您的位置:首页>>互联网

智汇华云 | Openvswitch 防火墙是如何防止IP地址欺骗的

发布时间:2019-07-11 11:03:58  来源:互联网    采编:王涵  背景:

随着信息技术的飞速发展,网络业务迅速兴起,然而由于网络自身固有的脆弱使网络安全存在很多潜在的威胁,其中之一就是IP地址欺骗。本期华云数据“智汇华云”专栏将为您奉上“Openvswitch 防火墙是如何防止IP地址欺骗的”。

IP 地址欺骗 (IP Spoofing):

正常情况下,二层数据帧的源IP 地址就是发出数据的机器的 IP 地址,对方计算机接收到以后,向该 IP 地址发出回复数据帧:

图一

(图一例子中,vm1 发往 vm2 的帧的 IP 地址就是 vm1 的地址,因此 vm2 能够通过 ARP 获取 vm1 的 MAC,并将回复将发回到vm1)

如果源计算机的数据帧的源 IP 地址不是它自己的IP地址而是一个不存在的地址或者另外一台机器的地址,目的计算机接受到数据帧后,它就会一直不停的发出 ARP 广播,最终也无法获取到MAC地址,或者发送返回帧到另一台的计算机。这就是所谓的(源) IP 地址欺骗。

图二

(图二例子中,vm1 将它发往 vm2 的数据帧的源IP设置为 vm3 的IP,导致 vm2 的回复发到了vm3)

如果大量的计算机使用另外一台计算机的 IP 作为源 IP 向很多的计算机发出 ping 命令,那么那一台计算机将会收到很多的 ping 回复。这将导致它的网络带宽被塞满而不能对外提供网络服务。

Openvswitch 防火墙是如何防止IP欺骗的呢?

Openvswitch 防火墙基本原理:

Ovs通过br-int桥上的流表规则控制连接在桥上的端口(ovs port)的进出方向的网络流量。

图三

(图三 tap口 及 patch-port 均为ovs port)

ovs流表规则:

每条流规则由一系列字段组成,分为基本字段、条件字段和动作字段三部分。基本字段包括生效时间duration_sec、所属表项table_id、优先级priority、处理的数据包数n_packets,空闲超时时间idle_timeout等。条件字段包括输入端口号in_port(ovs port)、源目的mac地址dl_src/dl_dst、源目的ip地址nw_src/nw_dst、数据包类型dl_type、网络层协议类型nw_proto等,可以为这些字段的任意组合。动作字段包括正常转发normal、定向到某交换机端口output:port、丢弃drop、更改源目的mac地址mod_dl_src/mod_dl_dst等,一条流规则可有多个动作,动作执行按指定的先后顺序依次完成。

ovs防火墙具体规则流表如下:


图四

vm 出方向流量由tap口到达br-int网桥时,首先会经过table 0 表分流至table 3

table 0:

Vm tap 对应 ovs port 为port1,匹配in_port=1流表,跳转至table 71出方向基础规则表

table 3:

由table 71 规则表对转发IP报文做合法性校验,要求必须匹配条件为 in_port, dl_src(源mac),nw_src(源IP)

table 71:

如无法匹配上述流表,则会命中默认丢包流表。

当使用ovs防火墙后, 再次发生图二例子时,vm1 将它发往 vm2 的数据帧的源IP设置为 vm3 的IP,当前数据包ip与mac 无法与vm1 tap port 71号表记录的真实ip mac匹配,将无法命中table 71号表,数据包被丢包,因为IP欺诈被ovs防火墙有效拦截。




