Openstack中伪造源地址攻击的防御

最新推荐文章于 2024-05-15 10:11:24 发布
最新推荐文章于 2024-05-15 10:11:24 发布
阅读量400 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/broadury/article/details/100564420
版权

背景:Openstack在H版之前的时候,租户可以租用虚拟机发动DoS攻击,很多攻击的方式是伪造源地址。还有别的攻击,如ARP攻击等等,都是通过伪造源MAC或IP地址实现的。本文简单介绍一下openstack中抵御虚假源地址的攻击。

这种攻击的特点是攻击者从虚拟化系统内部发起,攻击目标可能是公网主机,或者是内网的主机。对于前者的防御比较容易,只需要在物理网络边界就可以部署安全设施进行检测和清洗;但是后者的攻击流量大部分是存在于虚拟网络和虚拟网络设备中,物理的安全设备是无法观测或理解物理网络中的流量,无法进行有效的防护,所以对于始于内部的DoS攻击,应该在虚拟化环境中将检测并抵御。
在Openstack的架构下,预计一种检测DoS攻击的方式是依靠检测模块Ceilometer,等它成熟之后,就可及时通知管理员或系统,通过Ceilometer与Neutron协作堵住这种攻击。
不过现在Ceilometer还在初级阶段,所以还是需要依靠网络虚拟化模块Neutron进行防护,好在IaaS系统知道VM的真实IP和MAC,所以可以直接在L2防火墙上对数据包进行过滤,H版已经引入了这部分特性。

下面以一台vm为例:
# neutron port-list|grep 100.0.0.16
| 368d35e1-4db7-405f-af26-1f2b6f224bd8 | | fa:16:3e:34:c8:f8 | {“subnet_id”: “57b30eb5-e9ee-489f-85ea-77bcaa6249e5”, “ip_address”: “100.0.0.16”} |

2013.2.1引入了基于IPTABLES的过滤方案
iptables -L -nvx 可以看到:
Chain neutron-openvswi-s368d35e1-4 (1 references)
pkts bytes target prot opt in out source destination
212 29180 RETURN all — * * 100.0.0.16 0.0.0.0/0 MAC FA:16:3E:34:C8:F8
0 0 DROP all — * * 0.0.0.0/0 0.0.0.0/0
此处允许真实IP和mac的数据包经过,对其他数据包抛弃

2013.2.2 引入了基于EBTABLES的过滤方案
ebtables -t nat -L 可以发现下面项
Bridge chain: libvirt-I-tap368d35e1-4d, entries: 6, policy: ACCEPT
-j I-tap368d35e1-4d-mac
-p IPv4 -j I-tap368d35e1-4d-ipv4-ip
-p IPv4 -j I-tap368d35e1-4d-ipv4
-p ARP -j I-tap368d35e1-4d-arp-mac
-p ARP -j I-tap368d35e1-4d-arp-ip
Bridge chain: I-tap368d35e1-4d-mac, entries: 2, policy: ACCEPT
-s fa:16:3e:34:c8:f8 -j RETURN
-j DROP
Bridge chain: I-tap368d35e1-4d-ipv4-ip, entries: 3, policy: ACCEPT
-p IPv4 –ip-src 0.0.0.0 –ip-proto udp -j RETURN
-p IPv4 –ip-src 100.0.0.16 -j RETURN
-j DROP
Bridge chain: I-tap368d35e1-4d-arp-mac, entries: 2, policy: ACCEPT
-p ARP –arp-mac-src fa:16:3e:34:c8:f8 -j RETURN
-j DROP
Bridge chain: I-tap368d35e1-4d-arp-ip, entries: 2, policy: ACCEPT
-p ARP –arp-ip-src 100.0.0.16 -j RETURN
-j DROP
可见确实将VM的mac和ip进行了过滤,防止其他ip和mac的数据包经过

