华为URPF
概述
对于传统的网络转发设备来说,主要依靠的就是路由表,只要有路由就转发,如果没有就不转发。可以说对于要转发的报文,网络转发设备是无条件的完全信任,这就导致了IP欺骗的问题,这也是诸多内网IP欺骗的来源,列如在一个局域网的内部,可以在某台主机上面使用流量制造工具进行虚假流量的制造,这些流量的目的可能就是对当前网络进行扰乱。
像IP-MAC的绑定也可以防范IP欺骗以及ARP欺骗,IP-MAC绑定技术主要是人为设置的IP-MAC的映射关系,于是在报文转发或者arp记录学习的过程中就会对映射关系进行检查,只有检查通过才会进行转发。但是无论是URPF还是IP-MAC的绑定,毫无疑问都会减少网络设备的转发速度。
基本原理
URPF的基本原理也很简单,总共分为严格模式和松散模式,严格模式是这样的,若一个报文进入网络设备的时候,若在路由表中可以找到目的网络是该报文的源IP网络,而且它的入接口和路由表中的指明的接口是对应的,那么就可以进行转发。松散模式是只要可以找到目的网络是该报文的源IP网络那么就进行转发。
如何防范
为什么这样子就可以防范IP欺骗,首先攻击者在进行虚假流量的制造的时候,可能会使用虚假的源IP地址,如果是不存在的主机IP,那么当这类奴存在的IP到达设置了URPF的网络设备的时候,就会因为没有相应的路由表条目而被丢弃。那么如果攻击者伪冒内网已经存在的主机去进行流量发送,那么毫无疑问也是会被丢弃的。
缺点
现在有一个缺点,假如攻击者控制了内网的一台主机,而且这台主机的网段为192.168.0.0,那么只要攻击者知道这个原理,那么就可以假冒该C类网络的所有主机IP进行虚假流量的发送。如果网段更大一点,比如B类私网地址,那么可以假冒的就更多了。所以说URPF确实可以减少IP欺骗,但是如果知道了原理,想要假冒那还不是分分钟的事情。
相关文章
- LiveGBS流媒体平台国标GB/T28181作为下级支持国标级联海康大华宇视华为等第三方国标平台支持对接政务公安内网国标视频平台
- 华为机皇回归!变4G的Mate 50,能否与iPhone一战?
- 2022年Q2全球以太网交换机和路由器市场报告:思科、华为、Arista位列前三
- 微软旗下GitHub宣布裁员10%;谷歌高管警告:AI聊天机器人会产生错觉;华为称在ChatGPT领域早有布局丨每日大事件
- 再聊华为鸿蒙及对其未来5年的期望
- 华为设备ACL与NAT技术
- 再见了,华为!活命要紧 ~
- 打破IP协议重塑互联网 华为能做到吗
- 荣耀 30 Pro + 推送鸿蒙 HarmonyOS 2.0.145 更新:支持华为 FreeBuds 4 耳机
- 斩获智能家居行业四项重磅大奖!华为全屋智能到底领先在哪?
- 华为短码方案成功挺进5G技术标准,但说赶超高通还为时过早
- 华为宣布消费者业务CMO朱勇刚兼任消费者业务云服务副总裁