- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
22-uRPF配置
本章節下載: 22-uRPF配置 (268.15 KB)
uRPF(unicast Reverse Path Forwarding,單播反向路徑轉發)是一種單播逆向路由查找技術,用來防範基於源地址欺騙的攻擊手段,例如基於源地址欺騙的DoS(Denial of Service,拒絕服務)攻擊和DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊。
對於使用基於IPv4地址驗證的應用來說,基於源地址欺騙的攻擊手段可能導致未被授權用戶以他人,甚至是管理員的身份獲得訪問係統的權限。因此即使響應報文沒有發送給攻擊者或其它主機,此攻擊方法也可能會造成對被攻擊對象的破壞。
如圖1-1所示,攻擊者在Router A上偽造並向Router B發送大量源地址為2.2.2.1的報文,Router B響應這些報文並向真正的“2.2.2.1”(Router C)回複報文。因此這種非法報文對Router B和Router C都造成了攻擊。如果此時網絡管理員錯誤地切斷了Router C的連接,可能會導致網絡業務中斷甚至更嚴重的後果。
攻擊者也可以同時偽造不同源地址的攻擊報文或者同時攻擊多個服務器,從而造成網絡阻塞甚至網絡癱瘓。
uRPF可以有效防範上述攻擊。一般情況下,設備在收到報文後會根據報文的目的地址對報文進行轉發或丟棄。而uRPF可以在轉發表中查找報文源地址對應的接口是否與報文的入接口相匹配,如果不匹配則認為源地址是偽裝的並丟棄該報文,從而有效地防範網絡中基於源地址欺騙的惡意攻擊行為的發生。
uRPF檢查有嚴格(strict)型和鬆散(loose)型兩種。
不僅檢查報文的源地址是否在轉發表中存在,而且檢查報文的入接口與轉發表是否匹配。
在一些特殊情況下(如非對稱路由,即設備上行流量的入接口和下行流量的出接口不相同),嚴格型uRPF檢查會錯誤地丟棄非攻擊報文。
一般將嚴格型uRPF檢查布置在ISP的用戶端和ISP端之間。
僅檢查報文的源地址是否在轉發表中存在,而不再檢查報文的入接口與轉發表是否匹配。
鬆散型uRPF檢查可以避免錯誤的攔截合法用戶的報文,但是也容易忽略一些攻擊報文。
一般將鬆散型uRPF檢查布置在ISP-ISP端。另外,如果用戶無法保證路由對稱,可以使用鬆散型uRPF檢查。
當設備上配置了缺省路由後,會導致uRPF根據轉發表檢查源地址時,所有源地址都能查到下一跳。針對這種情況,支持用戶配置uRPF是否允許匹配缺省路由。如果允許匹配缺省路由(配置allow-default-route),則當uRPF查詢轉發表得到的結果是缺省路由時,認為查到了匹配的表項;如果不允許匹配缺省路由,則當uRPF查詢轉發表得到的結果是缺省路由時,認為沒有查到匹配的表項。
缺省情況下,如果uRPF查詢轉發表得到的結果是缺省路由,則按沒有查到表項處理,丟棄報文。
圖1-2 uRPF典型組網應用
通常在ISP上配置uRPF,在ISP與用戶端,配置嚴格型uRPF檢查,在ISP與ISP端,配置鬆散型uRPF檢查。
配置鬆散型uRPF檢查時不建議配置allow-default-route參數,否則可能導致防攻擊能力失效。
同一接口上不能同時配置嚴格型uRPF檢查和鬆散型IPv6 uRPF檢查,也不能同時配置鬆散型uRPF檢查和嚴格型IPv6 uRPF檢查。
嚴格型uRPF不能與等價路由功能同時使用,否則匹配等價路由的業務報文無法通過嚴格型uRPF的檢查,導致業務報文被丟棄。
全局配置的uRPF對設備的所有接口生效。
(1) 進入係統視圖。
system-view
(2) 開啟全局uRPF功能。
ip urpf { loose [ allow-default-route ] | strict [ allow-default-route ] }
缺省情況下,uRPF功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置uRPF後的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 uRPF顯示和維護
|
配置步驟 |
命令 |
|
顯示uRPF的配置應用情況 |
display ip urpf [ slot slot-number ] |
