URPF技术白皮书

1、urpfurpf 技术白皮书技术白皮书关键词：urpf、dos 攻击、ddos 攻击摘要：本文介绍了 urpf 的应用背景，urpf 主要用于防止基于源地址欺骗的网络攻击行为，例如基于源地址欺骗的 dos 攻击和 ddos 攻击；随后介绍了 urpf 的技术原理以及 urpf的几种灵活定制方案（null0 口，缺省路由，acl 等）；最后简要介绍了 urpf 的典型组网案例。缩略语清单：缩略语英文全名中文解释urpfunicast reverse path forwarding单播反向路径转发fibforwarding information base转发信息库dosdenial of ser

2、vice拒绝服务ddosdistributed denial of service分布式拒绝服务aclaccess control list访问控制列表icmpinternet control message protocol 因特网控制报文协议目录1 背景2 urpf 应用环境简介2.1 tcp 泛洪2.2 smurf 攻击3 魔高一尺、道高一丈urpf 的发展3.1 dos 攻击的发展3.2 urpf 的水土不服严格 urpf 的局限3.3 退一步海阔天空松散 urpf 的改进4 null0 口urpf 的烽火台5 缺省路由和 acl，灵活定制你的 urpf5.1 缺省路由5.2 acl

3、规则6 urpf 处理流程7 典型组网应用1 1背景背景单播反向路径转发（unicast reverse path forwarding），是网络设备检查数据包源地址合法性的一种方法。 其在 fib 表中查找该源地址是否与数据包的来源接口相匹配，如果没有匹配表项将丢弃该数据包，从而起到预防 ip 欺骗，特别是针对伪造 ip 源地址的拒绝服务（dos）攻击非常有效。2 2urpfurpf 应用环境简介应用环境简介dos（denial of service）攻击是一种阻止连接服务的网络攻击。dos 的攻击方式有很多种，最基本的 dos 攻击就是利用合理的服务请求来占用过多的服务资源， 从而使合法用

4、户无法得到服务的响应。2.12.1tcptcp 泛洪泛洪图 1tcp 泛洪攻击案例攻击的原理是向目标设备发送大量伪装连接的请求包， 这些请求包的发起地址设置为目标不可到达的地址， 这样对被攻击对象的第二次握手没有主机响应，造成被攻击对象主机内部存在大量的半开连接，以至于新的正常连接不能进入从而造成服务的停顿甚至死机。2.22.2smurfsmurf 攻击攻击smurf攻击是一种源地址欺骗攻击， 攻击者假冒被攻击对象的ip地址向设备发送大量的广播icmpecho 请求报文。因为每个包的目标 ip 地址都是网络的广播地址，所以设备会把 icmp echo 请求报文以广播形式发给网络上的所有主机。如

5、果有大量主机，那么这种广播就会产生大量的 icmpecho 请求及响应流量。而且在发送 icmp echo 请求数据包时，使用了假冒的源 ip 地址，所以攻击造成的 icmp 流量不仅会阻塞网络，而且会产生攻击流量。图 2smurf 攻击案例图如图 2，attacker 仿冒 router b 的地址对 router c 进行攻击，如果 router c 上的网络管理员检测到攻击，将会配置防火墙规则，将所有来自 router b 的报文过滤，导致无辜的 router b无法访问 router c。此时，被攻击系统的管理员反而成为黑客的帮凶，使一些合法用户失去合法访问的权限。从上面两个例子可以看

6、出， 黑客利用源地址欺骗， 一是可以隐匿身份， 让人难以发现攻击的源头，二是通过被攻击目标，发起对其他合法用户的攻击，造成一箭双雕的效果。而这些攻击，仅仅依靠被攻击系统加强防范是无法预防的。必须通过所有接入端设备，对用户的源地址进行反查，并依据其合法性对报文进行过滤，这样才能从源头抑制攻击，保护合法用户享受服务的权利。3 3魔高一尺、道高一丈魔高一尺、道高一丈urpfurpf 的发展的发展3.13.1dosdos 攻击的发展攻击的发展从上世纪 90 年代到现在，dos 技术主要经历如下几个阶段：(1)技术发展时期。90 年代，internet 开始普及，很多新的 dos 技术涌现。90 年代末

7、发明和研究过许多新的技术，其中大多数技术至今仍然有效，且应用频度相当高。(2)从实验室向“产业化”转换。2000 年前后，ddos（distributed denial of service）出现，yahoo 和 amazon 等多个著名网站受到攻击并瘫痪。(3)“商业时代”。最近一两年，宽带的发展使得接入带宽增加，个人电脑性能大幅提高，使 ddos 攻击越来越频繁，可以说随处可见，而且也出现了更专业的“ddos 攻击经济”，ddos攻击已经成为网络黑客们敲诈勒索的工具。3.23.2urpfurpf 的水土不服严格的水土不服严格 urpfurpf 的局限的局限从 dos 攻击发展为 ddos

