當(dāng)前位置: 首頁(yè) > 專利查詢>泉城省實(shí)驗(yàn)室專利>正文

一種網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法及系統(tǒng)技術(shù)方案

技術(shù)編號(hào)：44253717 閱讀：6 留言：0更新日期：2025-02-11 13:51

本發(fā)明專利技術(shù)涉及一種網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法及系統(tǒng)，方法步驟如下：(1)創(chuàng)建并初始化可信源地址前綴表；(2)創(chuàng)建VXLAN隧道表；(3)組裝可信源地址前綴宣告報(bào)文；(4)對(duì)需要進(jìn)入VXLAN隧道的流量組裝VXLAN數(shù)據(jù)報(bào)文；(5)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)；(6)如果接收到的報(bào)文為可信源地址前綴宣告報(bào)文，利用報(bào)文相關(guān)信息掃描VXLAN隧道表；(7)利用步驟(6)的報(bào)文信息遍歷可信源地址前綴表；(8)如果接收到的報(bào)文為VXLAN數(shù)據(jù)報(bào)文，利用報(bào)文相關(guān)信息掃描VXLAN隧道表；(9)利用步驟(8)的掃描結(jié)果掃描可信源地址前綴表并確定數(shù)據(jù)流量是否轉(zhuǎn)發(fā)。本發(fā)明專利技術(shù)通過(guò)在隧道的兩端進(jìn)行真實(shí)源地址驗(yàn)證，達(dá)到對(duì)偽造源地址流量攻擊進(jìn)行防御的目標(biāo)。

全部詳細(xì)技術(shù)資料下載

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)涉及一種網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法及系統(tǒng)，屬于網(wǎng)絡(luò)安全研究。

技術(shù)介紹

1、網(wǎng)絡(luò)虛擬化就是在一個(gè)物理網(wǎng)絡(luò)上模擬出多個(gè)邏輯網(wǎng)絡(luò)來(lái)。網(wǎng)絡(luò)虛擬化的內(nèi)容一般指虛擬專用網(wǎng)絡(luò)(virtual?private?network，vpn)，vpn對(duì)網(wǎng)絡(luò)連接的概念進(jìn)行了抽象，允許遠(yuǎn)程用戶訪問(wèn)組織的內(nèi)部網(wǎng)絡(luò)，就像物理上連接到該網(wǎng)絡(luò)一樣。虛擬可擴(kuò)展局域網(wǎng)(virtual?extensible?lan，vxlan)是一種網(wǎng)絡(luò)虛擬化技術(shù)，允許多個(gè)組織使用單個(gè)網(wǎng)絡(luò)而不會(huì)影響安全性。隨著云技術(shù)的興起，這些數(shù)據(jù)中心在運(yùn)行全球關(guān)鍵應(yīng)用和業(yè)務(wù)方面發(fā)揮著關(guān)鍵作用。

2、vxlan是在源網(wǎng)絡(luò)設(shè)備和目標(biāo)網(wǎng)絡(luò)設(shè)備之間建立的隧道協(xié)議，它的工作原理是將第2層以太網(wǎng)幀分段并將其封裝在udp數(shù)據(jù)包(用戶數(shù)據(jù)報(bào)協(xié)議)中，網(wǎng)絡(luò)虛擬化技術(shù)在為多個(gè)內(nèi)部網(wǎng)絡(luò)互訪提供便利的同時(shí)，也在一定的范圍內(nèi)將內(nèi)部網(wǎng)絡(luò)暴露在攻擊者的可視范圍之內(nèi)，為偽造源地址攻擊提供了可乘之機(jī)。

3、因此，如何在網(wǎng)絡(luò)虛擬化環(huán)境下，通過(guò)在擴(kuò)展虛擬局域網(wǎng)絡(luò)中的vxlan網(wǎng)關(guān)之間進(jìn)行可信真實(shí)源地址前綴信息的宣告，并且在vxlan網(wǎng)關(guān)上實(shí)現(xiàn)對(duì)vxlan流量真實(shí)源地址驗(yàn)證功能，消滅偽造源地址攻擊對(duì)當(dāng)前網(wǎng)絡(luò)的危害，是互聯(lián)網(wǎng)路由系統(tǒng)中亟待解決的問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)現(xiàn)有技術(shù)的不足，本專利技術(shù)提供一種網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，在網(wǎng)絡(luò)虛擬化中的可擴(kuò)展虛擬局域網(wǎng)絡(luò)環(huán)境下，通過(guò)在隧道的兩端進(jìn)行真實(shí)源地址驗(yàn)證，達(dá)到對(duì)偽造源地址流量攻擊進(jìn)行防御的目標(biāo)。

