23-uRPF配置
本章节下载: 23-uRPF配置 (304.30 KB)
uRPF(unicast Reverse Path Forwarding,单播反向路径转发)是一种单播逆向路由查找技术,用来防范基于源地址欺骗的攻击,例如基于源地址欺骗的DoS(Denial of Service,拒绝服务)攻击和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。
基于源地址欺骗的攻击手段可能导致未被授权用户以他人,甚至是管理员的身份获得访问系统的权限,造成对被攻击对象的破坏。
如图1-1所示,攻击者在Host A上伪造并向Server发送大量源IP地址为2.2.2.1的报文,Server在收到请求报文后,向真正的“2.2.2.1”(Host B)发送响应报文。攻击者在Host A上伪造的非法报文对Server和Host B都造成了攻击。如果此时网络管理员错误地切断了Host B的连接,可能会导致网络业务中断甚至更严重的后果。
攻击者也可以同时伪造不同源IP地址的攻击报文或者同时攻击多个服务器,从而造成网络阻塞甚至网络瘫痪。
uRPF可以在Device的转发表中查找报文源IP地址对应的接口是否与报文的入接口相匹配,如果不匹配则认为源IP地址是伪装的并丢弃该报文,从而有效地防范网络中基于源地址欺骗的恶意攻击行为的发生。
uRPF检查有严格(strict)型和松散(loose)型两种。
建议仅在路由对称的环境下配置严格型uRPF检查。
严格型uRPF检查不仅检查报文的源IP地址是否在转发表中存在,而且检查报文的入接口与转发表是否匹配。
在非对称路由(即同一条流量的请求报文和回应报文在不同的接口上进行发送和接收)的网络环境下,严格型uRPF检查会错误地丢弃非攻击报文。建议配置松散型uRPF检查。
松散型uRPF检查仅检查报文的源IP地址是否在转发表中存在,而不再检查报文的入接口与转发表是否匹配。
松散型uRPF检查可以避免错误的拦截合法用户的报文,但是也容易忽略一些攻击报文。
严格型uRPF检查中还可以进一步进行链路层检查,即用源地址查转发表得到的下一跳地址再查一次ARP表,确保报文的源MAC地址和查到的ARP表项中的MAC地址一样才允许报文通过。
链路层检查功能对于运营商用一个三层以太网接口接入大量PC机用户时部署非常合适。
松散型uRPF检查不支持链路层检查功能。
当设备上配置了缺省路由后,会导致uRPF根据转发表检查源IP地址时,所有源IP地址都能查到下一跳。针对这种情况,支持用户配置uRPF是否允许匹配缺省路由。如果允许匹配缺省路由(配置allow-default-route),则当uRPF查询转发表得到的结果是缺省路由时,认为查到了匹配的表项;如果不允许匹配缺省路由,则当uRPF查询转发表得到的结果是缺省路由时,认为没有查到匹配的表项。
缺省情况下,如果uRPF查询转发表得到的结果是缺省路由,则按没有查到表项处理,丢弃报文。
运营商网络边缘位置一般不会有缺省路由指向客户侧设备,所以一般不需要配置allow-default-route。如果在客户侧边缘设备接口所在安全域上面启用uRPF,这时往往会有缺省路由指向运营商,此时需要配置allow-default-route。
如果用户确认具有某些特征的报文是合法报文,则可以在ACL中指定这些报文,那么这些报文在逆向路由不存在的情况下,不做丢弃处理,按正常报文进行转发。
uRPF的处理流程如图1-2所示。
图1-2 uRPF处理流程图
(1) 检查地址合法性:对于目的地址是组播地址的报文直接放行。否则,进入步骤(2);
(2) 检查用户是否配置为松散型检查,如果是,则根据报文源IP地址查找转发表;否则,根据报文源IP地址和入接口查找转发表。检查完成后进入步骤(3);
(3) 对于源IP地址是全零的报文,如果目的地址是广播,则放行;如果目的地址不是广播,则进入步骤(8);
(4) 对于源IP地址不是全零的报文,判断报文的源IP地址在转发表中是否存在匹配的单播路由:如果不存在,则进入步骤(8),否则进入步骤(5);
(5) 如果转发表中匹配的是上送本机路由,即查到InLoop接口,则检查报文入接口是否是InLoop接口:如果是,则直接放行,否则进入步骤(8);如果转发表中匹配的不是上送本机路由则继续步骤(6);
(6) 如果转发表中匹配的是缺省路由,则检查用户是否配置了允许匹配缺省路由(参数allow-default-route):如果没有配置,则进入步骤(8),否则进入步骤(7);如果转发表中匹配的不是缺省路由,则进入步骤(7);
