IPv6大赛获奖项目：ADSAVA:基于IPv6源地址验证技术的虚假源DDoS攻击防御平台

近年来全球DDoS攻击呈明显上升趋势，中国首当其冲，遭受了全球11.74%的DDoS攻击。虚假源攻击作为DDoS攻击常见形式，包括虚假源泛洪与反射放大攻击，其中反射放大攻击占2023年所有DDoS攻击的51.05%。虚假源攻击因身份的隐蔽性成为网络安全的顽疾，现有DDoS防御手段难以根治。

随着IPv6技术的高速发展，吴建平院士等中国科学家提出了一种创新的治本架构SAVA，为根治虚假源攻击提供了强有力的理论背景。但SAVA作为网络方案在治理DDoS虚假源攻击上仍然缺乏以下问题：

1、缺乏系统的治理结构

2、缺乏全量部署的条件

3、缺乏有效的激励机制

4、缺乏统一的治理手段 

在此背景下，本团队提供了一种ADSAVA平台作为SAVA能力的承载，突破了上述四点缺陷，对各种虚假源DDoS攻击的阻断率达90% 以上，推动了IPv6的全面落地。

图一 ADSAVA总体框架

ADSAVA平台已经在四川电信的协助下试点运行，平台的可视化界面如图二所示。在虚假源攻击与反射放大攻击的场景下，ADSAVA对攻击的阻断率均超过90%。

图二 ADSAVA 可视化界面

典型应用场景包括

1.大规模DDoS攻击防御：当企业或机构面临虚假源泛洪攻击时，SAVI设备在源端完成流量验证并提供情报共享，从而拦截恶意流量；对于反射放大类攻击，SAV-B设备通过上下行流量比对实现统一防御。

2.IPv6网络环境的安全保障：通过在接入层部署SAVI技术防止虚假设备和流量进入网络，引入SAV-B设备应对反射放大攻击，在纯 IPv6 环境下，两种虚假源攻击方式都可以解决，是一种统一的治本方案。

有限部署场景：在未全面部署SAVA设备的情况下，依托SAV-D控制器整合非SAVA设备，通过智能策略分发实现防御放大的效果。

1. 不同于传统集中于目标端的DDoS防御方案，本平台采用分布式结构，在源端进行流量验证，避免恶意流量进入骨干网络，降低目标端设备压力，同时通过情报共享扩大防御范围，实现有限部署下的防御放大效果。

2. 本项目分别以SAVI应对虚假源泛洪攻击、以SAV-B应对反射放大攻击，实现了虚假源攻击全量防御，具备非全量部署情况下的防御放大能力。

3. SAV-B通过上下行流量分析识别反射攻击行为，不针对特定流量，具有应对所有反射性流量的统一泛化能力。

1. 本平台形成了IPv6环境下DDoS防御的完整体系。ADSAVA平台在中关村实验室的测试中显示出卓越的防御效果，虚假源地址阻断率达到92.3%。其分布式结构和系统性方案，实现了对泛洪型和反射型虚假源全方位的防护，覆盖了从源端到目的端的各类虚假源攻击场景，形成了一个整体联动的DDoS防护体系。

2. 本平台鼓励源地址验证设备的主动部署。此方案不仅提升了防御的全面性和有效性，也为IPv6的广泛应用提供了源地址验证的安全策略，进一步增加了部署源地址验证设备的收益。本平台的推广将有助于激励SAVA设备的部署以及IPv6的全面落地。

3. 具备全量部署受限情况下的防御放大能力，支持增量部署，兼容未来的标准化和大规模部署，具有广阔的应用和推广前景。