SP 800-189,弹性域间流量交换

2020-07-18 09:52:15

近年来,边界网关协议(BGP)前缀劫持和路由泄漏等大量的路由控制平面异常已经导致拒绝服务(DoS)、不必要的数据流量迂回和性能下降。使用欺骗的网际协议(IP)地址和数据平面中的反射放大对服务器的大规模分布式拒绝服务(DDoS)攻击也已经频繁,导致严重的服务中断和损害。这本关于弹性域间流量交换(RITE)的专门出版物包括有关保护域间路由控制流量、防止IP地址欺骗以及DoS/DDoS检测和缓解的某些方面的初步指导。

本出版物中的许多建议都集中在边界网关协议(BGP)上。BGP是用于在组成因特网的数万个自治网络之间分配和计算路径的控制协议。本文档推荐的域间路由控制流量安全技术包括资源公钥基础设施(RPKI)、BGP源验证(BGP-OV)和前缀过滤。此外,建议用于缓解DoS/DDoS攻击的技术侧重于使用具有访问控制列表(ACL)的源地址验证(SAV)和单播反向路径转发(URPF)来防止IP地址欺骗。还建议将远程触发黑洞(RTBH)过滤、流规范(Flowspec)和响应速率限制(RRL)等其他技术(包括一些应用平面方法)作为整体安全机制的一部分。

近年来,边界网关协议(BGP)前缀劫持和路由泄漏等大量的路由控制平面异常已经导致拒绝服务(DoS)、不必要的数据流量迂回和性能下降。服务器上的大规模分布式拒绝服务(DDoS)攻击...请参阅完整摘要。

近年来,边界网关协议(BGP)前缀劫持和路由泄漏等大量的路由控制平面异常已经导致拒绝服务(DoS)、不必要的数据流量迂回和性能下降。使用欺骗的网际协议(IP)地址和数据平面中的反射放大对服务器的大规模分布式拒绝服务(DDoS)攻击也已经频繁,导致严重的服务中断和损害。这本关于弹性域间流量交换(RITE)的专门出版物包括有关保护域间路由控制流量、防止IP地址欺骗以及DoS/DDoS检测和缓解的某些方面的初步指导。

本出版物中的许多建议都集中在边界网关协议(BGP)上。BGP是用于在组成因特网的数万个自治网络之间分配和计算路径的控制协议。本文档推荐的域间路由控制流量安全技术包括资源公钥基础设施(RPKI)、BGP源验证(BGP-OV)和前缀过滤。此外,建议用于缓解DoS/DDoS攻击的技术侧重于使用具有访问控制列表(ACL)的源地址验证(SAV)和单播反向路径转发(URPF)来防止IP地址欺骗。还建议将远程触发黑洞(RTBH)过滤、流规范(Flowspec)和响应速率限制(RRL)等其他技术(包括一些应用平面方法)作为整体安全机制的一部分。

隐藏全部摘要。

路由安全性和稳健性;互联网基础设施安全性;边界网关协议(BGP)安全性;前缀劫持;IP地址欺骗;分布式拒绝服务(DDoS);资源公钥基础架构(RPKI);BGP源验证(BGP-OV);前缀过滤;BGP路径验证(BGP-PV);BGPsec;路由泄漏;源地址验证(SAV);单播反向路径转发(URPF);远程触发黑洞(RTBH)过滤;流