运营商专栏

            基于SRv6的网络安全技术研究


            鲁冬杰，杨凯，庄小君，陈佳，赵宇航
            中国移动通信有限公司研究院
                摘要：SRv6技术基于源路由实现网络智慧编程，改变了IP网络报文路由转发机制，对网络安全防护带来新的挑
            战。  本文深入分析SRv6源路由带来的安全威胁和SRv6技术对边界安全产品带来的挑战，研究SRv6源路由安全防  护
            技术和边界安全产品SRv6防护技术。以SRv6信任域为基础的防护技术，降低SRv6源路由威胁防护难度，  并支持根据
            SRv6网络方案和安全防护需求灵活选择防护技术，为保护SRv6网络安全提供技术参考。
                关键词：SRv6网络安全；SRv6源路由威胁；SRv6源路由安全


























                SRv6技术具有网络协议简化、能力开放和智慧可  编程等特                    击者通过窃取SRv6路由  扩展头可实现网络拓扑窃取，通过任意
            点，是网络技术发展进程中的一次重要创新，逐步成为  5G、云                       定义SRv6路  由扩展头构造DoS攻击、劫持网络流量和获取非授
            时代的网络演进方向。SRv6技术基于源路由理念设计，改变了                        权服务等。
            IP网络报文路由转发的基  础机制，对网络安全防护带来新的挑                           1.1.1 窃取网络拓扑
            战。随着SRv6技术在网络中部署应用，SRv6技术带来的网络安                          网络探测是网络攻击的第一步，攻击者通过各种探测手段
            全风险亟待分析和解决。本文分析  SRv6源路由转发带来  的网                     获取网络拓扑信息，然后再发起网络攻击。SRv6的段列表中包
            络安全风险和对边界安全产品的防护挑战，研究基于SRv6信任                        含流量转发路径中经过的多个网络设备或  服务的地址信息，攻
            域的安全防护技术，并对边界安全产  品提出SRv6应对建议，为                      击者抓取 SRv6报文便可获取丰富 的网络拓扑信息。
            保护SRv6网络安全提供技 术参考。                                       1.1.2 构造 DoS 攻击
                                                                     攻击者进行DoS攻击时一般会受网络规模和网络速度限制，
                一、SRv6 源路由安全分析                                   无法直接构造大带宽攻击流量实现有效DoS攻击。但在SRv6网络
                源路由是指用户可以指定数据报文沿途经过的部分  或者全                      中，攻击者可以在SRv6段列表中插入重复SRv6地址，控制流量
            部网络设备，区别于由 IP 网络设备自行选择路 由后得出的路                       在网络中重复转发，实现大带宽DoS攻击。例如网络中报文跳数
            径。SRv6  基于源路由理念设计，在  IPv6报文头后插入路由扩                   限制为255跳，可在SRv6扩展头中压入重复的网络设备A地址和
            展头（SRH）。SRH  包括一个显式  的  SRv6  地址栈，用于定义               服务器B地址122对，能够将攻击流量放大122倍。攻击者持续
            报文在网络中所需要经过的 网络设备地址及网络功能（如 VPN                       在网络中注入1GB攻击流量就能对网络造成122GB左右的攻击流
            和链路等）。SRv6 网络转发过程中，不断将 SRv6 地址栈中的                    量。
            地址更新到  IPv6  报文头的目的地址字段，并根据此地址进行                         1.1.3 流量劫持
            网络寻  址和网络功能处理，实现报文转发路径和网络功能的智                            SRv6  网络中攻击者能够定义SRv6段列表来定义  流量转发
            能编程等。                                                路径。如在SRv6段列表中插入非法目的地址  实现对业务报文的
                1.1 SRv6源路由威胁                                    窃取，修改SRv6段列表中最后一跳地址实现对流量的劫持等。
                源路由威胁是指攻击者利用网络的源路由特性构  造网络威                          1.1.4 获取非授权服务
            胁。相比基于 MPLS 标签的分段路由，SRv6 段列表中是网络地                        如图1所示，网络中的客户端1购买高质量网络服  务和业务
            址，更易于理解和构造攻击。SRv6  源路由威胁如图1所示，攻                      服务，客户端1的流量按照购买的网络服务在SRv6网络中转发到


            24                                         网络电信 二零二三年四月