登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

08-安全配置指導

目錄

19-URPF配置

本章節下載 19-URPF配置  (194.33 KB)

19-URPF配置

  錄

1 配置URPF

1.1 URPF簡介

1.1.1 URPF概述

1.1.2 URPF檢查方式

1.1.3 URPF處理流程

1.1.4 典型組網應用

1.2 配置URPF

1.3 URPF典型配置舉例

 

1 配置URPF

說明

·     S5500-SI不支持URPF功能。

·     在以下的介紹中所指的路由器,代表了一般意義下的路由器以及運行了路由協議的以太網交換機。為提高可讀性,在手冊的描述中將不另行說明。

 

1.1  URPF簡介

1.1.1  URPF概述

URPF(Unicast Reverse Path Forwarding,單播反向路徑轉發)的主要功能是用於防止基於源地址欺騙的網絡攻擊行為,例如基於源地址欺騙的DoS(Denial of Service,拒絕服務)攻擊和DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊。

源地址欺騙攻擊為入侵者構造出一係列帶有偽造源地址的報文來產生攻擊,對於使用基於IP地址驗證的應用來說,此攻擊方法可以導致未被授權用戶以他人身份獲得訪問係統的權限,甚至是以管理員權限來訪問。即使響應報文不能達到攻擊者,同樣也會造成對被攻擊對象的破壞。

圖1-1 源地址欺騙攻擊示意圖

 

圖1-1所示,在Router A上偽造源地址為2.2.2.1的報文,以非常高的速率向服務器Router B發起請求,Router B響應請求時將向真正的“2.2.2.1”發送報文。這種非法報文對Router B和Router C都造成了攻擊。

URPF技術可以應用在上述環境中,對報文的源地址進行反查,並依據其合法性對報文進行過濾,阻止基於源地址欺騙的攻擊。

1.1.2  URPF檢查方式

URPF檢查有嚴格(strict)型和鬆散(loose)型兩種。

1. 嚴格型URPF

不僅檢查報文的源地址是否在FIB表中存在,而且檢查報文的入接口與FIB表是否匹配。

在一些特殊情況下(如非對稱路由),嚴格型檢查會錯誤的丟棄非攻擊報文。

一般將嚴格型檢查布置在ISP的用戶端和ISP端之間。

2. 鬆散型URPF

僅檢查報文的源地址是否在FIB表中存在,而不再檢查報文的入接口與FIB表是否匹配。

鬆散型檢查可以避免錯誤的攔截合法用戶的報文,但是也容易忽略一些攻擊報文。

一般將鬆散型檢查布置在ISP-ISP端。另外,如果用戶無法保證路由對稱,可以使用鬆散型檢查。

1.1.3  URPF處理流程

說明

組播報文不進行URPF檢查。

 

URPF的處理流程如圖1-2所示。

圖1-2 URPF處理流程圖

 

 

(1)     首先檢查源地址合法性:

·     對於全網廣播地址,直接予以丟棄。

·     對於全零地址,如果目的地址不是廣播,則丟棄。(源地址為0.0.0.0,目的地址為255.255.255.255的報文,可能是DHCP或者BOOTP報文,不做丟棄處理。)

·     否則,進入步驟(2)。

(2)     然後檢查報文的源地址在FIB表中是否存在匹配的路由。如果在FIB表中查找失敗,則進入步驟(6),否則進入步驟(3);

(3)     查看是否是loose型檢查,如果是,則進入步驟(8);否則查看報文的源地址在FIB表中匹配的路由是否是直連路由。如果是直連路由,則進入步驟(5),否則進入步驟(4);

(4)     檢查報文源地址與入接口是否匹配。反向查找報文出接口(反向查找是指查找以該報文源IP地址為目的IP地址的報文的出接口),若其中至少有一個出接口和報文的入接口相匹配,則進入步驟(8);如果不匹配,進入步驟(9);

(5)     檢查報文的源IP地址在ARP表中是否存在匹配的ARP表項。如果在ARP表中查找失敗,則進入步驟(9);否則進入步驟(8);

(6)     檢查FIB中是否存在缺省路由,如果沒有存在缺省路由,則進入步驟(9);否則進入步驟(7);

(7)     查看是否是loose型檢查,如果是,則進入步驟(8);否則檢查缺省路由的出接口是否與報文的入接口一致,如果一致,則進入步驟(8),如果不一致,則進入步驟(9);

(8)     報文通過檢查,進行正常轉發。

(9)     交換機丟棄該報文。

1.1.4  典型組網應用

圖1-3 URPF典型組網應用

 

在ISP與用戶端,配置嚴格URPF,在ISP與ISP端,配置鬆散URPF。

1.2  配置URPF

表1-1 配置全局URPF

配置步驟

命令

說明

進入係統視圖

system-view

-

在全局使能URPF檢查

ip urpf { loose | strict }

必選

缺省情況下,全局禁止URPF檢查

 

說明

l     當本係列以太網交換機開啟URPF功能時,會出現路由規格減半情況(路由規格減半情況為:交換機支持的最大可容納的路由數,在開啟URPF功能後變為開啟前的一半)。

l     當交換機的路由數超過該交換機可最大容納的路由數一半時,URPF功能將不能開啟,避免了路由表項丟失以及由其引起的數據包丟失。

 

1.3  URPF典型配置舉例

1. 組網需求

客戶交換機Switch A與ISP交換機Switch B直連,在Switch B和Switch A上啟動嚴格型URPF檢查,防止基於源地址欺騙的網絡攻擊行為。

2. 組網圖

圖1-4 URPF配置舉例組網圖

 

3. 配置步驟

(1)     配置Switch A

# 配置嚴格型URPF檢查。

<SwitchA> system-view

[SwitchA] ip urpf strict

(2)     配置Switch B

# 配置嚴格型URPF檢查。

<SwitchB> system-view

[SwitchB] ip urpf strict

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們