• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

14-安全配置指导

目录

12-uRPF配置

本章节下载 12-uRPF配置  (206.24 KB)

12-uRPF配置


1 uRPF

1.1  uRPF简介

uRPF(unicast Reverse Path Forwarding,单播反向路径转发)是一种单播逆向路由查找技术,用来防范基于源地址欺骗的攻击手段,例如基于源地址欺骗的DoS(Denial of Service,拒绝服务)攻击和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。

1.1.1  uRPF应用场景

对于使用基于IPv4地址验证的应用来说,基于源地址欺骗的攻击手段可能导致未被授权用户以他人,甚至是管理员的身份获得访问系统的权限。因此即使响应报文没有发送给攻击者或其它主机,此攻击方法也可能会造成对被攻击对象的破坏。

图1-1 源地址欺骗攻击示意图

 

图1-1所示,攻击者在Device A上伪造并向Device B发送大量源地址为2.2.2.1的报文,Device B响应这些报文并向真正的“2.2.2.1”(Device C)回复报文。因此这种非法报文对Device B和Device C都造成了攻击。如果此时网络管理员错误地切断了Device C的连接,可能会导致网络业务中断甚至更严重的后果。

攻击者也可以同时伪造不同源地址的攻击报文或者同时攻击多个服务器,从而造成网络阻塞甚至网络瘫痪。

uRPF可以有效防范上述攻击。一般情况下,设备在收到报文后会根据报文的目的地址对报文进行转发或丢弃。而uRPF可以在转发表中查找报文源地址对应的接口是否与报文的入接口相匹配,如果不匹配则认为源地址是伪装的并丢弃该报文,从而有效地防范网络中基于源地址欺骗的恶意攻击行为的发生。

1.1.2  uRPF检查方式

uRPF检查有严格(strict)型和松散(loose)型两种。

1. 严格型uRPF检查

不仅检查报文的源地址是否在转发表中存在,而且检查报文的入接口与转发表是否匹配。

在一些特殊情况下(如非对称路由,即设备上行流量的入接口和下行流量的出接口不相同),严格型uRPF检查会错误地丢弃非攻击报文。

一般将严格型uRPF检查布置在ISP的用户端和ISP端之间。

2. 松散型uRPF检查

仅检查报文的源地址是否在转发表中存在,而不再检查报文的入接口与转发表是否匹配。

松散型uRPF检查可以避免错误的拦截合法用户的报文,但是也容易忽略一些攻击报文。

一般将松散型uRPF检查布置在ISP-ISP端。另外,如果用户无法保证路由对称,可以使用松散型uRPF检查。

1.1.3  uRPF典型组网应用

图1-2 uRPF典型组网应用

 

通常在ISP上配置uRPF,在ISP与用户端,配置严格型uRPF检查,在ISP与ISP端,配置松散型uRPF检查。

1.2  uRPF配置限制和指导

如果在接口下打开uRPF功能,用户可以通过display ip interface命令查看uRPF功能丢弃报文的统计信息(uRPF Information:Drops表示被丢弃的报文数目;Suppressed drops表示被抑制丢弃的报文数目);但如果在全局下打开uRPF功能,系统不会输出相关统计信息。

当同时在全局和接口上配置uRPF功能时,接口上的配置优先生效。

1.3  全局开启uRPF

1. 配置限制和指导

全局配置的uRPF对设备的所有接口生效。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启全局uRPF功能。

ip urpf { loose | strict }

缺省情况下,uRPF功能处于关闭状态。

1.4  接口上开启uRPF

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启uRPF功能。

ip urpf { loose | strict }

缺省情况下,uRPF功能处于关闭状态。

1.5  uRPF显示和维护

可在任意视图下执行以下命令,显示uRPF的配置信息。

display ip urpf [ interface interface-type interface-number ] [ slot slot-number ]

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们