图1 SRv6源路由威胁







































            业务服务。攻击者客户端2可通过  复制客户端1报文的SRv6段列                         首先为SRv6信任域分配独立的SRv6地址空间，域内地址
            表，获取与客户端1一致的网络服务和业务服务等。由于源路由                         不泄露到域外，管理面和控制面不将SRv6域内地址发布给域外
            威胁灵活多变，直接识别攻击报文并进  行防护存在很大困难，                        网络设备。数据面流量不将域内地址信息泄露到域外。如图2
            在网络实际应用中，一般开启网络设备的过滤功能来丢弃源路                          所示，为SRv6信任域分配SRv6地址段A::/64。第一层防护在
            由报文，关闭主机设备的源路由功能来防护源路由威胁。但                           SRv6信任域边界对进入信任域的报文进行过滤，丢弃目的地址
            SRv6技术本身就是  采用源路由机制工作，无法直接采用丢弃源                      是域内SRv6地址的报文。在网络边界设备R1开启SRv6信任域边
            路由报文和  关闭源路由功能等方式进行防护。分析造成  SRv6                     界防护，当目的地址是A::/64地址段的攻击报文到达信任域边
            源路由威胁的根本原因，一是由于段列表中携带SRv6地址容易                        界时，网络设备R1识别到此SRv6地址是本信任域的SRv6地址，
            泄露，二是攻击者仿冒和篡改SRv6段列表。SRv6源路由安全防                      丢弃此报文。第二层防护是在SRv6域内接口进行报文过滤，丢
            护应从这两点根本原因入手进行防护。                                    弃源地址是域外地址、目的地址是域内SRv6地址的报文。SRv6
                1.2 SRv6 源路由安全防护                                 信任域内网络设备R2，检测丢弃源地址非A::/64范围、目的地
                SRv6信任域技术是防护源路由威胁的有效方法，通过SRv6                    址是A::/64范围的报文。第三层防护是SRv6网络设备只对自身
            信任域边界过滤防止SRv6源路由攻击报文  进入到SRv6信任域                     发布的SRv6地址进行SRv6处理，丢弃将自身普通IPv6地址用作
            ；通过Binding  SID跨域过滤实  现跨SRv6信任域通信的安全防                SRv6地址的报文。SRv6信任域内网络设备R2，收到报文目的地
            护；通过增强SRv6信任域内设备抗攻击能力提升信任域整体安                        址是R2的普通本地地址，但是报文格式是SRv6格式，丢弃此报
            全性；通过SRv6路径校验和加密技术实现更高等级的安全防护。                       文。SRv6信任域多层防护有效保护SRv6信任域安全。
                1.2.1 SRv6信任域防护                                      1.2.2 SRv6跨域防护
                SRv6信任域技术通过划分SRv6信任域简化SRv6源路由威胁                      SRv6技术具有统一承载优势，可用于端到端网络承载，当不同
            防护复杂度。假定SRv6信任域内网络成员可信，源路由攻击无                        SRv6信任域之间需要互通时，可采用Binding SID跨域技术进行防护。
            法进入到SRv6信任域，仅在信任域内可信网络设备进行SRv6报                          SRv6  Binding  SID跨域技术是在SRv6信任域之间采用
            文转发处理，既能够防止SRv6网络拓扑泄露，也能够防止源路                        Binding  SID  地址代表  SRv6段列表内多个SRv6地址。报文进
            由威胁在信任域内发生。                                          入 Binding SID所属的SRv6信任域后，将Binding SID展开为多
                SRv6  信任域包括网络设备（SRv6网络设备和普通网络设                   个  SRv6  地址进行转  发处理，避免  SRv6信任域内拓扑信息泄
            备）、SRv6  SDN控制器，以及网络设备之间、网络设备和控制                     露。在  SRv6  信任域之间部署边界过滤策略，仅允许目的地址
            器之间连接组成的SRv6  SDN网络。  SRv6信任域内网络设备和                  是  Binding  SID的SRv6报文进入SRv6信任域，有效防护域间源
            SRv6 SDN控制器默认可信。                                     路由攻击，简化SRv6信任域之间安全防护。

                                                       网络电信 二零二三年四月                                            25