网络安全之uRPF技术

uRPF技术:
单播逆向路径转发(Unicast Reverse Path Forwarding),其主要功能是防止基于源地址欺骗的网络攻击行为。

网络安全之uRPF技术_第1张图片
在没有配置uRPF技术时,网络设备不检查数据包的源地址,只关心能不能到达目的地址。由此,产生了虚假源地址欺骗网络攻击行为,例如基于源地址欺骗的DOS攻击和DDOS攻击。

uRPF有两种模式:
1.松散模式(loose)
设备检查流入数据包的源地址,在此设备上只要有和源地址相同网段的明细路由就能会放行。
2.严格模式(strict)
设备检查流入数据包的源地址,在此设备上不仅要有和源地址相同网段的明细路由,还要求这条路由必须是从这个接口学习而来的才能放行。

uRPF的处理流程:
网络安全之uRPF技术_第2张图片
下面我直接做实验来测试一下,这样会更加直观的体现这种基于源地址欺骗的网络攻击防御技术。

uRPF实验:
网络安全之uRPF技术_第3张图片
准备条件:
(1)防火墙放行所有策略
security-policy
default action permit
(2)AR9能够ping通AR10
网络安全之uRPF技术_第4张图片
(3)AR10开启debug命令
debugging ip icmp
terminal debugging
网络安全之uRPF技术_第5张图片
开始测试:
实验一、FW没有配置uRPF技术,AR9使用虚假源地址5.5.5.5 ping AR10的地址。
网络安全之uRPF技术_第6张图片
AR10显示的debug信息,如下
网络安全之uRPF技术_第7张图片
结果:
AR9虽然没有ping通AR10,但是AR10收到了来自虚假源的数据包,这是因为没有回到5.5.5.5这个虚假地址的路由所以它是不通的。既然AR10能够收到虚假源的ping包,所以这样给SYN Flood等虚假源攻击留下了可乘之机。

实验二:FW入接口配置uRPF技术,松散模式,AR9使用虚假的源地址5.5.5.5 pingAR10的地址。
在这里插入图片描述
网络安全之uRPF技术_第8张图片
结果:
AR9没有ping通AR10,而且AR10上并没有debug的信息,说明虚假源IP已经被FW丢弃。
在uRPF松散模式下,FW只放行路由表中存在的ip网段地址,5.5.5.5这个地址不存在,所有被丢弃。

实验三、FW入接口配置uRPF技术,松散模式,AR9使用存在于FW路由表中的虚假源地址192.168.1.2 ping AR10。
网络安全之uRPF技术_第9张图片
虚假源192.168.1.2存在于FW路由表中
网络安全之uRPF技术_第10张图片
网络安全之uRPF技术_第11张图片
结果:
AR9虽然没有ping通AR10,但是AR10收到了来自虚假源192.168.1.2的数据包,因为这个地址是虚假的所以它不通。
在uRPF松散模式下,FW会放行存在于路由表中的IP网段地址,即便它是一个虚假的地址。

实验四、FW入接口配置uRPF技术,严格模式,AR9使用存在于FW路由表中的虚假源地址192.168.1.2 ping AR10。
在这里插入图片描述
网络安全之uRPF技术_第12张图片
结果:
AR9没有ping通AR10,而且AR10上并没有debug的信息,虽然路由表上有这个虚假源地址的路由,但是虚假源IP还是被FW丢弃。
在uRPF严格模式下,即便路由表上有这个虚假源地址的路由,也要这个虚假源地址是从这个入接口学习到的路由,这样才能够放行。

总结:
uRPF技术,是网络设备检查数据包源地址合法性的一种方法。其在路由表中查找该源地址是否与数据包的来源接口相匹配,如果没有匹配表项将丢弃该数据包,从而起到预防IP欺骗,特别是针对虚假IP源地址的拒绝服务(DoS)攻击非常有效。

你可能感兴趣的:(网络安全,网络,安全)