基于边界路由动态同步的互联网地址域内真实源地址验证方法

发布时间：2025-01-10 20:18

　　 互联网架构设计之初,假设所有网络成员都是可信的,并没有充分考虑不可信网络成员带来的安全威胁。在很长一段时间内,路由器只根据报文的目的 IP地址转发消息,不对报文的源IP地址的真实性进行验证。数据分组真实性验证的缺乏会导致报文头部信息被恶意篡改。提出了基于边界路由动态同步的互联网地址域内真实源地址验证方法。该机制基于前缀拓扑信息同步的方法构建过滤表,解决了路由不对称导致过滤表和实际路由状态不一致的问题,避免了验证过程中的假阳性和假阴性,实现了低开销、低时延的地址域内IP地址前缀级粒度的真实源地址验证。

【文章页数】：8 页

【部分图文】：

图2 具体流程

路由器将本地直连低层管理域网络侧接口的路由信息通过路由协议（OSPF、ISIS、BGP）传播的时候，在路由信息中携带（1）中配置的tag值。为了使路由协议支持在路由转发消息内携带标签，且不对已有功能产生冲突，本文分别对OSPF和ISIS协议进行了扩展。如图4所示，在OSPF内新定....

图3 对等路由器连接低层管理域的接口上配置相同tag值

图2具体流程图4不同路由协议下的路由同步标签载体

图1 路由不对称的一般场景

因为某些地址域（如ISP、AS）比较庞大，所以地址域内部的不同管理域会被划分成两个层次，即高层管理域和低层管理域，高层管理域为低层管理域提供流量传输的功能。网络边界路由不对称是因为低层管理域采用多接入的方式接入高层管理域，但是在多个接入路由器接口上的路由表信息却不一致造成的。管理....

图5 整体实现过程

方案整体实现过程如图5所示。低层管理域拥有P1和P2两个网段，由于高层管理域和低层管理域之间的特殊路由策略，边界路由器A从接口A1仅学习到前缀P1，边界路由器B从接口B1仅学习到前缀P2。uRPF在该场景下会产生严重的假阳性——源地址为P2的数据分组会在入接口A1处被过滤，而源....

本文编号：4025396