù)報文的目的 IP地址轉(zhuǎn)發(fā)消息,不對報文的源IP地址的真實性進行驗證。數(shù)據(jù)分組真實性驗證的缺乏會導致報文頭部信息被惡意篡改。提出了基于邊界路由動態(tài)同步的互聯(lián)網(wǎng)地址域內(nèi)真實源地址驗證方法。該機制基于前綴拓撲信息同步的方法構(gòu)建過濾表,解決了路由不對稱導致過濾表和實際路由狀態(tài)不一致的問題,避免了驗證過程中的假陽性和假陰性,實現(xiàn)了低開銷、低時延的地址域內(nèi)IP地址前綴級粒度的真實源地址驗證。

【文章頁數(shù)】：8 頁

【部分圖文】：

圖2 具體流程

路由器將本地直連低層管理域網(wǎng)絡(luò)側(cè)接口的路由信息通過路由協(xié)議（OSPF、ISIS、BGP）傳播的時候，在路由信息中攜帶（1）中配置的tag值。為了使路由協(xié)議支持在路由轉(zhuǎn)發(fā)消息內(nèi)攜帶標簽，且不對已有功能產(chǎn)生沖突，本文分別對OSPF和ISIS協(xié)議進行了擴展。如圖4所示，在OSPF內(nèi)新定....

圖3 對等路由器連接低層管理域的接口上配置相同tag值

圖2具體流程圖4不同路由協(xié)議下的路由同步標簽載體

圖1 路由不對稱的一般場景

因為某些地址域（如ISP、AS）比較龐大，所以地址域內(nèi)部的不同管理域會被劃分成兩個層次，即高層管理域和低層管理域，高層管理域為低層管理域提供流量傳輸?shù)墓δ�。網(wǎng)絡(luò)邊界路由不對稱是因為低層管理域采用多接入的方式接入高層管理域，但是在多個接入路由器接口上的路由表信息卻不一致造成的。管理....

圖5 整體實現(xiàn)過程

方案整體實現(xiàn)過程如圖5所示。低層管理域擁有P1和P2兩個網(wǎng)段，由于高層管理域和低層管理域之間的特殊路由策略，邊界路由器A從接口A1僅學習到前綴P1，邊界路由器B從接口B1僅學習到前綴P2。uRPF在該場景下會產(chǎn)生嚴重的假陽性——源地址為P2的數(shù)據(jù)分組會在入接口A1處被過濾，而源....

本文編號：4025396