(7) 检查用户是否配置了对链路层信息进行检查(参数link-check):如果没有配置,则认为报文通过检查,进行正常的转发。如果已经配置,则根据转发表中的下一跳查询ARP表,并比较IP报文源MAC地址与ARP表中的MAC地址是否一致。如果两者一致,则报文通过检查并放行;如果查询失败或两者不一致,则进入步骤(8);
(8) ACL检查流程。如果报文符合ACL,则报文继续进行正常的转发(此类报文称为被抑制丢弃的报文);否则报文被丢弃。
图1-3 uRPF典型组网应用
通常在ISP上配置uRPF,在ISP与用户端,配置严格型uRPF检查,在ISP与ISP端,配置松散型uRPF检查。
配置松散型uRPF检查时不建议配置allow-default-route参数,否则可能导致防攻击能力失效。
严格型uRPF不能与等价路由功能同时使用,否则匹配等价路由的业务报文无法通过严格型uRPF的检查,导致业务报文被丢弃。
安全域上配置的uRPF对域内所有接口生效。
(1) 进入系统视图。
system-view
(2) 进入安全域视图。
security-zone name zone-name
(3) 开启uRPF功能。
ip urpf { loose [ allow-default-route ] [ acl acl-number ] | strict [ allow-default-route ] [ acl acl-number ] [ link-check ] }
缺省情况下,uRPF功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置uRPF后的运行情况,通过查看显示信息验证配置的效果。
表1-1 uRPF显示和维护
配置步骤 |
命令 |
显示uRPF的配置应用情况 |
display ip urpf [ security-zone zone-name ] [ slot slot-number ] |
显示安全域的uRPF统计信息 |
display ip urpf statistics security-zone zone-name [ slot slot-number ] |
清除安全域的urpf统计信息 |
reset ip urpf statistics security-zone zone-name |
IPv6 uRPF(unicast Reverse Path Forwarding,单播反向路径转发)是一种单播逆向路由查找技术,用来防范基于源地址欺骗的攻击,例如基于源地址欺骗的DoS(Denial of Service,拒绝服务)攻击和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。
基于源地址欺骗的攻击手段可能导致未被授权用户以他人,甚至是管理员的身份获得访问系统的权限,造成对被攻击对象的破坏。
如图2-1所示,攻击者在Host A上伪造并向Server发送大量源IPv6地址为2000::1的报文,Server在收到请求报文后,向真正的“2000::1”(Host B)发送响应报文。攻击者在Host A上伪造的非法报文对Server和Host B都造成了攻击。如果此时网络管理员错误地切断了Host B的连接,可能会导致网络业务中断甚至更严重的后果。
攻击者也可以同时伪造不同源IPv6地址的攻击报文或者同时攻击多个服务器,从而造成网络阻塞甚至网络瘫痪。
IPv6 uRPF可以在Device的IPv6转发表中查找报文源IPv6地址对应的接口是否与报文的入接口相匹配,如果不匹配则认为源IPv6地址是伪装的并丢弃该报文,从而有效地防范网络中基于源地址欺骗的恶意攻击行为的发生。
IPv6 uRPF检查有严格(strict)型和松散(loose)型两种。
建议仅在路由对称的环境下配置严格型IPv6 uRPF检查。
严格型IPv6 uRPF检查不仅检查报文的源IPv6地址是否在IPv6转发表中存在,而且检查报文的入接口与IPv6转发表是否匹配。
在非对称路由(即同一条流量的请求报文和回应报文在不同的接口上进行发送和接收)的网络环境下,严格型IPv6 uRPF检查会错误地丢弃非攻击报文。建议配置松散型IPv6 uRPF检查。
松散型IPv6 uRPF检查仅检查报文的源IPv6地址是否在IPv6转发表中存在,而不再检查报文的入接口与IPv6转发表是否匹配。
松散型IPv6 uRPF检查可以避免错误的拦截合法用户的报文,但是也容易忽略一些攻击报文。
