概述
对于传统的网络转发设备来说,主要依靠的就是路由表,只要有路由就转发,如果没有就不转发。可以说对于要转发的报文,网络转发设备是无条件的完全信任,这就导致了IP欺骗的问题,这也是诸多内网IP欺骗的来源,列如在一个局域网的内部,可以在某台主机上面使用流量制造工具进行虚假流量的制造,这些流量的目的可能就是对当前网络进行扰乱。
像IP-MAC的绑定也可以防范IP欺骗以及ARP欺骗,IP-MAC绑定技术主要是人为设置的IP-MAC的映射关系,于是在报文转发或者arp记录学习的过程中就会对映射关系进行检查,只有检查通过才会进行转发。但是无论是URPF还是IP-MAC的绑定,毫无疑问都会减少网络设备的转发速度。
基本原理
URPF的基本原理也很简单,总共分为严格模式和松散模式,严格模式是这样的,若一个报文进入网络设备的时候,若在路由表中可以找到目的网络是该报文的源IP网络,而且它的入接口和路由表中的指明的接口是对应的,那么就可以进行转发。松散模式是只要可以找到目的网络是该报文的源IP网络那么就进行转发。
如何防范
为什么这样子就可以防范IP欺骗,首先攻击者在进行虚假流量的制造的时候,可能会使用虚假的源IP地址,如果是不存在的主机IP,那么当这类奴存在的IP到达设置了URPF的网络设备的时候,就会因为没有相应的路由表条目而被丢弃。那么如果攻击者伪冒内网已经存在的主机去进行流量发送,那么毫无疑问也是会被丢弃的。
缺点
现在有一个缺点,假如攻击者控制了内网的一台主机,而且这台主机的网段为192.168.0.0,那么只要攻击者知道这个原理,那么就可以假冒该C类网络的所有主机IP进行虚假流量的发送。如果网段更大一点,比如B类私网地址,那么可以假冒的就更多了。所以说URPF确实可以减少IP欺骗,但是如果知道了原理,想要假冒那还不是分分钟的事情。
967
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
