URPF技术在网络路由中的应用

摘　要：

摘　要：随着我国信息化社会的发展，网络已经是普及到千家万户，但是我国网络安全问题却不容乐观，网络遭受攻击的事件屡屡发生。在互联网中，路由就是交通枢纽，是最容易被网络攻击所利用的。路由在工作中转发来自客户端的数据包时并不对数据包源地址的合法性进行审核，这样就给了基于源地址的攻击机会，本文主要探讨如何利用URPF技术来减缓或抑制基于源地址欺骗的攻击行为，从而提高网络的安全性。

关键词：

关键词：URPF技术　网络安全　源地址欺骗

当前我国网站发展已经成规模化之势，到2014年之始，我国网站数量已经超350万个，网站使用的域名已经超过460万个，为我国网站提供联网接入服务的商家将近1000家，网站提供的服务信息涵盖了社会上各种领域。但是我国网络安全问题却令人堪忧，经常会有黑客在网络上进行各种攻击，给网络的经营、管理和服务造成非常大的麻烦。

　　在黑客攻击网络所使用的方式中，Dos/DDoS(Denial of Service/ Distributed Denial of service，即拒绝服务/分布式拒绝服务)攻击是黑客攻击网络最常用的方式之一。Dos/DDoS攻击是一种阻止连接服务的网络攻击，其原理是利用合法的网络服务请求去占用服务器的资源，使得真正需要服务的用户不能得到服务器的响应。如图1所示，，假如图中客户端A是合法用户，客户端B是非法用户，客户端B想利用基于源地址方式攻击网络服务器时，就要伪造报文源地址为客户端A的192.168.1.110/22地址，当网络服务器响应客户端B发来的假报文时，将会向真正的192.168.1.110/22地址发送应答报文，客户端B发出的假报文，实际上对客户端A和网络服务器都进行了攻击，轻者造成流量浪费、网络阻塞，甚者可能造成巨大的经济和机会损失。

　　为有效减缓或抑制Dos/DDoS攻击，可行方法之一就是在网关处实施URPF(Unicast Reverse Path Forwarding，单播逆向路径转发)技术，在网关处实行对来自网内数据包进行源地址检查，对于源地址不合法的数据包不进行转发，只对通过审核的数据包进行转发。URPF是网络设备检查数据包源地址合法性的一种有效方法，其主要功能是用于防止基于源地址欺骗的网络攻击行为。

　　1　进入ACL与URPF的比较分析

　　尽管进入ACL可能被配置用来提供等价的欺骗保护，但进入ACL策略是静态的，并要求重新配置以反映更改网络条件，包括拓扑更改和新的前缀指派。URPF特别开发用来解决伸缩和运营开销问题，以解决单独使用进入ACL对数据包进行反欺骗过滤带来的种种管理与配置复杂度等问题。

　　当URPF在接口上启用时，路由器检查了那个接口上的所有进入数据包，以便验证源地址是否可到达，可选地，通过进入接口可到达。这种反向路径检查是通过查看匹配源IP地址及可选的进入接口的转发信息库中是否存在前缀来完成的。因为URPF使用FIB来验证源地址，所以它能够动态适应网络拓扑中的变化及IP前缀的变化，这些是通过路由协议更改由FIB自动进行捕捉的。URPF可以与进入ACL同时部署，以便对存在任何漏洞的进入ACL添加一层额外的保护。

　　2　URPF的模式与选项

　　2.1　严格单播反向路径转发

　　严格单播反向路径转发(Strict URPF)，也称为版本1或URPFv1，需要检查每一个报文的源地址。Strict URPF在IP路由是对称的网络时工作得很好，而对于IP路径选择可能导致不对称转发路径的地方的源和目的地址之间具有多条路径的网络，可能导致丢弃合法的通信流。

　　2.2　可行单播反向路径转发

　　可行单播反向路径转发(Feasible URPF)，是对严格对称路由的扩展，同样需要检查每一个报文的源地址，但是在多路由情况下，Feasible URPF允许转发不是经过最优路由到达的数据包。

　　2.3　松散单播反向路径转发

　　松散单播反向路径转发(Loose URPF)，与严格对称路由最大的不同点就是只要存在一个路由。Loose URPF因为没有验证数据包的接入接口，它在这样的网络拓扑中工作得很好：在IP路由对称的情况下，该拓扑在源和目的地之间具有多条路径。但是，因为匹配IP路由表中的前缀的任何源地址被认为是有效的，Loose URPF通常只在过滤欺骗数据包中是有效的，这些数据包的源地址是下面的类型之一：伪造地址、不存在的地址和由RFC1918、RFC3330、RFC3927定义的保留的专用网络地址。

