当今互联网不同层次的网络设备均根据目的IP地址进行数据转发,缺省情况下不检查源IP地址的合法性。这个安全缺陷往往被攻击者利用来实施伪造源地址型的攻击,通过伪造源地址,攻击者在保证攻击效果时还可以隐藏自己在网络中的位置,增加了网络管理者、执法部门对其真实位置、真实身份进行溯源的难度。
部分网络蠕虫病毒发作时,其内置的算法往往驱动病毒随机或者按照一定的概率扫描整个IPv4地址空间,有时也会采用随机伪造的IPv4地址作为源地址进行传播,由此也会产生伪造地址为源或者目的地址的流量。
伪造源地址的类型和部署效果预期
互联网作为承载通道,承担了公众用户和企事业机构互联网信息服务内容接续的职能,互联网的安全性是应用服务安全性的基础。确保网络流量的可溯源性,是一个可管理的网络所必须具备的条件之一,而控制伪造源地址,是确保网络可溯源的主要措施之一。按照城域网中流量的方向、IP地址的属性,伪造源IP地址流量可分为如下类型。
图1 江苏电信互联网骨干网拓扑示意图
1.按流量的方向分类。伪造源地址来自非本地网络,流量由骨干网流入城域网;伪造源地址来自本地网络,流量由城域网流入骨干网。
2.按IP地址的属性分类。伪造RFC1918、RFC3330规定的保留地址;伪造国际IPv4权威管理机构IANA未分配给任何一个运营网络的合法地址;伪造省外其他网络的合法地址;伪造省内其他城域网的合法地址;伪造同一城域网内的其他用户的合法地址。
骨干网伪造源地址控制策略
1.江苏电信维护人员在省骨干网核心设备所有接口的入方向启用uRPF(单播逆向路由查找技术)(loosemode);
2.江苏电信维护人员在省骨干网专门部署一台路由器,与省骨干网路由反射器建立IBGP(内部BGP协议)邻居关系,专门用于发布黑洞路由信息,强制过滤IANA(国际IPv4地址权威分配机构)未分配给任何运营网络的合法地址段,并反射到所有省内骨干网路由器上,同时,控制相关黑洞路由策略不泄漏到上一级网络或者用户网络上。
通过强制过滤江苏电信所选上述地址段,结合省骨干网所有接口入方向已经启用的uRPF(loosemode)功能,此策略可以达到表1效果。
实际工作中,维护人员可以持续监测到该策略启用后丢弃的流量,平均在100Mbit/s以内,峰值在1Gbit/s以内。
监测数据的分析
针对伪造地址流量进行分析,运营商可以观察到其他网络的异常。
1.以“合法未分配地址”为目的地址的流量,往往当主机感染蠕虫病毒后产生,因此,监测流量较大的源地址,往往可以直接定位到感染蠕虫的主机;监测其流量的目的应用端口(TCP/UDP)和数据包长度,可以挖掘到攻击的特征,便于通过访问控制列表或者限速策略进行进一步控制。
2.以“合法未分配地址”为源地址的流量,往往用于攻击特定的目标主机,维护人员可以结合目的主机的性质,采用阻断、清洗、限速的方式。同时,分段回溯分析流量的来源接口,维护人员可以发现网络中伪造源地址控制策略的薄弱部位,加固相关节点的伪造源地址控制策略。
合法地址分配情况的更新
由于地址的不断耗用,IANA管辖的“合法未分配地址”也会逐步分配给各区域IP地址分配机构(如APNIC、ARIN、RIPENCC等),并由这些地区性IP地址分配机构分配给所属区域各国的各个运营商。一个地址一旦由IANA分配出去,意味着随时有可能被分配给一个具体的用户(实际情况中,由于地址的再分配有一定滞后,实际的再分配周期往往达到数周、数月以上)。因此运营商必须跟踪“合法未分配地址”清单的更新情况,及时更新相关的黑洞路由策略,以免错误地丢弃正常流量。运营商可以用以下两个方式来组合获取IPv4地址分配的更新信息。
1.主动查看IANA官方网站的地址更新信息。建议维护人员每个月至少检查一次,如发现最近更新日期在上次检查日期之后,则必须就详表中的地址更新情况,修订策略。
2.订阅“合法未分配地址”相关的邮件列表,订阅bogon-announce@puck.nether.net邮件列表。订阅时发主题为“help”的邮件给上述邮箱即可得到订阅的详细方法。