2、具體來(lái)說(shuō)，vxlan網(wǎng)關(guān)中保存著本地可信真實(shí)源地址前綴信息，與可擴(kuò)展虛擬局域網(wǎng)絡(luò)其它vxlan網(wǎng)關(guān)進(jìn)行可信真實(shí)源地址前綴交換，每個(gè)vxlan網(wǎng)關(guān)保存著可擴(kuò)展虛擬局域網(wǎng)絡(luò)中所有的可信真實(shí)源地址前綴信息，vxlan網(wǎng)關(guān)之間進(jìn)行通信時(shí)，vxlan網(wǎng)絡(luò)會(huì)對(duì)進(jìn)入設(shè)備的流量進(jìn)行源地址驗(yàn)證，只有使用真實(shí)源地址進(jìn)行通信的流量才被允許進(jìn)行轉(zhuǎn)發(fā)處理，為實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化環(huán)境下防御偽造源地址攻擊提供了保障。

3、本專利技術(shù)的技術(shù)方案如下：

4、一種網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，步驟如下：

5、(1)vxlan網(wǎng)關(guān)軟件系統(tǒng)創(chuàng)建并初始化可信源地址前綴表；

6、(2)vxlan網(wǎng)關(guān)軟件系統(tǒng)創(chuàng)建vxlan隧道表；

7、(3)組裝可信源地址前綴宣告報(bào)文；

8、(4)對(duì)需要進(jìn)入vxlan隧道的流量組裝vxlan數(shù)據(jù)報(bào)文，并進(jìn)行轉(zhuǎn)發(fā)；

9、(5)vxlan網(wǎng)關(guān)軟件系統(tǒng)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)，準(zhǔn)備接收?qǐng)?bào)文；

10、(6)如果接收到的報(bào)文為可信源地址前綴宣告報(bào)文，利用可信源地址前綴宣告報(bào)文相關(guān)信息掃描vxlan隧道表；

11、(7)利用步驟(6)的報(bào)文信息遍歷可信源地址前綴表，并更新相關(guān)信息；

12、(8)如果接收到的報(bào)文為vxlan數(shù)據(jù)報(bào)文，利用vxlan數(shù)據(jù)報(bào)文相關(guān)信息掃描vxlan隧道表；

13、(9)利用步驟(8)的掃描結(jié)果掃描可信源地址前綴表，并確定數(shù)據(jù)流量是否轉(zhuǎn)發(fā)；

14、(10)：記錄日志信息，返回步驟(5)繼續(xù)執(zhí)行。

15、根據(jù)本專利技術(shù)優(yōu)選的，步驟(1)中，可信源地址前綴表包括源地址前綴、源地址前綴掩碼、vxlan隧道標(biāo)識(shí)和接口索引編號(hào)，其中，源地址前綴為可信源地址前綴值，源地址前綴掩碼為可信源地址前綴的掩碼值，vxlan隧道標(biāo)識(shí)為標(biāo)識(shí)vxlan隧道的唯一索引值，接口索引編號(hào)為當(dāng)前源地址前綴的vxlan流量進(jìn)入vxlan網(wǎng)關(guān)時(shí)的接口索引值，初始化可信源地址前綴表為空。

16、根據(jù)本專利技術(shù)優(yōu)選的，步驟(2)中，vxlan隧道表包括隧道源地址、隧道目的地址、vxlan隧道標(biāo)識(shí)、隧道對(duì)端網(wǎng)絡(luò)設(shè)備編號(hào)和數(shù)據(jù)流目的地址，其中，隧道源地址為vxlan網(wǎng)關(guān)之間隧道通信所使用的源地址，隧道目的地址為vxlan網(wǎng)關(guān)之間隧道通信所使用目的地址，vxlan隧道標(biāo)識(shí)為當(dāng)前標(biāo)識(shí)vxlan隧道的唯一索引值，隧道對(duì)端網(wǎng)絡(luò)設(shè)備編號(hào)為當(dāng)前vxlan隧道對(duì)端vxlan網(wǎng)關(guān)設(shè)備的編號(hào)值，數(shù)據(jù)流目的地址為進(jìn)入需要進(jìn)行vxlan隧道封裝的數(shù)據(jù)流目的地址，vxlan網(wǎng)關(guān)軟件系統(tǒng)啟動(dòng)后從本地配置文件中讀取信息，初始化vxlan隧道表。