当设备上配置了缺省路由后,会导致IPv6 uRPF根据IPv6转发表检查源IPv6地址时,所有源IPv6地址都能查到下一跳。针对这种情况,支持用户配置IPv6 uRPF是否允许匹配缺省路由。如果允许匹配缺省路由(配置allow-default-route),则当IPv6 uRPF查询IPv6转发表得到的结果是缺省路由时,认为查到了匹配的表项;如果不允许匹配缺省路由,则当IPv6 uRPF查询IPv6转发表得到的结果是缺省路由时,认为没有查到匹配的表项。
缺省情况下,如果IPv6 uRPF查询IPv6转发表得到的结果是缺省路由,则按没有查到表项处理,丢弃报文。
运营商网络边缘位置一般不会有缺省路由指向客户侧设备,所以一般不需要配置allow-default-route。如果在客户侧边缘设备接口所在安全域上面启用IPv6 uRPF,这时往往会有缺省路由指向运营商,此时需要配置allow-default-route。
如果用户确认具有某些特征的报文是合法报文,则可以在IPv6 ACL中指定这些报文,那么这些报文在逆向路由不存在的情况下,不做丢弃处理,按正常报文进行转发。
IPv6 uRPF的处理流程如图2-2所示。
图2-2 IPv6 uRPF处理流程图
(1) 检查地址合法性:对于目的地址是组播地址的报文直接放行。否则,进入步骤(2);
(2) 检查用户是否配置为松散型检查,如果是,则根据报文源IP地址查找IPv6转发表;否则,根据报文源IP地址和入接口查找IPv6转发表。检查完成后进入步骤(3);
(3) 对于源地址是链路本地地址的报文,检查报文入接口是否是InLoop接口:如果是,则直接放行,否则进入步骤(4);
(4) 对于源地址是全零地址的报文,直接进入步骤(8),否则进入步骤(5);
(5) 检查报文的源地址在IPv6转发表中是否存在匹配的单播路由:如果在IPv6转发表中查找失败,则进入步骤(8),否则进入步骤(6);
(6) 如果IPv6转发表中匹配的是上送本机路由,则检查报文入接口是否是InLoop接口:如果是,则直接放行,否则进入步骤(8);如果IPv6转发表中匹配的不是上送本机路由则继续步骤(7);
(7) 如果IPv6转发表中匹配的是缺省路由,则检查用户是否配置了允许匹配缺省路由(参数allow-default-route),如果没有配置,则进入步骤(8),否则进行正常转发;如果IPv6转发表中匹配的不是缺省路由,则进入步骤(8);
(8) IPv6 ACL检查流程。如果报文符合IPv6 ACL,则报文继续进行正常的转发(此类报文称为被抑制丢弃的报文);否则报文被丢弃。
图2-3 IPv6 uRPF典型组网应用
通常在ISP上配置uRPF,在ISP与用户端,配置严格型IPv6 uRPF检查,在ISP与ISP端,配置松散型IPv6 uRPF检查。
配置松散型IPv6 uRPF检查时不建议配置allow-default-route参数,否则可能导致防攻击能力失效。
严格型uRPF不能与等价路由功能同时使用,否则匹配等价路由的业务报文无法通过严格型uRPF的检查,导致业务报文被丢弃。
安全域上配置的IPv6 uRPF对域内所有接口生效。
(1) 进入系统视图。
system-view
(2) 进入安全域视图。
security-zone name zone-name
(3) 开启IPv6 uRPF功能。
ipv6 urpf { loose | strict } [ allow-default-route ] [ acl acl-number ]
缺省情况下,IPv6 uRPF功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置IPv6 uRPF后的运行情况,通过查看显示信息验证配置的效果。
表2-1 IPv6 uRPF显示和维护
配置步骤 |
命令 |
显示IPv6 uRPF的配置应用情况 |
display ipv6 urpf [ security-zone zone-name ] [ slot slot-number ] |
显示安全域的IPv6 uRPF统计信息 |
display ipv6 urpf statistics security-zone zone-name [ slot slot-number ] |
清除安全域的IPv6 uRPF统计信息 |
reset ipv6 urpf statistics security-zone zone-name |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!