10-安全配置指导

10-uRPF配置

1 uRPF

1.1 uRPF简介

uRPF（unicast Reverse Path Forwarding，单播反向路径转发）是一种单播逆向路由查找技术，用来防范基于源地址欺骗的攻击手段，例如基于源地址欺骗的DoS（Denial of Service，拒绝服务）攻击和DDoS（Distributed Denial of Service，分布式拒绝服务）攻击。

1.1.1 uRPF应用场景

对于使用基于IPv4地址验证的应用来说，基于源地址欺骗的攻击手段可能导致未被授权用户以他人，甚至是管理员的身份获得访问系统的权限。因此即使响应报文没有发送给攻击者或其它主机，此攻击方法也可能会造成对被攻击对象的破坏。

图1-1 源地址欺骗攻击示意图

如图1-1所示，攻击者在Device A上伪造并向Device B发送大量源地址为2.2.2.1的报文，Device B响应这些报文并向真正的“2.2.2.1”（Device C）回复报文。因此这种非法报文对Device B和Device C都造成了攻击。如果此时网络管理员错误地切断了Device C的连接，可能会导致网络业务中断甚至更严重的后果。

攻击者也可以同时伪造不同源地址的攻击报文或者同时攻击多个服务器，从而造成网络阻塞甚至网络瘫痪。

uRPF可以有效防范上述攻击。一般情况下，设备在收到报文后会根据报文的目的地址对报文进行转发或丢弃。而uRPF可以在转发表中查找报文源地址对应的接口是否与报文的入接口相匹配，如果不匹配则认为源地址是伪装的并丢弃该报文，从而有效地防范网络中基于源地址欺骗的恶意攻击行为的发生。

1.1.2 uRPF检查方式

uRPF检查有严格（strict）型和松散（loose）型两种。

1. 严格型uRPF检查

不仅检查报文的源地址是否在转发表中存在，而且检查报文的入接口与转发表是否匹配。

在一些特殊情况下（如非对称路由，即设备上行流量的入接口和下行流量的出接口不相同），严格型uRPF检查会错误地丢弃非攻击报文。

一般将严格型uRPF检查布置在ISP的用户端和ISP端之间。

2. 松散型uRPF检查

仅检查报文的源地址是否在转发表中存在，而不再检查报文的入接口与转发表是否匹配。

松散型uRPF检查可以避免错误的拦截合法用户的报文，但是也容易忽略一些攻击报文。

一般将松散型uRPF检查布置在ISP-ISP端。另外，如果用户无法保证路由对称，可以使用松散型uRPF检查。

1.1.3 uRPF 与缺省路由配合使用

当设备上配置了缺省路由后，会导致uRPF根据转发表检查源地址时，所有源地址都能查到下一跳。针对这种情况，支持用户配置uRPF是否允许匹配缺省路由。如果允许匹配缺省路由（配置allow-default-route），则当uRPF查询转发表得到的结果是缺省路由时，认为查到了匹配的表项；如果不允许匹配缺省路由，则当uRPF查询转发表得到的结果是缺省路由时，认为没有查到匹配的表项。

缺省情况下，如果uRPF查询转发表得到的结果是缺省路由，则按没有查到表项处理，丢弃报文。

运营商网络边缘位置一般不会有缺省路由指向客户侧设备，所以一般不需要配置allow-default-route。如果在客户侧边缘设备接口上面启用uRPF，这时往往会有缺省路由指向运营商，此时需要配置allow-default-route。

1.1.4 uRPF处理流程

uRPF的处理流程如图1-2所示。

图1-2 uRPF处理流程图

(1) 检查地址合法性：

· 对于目的地址是组播地址的报文，直接放行。

· 对于源地址是全零地址的报文，如果目的地址是广播，则放行（源地址为0.0.0.0，目的地址为255.255.255.255的报文，可能是DHCP或者BOOTP报文，不做丢弃处理）；如果目的地址不是广播，则报文被丢弃。

· 对于不是上述情况的报文，则进入步骤（2）。

(2) 检查报文的源地址在转发表中是否存在匹配的单播路由：如果在转发表中查找失败（源地址是非单播地址则会匹配到非单播路由），则报文被丢弃，否则进入步骤（3）；

(3) 如果转发表中匹配的是上送本机路由，即查到InLoop接口，则检查报文入接口是否是InLoop接口：如果是，则直接放行，否则报文被丢弃；如果转发表中匹配的不是上送本机路由则继续步骤(4)；

(4) 如果转发表中匹配的是缺省路由，则检查用户是否配置了允许匹配缺省路由（参数allow-default-route）：如果没有配置，则报文被丢弃，否则进入步骤（5）；如果转发表中匹配的不是缺省路由，则进入步骤（5）；

