封闭解析器项目:测量入站流量源地址验证的部署
摘要:源地址验证(SAV)是一种旨在丢弃具有伪造源IP地址的数据包的标准。出站流量缺乏SAV被认为是分布式拒绝服务(DDoS)攻击的根本原因,并引起了广泛关注。虽然不太明显,但入站过滤的缺失使得攻击者可以伪装成网络的内部主机,并可能泄露有关网络基础设施的有价值的信息。入站IP伪造可以放大其他攻击向量,如DNS缓存投毒或最近发现的NXNSAttack。在本文中,我们介绍了封闭解析器项目的初步结果,该项目旨在缓解入站IP伪造问题。我们进行了首次全球范围的主动测量研究,以枚举过滤或未过滤来自其源地址的传入数据包的网络,同时适用于IPv4和IPv6地址空间。为了实现这一目标,我们识别了接受来自其网络外部的伪造请求的封闭和开放DNS解析器。所提出的方法提供了网络提供商对入站SAV部署的最完整画面。我们的测量覆盖了超过55\%的IPv4和27\%的IPv6自治系统(AS),并揭示了绝大多数网络对入站伪造的完全或部分容易受攻击。通过识别双栈DNS解析器,我们还表明相对于IPv4,IPv6较少部署入站过滤。总体而言,我们发现了13.9K个IPv6开放解析器,可被利用于放大DDoS攻击,比以前的工作高出13倍。此外,我们枚举了4.25M个IPv4和103K个IPv6易受攻击的封闭解析器,这些解析器只能通过我们的伪造技术检测到,并且与NXNSAttack相结合时构成了重大威胁。
作者:Yevheniya Nosyk, Maciej Korczy''nski, Qasim Lone, Marcin Skwarek, Baptiste Jonglez and Andrzej Duda
论文ID:2006.05277
分类:Networking and Internet Architecture
分类简称:cs.NI
提交时间:2023-03-29