网络安全之uRPF技术

最新推荐文章于 2022-09-08 21:34:00 发布
最新推荐文章于 2022-09-08 21:34:00 发布
阅读量1.8k 收藏 5
点赞数 3
分类专栏: CCNA
原文链接:https://blog.csdn.net/weixin_44251188/article/details/103976414
版权

原文地址:https://blog.csdn.net/weixin_44251188/article/details/103976414

uRPF技术:
单播逆向路径转发(Unicast Reverse Path Forwarding),其主要功能是防止基于源地址欺骗的网络攻击行为。

 

在没有配置uRPF技术时,网络设备不检查数据包的源地址,只关心能不能到达目的地址。由此,产生了虚假源地址欺骗网络攻击行为,例如基于源地址欺骗的DOS攻击和DDOS攻击。

uRPF有两种模式:
1.松散模式(loose)
设备检查流入数据包的源地址,在此设备上只要有和源地址相同网段的明细路由就能会放行。
2.严格模式(strict)
设备检查流入数据包的源地址,在此设备上不仅要有和源地址相同网段的明细路由,还要求这条路由必须是从这个接口学习而来的才能放行。

URPF处理流程

URPF检查有严格(strict)型和松散(loose)型两种。此外,还可以支持ACL与缺省路由的检查。

URPF的处理流程如下:

(1)        如果报文的源地址在路由器的FIB表中存在

l              对于strict型检查,反向查找报文出接口,若其中至少有一个出接口和报文的入接口相匹配,则报文通过检查;否则报文将被拒绝。(反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口)

l              对于loose型检查,报文进行正常的转发。

(2)        如果报文的源地址在路由器的FIB表中不存在,则检查缺省路由及URPF的allow-default-route参数。

l              对于配置了缺省路由,但没有配置参数allow-default-route的情况,不管是strict型检查还是loose型检查,只要报文的源地址在路由器的FIB表中不存在,该报文都将被拒绝;

l              对于配置了缺省路由,同时又配置了参数allow-default-route的情况下,如果是strict型检查,只要缺省路由的出接口与报文的入接口一致,则报文将通过URPF的检查,进行正常的转发;如果缺省路由的出接口和报文的入接口不一致,则报文将拒绝。如果是loose型检查,报文都将通过URPF的检查,进行正常的转发。

(3)        当且仅当报文被拒绝后,才去匹配ACL。如果被ACL允许通过,则报文继续进行正常的转发;如果被ACL拒绝,则报文被丢弃。

 

下面我直接做实验来测试一下,这样会更加直观的体现这种基于源地址欺骗的网络攻击防御技术。

uRPF实验:

 

准备条件:
(1)防火墙放行所有策略
security-policy
default action permit
(2)AR9能够ping通AR10

(3)AR10开启debug命令
debugging ip icmp
terminal debugging

开始测试:
实验一、FW没有配置uRPF技术,AR9使用虚假源地址5.5.5.5 ping AR10的地址。

AR10显示的debug信息,如下

结果:
AR9虽然没有ping通AR10,但是AR10收到了来自虚假源的数据包,这是因为没有回到5.5.5.5这个虚假地址的路由所以它是不通的。既然AR10能够收到虚假源的ping包,所以这样给SYN Flood等虚假源攻击留下了可乘之机。

实验二:FW入接口配置uRPF技术,松散模式,AR9使用虚假的源地址5.5.5.5 pingAR10的地址。


结果:
AR9没有ping通AR10,而且AR10上并没有debug的信息,说明虚假源IP已经被FW丢弃。
在uRPF松散模式下,FW只放行路由表中存在的ip网段地址,5.5.5.5这个地址不存在,所有被丢弃。

实验三、FW入接口配置uRPF技术,松散模式,AR9使用存在于FW路由表中的虚假源地址192.168.1.2 ping AR10。

虚假源192.168.1.2存在于FW路由表中


结果:
AR9虽然没有ping通AR10,但是AR10收到了来自虚假源192.168.1.2的数据包,因为这个地址是虚假的所以它不通。
在uRPF松散模式下,FW会放行存在于路由表中的IP网段地址,即便它是一个虚假的地址。

