URPF技术白皮书
URPF技術白皮書
摘 要:本文介紹了URPF的應用背景,URPF主要用于防止基于源地址欺騙的網絡攻擊行為,例如基于源地址欺騙的DoS攻擊和DDoS攻擊;隨后介紹了URPF的技術原理以及URPF的幾種靈活定制方案(NULL0口,缺省路由,ACL等);最后簡要介紹了URPF的典型組網案例。
縮略語清單:
縮略語
英文全名
中文解釋
URPF
Unicast Reverse Path Forwarding
單播反向路徑轉發
FIB
Forwarding Information Base
轉發信息庫
DoS
Denial of Service
拒絕服務
DDoS
Distributed Denial of Service
分布式拒絕服務
ACL
Access Control List
訪問控制列表
ICMP
Internet Control Message Protocol
因特網控制報文協議
1 背景
單播反向路徑轉發(Unicast Reverse Path Forwarding),是網絡設備檢查數據包源地址合法性的一種方法。其在FIB表中查找該源地址是否與數據包的來源接口相匹配,如果沒有匹配表項將丟棄該數據包,從而起到預防IP欺騙,特別是針對偽造IP源地址的拒絕服務(DoS)攻擊非常有效。
2 URPF應用環境簡介
DoS(Denial of Service)攻擊是一種阻止連接服務的網絡攻擊。DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。
2.1 TCP泛洪
圖1 TCP泛洪攻擊案例
攻擊的原理是向目標設備發送大量偽裝連接的請求包,這些請求包的發起地址設置為目標不可到達的地址,這樣對被攻擊對象的第二次握手沒有主機響應,造成被攻擊對象主機內部存在大量的半開連接,以至于新的正常連接不能進入從而造成服務的停頓甚至死機。
2.2 SMURF攻擊
SMURF攻擊是一種源地址欺騙攻擊,攻擊者假冒被攻擊對象的IP地址向設備發送大量的廣播ICMP echo請求報文。因為每個包的目標IP地址都是網絡的廣播地址,所以設備會把ICMP echo請求報文以廣播形式發給網絡上的所有主機。如果有大量主機,那么這種廣播就會產生大量的ICMP echo請求及響應流量。而且在發送ICMP echo請求數據包時,使用了假冒的源IP地址,所以攻擊造成的ICMP流量不僅會阻塞網絡,而且會產生攻擊流量。
圖2 SMURF攻擊案例圖
如圖2,Attacker仿冒Router B的地址對Router C進行攻擊,如果Router C上的網絡管理員檢測到攻擊,將會配置防火墻規則,將所有來自Router B的報文過濾,導致無辜的Router B無法訪問Router C。此時,被攻擊系統的管理員反而成為黑客的幫兇,使一些合法用戶失去合法訪問的權限。
從 上面兩個例子可以看出,黑客利用源地址欺騙,一是可以隱匿身份,讓人難以發現攻擊的源頭,二是通過被攻擊目標,發起對其他合法用戶的攻擊,造成一箭雙雕的 效果。而這些攻擊,僅僅依靠被攻擊系統加強防范是無法預防的。必須通過所有接入端設備,對用戶的源地址進行反查,并依據其合法性對報文進行過濾,這樣才能 從源頭抑制攻擊,保護合法用戶享受服務的權利。
3 魔高一尺、道高一丈——URPF的發展3.1 DoS攻擊的發展
從上世紀90年代到現在,DoS技術主要經歷如下幾個階段:
(1) 技術發展時期。90年代,Internet開始普及,很多新的DoS技術涌現。90年代末發明和研究過許多新的技術,其中大多數技術至今仍然有效,且應用頻度相當高。
(2) 從實驗室向“產業化”轉換。2000年前后,DDoS(Distributed Denial of Service)出現,Yahoo和Amazon等多個著名網站受到攻擊并癱瘓。
(3) “商業時代”。最近一兩年,寬帶的發展使得接入帶寬增加,個人電腦性能大幅提高,使DDoS攻擊越來越頻繁,可以說隨處可見,而且也出現了更專業的“DDoS攻擊經濟”,DDoS攻擊已經成為網絡黑客們敲詐勒索的工具。
3.2 URPF的水土不服——嚴格URPF的局限
從Dos攻擊發展為DDoS攻擊,黑客從一臺Host,單機作戰改為了集團作戰,操縱成百上千的傀儡機,發起分布式攻擊。在2000年yahoo等知名網站被攻擊后,美國的網絡安全研究機構提出了骨干運營商聯手來解決DDoS攻擊的方案。其方法就是每家運營商在自己的出口設備上進行源IP地址的驗證,如果某個數據包源IP地址對應的路由與入接口不一致,就丟掉這個包。這種方法可以阻止黑客利用偽造的源IP地址來進行DDoS攻擊。