(5) 检查报文源地址与入接口是否匹配。反向查找报文出接口（反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口）或者缺省路由的出接口：如果其中至少有一个出接口和报文的入接口相匹配，则报文检查通过；如果不匹配，则查看是否是松散型检查，如果是，则报文检查通过；否则说明是严格型检查，则报文被丢弃。

1.1.5 uRPF典型组网应用

图1-3 uRPF典型组网应用

通常在ISP上配置uRPF，在ISP与用户端，配置严格型uRPF检查，在ISP与ISP端，配置松散型uRPF检查。

1.2 uRPF配置限制和指导

配置松散型uRPF检查时不建议配置allow-default-route参数，否则可能导致防攻击能力失效。

1.3 接口上开启uRPF

(1) 进入系统视图。

system-view

(2) 进入接口视图。

interface interface-type interface-number

(3) 开启uRPF功能。

ip urpf { loose [ allow-default-route ] | strict [ allow-default-route ] }

缺省情况下，uRPF功能处于关闭状态。

1.4 uRPF显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置uRPF后的运行情况，通过查看显示信息验证配置的效果。

表1-1 uRPF显示和维护

配置步骤	命令
显示uRPF的配置应用情况	display ip urpf [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

1.5 uRPF典型配置举例

1.5.1 接口上开启uRPF配置举例

1. 组网需求

· 客户路由器Device A与ISP路由器Device B直连，在Device B的接口GigabitEthernet1/2/0/1上配置严格型uRPF检查。

· 在Device A的接口GigabitEthernet1/2/0/1上配置严格型uRPF检查，同时允许匹配缺省路由。

2. 组网图

图1-4 uRPF接口配置举例组网图

‌

3. 配置步骤

(1) 配置Device B

# 配置接口GigabitEthernet1/2/0/1的IP地址。

[DeviceB] interface gigabitethernet1/2/0/1

[DeviceB-GigabitEthernet1/2/0/1] ip address 1.1.1.2 255.255.255.0

# 在接口GigabitEthernet1/2/0/1上配置严格型uRPF检查。

[DeviceB-GigabitEthernet1/2/0/1] ip urpf strict

(2) 配置Device A

# 配置接口GigabitEthernet1/2/0/1。

<DeviceA> system-view

[DeviceA] interface gigabitethernet1/2/0/1

[DeviceA-GigabitEthernet1/2/0/1] ip address 1.1.1.1 255.255.255.0

# 在接口GigabitEthernet1/2/0/1上配置严格型uRPF检查，同时允许匹配缺省路由。

[DeviceA-GigabitEthernet1/2/0/1] ip urpf strict allow-default-route

2 IPv6 uRPF

2.1 IPv6 uRPF简介

IPv6 uRPF（unicast Reverse Path Forwarding，单播反向路径转发）是一种单播逆向路由查找技术，用来防范基于源地址欺骗的攻击手段，例如基于源地址欺骗的DoS（Denial of Service，拒绝服务）攻击和DDoS（Distributed Denial of Service，分布式拒绝服务）攻击。

2.1.1 IPv6 uRPF应用场景

对于使用基于IPv6地址验证的应用来说，基于源地址欺骗的攻击手段可能导致未被授权用户以他人，甚至是管理员的身份获得访问系统的权限。因此即使响应报文没有发送给攻击者或其它主机，此攻击方法也可能会造成对被攻击对象的破坏。

图2-1 源地址欺骗攻击示意图

如图2-1所示，攻击者在Device A上伪造并向Device B发送大量源地址为2000::1的报文，Device B响应这些报文并向真正的“2000::1”（Device C）回复报文。因此这种非法报文对Device B和Device C都造成了攻击。如果此时网络管理员错误地切断了Device C的连接，可能会导致网络业务中断甚至更严重的后果。

攻击者也可以同时伪造不同源地址的攻击报文或者同时攻击多个服务器，从而造成网络阻塞甚至网络瘫痪。

IPv6 uRPF可以有效防范上述攻击。一般情况下，设备在收到报文后会根据报文的目的地址对报文进行转发或丢弃。而IPv6 uRPF可以在转发表中查找报文源地址对应的接口是否与报文的入接口相匹配，如果不匹配则认为源地址是伪装的并丢弃该报文，从而有效地防范网络中基于源地址欺骗的恶意攻击行为的发生。