IPv6 uRPF(unicast Reverse Path Forwarding,單播反向路徑轉發)是一種單播逆向路由查找技術,用來防範基於源地址欺騙的攻擊手段,例如基於源地址欺騙的DoS(Denial of Service,拒絕服務)攻擊和DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊。
對於使用基於IPv6地址驗證的應用來說,基於源地址欺騙的攻擊手段可能導致未被授權用戶以他人,甚至是管理員的身份獲得訪問係統的權限。因此即使響應報文沒有發送給攻擊者或其它主機,此攻擊方法也可能會造成對被攻擊對象的破壞。
如圖2-1所示,攻擊者在Router A上偽造並向Router B發送大量源地址為2000::1的報文,Router B響應這些報文並向真正的“2000::1”(Router C)回複報文。因此這種非法報文對Router B和Router C都造成了攻擊。如果此時網絡管理員錯誤地切斷了Router C的連接,可能會導致網絡業務中斷甚至更嚴重的後果。
攻擊者也可以同時偽造不同源地址的攻擊報文或者同時攻擊多個服務器,從而造成網絡阻塞甚至網絡癱瘓。
IPv6 uRPF可以有效防範上述攻擊。一般情況下,設備在收到報文後會根據報文的目的地址對報文進行轉發或丟棄。而IPv6 uRPF可以在轉發表中查找報文源地址對應的接口是否與報文的入接口相匹配,如果不匹配則認為源地址是偽裝的並丟棄該報文,從而有效地防範網絡中基於源地址欺騙的惡意攻擊行為的發生。
IPv6 uRPF檢查有嚴格(strict)型和鬆散(loose)型兩種。
不僅檢查報文的源地址是否在IPv6轉發表中存在,而且檢查報文的入接口與IPv6轉發表是否匹配。
在一些特殊情況下(如非對稱路由,即設備上行流量的入接口和下行流量的出接口不相同),嚴格型IPv6 uRPF檢查會錯誤地丟棄非攻擊報文。
一般將嚴格型IPv6 uRPF檢查布置在ISP的用戶端和ISP端之間。
僅檢查報文的源地址是否在IPv6轉發表中存在,而不再檢查報文的入接口與IPv6轉發表是否匹配。
鬆散型IPv6 uRPF檢查可以避免錯誤的攔截合法用戶的報文,但是也容易忽略一些攻擊報文。
一般將鬆散型IPv6 uRPF檢查布置在ISP-ISP端。另外,如果用戶無法保證路由對稱,可以使用鬆散型IPv6 uRPF檢查。
當設備上配置了缺省路由後,會導致IPv6 uRPF根據IPv6轉發表檢查源地址時,所有源地址都能查到下一跳。針對這種情況,支持用戶配置IPv6 uRPF是否允許匹配缺省路由。如果允許匹配缺省路由(配置allow-default-route),則當IPv6 uRPF查詢IPv6轉發表得到的結果是缺省路由時,認為查到了匹配的表項;如果不允許匹配缺省路由,則當IPv6 uRPF查詢IPv6轉發表得到的結果是缺省路由時,認為沒有查到匹配的表項。
缺省情況下,如果IPv6 uRPF查詢IPv6轉發表得到的結果是缺省路由,則按沒有查到表項處理,丟棄報文。
圖2-2 IPv6 uRPF典型組網應用
通常在ISP上配置uRPF,在ISP與用戶端,配置嚴格型IPv6 uRPF檢查,在ISP與ISP端,配置鬆散型IPv6 uRPF檢查。
配置鬆散型IPv6 uRPF檢查時不建議配置allow-default-route參數,否則可能導致防攻擊能力失效。
同一接口上不能同時配置嚴格型IPv6 uRPF檢查和鬆散uRPF檢查,也不能同時配置鬆散型IPv6 uRPF檢查和嚴格型uRPF檢查。
嚴格型uRPF不能與等價路由功能同時使用,否則匹配等價路由的業務報文無法通過嚴格型uRPF的檢查,導致業務報文被丟棄。
全局配置的IPv6 uRPF對設備的所有接口生效。
(1) 進入係統視圖。
system-view
(2) 開啟全局IPv6 uRPF功能。
ipv6 urpf { loose | strict } [ allow-default-route ]
缺省情況下,IPv6 uRPF功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置IPv6 uRPF後的運行情況,通過查看顯示信息驗證配置的效果。
表2-1 IPv6 uRPF顯示和維護
|
配置步驟 |
命令 |
|
顯示IPv6 uRPF的配置應用情況 |
display ipv6 urpf [ slot slot-number ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