17、根據(jù)本專利技術(shù)優(yōu)選的，步驟(3)中，可信源地址前綴宣告報(bào)文組裝過(guò)程為：

18、從本地配置文件中取出可信源地址前綴信息，將可信源地址前綴信息中讀取出的源地址前綴、源地址前綴掩碼和網(wǎng)絡(luò)設(shè)備編號(hào)填入可信源地址前綴宣告報(bào)文的源地址前綴、源地址前綴掩碼、網(wǎng)絡(luò)設(shè)備編號(hào)，可信源地址前綴宣告報(bào)文的目的地址填入從可信源地址前綴信息中讀取的隧道對(duì)端地址。

19、根據(jù)本專利技術(shù)優(yōu)選的，步驟(4)中，vxlan數(shù)據(jù)報(bào)文組裝過(guò)程為：

20、vxlan網(wǎng)關(guān)軟件系統(tǒng)接收數(shù)據(jù)流量，利用數(shù)據(jù)流量的目的地址，掃描vxlan隧道表，從匹配項(xiàng)中取出隧道源地址、隧道目的地址和vxlan隧道標(biāo)識(shí)，組裝vxlan數(shù)據(jù)報(bào)文，將數(shù)據(jù)流作為vxlan數(shù)據(jù)報(bào)文的載荷，報(bào)文源地址字段填入隧道源地址的值，報(bào)文目的地址字段填入隧道目的地址的值，報(bào)文vni字段填入vxlan隧道標(biāo)識(shí)的值，然后將組裝后的vxlan數(shù)據(jù)報(bào)文發(fā)送出去。

21、根據(jù)本專利技術(shù)優(yōu)選的，步驟(6)中，具體操作步驟為：

22、如果接收到的報(bào)文為可信源地址前綴宣告報(bào)文，記錄下接收?qǐng)?bào)文時(shí)進(jìn)入vxlan網(wǎng)關(guān)接口索引值和報(bào)文的源地址，從報(bào)文中取出源地址前綴、源地址前綴掩碼和網(wǎng)絡(luò)設(shè)備編號(hào)，根據(jù)網(wǎng)絡(luò)設(shè)備編號(hào)和報(bào)文的源地址遍歷vxlan隧道表的隧道對(duì)端網(wǎng)絡(luò)設(shè)備編號(hào)和隧道源地址，如果未查找到記錄，則執(zhí)行步驟(6.1)，如果查找到記錄，則執(zhí)行步驟(6.2)；

23、(6.1)：記錄接收到不明來(lái)源可信源地址前綴宣告報(bào)文，返回步驟(5)繼續(xù)執(zhí)行；

24、(6.2)：利用步驟(6)中匹配項(xiàng)，從匹配項(xiàng)中取出vxlan隧道標(biāo)識(shí)，并進(jìn)行記錄。

25、根據(jù)本專利技術(shù)優(yōu)選的，步驟(7)中，具體步驟為：

26、利用步驟(6)從報(bào)文中獲得的源地址前綴、源地址前綴掩碼和從匹配項(xiàng)中獲得的vxlan隧道標(biāo)識(shí)，遍歷可信源地址前綴表，如果匹配上記錄，執(zhí)行步驟(7.1)，如果未匹配上記錄，則執(zhí)行步驟(7.2)；

27、(7.1)：利用步驟(6)所記錄的進(jìn)入vxlan網(wǎng)關(guān)接口索引值，更新匹配項(xiàng)的接口索引編號(hào)，返回步驟(5)繼續(xù)執(zhí)行；

28、(7.2)：創(chuàng)建一條可信源地址前綴表項(xiàng)，利用步驟(6)記錄的進(jìn)入vxlan網(wǎng)關(guān)接口索引值、從報(bào)文中獲得的源地址前綴、源地址前綴掩碼和從步驟(6)匹配項(xiàng)中獲得的vxlan隧道標(biāo)識(shí)，分別填入表項(xiàng)的接口索引編號(hào)、源地址前綴、源地址前綴掩碼和vxlan隧道標(biāo)識(shí)，返回步驟(5)繼續(xù)執(zhí)行。

29、根據(jù)本專利技術(shù)優(yōu)選的，步驟(8)中，具體步驟為：

30、如果接收到的報(bào)文為vxlan數(shù)據(jù)報(bào)文，記錄下報(bào)文進(jìn)入vxlan網(wǎng)關(guān)時(shí)的入接口索引值，利用從報(bào)文中取出源地址、目本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】