2.1.2 IPv6 uRPF检查方式

IPv6 uRPF检查有严格（strict）型和松散（loose）型两种。

1. 严格型IPv6 uRPF检查

不仅检查报文的源地址是否在IPv6转发表中存在，而且检查报文的入接口与IPv6转发表是否匹配。

在一些特殊情况下（如非对称路由，即设备上行流量的入接口和下行流量的出接口不相同），严格型IPv6 uRPF检查会错误地丢弃非攻击报文。

一般将严格型IPv6 uRPF检查布置在ISP的用户端和ISP端之间。

2. 松散型IPv6 uRPF检查

仅检查报文的源地址是否在IPv6转发表中存在，而不再检查报文的入接口与IPv6转发表是否匹配。

松散型IPv6 uRPF检查可以避免错误的拦截合法用户的报文，但是也容易忽略一些攻击报文。

一般将松散型IPv6 uRPF检查布置在ISP-ISP端。另外，如果用户无法保证路由对称，可以使用松散型IPv6 uRPF检查。

2.1.3 IPv6 uRPF与缺省路由配合使用

当设备上配置了缺省路由后，会导致IPv6 uRPF根据IPv6转发表检查源地址时，所有源地址都能查到下一跳。针对这种情况，支持用户配置IPv6 uRPF是否允许匹配缺省路由。如果允许匹配缺省路由（配置allow-default-route），则当IPv6 uRPF查询IPv6转发表得到的结果是缺省路由时，认为查到了匹配的表项；如果不允许匹配缺省路由，则当IPv6 uRPF查询IPv6转发表得到的结果是缺省路由时，认为没有查到匹配的表项。

缺省情况下，如果IPv6 uRPF查询IPv6转发表得到的结果是缺省路由，则按没有查到表项处理，丢弃报文。

运营商网络边缘位置一般不会有缺省路由指向客户侧设备，所以一般不需要配置allow-default-route。如果在客户侧边缘设备接口上面启用IPv6 uRPF，这时往往会有缺省路由指向运营商，此时需要配置allow-default-route。

2.1.4 IPv6 uRPF处理流程

IPv6 uRPF的处理流程如图2-2所示。

图2-2 IPv6 uRPF处理流程图

(1) 检查地址合法性：对于目的地址是组播地址的报文直接放行。否则，进入步骤（2）；

(2) 检查报文的源地址在IPv6转发表中是否存在匹配的单播路由：如果在IPv6转发表中查找失败（源地址是非单播地址则会匹配到非单播路由），则直接丢弃，否则进入步骤（3）；

(3) 如果IPv6转发表中匹配的是上送本机路由，则检查报文入接口是否是InLoop接口：如果是，则直接放行，否则直接丢弃；如果IPv6转发表中匹配的不是上送本机路由则继续步骤（4）；如果源地址是Link-Local地址，倘若这个地址是入接口的地址，并且入接口不是InLoop接口则直接丢弃，否则直接放行；

(4) 检查报文源地址与入接口是否匹配：反向查找报文出接口（反向查找是指查找以该报文源IPv6地址为目的IPv6地址的报文的出接口）或者缺省路由的出接口，如果其中至少有一个出接口和报文的入接口相匹配，则进入步骤（5）；如果不匹配，则查看是否是松散型检查，如果是，则进入步骤（5），否则说明是严格型检查，直接丢弃报文；

(5) 如果IPv6转发表中匹配的是缺省路由，则检查用户是否配置了允许匹配缺省路由（参数allow-default-route），如果没有配置，则直接丢弃，否则处理结束报文正常转发；如果IPv6转发表中匹配的不是缺省路由，则处理结束报文正常转发；

2.1.5 IPv6 uRPF典型组网应用

图2-3 IPv6 uRPF典型组网应用

通常在ISP上配置uRPF，在ISP与用户端，配置严格型IPv6 uRPF检查，在ISP与ISP端，配置松散型IPv6 uRPF检查。

2.2 IPv6 uRPF配置限制和指导

配置松散型IPv6 uRPF检查时不建议配置allow-default-route参数，否则可能导致防攻击能力失效。

2.3 接口上开启IPv6 uRPF

(1) 进入系统视图。

system-view

(2) 进入接口视图。

interface interface-type interface-number

(3) 开启IPv6 uRPF功能。

ipv6 urpf { loose | strict } [ allow-default-route ]

缺省情况下，IPv6 uRPF功能处于关闭状态。

2.4 IPv6 uRPF显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置IPv6 uRPF后的运行情况，通过查看显示信息验证配置的效果。

表2-1 IPv6 uRPF显示和维护

配置步骤	命令
显示IPv6 uRPF的配置应用情况	display ipv6 urpf [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

2.5 IPv6 uRPF典型配置举例