而隨著防范措施從在ISP的用戶端提升到ISP-ISP端布置URPF技術,網絡的復雜性也相應增加。在不對稱路由存在的情況下,URPF會錯誤的丟棄非攻擊報文。
圖3 非對稱路由圖
動態路由協議學到的路由都是對稱的,為什么會有不對稱路由呢?其實URPF不是根據路由表,而是根據FIB(Forwarding Information Base)表來檢查報文合法性的。FIB表是路由表中最優表項的精簡,僅僅挑選路由表中的最優路徑,因此,兩臺設備會產生不對稱的報文轉發路徑。如圖3,當Router A上記錄的到Router B的路徑為1,Router B上記錄的到Router A的路徑為2,如果在Router A上配置了URPF,則會將Router B從路徑2到來的報文丟棄。
3.3 退一步海闊天空——松散URPF的改進
為了在ISP-ISP端應用URPF,以防范DDoS攻擊,URPF從原有的“嚴格”模式,發展為“松散”模式,松散模式僅檢查報文的源地址是否在FIB表中存在,而不再檢查報文的入接口與FIB表是否匹配。這種更為“友好開放”的算法,使得部署在ISP-ISP端的URPF既可以有效地阻止DDoS攻擊,又可以避免錯誤的攔截合法用戶的報文。
4 NULL0口——URPF的烽火臺
DDoS攻擊發起點比較分散,網絡管理員發現后,雖然可以在自己管轄的設備上配置規則,對于發起攻擊設備的報文進行抑制,但是攻擊報文還可能從其他路徑到達其他目標設備,針對這種情況,手工在所有設備上配置規則用以抑制攻擊是不現實的。而URPF可以結合NULL0口與BGP協議,向全網通告非法地址,網絡中其他設備自動更新非法報文的下一跳,起到在整個網絡中及時抑制攻擊報文的作用。
NULL0口是網絡設備的一個邏輯口,所有發送到該接口的報文都被丟棄。當網絡管理員發現攻擊者的源地址,可以通過配置靜態路由到NULL0口,并且結合BGP路由協議迅速擴散到網絡中的所有路由器。收到信息的路由器學習了這條路由后,更新FIB表。當攻擊報文到達時,URPF查詢FIB后,發現源地址對應出接口為NULL0,立即將非法報文丟棄。
5 缺省路由和ACL,靈活定制你的URPF5.1 缺省路由
當設備上配置了缺省路由后,會導致URPF根據FIB表檢查源地址時,所有源地址都能查到下一跳。針對這種情況,H3C的Comware平臺支持用戶配置URPF是否允許引入缺省路由。默認情況下,如果URPF查詢FIB得到結果是缺省路由,則按沒有查到表項處理,丟棄報文。
5.2 ACL規則
通過ACL規則的引入,URPF給用戶提供了一種更加靈活的定制方案。當網絡管理員確認具有某一些特征的報文是合法報文,則可以通過配置ACL規則,在源路由不存在(或者源路由是缺省路由,但是URPF沒有使能缺省路由)的情況下,不做丟棄處理,按正常報文進行轉發。
6 URPF處理流程
圖4 URPF流程圖
(1) 首先檢查源地址合法性:
l 對于廣播地址,直接予以丟棄。
l 對于全零地址,如果目的地址不是廣播,則丟棄。(源地址為0.0.0.0,目的地址為255.255.255.255的報文,可能是DHCP或者BOOTP報文。)
(2) 然后檢查報文源地址是否匹配FIB表,如果在FIB表中查找失敗,則進入步驟5(ACL檢查),否則進入步驟3;
(3) 如果FIB表中匹配的是缺省路由,則檢查用戶是否配置了允許缺省路由,如果沒有配置,則進入步驟5(ACL檢查),否則進入步驟4;如果FIB表中匹配的不是缺省路由,進入步驟4;
(4) 檢查報文入接口與FIB查詢結果是否相符(對于等價路由,只要一條匹配就表示相符),如果相符,則通過檢查;如果不符,則查看是否是松散URPF,如果是,則通過,否則說明是嚴格URPF,進入步驟5(ACL檢查);
(5) ACL檢查流程,檢查用戶是否配置了ACL規則,如果報文符合ACL規則,則通過檢查,否則丟棄。
7 典型組網應用
圖5 URPF組網圖
在ISP與用戶端,配置嚴格URPF,在ISP與ISP端,配置松散URPF。如果有特殊用戶,或者具有一定特征,需要特殊處理的報文,可以配置ACL規則。如果已經發現了某個源地址的攻擊報文,配置這個地址的下一跳為一個事先約定的特殊地址(每個ISP上,此特殊地址配置的出接口為NULL0口),并利用BGP協議發布到鄰居網絡。
總結
- 上一篇: 段寄存器和8种地址寻址方式
- 下一篇: 怎么创建具有真实纹理的CG场景岩石?