URPF技术白皮书URPF技术白皮书.docx

URPF技术白皮书?关键词：URPF、DoS攻击、DDoS攻击摘??? 要：本文介绍了URPF的应用背景，URPF主要用于防止基于源地址欺骗的网络攻击行为，例如基于源地址欺骗的DoS攻击和DDoS攻击；随后介绍了URPF的技术原理以及URPF的几种灵活定制方案（NULL0口，缺省路由，ACL等）；最后简要介绍了URPF的典型组网案例。缩略语清单：缩略语英文全名中文解释URPFUnicast Reverse Path Forwarding单播反向路径转发FIBForwarding Information Base转发信息库DoSDenial of Service拒绝服务DDoSDistributed Denial of Service分布式拒绝服务ACLAccess Control List访问控制列表ICMPInternet Control Message Protocol因特网控制报文协议目? 录1 背景2 URPF应用环境简介2.1 TCP泛洪2.2 SMURF攻击3 魔高一尺、道高一丈——URPF的发展3.1 DoS攻击的发展3.2 URPF的水土不服——严格URPF的局限3.3 退一步海阔天空——松散URPF的改进4 NULL0口——URPF的烽火台5 缺省路由和ACL，灵活定制你的URPF5.1 缺省路由5.2 ACL规则6 URPF处理流程7 典型组网应用1 背景单播反向路径转发（Unicast Reverse Path Forwarding），是网络设备检查数据包源地址合法性的一种方法。其在FIB表中查找该源地址是否与数据包的来源接口相匹配，如果没有匹配表项将丢弃该数据包，从而起到预防IP欺骗，特别是针对伪造IP源地址的拒绝服务（DoS）攻击非常有效。2 URPF应用环境简介DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。2.1 TCP泛洪 图1 TCP泛洪攻击案例攻击的原理是向目标设备发送大量伪装连接的请求包，这些请求包的发起地址设置为目标不可到达的地址，这样对被攻击对象的第二次握手没有主机响应，造成被攻击对象主机内部存在大量的半开连接，以至于新的正常连接不能进入从而造成服务的停顿甚至死机。2.2 SMURF攻击SMURF攻击是一种源地址欺骗攻击，攻击者假冒被攻击对象的IP地址向设备发送大量的广播ICMP echo请求报文。因为每个包的目标IP地址都是网络的广播地址，所以设备会把ICMP echo请求报文以广播形式发给网络上的所有主机。如果有大量主机，那么这种广播就会产生大量的ICMP echo请求及响应流量。而且在发送ICMP echo请求数据包时，使用了假冒的源IP地址，所以攻击造成的ICMP流量不仅会阻塞网络，而且会产生攻击流量。 图2 SMURF攻击案例图如图2，Attacker仿冒Router B的地址对Router C进行攻击，如果Router C上的网络管理员检测到攻击，将会配置防火墙规则，将所有来自Router B的报文过滤，导致无辜的Router B无法访问Router C。此时，被攻击系统的管理员反而成为黑客的帮凶，使一些合法用户失去合法访问的权限。从上面两个例子可以看出，黑客利用源地址欺骗，一是可以隐匿身份，让人难以发现攻击的源头，二是通过被攻击目标，发起对其他合法用户的攻击，造成一箭双雕的效果。而这些攻击，仅仅依靠被攻击系统加强防范是无法预防的。必须通过所有接入端设备，对用户的源地址进行反查，并依据其合法性对报文进行过滤，这样才能从源头抑制攻击，保护合法用户享受服务的权利。3 魔高一尺、道高一丈——URPF的发展3.1 DoS攻击的发展从上世纪90年代到现在，DoS技术主要经历如下几个阶段：(1) 技术发展时期。90年代，Internet开始普及，很多新的DoS技术涌现。90年代末发明和研究过许多新的技术，其中大多数技术至今仍然有效，且应用频度相当高。(2) 从实验室向“产业化”转换。2000年前后，DDoS（Distributed Denial of Service）出现，Yahoo和Amazon等多个著名网站受到攻击并瘫痪。(3) “商业时代”。最近一两年，宽带的发展使得接入带宽增加，个人电脑性能大幅提高，使DDoS攻击越来越频繁，可以说随处可见，而且也出现了更专业的“DDoS攻击经济”，DDoS攻击已经成为网络黑客们敲诈勒索的工具。3.2 URPF的水土不服——严格URPF的局限从Dos攻击发展为DDoS攻击，黑客从一台Host，单机作战改为了集团作战，操纵成百上千的傀儡机，发起分布式攻击。在2000年yahoo等知名网站被攻击后，