网络安全之uRPF技术

原文地址:https://blog.csdn.net/weixin_44251188/article/details/103976414

uRPF技术:
单播逆向路径转发(Unicast Reverse Path Forwarding),其主要功能是防止基于源地址欺骗的网络攻击行为。

网络安全之uRPF技术_第1张图片

 

在没有配置uRPF技术时,网络设备不检查数据包的源地址,只关心能不能到达目的地址。由此,产生了虚假源地址欺骗网络攻击行为,例如基于源地址欺骗的DOS攻击和DDOS攻击。

uRPF有两种模式:
1.松散模式(loose)
设备检查流入数据包的源地址,在此设备上只要有和源地址相同网段的明细路由就能会放行。
2.严格模式(strict)
设备检查流入数据包的源地址,在此设备上不仅要有和源地址相同网段的明细路由,还要求这条路由必须是从这个接口学习而来的才能放行。

URPF处理流程

URPF检查有严格(strict)型和松散(loose)型两种。此外,还可以支持ACL与缺省路由的检查。

URPF的处理流程如下:

(1)        如果报文的源地址在路由器的FIB表中存在

l              对于strict型检查,反向查找报文出接口,若其中至少有一个出接口和报文的入接口相匹配,则报文通过检查;否则报文将被拒绝。(反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口)

l              对于loose型检查,报文进行正常的转发。

(2)        如果报文的源地址在路由器的FIB表中不存在,则检查缺省路由及URPF的allow-default-route参数。

l              对于配置了缺省路由,但没有配置参数allow-default-route的情况,不管是strict型检查还是loose型检查,只要报文的源地址在路由器的FIB表中不存在,该报文都将被拒绝;

l              对于配置了缺省路由,同时又配置了参数allow-default-route的情况下,如果是strict型检查,只要缺省路由的出接口与报文的入接口一致,则报文将通过URPF的检查,进行正常的转发;如果缺省路由的出接口和报文的入接口不一致,则报文将拒绝。如果是loose型检查,报文都将通过URPF的检查,进行正常的转发。

(3)        当且仅当报文被拒绝后,才去匹配ACL。如果被ACL允许通过,则报文继续进行正常的转发;如果被ACL拒绝,则报文被丢弃。

 

网络安全之uRPF技术_第2张图片

下面我直接做实验来测试一下,这样会更加直观的体现这种基于源地址欺骗的网络攻击防御技术。

uRPF实验:

网络安全之uRPF技术_第3张图片

 

准备条件:
(1)防火墙放行所有策略
security-policy
default action permit
(2)AR9能够ping通AR10

(3)AR10开启debug命令
debugging ip icmp
terminal debugging

开始测试:
实验一、FW没有配置uRPF技术,AR9使用虚假源地址5.5.5.5 ping AR10的地址。

AR10显示的debug信息,如下

结果:
AR9虽然没有ping通AR10,但是AR10收到了来自虚假源的数据包,这是因为没有回到5.5.5.5这个虚假地址的路由所以它是不通的。既然AR10能够收到虚假源的ping包,所以这样给SYN Flood等虚假源攻击留下了可乘之机。

实验二:FW入接口配置uRPF技术,松散模式,AR9使用虚假的源地址5.5.5.5 pingAR10的地址。


结果:
AR9没有ping通AR10,而且AR10上并没有debug的信息,说明虚假源IP已经被FW丢弃。
在uRPF松散模式下,FW只放行路由表中存在的ip网段地址,5.5.5.5这个地址不存在,所有被丢弃。

实验三、FW入接口配置uRPF技术,松散模式,AR9使用存在于FW路由表中的虚假源地址192.168.1.2 ping AR10。

虚假源192.168.1.2存在于FW路由表中


结果:
AR9虽然没有ping通AR10,但是AR10收到了来自虚假源192.168.1.2的数据包,因为这个地址是虚假的所以它不通。
在uRPF松散模式下,FW会放行存在于路由表中的IP网段地址,即便它是一个虚假的地址。

实验四、FW入接口配置uRPF技术,严格模式,AR9使用存在于FW路由表中的虚假源地址192.168.1.2 ping AR10。


结果:
AR9没有ping通AR10,而且AR10上并没有debug的信息,虽然路由表上有这个虚假源地址的路由,但是虚假源IP还是被FW丢弃。
在uRPF严格模式下,即便路由表上有这个虚假源地址的路由,也要这个虚假源地址是从这个入接口学习到的路由,这样才能够放行。

总结:
uRPF技术,是网络设备检查数据包源地址合法性的一种方法。其在路由表中查找该源地址是否与数据包的来源接口相匹配,如果没有匹配表项将丢弃该数据包,从而起到预防IP欺骗,特别是针对虚假IP源地址的拒绝服务(DoS)攻击非常有效。
————————————————
版权声明:本文为CSDN博主「可乐的热爱」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_44251188/article/details/103976414

你可能感兴趣的:(CCNA)