8、攻击，黑客从一台host，单机作战改为了集团作战，操纵成百上千的傀儡机，发起分布式攻击。在 2000 年 yahoo 等知名网站被攻击后，美国的网络安全研究机构提出了骨干运营商联手来解决 ddos 攻击的方案。其方法就是每家运营商在自己的出口设备上进行源ip 地址的验证，如果某个数据包源 ip 地址对应的路由与入接口不一致，就丢掉这个包。这种方法可以阻止黑客利用伪造的源 ip 地址来进行 ddos 攻击。而随着防范措施从在isp的用户端提升到isp-isp 端布置urpf技术， 网络的复杂性也相应增加。在不对称路由存在的情况下，urpf 会错误的丢弃非攻击报文。图 3非对称路由图动态路由协议学

9、到的路由都是对称的，为什么会有不对称路由呢？其实 urpf 不是根据路由表，而是根据 fib（forwarding information base）表来检查报文合法性的。fib 表是路由表中最优表项的精简，仅仅挑选路由表中的最优路径，因此， 两台设备会产生不对称的报文转发路径。如图 3， 当 router a 上记录的到 router b 的路径为 1， router b 上记录的到 router a 的路径为 2，如果在 router a 上配置了 urpf，则会将 router b 从路径 2 到来的报文丢弃。3.33.3退一步海阔天空松散退一步海阔天空松散 urpfurpf 的改进的改

10、进为了在 isp-isp 端应用 urpf，以防范 ddos 攻击，urpf 从原有的“严格”模式，发展为“松散”模式， 松散模式仅检查报文的源地址是否在 fib 表中存在， 而不再检查报文的入接口与 fib 表是否匹配。这种更为“友好开放”的算法，使得部署在isp-isp 端的 urpf 既可以有效地阻止 ddos攻击，又可以避免错误的拦截合法用户的报文。4 4null0null0 口口urpfurpf 的烽火台的烽火台ddos 攻击发起点比较分散，网络管理员发现后，虽然可以在自己管辖的设备上配置规则，对于发起攻击设备的报文进行抑制，但是攻击报文还可能从其他路径到达其他目标设备，针对这种情况

11、，手工在所有设备上配置规则用以抑制攻击是不现实的。而 urpf 可以结合 null0 口与 bgp 协议，向全网通告非法地址，网络中其他设备自动更新非法报文的下一跳，起到在整个网络中及时抑制攻击报文的作用。null0 口是网络设备的一个逻辑口，所有发送到该接口的报文都被丢弃。当网络管理员发现攻击者的源地址， 可以通过配置静态路由到 null0 口， 并且结合 bgp 路由协议迅速扩散到网络中的所有路由器。收到信息的路由器学习了这条路由后，更新 fib 表。当攻击报文到达时，urpf 查询fib 后，发现源地址对应出接口为 null0，立即将非法报文丢弃。5 5缺省路由和缺省路由和 aclacl

12、，灵活定制你的，灵活定制你的 urpfurpf5.15.1缺省路由缺省路由当设备上配置了缺省路由后，会导致 urpf 根据 fib 表检查源地址时，所有源地址都能查到下一跳。针对这种情况，h3c 的 comware 平台支持用户配置 urpf 是否允许引入缺省路由。默认情况下，如果 urpf 查询 fib 得到结果是缺省路由，则按没有查到表项处理，丢弃报文。5.25.2aclacl 规则规则通过 acl 规则的引入，urpf 给用户提供了一种更加灵活的定制方案。当网络管理员确认具有某一些特征的报文是合法报文，则可以通过配置 acl 规则，在源路由不存在（或者源路由是缺省路由，但是 urpf 没

13、有使能缺省路由）的情况下，不做丢弃处理，按正常报文进行转发。6 6urpfurpf 处理流程处理流程图 4urpf 流程图(1)首先检查源地址合法性：对于广播地址，直接予以丢弃。0.0.0.0，目的地址为对于全零地址，如果目的地址不是广播，则丢弃。（源地址为255.255.255.255 的报文，可能是 dhcp 或者 bootp 报文。）(2)然后检查报文源地址是否匹配 fib 表，如果在 fib 表中查找失败，则进入步骤 5（acl 检查），否则进入步骤 3；(3)如果 fib 表中匹配的是缺省路由， 则检查用户是否配置了允许缺省路由， 如果没有配置，则进入步骤 5（acl 检查），否则进入步骤 4；如果 fib 表中匹配的不是缺省路由，进入步骤 4；(4)检查报文入接口与 fib 查询结果是否相符(对于等价路由，只要一条匹配就表示相符)，如果相符，则通过检查；如果不符，则查看是否是松散 urpf，如果是，则通过，否则说明是严格 urpf，进入步骤 5（acl 检查）；(5)acl 检查流程，检查用户是否配置了 acl 规则，如果报文符合 acl 规则