定义
GTSM(Generalized TTL Security Mechanism),即通用TTL安全保护机制。GTSM通过检查IP报文头中的TTL值是否在一个预先定义好的范围内,对IP层以上业务进行保护。
目的
网上存在一些“有效报文”攻击,可能通过对一台设备不断发送报文,使设备收到这些发送给本机的报文后,不辨别其“合法性”,直接由转发层面上送控制层面处理,导致设备因为处理这些“合法”报文,系统异常繁忙,CPU占用率高。
在实际应用中,GTSM特性主要用于保护建立在TCP/IP基础上的控制层面(路由协议等)免受CPU利用(CPU-utilization)类型的攻击,如CPU过载(CPU overload)。
原理
使能了GTSM特性和策略的设备会对收到的所有报文进行策略检查。对于没有通过策略的报文丢弃或者上送控制平面,从而达到防止攻击的目的。策略内容包括:
-
发送给本机IP报文的源地址。
-
报文所属的VPN实例。
-
IP报文的协议号(OSPF是89,BGP是6)。
-
TCP/UDP之上协议的协议源端口号、目的端口号。
-
有效TTL范围。
GTSM的实现手段如下:
-
对于直连的协议邻居:将需要发出的单播协议报文的TTL值设定为255。
-
对于多跳的邻居:可以定义一个合理的TTL范围。
GTSM的应用范围是:
-
GTSM对单播报文有效,对组播报文无效。这是因为组播报文本身具有TTL值为255的限制,不需要使用GTSM进行保护。
-
GTSM不支持基于Tunnel的邻居。