实验四、FW入接口配置uRPF技术,严格模式,AR9使用存在于FW路由表中的虚假源地址192.168.1.2 ping AR10。


结果:
AR9没有ping通AR10,而且AR10上并没有debug的信息,虽然路由表上有这个虚假源地址的路由,但是虚假源IP还是被FW丢弃。
在uRPF严格模式下,即便路由表上有这个虚假源地址的路由,也要这个虚假源地址是从这个入接口学习到的路由,这样才能够放行。

总结:
uRPF技术,是网络设备检查数据包源地址合法性的一种方法。其在路由表中查找该源地址是否与数据包的来源接口相匹配,如果没有匹配表项将丢弃该数据包,从而起到预防IP欺骗,特别是针对虚假IP源地址的拒绝服务(DoS)攻击非常有效。
————————————————
版权声明:本文为CSDN博主「可乐的热爱」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_44251188/article/details/103976414

不想加班的虎砸
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
URPF技术介绍
06-24
URPF(Unicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于 防止基于源地址欺骗的网络攻击行为。
sw接口是什么意思啊_URPF是什么?
weixin_39859052的博客
12-16 628
URPF是什么?URPF:Unicast Reverse Path Forwarding单播反向路径转发,主要功能是用于防止基于源地址欺骗的网络攻击行为。通俗讲就是防止伪造的IP包攻击我们的网络,在网络入口去核实IP包的源,如果源不对,则丢包。只有通过URFP检测的IP包才允许进入。URPF怎么检测IP包的源?是否有到源IP的路由(没有路由话,这类报文的来源就不明了,不允许通过)IP包是否是从路由...
Security技术
qq_43704340的博客
10-26 458
数通安全:不是针对非法用户,针对合法用户的非法操作 接入层安全,针对数据包 网络层的安全加密协议 IPv4环境中,IPsec协议 单包攻击防范: 漏洞扫描攻击:利用ICMP报文可以应答,攻击者会向网络中可能存在的IP地址发送请求消息,通过接收到的应答报文来确定网络中这些主机开启了哪些应用,使用了哪些IP地址,为后续攻击做准备 畸形报文攻击 sumful攻击:攻击者发送源IP为目标服务器、目的地址、子网广播地址,主机收到之后,全部向服务器回包,卡死服务器 死亡之ping:缓存1000字节,发1001字节 单包
玩转华为ENSP模拟器系列 | 配置URPF示例
COCO_gsta的博客
05-12 802
素材来源:华为路由器配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验 目标 应用基于流的URPF,防止某些类型的报文进行源地址欺骗攻击。 组网需求 本例在ISP入口点启动URPF功能。如图1所示,客户路由器DeviceA与ISP路由器DeviceB直连,在DeviceB的接口GE1/0/0上启动URPF,要求严格检查。源地址在ACL 2010中的报文在任何情况下都能通过检
S交换机转发平面安全—三层网络安全
weixin_33774615的博客
11-26 615
在三层网络中,指导数据转发的表项是路由表和ARP表。l 路由表是交换机之间通过交互路由协议报文生成的,交互过程没有用户参与,所以***者很难对其进行***,路由表一般也就不存在***。l ARP表是用户和交换机之间通过交互协议报文生成的,***者很容易对其进行***。因此三层网络安全的核心就是保证ARP表安全。除此之外,IP地址作为三层网络最基本的存在,非法用户仿冒IP地...
CCIE知识点总结——安全及高级特性
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
11-22 948
1、uRPF(Unicast Reverse Path Forwarding 单播的反向路径转发) (1)uRPF概述  uRPF功能是让路由器具备防IP欺骗或IP伪造的能力。uRPF所认为的IP伪造,是指某个IP的数据包的并不应该从某个接口进来,却从某个接口进来了,那么这样的数据包便认为是具有IP欺骗性质的,默认是被丢弃的。  (2)uRPF检测  当路由器从某个开启了uRPF的接口上收到数据包...
H3C URPF
奇怪的老司机
03-31 550
