uRPF技术: 单播逆向路径转发(Unicast Reverse Path Forwarding),其主要功能是防止基于源地址欺骗的网络攻击行为。 在没有配置uRPF技术时,网络设备不检查数据包的源地址,只关心能不能到达目的地址。由此,产生了虚假源地址欺骗网络攻击行为,例如基于源地址欺骗的DOS攻击和DDOS攻击。
uRPF有两种模式: 1.松散模式(loose) 设备检查流入数据包的源地址,在此设备上只要有和源地址相同网段的明细路由就能会放行。 2.严格模式(strict) 设备检查流入数据包的源地址,在此设备上不仅要有和源地址相同网段的明细路由,还要求这条路由必须是从这个接口学习而来的才能放行。
uRPF的处理流程: 下面我直接做实验来测试一下,这样会更加直观的体现这种基于源地址欺骗的网络攻击防御技术。
uRPF实验: 准备条件: (1)防火墙放行所有策略 security-policy default action permit (2)AR9能够ping通AR10 (3)AR10开启debug命令 debugging ip icmp terminal debugging 开始测试: 实验一、FW没有配置uRPF技术,AR9使用虚假源地址5.5.5.5 ping AR10的地址。 AR10显示的debug信息,如下 结果: AR9虽然没有ping通AR10,但是AR10收到了来自虚假源的数据包,这是因为没有回到5.5.5.5这个虚假地址的路由所以它是不通的。既然AR10能够收到虚假源的ping包,所以这样给SYN Flood等虚假源攻击留下了可乘之机。
实验二:FW入接口配置uRPF技术,松散模式,AR9使用虚假的源地址5.5.5.5 pingAR10的地址。 结果: AR9没有ping通AR10,而且AR10上并没有debug的信息,说明虚假源IP已经被FW丢弃。 在uRPF松散模式下,FW只放行路由表中存在的ip网段地址,5.5.5.5这个地址不存在,所有被丢弃。
实验三、FW入接口配置uRPF技术,松散模式,AR9使用存在于FW路由表中的虚假源地址192.168.1.2 ping AR10。 虚假源192.168.1.2存在于FW路由表中 结果: AR9虽然没有ping通AR10,但是AR10收到了来自虚假源192.168.1.2的数据包,因为这个地址是虚假的所以它不通。 在uRPF松散模式下,FW会放行存在于路由表中的IP网段地址,即便它是一个虚假的地址。
实验四、FW入接口配置uRPF技术,严格模式,AR9使用存在于FW路由表中的虚假源地址192.168.1.2 ping AR10。 结果: AR9没有ping通AR10,而且AR10上并没有debug的信息,虽然路由表上有这个虚假源地址的路由,但是虚假源IP还是被FW丢弃。 在uRPF严格模式下,即便路由表上有这个虚假源地址的路由,也要这个虚假源地址是从这个入接口学习到的路由,这样才能够放行。
总结: uRPF技术,是网络设备检查数据包源地址合法性的一种方法。其在路由表中查找该源地址是否与数据包的来源接口相匹配,如果没有匹配表项将丢弃该数据包,从而起到预防IP欺骗,特别是针对虚假IP源地址的拒绝服务(DoS)攻击非常有效。
京公网安备 11010802041100号