当前位置:首页 > 互联网 > 智汇华云 | Openvswitch 防火墙是如何防止IP地址欺骗的
新闻内容
智汇华云 | Openvswitch 防火墙是如何防止IP地址欺骗的
发布时间:2019-07-11 11:03:58  来源:互联网    采编:王涵

随着信息技术的飞速发展,网络业务迅速兴起,然而由于网络自身固有的脆弱使网络安全存在很多潜在的威胁,其中之一就是IP地址欺骗。本期华云数据“智汇华云”专栏将为您奉上“Openvswitch 防火墙是如何防止IP地址欺骗的”。

IP 地址欺骗 (IP Spoofing):

正常情况下,二层数据帧的源IP 地址就是发出数据的机器的 IP 地址,对方计算机接收到以后,向该 IP 地址发出回复数据帧:

图一

(图一例子中,vm1 发往 vm2 的帧的 IP 地址就是 vm1 的地址,因此 vm2 能够通过 ARP 获取 vm1 的 MAC,并将回复将发回到vm1)

如果源计算机的数据帧的源 IP 地址不是它自己的IP地址而是一个不存在的地址或者另外一台机器的地址,目的计算机接受到数据帧后,它就会一直不停的发出 ARP 广播,最终也无法获取到MAC地址,或者发送返回帧到另一台的计算机。这就是所谓的(源) IP 地址欺骗。

图二

(图二例子中,vm1 将它发往 vm2 的数据帧的源IP设置为 vm3 的IP,导致 vm2 的回复发到了vm3)

如果大量的计算机使用另外一台计算机的 IP 作为源 IP 向很多的计算机发出 ping 命令,那么那一台计算机将会收到很多的 ping 回复。这将导致它的网络带宽被塞满而不能对外提供网络服务。

Openvswitch 防火墙是如何防止IP欺骗的呢?

Openvswitch 防火墙基本原理:

Ovs通过br-int桥上的流表规则控制连接在桥上的端口(ovs port)的进出方向的网络流量。

图三

(图三 tap口 及 patch-port 均为ovs port)

ovs流表规则:

每条流规则由一系列字段组成,分为基本字段、条件字段和动作字段三部分。基本字段包括生效时间duration_sec、所属表项table_id、优先级priority、处理的数据包数n_packets,空闲超时时间idle_timeout等。条件字段包括输入端口号in_port(ovs port)、源目的mac地址dl_src/dl_dst、源目的ip地址nw_src/nw_dst、数据包类型dl_type、网络层协议类型nw_proto等,可以为这些字段的任意组合。动作字段包括正常转发normal、定向到某交换机端口output:port、丢弃drop、更改源目的mac地址mod_dl_src/mod_dl_dst等,一条流规则可有多个动作,动作执行按指定的先后顺序依次完成。

ovs防火墙具体规则流表如下:


图四

vm 出方向流量由tap口到达br-int网桥时,首先会经过table 0 表分流至table 3

table 0:

Vm tap 对应 ovs port 为port1,匹配in_port=1流表,跳转至table 71出方向基础规则表

table 3:

由table 71 规则表对转发IP报文做合法性校验,要求必须匹配条件为 in_port, dl_src(源mac),nw_src(源IP)

table 71:

如无法匹配上述流表,则会命中默认丢包流表。

当使用ovs防火墙后, 再次发生图二例子时,vm1 将它发往 vm2 的数据帧的源IP设置为 vm3 的IP,当前数据包ip与mac 无法与vm1 tap port 71号表记录的真实ip mac匹配,将无法命中table 71号表,数据包被丢包,因为IP欺诈被ovs防火墙有效拦截。




关注Xiase科技资讯公众号(ixiase ),每天推送你感兴趣的科技内容。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

  本页链接:http://www.xiase.net/news/2019-07/351402.shtml

  • 智汇华云 | Openvswitch 防火墙是如何防…
  • 小米9官方首降:骁龙855竞争压力大,自家…
  • AI部署前路坎坷,50%项目半路夭折
  • 倍声动铁单元将是无线耳机的未来,三大优…
  • 战高温,苏宁空调节有什么不一样?
  • 洗牌加速 谁会成为智能锁界苹果和富士康?
  • 2019下半年即将上市的855+X50平台的5G手机
  • 魅族16s Pro泄露,原来这才是年度机皇:…
  • 三星平板2019年产品线曝光:年内将有多款…
  • 一加7上市不到两月全系开放购买 官网免息…
  • 华为任正非接受法媒采访:5G应用后,美国…
  • 荣耀畅玩8今日开售:5.71英寸珍珠屏,599元
  • 苹果分享全新广告:Face ID 更安全、更简单
  • 5G每秒!新一代固态硬盘开售,太快了
  • 阿尔法蛋·S体验:属于小孩子的智能机器人…
  • e成科技成功牵手海尔集团,助力人岗匹配…
  • 七年一剑,这次青云要在CIC 2019云计算峰…
  • 百度杀入新快消
  • 5G套餐陆续发布:运营商开启竞争新赛道
  • 网络即将商用!中国联通5G终端基本具备商…
  • 为5G做准备:三大运营商忙着让2G退网
  • 物联网大潮下智能门锁 它要靠什么才能火起来?
  • 微播易风向2018自媒体大会正式启动
  • 水象云SaaS:拥抱金融科技完成跨越式发展
  • Penta澳洲行首次公开解析独家DSC共识算法,邂…
  • 聚焦共享经济押金安全 街电践行企业社会责任
  • 天猫超级粉丝日:精准触达,蓄力粉丝的能量
  • 真是意外:苹果低调宣布iOS 11.4!
  • VR和AI结合将形成超级互联网
  • 联通宣布4月1日起关闭2G网络
  • 一文带你读懂深度学习:AI 认识世界的方式如同…
  • 想知道《西部世界》的大Boss是谁?可以百度一…
  • 完美世界游戏发布年轻化品牌战略 开启未来游戏…
  • 知道创宇云防御产品创宇盾强势保障“强网杯”…
  • 触控科技陈昊芝:对区块链游戏的发展要有理性…
  • 制定清明节旅行攻略 搜狗“立懂百科”让远方尽…
  • 搜狗同传赋能商务直播平台,智能语音让直播更…
  • 放弃高薪铁饭碗,如今成为机器人行业的领头羊
  • 微播易独家|抖音短视频KOL营销5大内容玩法
  • 美摄APP小白制作教程,轻松做大片
  • 单飞!eSIM一号双终端,解放双手的神器已经为…
  • 美团滴滴胜负手,或在“无人”之战
  • 一文看尽IT领袖峰会:大佬眼中的区块链、独角…
  • 还有近一半中国人不上网,互联网公司怎么抓住…
  • 健全监管下,互联网金融未来的战场在哪里?
  • 互联网大佬们如何看待比特币?
  • 由内而外提升防御力,青藤云安全打通网络安全…
  • 2018两会网友最关心什么?一点资讯大数据告诉你
  • 云天励飞携手华为独家发布视频云联合解决方案 …
  • 苹果确认!不提供 3 月 27 日的发布会现场视频…