您的位置:首页 > 互联网

智汇华云 | Openvswitch 防火墙是如何防止IP地址欺骗的

发布时间:2019-07-11 11:03:58  来源:互联网     背景:

随着信息技术的飞速发展,网络业务迅速兴起,然而由于网络自身固有的脆弱使网络安全存在很多潜在的威胁,其中之一就是IP地址欺骗。本期华云数据“智汇华云”专栏将为您奉上“Openvswitch 防火墙是如何防止IP地址欺骗的”。

IP 地址欺骗 (IP Spoofing):

正常情况下,二层数据帧的源IP 地址就是发出数据的机器的 IP 地址,对方计算机接收到以后,向该 IP 地址发出回复数据帧:

图一

(图一例子中,vm1 发往 vm2 的帧的 IP 地址就是 vm1 的地址,因此 vm2 能够通过 ARP 获取 vm1 的 MAC,并将回复将发回到vm1)

如果源计算机的数据帧的源 IP 地址不是它自己的IP地址而是一个不存在的地址或者另外一台机器的地址,目的计算机接受到数据帧后,它就会一直不停的发出 ARP 广播,最终也无法获取到MAC地址,或者发送返回帧到另一台的计算机。这就是所谓的(源) IP 地址欺骗。

图二

(图二例子中,vm1 将它发往 vm2 的数据帧的源IP设置为 vm3 的IP,导致 vm2 的回复发到了vm3)

如果大量的计算机使用另外一台计算机的 IP 作为源 IP 向很多的计算机发出 ping 命令,那么那一台计算机将会收到很多的 ping 回复。这将导致它的网络带宽被塞满而不能对外提供网络服务。

Openvswitch 防火墙是如何防止IP欺骗的呢?

Openvswitch 防火墙基本原理:

Ovs通过br-int桥上的流表规则控制连接在桥上的端口(ovs port)的进出方向的网络流量。

图三

(图三 tap口 及 patch-port 均为ovs port)

ovs流表规则:

每条流规则由一系列字段组成,分为基本字段、条件字段和动作字段三部分。基本字段包括生效时间duration_sec、所属表项table_id、优先级priority、处理的数据包数n_packets,空闲超时时间idle_timeout等。条件字段包括输入端口号in_port(ovs port)、源目的mac地址dl_src/dl_dst、源目的ip地址nw_src/nw_dst、数据包类型dl_type、网络层协议类型nw_proto等,可以为这些字段的任意组合。动作字段包括正常转发normal、定向到某交换机端口output:port、丢弃drop、更改源目的mac地址mod_dl_src/mod_dl_dst等,一条流规则可有多个动作,动作执行按指定的先后顺序依次完成。

ovs防火墙具体规则流表如下:


图四

vm 出方向流量由tap口到达br-int网桥时,首先会经过table 0 表分流至table 3

table 0:

Vm tap 对应 ovs port 为port1,匹配in_port=1流表,跳转至table 71出方向基础规则表

table 3:

由table 71 规则表对转发IP报文做合法性校验,要求必须匹配条件为 in_port, dl_src(源mac),nw_src(源IP)

table 71:

如无法匹配上述流表,则会命中默认丢包流表。

当使用ovs防火墙后, 再次发生图二例子时,vm1 将它发往 vm2 的数据帧的源IP设置为 vm3 的IP,当前数据包ip与mac 无法与vm1 tap port 71号表记录的真实ip mac匹配,将无法命中table 71号表,数据包被丢包,因为IP欺诈被ovs防火墙有效拦截。