URPF概述URPF(Unicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为。源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。源地址...
URPF原理
weixin_64158017的博客
09-08 1167
URPF原理
Debug系统调试
weixin_49765221的博客
01-20 2666
网络设备调试debug
uRPF Unicast Reverse Path Forwarding
openlab网工之路
03-06 690
uRPF Unicast Reverse Path Forwarding 单播的反向路径转发 uRPF功能是让路由器具备防IP欺骗或IP伪造的能力。 uRPF所认为的IP伪造,是指某个IP的数据包的并不应该从某个接口进来,却从某个接口进来了,那么这样的数据包便认为是具有IP欺骗性质的,默认是被丢弃的 。 当路由器从某个开启了uRPF的接口上收到数据包之后,都会检测该数据包的源IP地址,同时与路由...
数通技术安全篇—URPF详解.doc
08-25
数通技术安全篇—URPF详解.doc
urpf原理与实现
06-08
urpf原理与配置,包括严格urpf,松散urpf和忽略缺省路由的urpf
URPF技术白皮书.docx
06-05
本文介绍了URPF的应用背景,URPF主要用于防止基于源地址欺骗的网络攻击行为,例如基于源地址欺骗的DoS攻击和DDoS攻击;随后介绍了URPF技术原理以及URPF的几种灵活定制方案(NULL0口,缺省路由,ACL等);最后简要...
IPv4与IPv6业务-URPF技术介绍-D.docx
10-24
IPv4与IPv6业务-URPF技术介绍-D.docx
ROS基于C++动力学约束的路径规划源码+ppt文件.zip
04-30
ROS基于C++动力学约束的路径规划源码+ppt文件.zip
ASP.NET BS结构的城市酒店入住信息管理系统的设计
04-30
ASP.NET B/S结构城市酒店入住信息管理系统的设计与实现简介 一、项目背景与意义 随着城市旅游的蓬勃发展,酒店业作为旅游产业链中的重要一环,面临着日益激烈的市场竞争。为了提升酒店的服务质量和管理效率,信息化管理成为酒店业不可或缺的一部分。因此,我们设计并实现了一个基于ASP.NET的B/S(浏览器/服务器)结构城市酒店入住信息管理系统。该系统旨在帮助酒店实现入住信息的快速录入、查询、修改和统计,提升酒店的运营效率和客户体验。 二、系统主要功能 用户管理:系统支持管理员、前台服务员、客户等不同角色的注册、登录和权限管理。通过角色权限的设置,确保系统数据的安全性和完整性。 房间管理:管理员可以添加、编辑、删除房间信息,包括房间类型、价格、状态等。前台服务员可以实时查看房间状态,为客人办理入住和退房手续。 入住信息管理:前台服务员可以录入客人的入住信息,包括姓名、证件号码、联系方式、入住时间和离店时间等。系统支持客人信息的快速查询和修改,方便前台服务员处理各种客户需求。 费用管理:系统根据客人的入住时间和房间价格自动计算费用,并支持多种支付方式。管理员可以设置折扣、优惠券等促销
基于streamlit的YOLOv8可视化交互界面
最新发布
04-30
基于streamlit的YOLOv8可视化交互界面
liba52-0-0.7.5+svn613-lp152.3.2.aarch64.rpm
04-30
liba52-0-0.7.5+svn613-lp152.3.2.aarch64
解释下通讯领域中的urpf功能
06-10
URPF(Unicast Reverse Path Forwarding)是一种用于防止IP地址伪造的技术,它可以在路由器上对数据包进行过滤,防止来自非法源IP地址的数据包进入网络。URPF的基本原理是,路由器在转发数据包时,检查数据包的源IP地址是否合法,如果不合法则将其丢弃。 URPF功能在通讯领域中主要用于防范DDoS攻击、IP欺骗攻击等网络安全威胁。URPF的实现方法有两种: 1. 松散模式:路由器只检查数据包的源IP地址是否属于其路由表中的某个接口,如果是则转发,否则则丢弃。 2. 严格模式:路由器不仅检查数据包的源IP地址是否属于其路由表中的某个接口,还检查数据包的反向路径是否和路由表一致。如果不一致则丢弃数据包。 URPF功能可以有效地防止IP地址伪造,提高网络的安全性。但是,它也可能会对正常的网络流量造成影响,因此需要根据具体情况进行配置和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值