1.一種網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟如下：

2.如權(quán)利要求1所述的網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟(1)中，可信源地址前綴表包括源地址前綴、源地址前綴掩碼、VXLAN隧道標(biāo)識(shí)和接口索引編號(hào)，其中，源地址前綴為可信源地址前綴值，源地址前綴掩碼為可信源地址前綴的掩碼值，VXLAN隧道標(biāo)識(shí)為標(biāo)識(shí)VXLAN隧道的唯一索引值，接口索引編號(hào)為當(dāng)前源地址前綴的VXLAN流量進(jìn)入VXLAN網(wǎng)關(guān)時(shí)的接口索引值，初始化可信源地址前綴表為空。

3.如權(quán)利要求2所述的網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟(2)中，VXLAN隧道表包括隧道源地址、隧道目的地址、VXLAN隧道標(biāo)識(shí)、隧道對(duì)端網(wǎng)絡(luò)設(shè)備編號(hào)和數(shù)據(jù)流目的地址，其中，隧道源地址為VXLAN網(wǎng)關(guān)之間隧道通信所使用的源地址，隧道目的地址為VXLAN網(wǎng)關(guān)之間隧道通信所使用目的地址，VXLAN隧道標(biāo)識(shí)為當(dāng)前標(biāo)識(shí)VXLAN隧道的唯一索引值，隧道對(duì)端網(wǎng)絡(luò)設(shè)備編號(hào)為當(dāng)前VXLAN隧道對(duì)端VXLAN網(wǎng)關(guān)設(shè)備的編號(hào)值，數(shù)據(jù)流目的地址為進(jìn)入需要進(jìn)行VXLAN隧道封裝的數(shù)據(jù)流目的地址。

4.如權(quán)利要求3所述的網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟(3)中，可信源地址前綴宣告報(bào)文組裝過(guò)程為：

5.如權(quán)利要求4所述的網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟(4)中，VXLAN數(shù)據(jù)報(bào)文組裝過(guò)程為：

6.如權(quán)利要求5所述的網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟(6)中，具體操作步驟為：

7.如權(quán)利要求6所述的網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟(7)中，具體步驟為：

8.如權(quán)利要求7所述的網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟(8)中，具體步驟為：

9.如權(quán)利要求8所述的網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟(9)中，具體步驟為：

10.一種網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御系統(tǒng)，其特征在于，包括：

...

【技術(shù)特征摘要】

1.一種網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟如下：

2.如權(quán)利要求1所述的網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟(1)中，可信源地址前綴表包括源地址前綴、源地址前綴掩碼、vxlan隧道標(biāo)識(shí)和接口索引編號(hào)，其中，源地址前綴為可信源地址前綴值，源地址前綴掩碼為可信源地址前綴的掩碼值，vxlan隧道標(biāo)識(shí)為標(biāo)識(shí)vxlan隧道的唯一索引值，接口索引編號(hào)為當(dāng)前源地址前綴的vxlan流量進(jìn)入vxlan網(wǎng)關(guān)時(shí)的接口索引值，初始化可信源地址前綴表為空。

3.如權(quán)利要求2所述的網(wǎng)絡(luò)虛擬化技術(shù)下偽造源地攻擊的防御方法，其特征在于，步驟(2)中，vxlan隧道表包括隧道源地址、隧道目的地址、vxlan隧道標(biāo)識(shí)、隧道對(duì)端網(wǎng)絡(luò)設(shè)備編號(hào)和數(shù)據(jù)流目的地址，其中，隧道源地址為vxlan網(wǎng)關(guān)之間隧道通信所使用的源地址，隧道目的地址為vxlan網(wǎng)關(guān)之間隧道通信所使用目的地址，vxlan隧道標(biāo)識(shí)為當(dāng)前標(biāo)識(shí)vxlan隧道的唯一索引值，隧道對(duì)端網(wǎng)絡(luò)設(shè)備編號(hào)為當(dāng)前vxlan隧道...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：王宇亮，周耐，劉思睿，李宗鵬，徐明偉，楊波，
申請(qǐng)(專利權(quán))人：泉城省實(shí)驗(yàn)室，
類型：發(fā)明
國(guó)別省市：

全部詳細(xì)技術(shù)資料下載我是這個(gè)專利的主人

相關(guān)技術(shù)

網(wǎng)友詢問(wèn)留言已有0條評(píng)論

還沒(méi)有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。

發(fā)布您的意見(jiàn)

相關(guān)領(lǐng)域技術(shù)