特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
中国第三方手机输入法用户将超7.46亿 输入法迈入智能化发展阶段
随着中国智能终端的普及与手机输入法的技术发展,用户对第三方手机输入法的依赖程度不断提高,第三......
日期:01-09
腾讯“生态车联网”解决方案获最具投资价值智能网联黑科技大奖
11月20日,由证券时报主办、中国汽车报协办的“赋能·智联·骤变”的2019 5G......
日期:11-21
618,苏宁易购APP搜“星卡”分红包,总额达2亿
近日,创造营小姐姐们频上热搜,徐艺洋吐槽导师兼老板的黄子韬、陈卓璇终于接到了中插广告等引起网......
日期:06-11
2020安全创客汇面向产业界征集总决赛专业评审团成员!
8月6日,安全创客汇组委会宣布,将面向产业界征集总决赛专业评委,作为2020安全创客汇总决赛专业评......
日期:08-07
杭州西湖风景区税务局:税务融合云通信,搭建税企互动新桥梁
杭州西湖风景名胜区税务局连通辖区大大小小所有企业,需要定期向企业及其他组织机构发布通知、沟通......
日期:04-23
智能快消时代 “掌控终端”定义全面洗牌
快消企业在品牌、产品、市场、渠道所有资源与推力都是围绕终端展开的,由终端再传导至目标消费群体......
日期:11-18
赋能5G+NB-IoT产业新生态 四川电信助力省内物联网建设驶入快车道
5G商用浪潮加速万物互联时代来临,当下物联网正从“互联”走向“智联”,NB-Io......
日期:11-28
城市出行成主流课题?小牛参展CES为什么值得期待
随着出行愈发科技化,近几年,车类制造商大举进军CES,现在的CES俨然已成半个车展。2020年CES开展在......
日期:01-03
华为云WeLink助力河钢集团实现“不接触,强协同”办公新模式
2020年的春天,全民总动员积极应对疫情,从中央到地方都出台了政策措施扶持企业发展,借力信息化、......
日期:03-05
这么拍时尚vlog,你也可以C位出道!
不论是乘风破浪的姐姐、还是可爱青春的女团,这个夏天,每个年龄的你都可以美到C位出道。穿出自己的......
日期:06-26
勒索病毒GandCrab V4.3再添新特性:蠕虫式主动传播
GandCrab是今年非常活跃的勒索病毒新家族,其变种更新迭代迅速,对用户网络安全造成极大的威胁。继......
日期:09-26
京东数科以“硬核”科技实力获颁德勤-亦庄高科技企业大奖
历时近5个月的2019年“德勤-亦庄高科技高成长20强”(下称“亦庄20强”)评选活......
日期:11-18
斗鱼贯彻“游戏+”战略 各项数据全面领先行业
随着视频直播聚集流量的能力逐渐增强以及布局内容领域的不断爆发,直播平台在整体生态中的重要性及......
日期:09-30
这群能花会省的消费者,为什么纷纷加入了京东PLUS会员?
上线4年的京东PLUS会员如今会员数早已超过1500万。根据京东数据显示,他们在京东的购物频率和平均消......
日期:01-08
谷歌下架百度DO Global 46款应用
4月27日消息,据BuzzFeed News报道,美国新闻聚合网站BuzzFeed News进行最新调查发现,百度旗下Andr......
日期:04-28
滴滴企业版推出爽一赔“二”,差旅打车不再难
随着越来越多的业务转移到办公室之外,职场人出差已经成为一种常态。出差对于很多商旅人士来说,除......
日期:11-29
广州站:创意小游戏从开发上线到玩转出海,Cocos一站式搞掂
5 月 18 日,由 Cocos 联合 Cocos-BCX 举办的 2019 开发者巡回沙龙广州站圆满落幕。300 多名开发者......
日期:05-20
软通动力:全栈数字化服务能力,为企业数字化转型按下“加速键”
近年来,数字经济作为新时代的一种新经济形态,日益成为全球经济发展的新动能。据相关数据显示,2019年......
日期:06-12
技术打造下一代 RTC,融云一套 SDK 解决所有通信场景
日前,融云正式宣布对实时音视频进行全面升级,并率先提出了下一代 RTC发展新思路,即为开发者提供即时......
日期:05-26
人社部明确推广电子合同,HR需要了解的劳动合同新变化
近日,人力资源社会保障部办公厅印发《人力资源社会保障部办公厅关于订立电子劳动合同有关问题的函......
日期:03-12