关注大发pk10公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
别再把目光放在华米OV了,在追求高配置的路上,我们都遗忘它
国产四巨头—华米OV,近几年在国内做的是真心不错,从手机的价格到配置、性能虽然离国外的品牌...
日期:07-11
智汇华云 | Openvswitch 防火墙是如何防止IP地址欺骗的
随着信息技术的飞速发展,网络业务迅速兴起,然而由于网络自身固有的脆弱使网络安全存在很多潜在的威胁,...
日期:07-11
小米9官方首降:骁龙855竞争压力大,自家红米K20 Pro太火
最近要是选购骁龙855手机的话,简直不知道买哪款好了,不过其实每一款都不错,各有特色。就拿小米来...
日期:07-10
AI部署前路坎坷,50%项目半路夭折
尽管许多公司都在努力,但人工智能的部署仍然是个难题。最近International Data Corporation的一份...
日期:07-10
倍声动铁单元将是无线耳机的未来,三大优势解决现在TWS耳机的痛点
自从苹果在2016年发布了第一代真无线耳机AirPods以来,真无线耳机便渐渐成为了主流,现在像苹果、华...
日期:07-09
战高温,苏宁空调节有什么不一样?
小暑牵三伏,盛夏自此始。入夏以来,全国气温一路高歌猛进。距离入伏还有3天,多地早已加入“...
日期:07-09
洗牌加速 谁会成为智能锁界苹果和富士康?
当下什么火?毫无疑问那就是智能硬件,而在智能硬件中智能锁可谓是当“红明星”。为什么智...
日期:07-09
2019下半年即将上市的855+X50平台的5G手机
2019的5G时代已经到来,注定备受关注,而2019也注定是骁龙855的秀场,各大测评软件的性能榜单位列前...
日期:07-09
魅族16s Pro泄露,原来这才是年度机皇:稳了
其实这两年的魅族表现的非常努力,自家的产品也都根据网友的需求进行了一些改进和升级。有意思的是...
日期:07-09
三星平板2019年产品线曝光:年内将有多款设备推出
7月9日消息 今日,外媒CashKaro曝光了三星平板2019年产品线。除上周发布的低端平板电脑Galaxy Tab A...
日期:07-09
一加7上市不到两月全系开放购买 官网免息限量送耳机
今年5月16日,一加在北京发布了全新的年度旗舰——一加7系列,其中更高配置的一加7 Pro更...
日期:07-09
华为任正非接受法媒采访:5G应用后,美国可能是落后国家
7月9日消息 7月9日上午,华为心声社区发布了此前任正非接受法国《观点》周刊采访实录,在这篇采访中...
日期:07-09
荣耀畅玩8今日开售:5.71英寸珍珠屏,599元
7月9日消息 据荣耀手机官方消息,荣耀畅玩8今日开售,采用5.71英寸珍珠屏,2GB+32GB售价599元。
日期:07-09
苹果分享全新广告:Face ID 更安全、更简单
苹果今天在新加坡 YouTube 频道分享了一段全新的 iPhone 广告,并宣传面容 ID 要比 Touch ID 更安全...
日期:07-09
5G每秒!新一代固态硬盘开售,太快了
随着AMD第三代锐龙处理器的发布,主板上的PCIe总线也正式来到4.0时代:更先进的控制器、更大的数据...
日期:07-09
阿尔法蛋·S体验:属于小孩子的智能机器人来了!
伴随着智能家居的春风,智能语音助手从手机的附加功能转身一变,与蓝牙音箱相结合而成为风靡一时的...
日期:07-09
e成科技成功牵手海尔集团,助力人岗匹配数字化升级
近日,e成科技与青岛海尔股份有限公司(以下简称“海尔集团”)旗下官方人才吸引平台海尔创...
日期:07-09
七年一剑,这次青云要在CIC 2019云计算峰会上做点与众不同的!
当人们已经习惯了使用大发pk10终端和线上应用、当企业开始将越来越多的业务和数据迁移到云端、当社会逐...
日期:07-09
百度杀入新快消
导读:针对困扰大部分品牌商的终端陈列检查、费用核销等问题,百度大脑近期正式推出了EasyDL商品检...
日期:07-09
5G套餐陆续发布:运营商开启竞争新赛道
2019年是5G商用元年,国内外基础电信运营商纷纷加快5G网络部署,让广大消费者尽快体验到5G带来的便...
日期:07-09