基于交换机主动验证的旁路ICMP重定向攻击防御方法和装置

本技术涉及网络安全，尤其涉及基于交换机主动验证的旁路icmp重定向攻击防御方法和装置。

背景技术：

1、icmp重定向消息(icmp redirect)通常由路由器发送给源端主机，用于告知源端主机当前存在的一条通往目的端的更短路径，从而减少从源端到目的端数据包转发所需的跳数。当主机收到icmp重定向消息时，主机操作系统将会执行常规的有效性检查方法以确保icmp重定向消息的合法性。操作系统针对icmp重定向消息的常规检查主要包括两个方面：一是检查消息的源地址是否为默认网关，要求重定向消息的源地址必须为默认网关的ip地址；二是检查消息中内嵌的原始数据包信息(至少28字节)，要求内嵌的原始数据包信息与主机端发送的原始数据包的头部字段信息要保持一致。当上述两个条件同时满足时，该icmp重定向消息将被主机操作系统认定为检查通过，操作系统将接受该重定向消息并按照该消息内所指示的新网关信息更新路由表。尽管操作系统内部已经有针对icmp重定向消息的合法性检查机制，研究人员发现旁路攻击者(即off-path attacker,表示不在数据包正常转发路径上的攻击者)依然能够绕过这些检查机制实现icmp重定向攻击，并以此构造新型复杂网络攻击，包括隐蔽的远程拒绝服务攻击、网络流量劫持攻击和以dns缓存污染为目标的端口号推断侧信道等，对网络安全造成严重的危害。

2、现有针对旁路icmp重定向攻击的防御方法主要包括直接丢弃icmp重定向消息、在主机端关闭icmp重定向功能和通过操作系统补丁修复相关漏洞，然而这些防御手段存在一些不足。一方面，直接丢弃icmp重定向消息和在主机端关闭icmp重定向功能的防御方法会造成icmp重定向功能失效，其代价是icmp协议功能完整性遭到破坏；另一方面，操作系统漏洞补丁的方法只有在操作系统厂商发布了漏洞补丁、主机升级相应版本的操作系统后才能产生防御效果，这种防御方法生效过程较慢，其防御作用具有严重的滞后性。由于漏洞补丁的制作、发布和用户端主机系统升级的周期较长，这种方法通常无法快速地实现对主机的保护。

技术实现思路

1、本技术提出一种基于交换机主动验证的旁路icmp重定向攻击防御方法和装置，用于解决相关技术中存在的icmp重定向功能失效、无法对主机进行快速保护的问题。

2、为此，本技术的第一个目的在于提出一种基于交换机主动验证的旁路icmp重定向攻击防御方法，解决了现有方法无法快速地实现对主机的保护的技术问题，本技术能够在可编程交换机上实现，无需在主机端进行任何修改即可实现对子网内不同类型操作系统同时进行保护，能够有效防御旁路攻击者利用伪造icmp重定向消息发起的攻击，同时不破坏icmp重定向功能的完整性，使合法的icmp重定向功能能够保持正常运转。

3、本技术的第二个目的在于提出一种基于可编程交换机的防御装置。

4、为达上述目的，本技术第一方面实施例提出了一种基于交换机主动验证的旁路icmp重定向攻击防御方法，该方法部署在可编程交换机上，该方法包括：指定可编程交换机所连接子网中受保护的主机群，并获取子网内未被分配使用的ip地址作为源地址池；监测任意icmp重定向消息，并判断监测到的icmp重定向消息是否发往受保护的主机，若是，确定监测到的icmp重定向消息为待核实icmp重定向消息；将待核实icmp重定向消息缓存，并将源地址池中的多个地址分别作为源地址，以待核实icmp重定向消息中内嵌的原始数据包中的目的ip地址为目的地址，构造多个探测数据包；将构造的多个探测数据包转发，并监测是否存在发往对应源地址的icmp重定向消息，若不存在，判断待核实icmp重定向消息无效，并删除缓存的消息，若存在，确定监测到的icmp重定向消息为待比对icmp重定向消息；对待比对icmp重定向消息进行有效性检查，并将通过检查的待比对icmp重定向消息和待核实icmp重定向消息中指定的更优路径对应的新网关ip地址进行对比，若全部对比失败，判断待核实icmp重定向消息无效，并删除缓存的消息，若存在任意待比对icmp重定向消息对比成功，判断待核实icmp重定向消息有效，将缓存的待核实icmp重定向消息转发。