虽然这种防护可以抵御伪造源地址的攻击,但是无法抵御使用真实源地址的DoS攻击,遇到这种情况,还是采用ceilometer或是SDN的流检测的方式较好。

p.s.1 为什么我会知道这些Openstack版本的防护特性,我会告诉你这些特性让我不能测试DDoS攻击吗…
p.s.2 除了IPTABLES和EBTABLES之外,还有没有其他方法?当然有,设想一下这个场景,VM启动之后,neutron在建立port之后向SDN网络控制器发送通知,网络控制器向OVS发送流指令,允许IP、MAC绑定数据流通过VM所在的交换机端口,然后禁止其他数据流从该端口通过。那为什么不这么做呢,原因1:需要SDN控制器,原因2:数据流先经过Linux bridge,所以不如直接在Linux bridge上应用IPTABLES和EBTABLES。
p.s.4 在SDN+Openstack环境下,租户发起的DoS的第一个受害者将是网络控制器,所以Floodlight在流量控制中做了一些工作,可参见这篇文章

broadury
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenStack网络攻击防御
11-21
OpenStack下,安全也重要的,看看其网络攻击防御.
openstack
03-21
描述提到的"openstack 文"进一步强调了这个主题与OpenStack有关,并且重点在于文资源。这意味着我们可能会探讨如何获取和利用文资源来学习OpenStack,例如阅读文书籍、参加文论坛讨论、查找文教程等。...
云计算---记一次黑客攻击openstack创建的虚拟机
yaohong
02-07 218
一:问题定位 现象:   近期发现有几台openstack云主机被修改密码并被肉鸡。 黑客操作日志: 18-02-01 22:41:26 ##### root tty1 22:41 #### 2018-02-01 22:41:13 top 18-02-01 22:41:26 ##### root tty1 22:41 #### 2018-02-01 22:41:26 c...
IP源地址欺骗攻击研究与实践
最新发布
2301_80058039的博客
05-15 932
IP源地址欺骗攻击是指行动产生的IP数据包伪造的源IP地址,以便冒充其他系统或保护发件人的身份。IP源地址欺骗攻击也可以是指伪造或使用伪造的标题,以电子邮件或网络新闻等,以再次保护发件人的身份来误导接收器或网络,进而假冒其他计算机,用来掩盖其欺骗攻击的目的。
IP伪造与防范
weixin_34050005的博客
11-07 602
在阅读本文前,大家要有一个概念,由于TCP需要三次握手连接,在实现正常的TCP/IP 双方通信情况下,是无法伪造来源 IP 的,也就是说,在 TCP/IP 协议,可以伪造数据包来源 IP ,但这会让发送出去的数据包有去无回,无法实现正常的通信。 一些DDoS 攻击,它们只需要不断发送数据包,而不需要正常通信,它们就会采取这种“发射出去就...
伪造源IP地址的DoS攻击
爱.NET
02-25 1653
/* * ===================================================================================== * * Filename: dos.c * * Description: * * Version: 1.0 * Created: 2012年02月...
恒天云技术分享系列4 – OpenStack网络攻击防御
dcwawapj83111的博客
05-13 198
恒天云技术分享系列:http://www.hengtianyun.com/download-show-id-13.html 云主机的网络结构本质上和传统的网络结构一致,区别大概有两点。 1.软网络管理设备(如nova-network,open switch)部分替代硬件网络设备 。 2.多虚拟服务器共享一个宿主机物理网卡(使用Trunk技术)。...
OpenstackMitaka本地源
12-19
用于Centos7的OpenstackMitaka版的包,全部下载到本地了,传进去设置好yum源就能用。
如何搭建本地OpenStack的yum源?实操展示!
01-07
文章目录前言一:OpenStack概述1.1:概述1.2:为什么要搭建OpenStack本地yum源?二:本地yum源搭建实操2.1:环境2.2:拓扑图2.3:实验目的2.4:实验过程2.4.1:本地源端配置2.4.2:客户端配置2.4.3:搭建完成,谢谢...
