IPv6大赛获奖项目：IPv6真实源地址验证技术部署和测量研究

互联网已成为承载各国政治、经济、文化、军事等的重要基础设施，然而当前互联网体系结构长期缺乏有效的真实源地址验证，使得假冒源地址横行，导致网络攻击等安全事件泛滥。伪造IP源地址可以帮助攻击者隐匿位置和身份，使得难以审计流量行为和追溯非法用户。而主机级粒度的源地址过滤是实现地址安全可信的前提，只有在接入网内保证每个用户地址的真实可信才能根据IP地址实现对用户身份的正确追溯。

所以接入网内源地址验证对于当前互联网来说至关重要，然而当前接入网内源地址验证技术未能有效发挥作用主要有两大类原因：

一，接入网场景复杂多变，现有技术如IP Source Guard、CGA、SAVE等技术，它们需要对地址分配方式，接入设备以及接入方式等做假设，难以适应不同接入场景。

二，对于更加有效的接入网源地址验证技术SAVA-A来说，其在当前网络的部署率较低，不足以为整个互联网提供源地址验证。

根据《中国IPv6发展白皮书》，当前我国IPv6部署率在不断上升，IPv6活跃用户占比超过了40%。而迅速增长的IPv6用户规模也迫切地需要IPv6源地址验证技术SAVA-A的大规模部署。由于实际网络环境是复杂多变的，比如不同大学的校园网拓扑结构、设备类型不同，这也为SAVA-A的部署提出了挑战。对于真实源地址验证技术来说，最基本也是最首要的任务就是保证地址的真实可信，所以需要对源地址验证技术进行全面的测量从而验证其部署效果，这样才能保证在实际的部署中使其发挥作用。

本项目旨在推动当前接入网源地址验证技术SAVA-A的部署率，提升互联网源地址验证能力。我们设计了接入网内源地址验证技术SAVA-A的部署方案和测量方案，并将其部署到了CERNET2内25个节点。

SAVA-A技术采取的基本技术思路是监听-绑定-验证，通过监听地址分配协议的控制报文，确定合法的IP源地址，将合法的IP地址绑定到主机的链路层属性（绑定锚），对数据包中的IP源地址与它们所绑定的绑定锚是否匹配进行检验。

对于SAVA-A技术的部署，我们设计了在有线与无线场景下的部署方案，并根据对于源地址验证的需求将部署分为两步：

一，为了在接入网内支持源地址验证，需要在支持SAVA-A的交换机或AP/AC上监听地址分配过程并建立绑定锚来过滤伪造流量。

二，为了支持IP地址和用户身份的溯源，我们设计和实现了用户认证服务、地址生成服务、用户注册和追溯服务以及网管系统。通过这些模块的协同配合，就可以实现网络分组有人负责，网络行为可追溯。

对于SAVA-A技术的测量，CAIDA Spoofer能够完成基本的测量，然而它存在以下问题：假阳性问题即无法发现正常报文会被源地址验证系统误过滤；假阴性问题即已过滤报文是否全部被当前源地址验证系统所过滤；测量类型只局限于IP伪造。

针对上述问题，我们设计了灵活可扩展、测量类型丰富多样且精细准确的测量系统MYSAV。MYSAV包含了控制节点和探针节点，控制节点下发测量任务以及统计测量数据。分布式的探针节点执行测量任务以及上报结果。MYSAV的测试类型包括：连通性测试，IP伪造测试，MAC伪造测试，IP+MAC混合伪造测试，过滤位点推断测试。各探针节点间互相发送伪造报文，并检查对方是否成功收到伪造报文。我们设计了过滤位点推断，发送伪造的目的主机地址的ICMP请求，通过在目的主机处收到的ICMP响应判断出报文实际被过滤位置；以及哨兵包机制，通过握手连接发送正常报文来检查过滤策略是否对正常流量造成影响。最后我们也实现了前端页面将经过分析的统计结果通过可视化的图表进行呈现。

项目首先在清华大学校园网内展开SAVA-A技术的部署，进行初步验证并总结部署经验，随后在CERNET2内25所高校校园网内开展SAVA-A的部署，在完成部署后通过测量平台验证SAVA-A源地址验证的效果。

SAVA-A技术不修改主机、不修改或扩展现有协议、不增加新协议，适用于IPv4与IPv6、各种地址分配方式，支持各种绑定锚、支持multi-homing、 支持主机二层移动。支持SAVA-A技术的设备越靠近主机越有效。

当前全球IPv6部署率不断上升，我国也在进入向IPv6过渡的关键时期。在IPv6规模部署工作不断拓展和深入的同时，IPv6源地址验证技术为今后网络全面支持IPv6提供网络与信息安全保障体系奠定基础。

本项目为IPv6真实源地址验证技术SAVA-A的部署推进提供了参考，SAVA-A的部署率越高就意味着整个互联网更加安全可信。通过对SAVA-A持续全面的测量，我们也验证了在实际场景中其部署效果。我们将SAVA-A在CERNET2内25个节点的部署方案和经验总结成了技术指导白皮书，这将加快SAVA-A在未来的部署过程，为我国建立可信可管的下一代互联网提供技术支撑。