5、本技术实施例的基于交换机主动验证的旁路icmp重定向攻击防御方法，通过在交换机上实时监控发往受保护主机的icmp重定向消息，并对每个icmp重定向消息所指示的通往特定目的端的更优路径及其新网关进行主动验证，从而鉴别该icmp重定向消息是否真实。在主动验证的过程中，交换机通过使用子网内的多个不同源地址来构造发往相应目的端的探测数据包，并观察更优路径及其对应的网关是否能被稳定观测到。当待验证的icmp重定向消息所指示的新路径及其对应新网关对于两个以上的源地址均不可复现时，则可以比较确信地认定该icmp重定向消息所指示的新网关是无效的、极有可能是攻击者虚构的，此时交换机将该虚假的重定向消息直接丢弃，从而使目标主机免受该虚假重定向消息的危害。而对于通过验证的重定向消息，则直接转发给目标主机，本技术能够准确验证icmp重定向消息的有效性，从而避免受保护主机受到虚假重定向消息的危害。

6、可选地，在本技术的一个实施例中，判断监测到的icmp重定向消息是否发往受保护的主机，包括：

7、确定受保护的主机群的ip列表；

8、判断监测到的icmp重定向消息ip报头中的目的地址是否属于ip列表，若不属于，确定监测到的icmp重定向消息发往未受保护的主机，若属于，确定监测到的icmp重定向消息发往受保护的主机；

9、方法还包括：

10、在监测到的icmp重定向消息发往未受保护的主机时，将icmp重定向消息转发。

11、可选地，在本技术的一个实施例中，探测数据包为icmp echo request数据包，监测是否存在发往对应源地址的icmp重定向消息，包括：

12、基于互联网rtt时延设置等待时间，在等待时间内监测发往源地址的icmp重定向消息，若未监测到，确定不存在发往对应源地址的icmp重定向消息，若监测到，确定存在发往对应源地址的icmp重定向消息。

13、可选地，在本技术的一个实施例中，方法还包括：

14、对待核实icmp重定向消息进行内容解析，读取该消息内嵌的原始数据包中的目的ip地址，并读取该消息中指定的更优路径对应的新网关ip地址。

15、可选地，在本技术的一个实施例中，对待比对icmp重定向消息进行有效性检查，包括：

16、检查待比对icmp重定向消息的源地址是否为默认网关，并检查该消息中内嵌的原始数据包信息与可编程交换机发送的原始数据包的对应字段是否一致；

17、方法还包括：

18、将未通过有效性检查的待比对icmp重定向消息丢弃。

19、可选地，在本技术的一个实施例中，将通过检查的待比对icmp重定向消息和待核实icmp重定向消息中指定的更优路径对应的新网关ip地址进行对比，包括：

20、确定通过检查的每个待比对icmp重定向消息中指定的更优路径对应的新网关ip地址；

21、将确定的每个新网关ip地址与待核实icmp重定向消息中指定的更优路径对应的新网关ip地址进行对比，在对比时若ip地址的值相同，确定对应的新网关ip地址对比成功，若不相同，确定对应的新网关ip地址对比失败，获取每个新网关ip地址的对比结果；

22、将每个新网关ip地址的对比结果作为对应的待比对icmp重定向消息的对比结果。

23、为达上述目的，本发明第二方面实施例提出了一种基于可编程交换机的防御装置，该防御装置设置在可编程交换机上，防御装置上部署有上述基于交换机主动验证的旁路icmp重定向攻击防御方法。

24、本技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本技术的实践了解到。