- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
21-uRPF配置
本章節下載: 21-uRPF配置 (231.70 KB)
uRPF(unicast Reverse Path Forwarding,單播反向路徑轉發)是一種單播逆向路由查找技術,用來防範基於源地址欺騙的攻擊手段,例如基於源地址欺騙的DoS(Denial of Service,拒絕服務)攻擊和DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊。
對於使用基於IPv4地址驗證的應用來說,基於源地址欺騙的攻擊手段可能導致未被授權用戶以他人,甚至是管理員的身份獲得訪問係統的權限。因此即使響應報文沒有發送給攻擊者或其它主機,此攻擊方法也可能會造成對被攻擊對象的破壞。
如圖1-1所示,攻擊者在Router A上偽造並向Router B發送大量源地址為2.2.2.1的報文,Router B響應這些報文並向真正的“2.2.2.1”(Router C)回複報文。因此這種非法報文對Router B和Router C都造成了攻擊。如果此時網絡管理員錯誤地切斷了Router C的連接,可能會導致網絡業務中斷甚至更嚴重的後果。
攻擊者也可以同時偽造不同源地址的攻擊報文或者同時攻擊多個服務器,從而造成網絡阻塞甚至網絡癱瘓。
uRPF可以有效防範上述攻擊。一般情況下,設備在收到報文後會根據報文的目的地址對報文進行轉發或丟棄。而uRPF可以在轉發表中查找報文源地址對應的接口是否與報文的入接口相匹配,如果不匹配則認為源地址是偽裝的並丟棄該報文,從而有效地防範網絡中基於源地址欺騙的惡意攻擊行為的發生。
uRPF檢查有嚴格(strict)型和鬆散(loose)型兩種。
不僅檢查報文的源地址是否在轉發表中存在,而且檢查報文的入接口與轉發表是否匹配。
在一些特殊情況下(如非對稱路由,即設備上行流量的入接口和下行流量的出接口不相同),嚴格型uRPF檢查會錯誤地丟棄非攻擊報文。
一般將嚴格型uRPF檢查布置在ISP的用戶端和ISP端之間。
僅檢查報文的源地址是否在轉發表中存在,而不再檢查報文的入接口與轉發表是否匹配。
鬆散型uRPF檢查可以避免錯誤的攔截合法用戶的報文,但是也容易忽略一些攻擊報文。
一般將鬆散型uRPF檢查布置在ISP-ISP端。另外,如果用戶無法保證路由對稱,可以使用鬆散型uRPF檢查。
當設備上配置了缺省路由後,會導致uRPF根據轉發表檢查源地址時,所有源地址都能查到下一跳。針對這種情況,支持用戶配置uRPF是否允許匹配缺省路由。如果允許匹配缺省路由(配置allow-default-route),則當uRPF查詢轉發表得到的結果是缺省路由時,認為查到了匹配的表項;如果不允許匹配缺省路由,則當uRPF查詢轉發表得到的結果是缺省路由時,認為沒有查到匹配的表項。
缺省情況下,如果uRPF查詢轉發表得到的結果是缺省路由,則按沒有查到表項處理,丟棄報文。
運營商網絡邊緣位置一般不會有缺省路由指向客戶側設備,所以一般不需要配置allow-default-route。如果在客戶側邊緣設備接口或接口所在安全域上麵啟用uRPF,這時往往會有缺省路由指向運營商,此時需要配置allow-default-route。
如果用戶確認具有某些特征的報文是合法報文,則可以在ACL中指定這些報文,那麼這些報文在逆向路由不存在的情況下,不做丟棄處理,按正常報文進行轉發。
圖1-2 uRPF典型組網應用
通常在ISP上配置uRPF,在ISP與用戶端,配置嚴格型uRPF檢查,在ISP與ISP端,配置鬆散型uRPF檢查。
如果有特殊用戶,或者具有一定特征,需要特殊處理的報文,可以配置ACL規則。
如果在接口下打開uRPF功能,用戶可以通過display ip interface命令查看uRPF功能丟棄報文的統計信息(uRPF Information:Drops表示被丟棄的報文數目;Suppressed drops表示被抑製丟棄的報文數目);但如果在全局下打開uRPF功能,係統不會輸出相關統計信息。
配置鬆散型uRPF檢查時不建議配置allow-default-route參數,否則可能導致防攻擊能力失效。
當同時在全局和接口上配置uRPF功能時,接口上的配置優先生效。
嚴格型uRPF不能與等價路由功能同時使用,否則匹配等價路由的業務報文無法通過嚴格型uRPF的檢查,導致業務報文被丟棄。
全局配置的uRPF對設備的所有接口生效。
(1) 進入係統視圖。
system-view
(2) 開啟全局uRPF功能。
ip urpf { loose [ allow-default-route ] [ acl acl-number ] | strict [ allow-default-route ] [ acl acl-number ] }
缺省情況下,uRPF功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟uRPF功能。
ip urpf { loose [ allow-default-route ] [ acl acl-number ] | strict [ allow-default-route ] [ acl acl-number ] }
缺省情況下,uRPF功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置uRPF後的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 uRPF顯示和維護
|
配置步驟 |
命令 |
|
顯示uRPF的配置應用情況 |
display ip urpf [ interface interface-type interface-number ] [ slot slot-number ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
