網(wǎng)絡(luò)運(yùn)維|單播逆向路徑轉(zhuǎn)發(fā)URPF

2020-05-05 18:49 作者：admin

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師，在網(wǎng)絡(luò)中，存在著大量網(wǎng)絡(luò)攻擊，相對安全就很重要了，這里跟大家介紹一種安全技術(shù)URPF。

定義

URPF（Unicast Reverse Path Forwarding）是單播逆向路徑轉(zhuǎn)發(fā)的簡稱，其主要功能是防止基于源IP地址欺騙的網(wǎng)絡(luò)攻擊行為。

目的

拒絕服務(wù)DoS（Denial of Service）攻擊是一種阻止連接服務(wù)的網(wǎng)絡(luò)攻擊。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。
URPF根據(jù)數(shù)據(jù)包的源IP地址在FIB表中查找對應(yīng)的出接口，并判斷該接口是否與數(shù)據(jù)包的來源接口相匹配。如果沒有匹配表項(xiàng)則丟棄該數(shù)據(jù)包，從而預(yù)防IP欺騙，特別是針對偽造IP源地址的DoS攻擊非常有效。

受益

· 幫助網(wǎng)絡(luò)維護(hù)者防御網(wǎng)絡(luò)上的IP源攻擊，降低對IP源攻擊的維護(hù)成本。
· 用戶能獲得更安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境，不用擔(dān)心因IP源攻擊帶來的困擾。

URPF原理描述

介紹URPF的實(shí)現(xiàn)原理。

工作模式

在復(fù)雜的網(wǎng)絡(luò)環(huán)境中應(yīng)用URPF時(shí)，會(huì)遇到路由不對稱的情況，即對端設(shè)備記錄的路由路徑不一樣，此時(shí)使能URPF的設(shè)備可能丟棄合法報(bào)文，造成設(shè)備不能正確轉(zhuǎn)發(fā)。
為了解決以上復(fù)雜網(wǎng)絡(luò)中應(yīng)用URPF的問題，設(shè)備實(shí)現(xiàn)了URPF的兩種工作模式：
· 嚴(yán)格模式
嚴(yán)格模式下，設(shè)備不僅要求報(bào)文源地址在FIB表中存在相應(yīng)表項(xiàng)，還要求接口匹配才能通過URPF檢查。
建議在路由對稱的環(huán)境下使用URPF嚴(yán)格模式，例如兩個(gè)網(wǎng)絡(luò)邊界設(shè)備之間只有一條路徑的話，這時(shí)，使用嚴(yán)格模式能夠最大限度的保證網(wǎng)絡(luò)的安全性。
· 松散模式
松散模式下，設(shè)備不檢查接口是否匹配，只要FIB表中存在該報(bào)文源地址的路由，報(bào)文就可以通過。
建議在不能保證路由對稱的環(huán)境下使用URPF的松散模式，例如兩個(gè)網(wǎng)絡(luò)邊界設(shè)備之間如果有多條路徑連接的話，路由的對稱性就不能保證，在這種情況下，URPF的松散模式也可以保證較強(qiáng)的安全性。

工作原理

URPF通過獲取報(bào)文的源地址和入接口，在FIB表中查找源地址對應(yīng)的接口是否與入接口匹配。如果不匹配，則認(rèn)為源地址是偽裝的，丟棄該報(bào)文。通過這種工作方式，URPF能有效地防范網(wǎng)絡(luò)中通過修改源地址而進(jìn)行的惡意攻擊行為。
圖1  URPF原理  如圖1所示，在RouterA上偽造源地址為2.1.1.1的報(bào)文向RouterB發(fā)起請求，RouterB響應(yīng)請求時(shí)將向真正的“2.1.1.1”即RouterC發(fā)送報(bào)文。這種非法報(bào)文對RouterB和RouterC都造成了攻擊。
如果在RouterB上啟用URPF嚴(yán)格檢查，則RouterB在收到源地址為2.1.1.1的報(bào)文時(shí)，URPF檢查到以此報(bào)文源地址對應(yīng)的接口與收到該報(bào)文的接口不匹配，報(bào)文會(huì)被丟棄。
 
以上文章由北京艾銻無限科技發(fā)展有限公司整理