　　2.4　虚拟路由和转发的单播反向路径转发

　　虚拟路由和转发的单播反向路径转发(Virtual Routing and Forwarding URPF)。是最新的实现模式，操作原理类似于Loose URPF，但不是针对设备全局的FIB验证接收到的数据包的源地址，而是仅针对与其关联的VRF实例实施的。

　　3　URPF的处理流程

　　本文以H3C的设备为例，描述在启用了URPF技术后对接口流入数据包的处理流程。URPF检查有严格型和松散型两种。此外，还可以支持ACL与缺省路由的检查。URPF的处理流程如图2：

　　第一步，检查接将要转发数据包源地址的合法性。直接丢弃广播地址和目的地址不是广播的全零地址。第二步，检查数据包的源地址是否可能匹配FIB表，若在FIB表中找不到，则跳到第五步(ACL 允许否?)。第三步，上步骤若是在FIB表中匹配的是缺省路由，则应该检查用户是否配置了允许缺省路由，如果没有配置，则跳到第五步(ACL允许否?)。第四步，检查数据包入接口与FIB查询结果是否相符，若相符，则通过检查;若不符，则查看是否是松散URPF，如果是，则通过，否则说明是严格URPF。第五步，用户是否配置了ACL规则，ACL检查是否允许。若数据包符合ACL规则，则通过URPF检查，否则丢弃该数据包。

　　4　URPF的实现、配置与维护

　　URPF部署在网络边缘，实现URPF有两种方式：在网络入口边缘和最佳当前实施(BCP38)中遵守RFC2827过滤器的严格模式;用于ISP到ISP边缘的RTBH (Remote Triggered Black Hole，即远程触发黑洞)过滤的疏松模式。

　　一般情况下，管理员配置时要结合网络拓扑本身的特点，选择实施严格的URPF还是疏松的URPF。需要注意的是，URPF只能应用在接口的Input方向，对流入的报文有效。其配置和维护命令都很简单，本文以Cisco和H3C的设备为例进行说明。

　　4.1　Cisco

　　采用URPF技术的前提是设备支持并启用了CEF(Cisco Express Forwarding，即思科快速交换)或dCEF(Distributed Cisco Express Forwarding，即分布式思科快速交换)，其配置非常简单，命令格式为：ip verify unicast source reachable-via {rx | any} [allow-default] [allow-self-ping] [list]，以配置严格的URPF为例，命令行如下：

　　Router(config)interface FastEthernet 0/0

　　Router(config-if)ip verify unicast source reachable-via rx

　　4.2　H3C

　　命令格式为：ip URPF { loose | strict } [ allow-default-route ] [ acl acl-number ]，如要在接口GigabitEthernet1/0/1 上使能严格URPF 检查，同时允许对缺省路由进行特殊处理，配置命令如下：

　　[RouterA-GigabitEthernet1/0/1] ip URPF strict allow-default-route

　　4.3　URPF维护

　　Cisco：主要通过show ip traffic、show ip interface、show pxf cpu statistics drop interface等命令进行监控，或查看全局(每接口)的URPF 功能丢弃报文的统计信息。

　　H3C：可以使用 display ip interface 命令查看URPF 功能丢弃报文的统计信息(Drops 表示被丢弃的报文数目;Suppressed drops 表示被抑制丢弃的报文数目)

　　5　结语

　　实施基于入向ACL和URPF的Ingress过滤技术是一种比较成熟的Dos/DDoS防御技术。但是在实际应用中，Ingress过滤时由于要检查每一个报文的源地址，再据源地址查找路由，在此过程中需要查找多次，必然要多浪费处理的时间，因而耗费过多路由器资源，造成网络时延。另外，因为Ingress过滤配置标准不统一和当今互联网上存在基于地址假冒技术的应用服务造成很多ISP都没有实现Ingress过滤。网络中基于假冒地址的DoS/DDoS攻击很难完全避免，不过在实践中利用URPF技术可以非常有效的防止基于源地址欺骗的攻击行为，很大程度上提高了网络的安全性。

　　参考文献：

　　[1]王文彥.计算机网络实践教程[M].北京：人民邮电出版社,2014.

　　[2] 魏大新,李育龙,强振海. Cisco网络工程案例精粹[M].北京：电子工业出版社.2007.

　　[3]王达. 路由器配置与管理完全手册[M].武汉:华中科技大学出版社,2011.

　　[作者简介]　王峰(1980-)，男，安徽舒城人，苏州市房地产测绘队工程师，主要从事房产面积测算，测绘软件维护，计算程序编写。

　　(收稿日期：2014-11-18)