OpenStackKilo-文安装指南
07-23
资源名称:OpenStack Kilo-文安装指南资源截图: 资源太大,传百度网盘了,链接在附件,有需要的同学自取。
OpenStack安全加固以应对来自Compute节点的攻击
Casbin开源社区
06-06 1753
Hardening OpenStack Cloud Platforms against Compute NodeCompromises, AsiaCCS’16 (C类), 2016年5月[1] 美国石溪大学和AT&T实验室的研究人员针对OpenStack云平台的安全性进行了研究。OpenStack云平台主要由Controller节点和Compute节点组成。由于Compute节点数目众多,并且上面运行虚拟机(可能是恶意的),难以保证其某些Compute节点不被攻击者攻破。本文发现,一旦攻击者拿到一个Co
使用CURL伪造来源网址与IP
暗淡亮点的博客
10-28 3499
很多投票都有对来路的网址和IP进行验证,但是使用CURL可以伪造成任意的网址与IP,以绕过一些简单的验证,下面举一个简单的例子。 程序运行之前,请确保 php.ini extension=php_curl.dll 没有被注释掉。 test.php 1 2 $ch = curl_init(); 3 curl_setopt($ch, CURLOPT_URL, "http://loca
什么是IP地址欺骗
chujiuai1874的博客
09-12 5953
欺骗是指在互联网上模仿一个用户、设备或客户。 在网络攻击常用来掩盖攻击流量的来源。 最常见的欺骗形式包括: DNS服务器欺骗 – 为了将域名重定向到不同的IP地址,对 DNS 服务器进行修改。 它通常用于传播病毒. ARP欺骗 – 通过虚假的ARP信息,将一个攻击者的MAC地址...
局域网伪造源地址DDoS***解决方法
weixin_34410662的博客
07-31 139
【故障现象】伪造源地址***,***机器向受害主机发送大量伪造源地址的TCP SYN报文,占用安全网关的NAT会话资源,最终将安全网关的NAT会话表占满,导致局域网内所有人无法上网。 【快速查找】在WebUIà系统状态àNAT统计àNAT状态,可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户: 在WebUIà系统状态à用户统计à用户统计信息,可以看...
URPF-防止虚假地址***
weixin_34247299的博客
06-02 526
URPF (Unicast Reverse Path Forwarding)是单播逆向路径转发的简称,其主要功能是防止基于源地址欺骗的网络***行为。之所以称为“逆向”,是针对正常的路由查找而言的。一般情况下,路由器接收到包后,获取包的目的地址,针对目的地址查找路由Pair(Dst-IP, NextHop),如果找到了就转发包,否则丢弃该包。uRPF通过获取包的源地址和入接口...
构造HTTP请求Header实现“伪造来源IP”(重在原理)
aa1358075776的博客
09-15 4477
转载自: http://zhangxugg-163-com.iteye.com/blog/1663687 http://www.walkerjava.com/index.php?m=blog&f=view&id=10 1. 伪造原理 在阅读本文前,大家要有一个概念,在实现正常的TCP/IP双方通信情况下,是无法伪造来源IP的,也就是说,在TCP/IP协议,可以伪造数据包来源IP,但这会让发送出去的数据包有去无回,无法实现正常的通信。这就像我们给对方写信时,如果写...
伪造 IP 地址的原理和防范措施
weixin_43578304的博客
08-26 3991
在数字化时代,网络安全是至关重要的话题。其伪造 IP 地址是一种可能导致网络攻击和欺诈的技术手段。这里将深入探讨伪造 IP 地址的原理以及如何采取措施来防范这种风险。
构建安全OpenStack云:抵御常见攻击策略
涵盖了OpenStack的基础安全策略、架构以及如何防范常见攻击OpenStack是一个强大的开源平台,用于管理和调度大规模的计算、存储和网络资源。它提供了用户友好的界面,使得开发者可以便捷地进行资源分配。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值