URPF是什麼?
URPF:Unicast Reverse Path Forwarding單播反向路徑轉發 ,主要功能是用於防止基於源地址欺騙的網絡攻擊行為。通俗講就是防止偽造的IP包攻擊我們的網絡,在網絡入口去核實IP包的源,如果源不對,則丟包。只有通過URFP檢測的IP包才允許進入。
URPF怎麼檢測IP包的源?
- 是否有到源IP的路由(沒有路由話,這類報文的來源就不明瞭,不允許通過)
- IP包是否是從路由表的下一跳對應的接口接收到的(若存在路由冗餘的情況,則就不一定了)
URPF分嚴格模式(strict)和鬆散模式(loose):
- 嚴格模式:上述兩個條件均滿足的報文才能放行
- 鬆散模式:檢測條件1,若滿足則放行該IP包,對條件2無要求。
需要關注的點:
- 是對IP包進行檢測,配置是在路由入口處-三層接口或者SVI接口進行配置或全局開啟。
- 對於存在路由冗餘的情況,若啟用嚴格模式,會有一部分來回路徑不一致的IP包丟棄。故而此類URPF應設置為鬆散模式。
偽造源地址攻擊
運營商網絡配置URPF 以H3C設備為例:
#POP 全局ip urpf loose 、 接口 ip urpf strict 也即配置了嚴格的按照嚴格的來,其他都鬆散模塊。
ip urpf loose
#
interface Vlan-interface10
ip address 3.3.3.1 255.255.255.0
ip urpf strict
#
典型故障:
拓撲:
排查發現三層POP上收不到核心的DHCP request報文,機頂盒網關設置了urpf嚴格模式。
故障現象:單個網段機頂盒自動獲取不到IP,POP上查看DHCP中繼報文情況,只收到機頂盒發來的DHCP dicover,收不到核心來的DHCP offer。
處理思路:
- 查看DHCP服務器該業務段配置是正常的。
- 核心上針對三層SW互聯接口做流統,查看是否收到了目的IP是中繼的DHCP OFFER報文。
- 一級級查報文在哪裡丟了。
#H3C做流統的配置腳本
acl number 3998
rule 0 permit ip source 30.250.15.210 0 destination 21.136.168.129 0
rule 1 permit ip source 30.250.15.211 0 destination 21.136.168.129 0
#
traffic classifier liutong operator and
if-match acl 3998
#
traffic behavior liutong
accounting packet
#
qos policy liutong
classifier liutong behavior liutong
#
interface GigabitEthernet1/0/45
port link-mode bridge
description TO XGDF1-C13-H3CS5120-01-GE1/0/45
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10 to 100,3998
qos apply policy liutong inbound
port link-aggregation group 10
處理結果:POP設備上被人全局開啟了ip urpf strict,修改為loose後故障修復。(其實一開始就應該考慮是否有人操作過設備啥,因為故障的出現不少情況是有人動過配置引起的)
那麼問題來了:
- 全局開啟ip urpf strict為何會引起這類故障?
最後,大家對網絡相關技術感興趣的可以加關注,我會不定期發表相關內容。
閱讀更多 小挨踢gril 的文章
