網絡運維|單播逆向路徑轉發URPF

2020-05-05 18:49 作者：admin

大家好，我是一枚從事IT外包的網絡運維工程師，在網絡中，存在著大量網絡攻擊，相對安全就很重要了，這里跟大家介紹一種安全技術URPF。

定義

URPF（Unicast Reverse Path Forwarding）是單播逆向路徑轉發的簡稱，其主要功能是防止基于源IP地址欺騙的網絡攻擊行為。

目的

拒絕服務DoS（Denial of Service）攻擊是一種阻止連接服務的網絡攻擊。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。
URPF根據數據包的源IP地址在FIB表中查找對應的出接口，并判斷該接口是否與數據包的來源接口相匹配。如果沒有匹配表項則丟棄該數據包，從而預防IP欺騙，特別是針對偽造IP源地址的DoS攻擊非常有效。

受益

· 幫助網絡維護者防御網絡上的IP源攻擊，降低對IP源攻擊的維護成本。
· 用戶能獲得更安全、穩定的網絡環境，不用擔心因IP源攻擊帶來的困擾。

URPF原理描述

介紹URPF的實現原理。

工作模式

在復雜的網絡環境中應用URPF時，會遇到路由不對稱的情況，即對端設備記錄的路由路徑不一樣，此時使能URPF的設備可能丟棄合法報文，造成設備不能正確轉發。
為了解決以上復雜網絡中應用URPF的問題，設備實現了URPF的兩種工作模式：
· 嚴格模式
嚴格模式下，設備不僅要求報文源地址在FIB表中存在相應表項，還要求接口匹配才能通過URPF檢查。
建議在路由對稱的環境下使用URPF嚴格模式，例如兩個網絡邊界設備之間只有一條路徑的話，這時，使用嚴格模式能夠最大限度的保證網絡的安全性。
· 松散模式
松散模式下，設備不檢查接口是否匹配，只要FIB表中存在該報文源地址的路由，報文就可以通過。
建議在不能保證路由對稱的環境下使用URPF的松散模式，例如兩個網絡邊界設備之間如果有多條路徑連接的話，路由的對稱性就不能保證，在這種情況下，URPF的松散模式也可以保證較強的安全性。

工作原理

URPF通過獲取報文的源地址和入接口，在FIB表中查找源地址對應的接口是否與入接口匹配。如果不匹配，則認為源地址是偽裝的，丟棄該報文。通過這種工作方式，URPF能有效地防范網絡中通過修改源地址而進行的惡意攻擊行為。
圖1  URPF原理  如圖1所示，在RouterA上偽造源地址為2.1.1.1的報文向RouterB發起請求，RouterB響應請求時將向真正的“2.1.1.1”即RouterC發送報文。這種非法報文對RouterB和RouterC都造成了攻擊。
如果在RouterB上啟用URPF嚴格檢查，則RouterB在收到源地址為2.1.1.1的報文時，URPF檢查到以此報文源地址對應的接口與收到該報文的接口不匹配，報文會被丟棄。
 
以上文章由北京艾銻無限科技發展有限公司整理