uRPF
uRPF是一种单播逆向路由查找技术,用来预防伪造源地址攻击的手段。之所以称为逆向,是针对正常的路由查找而言的。一般情况下路由器接收到报文,获取报文的目的地址,针对目的地址查找路由。如果找到了进行正常的转发,否则丢弃该报文。
urpf通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与入接口匹配。如果不匹配认为源地址是伪装的,丢弃该报文。通过这种方式urpf就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。在s1 上伪造源地址为2.2.2.1 的报文向服务器s2 发起请求,s2 响应请求时将向真正的“2.2.2.1”即s3 发送报文。这种非法报文对s2 和s3 都造成了攻击。
攻击者使用随机改变源地址的方法发起攻击。在本例子中,源地址使用一些保留的非全局的ip 地址,因此不可达。其实即使是一个合法的ip 地址,只要是不可达的也可以用来发起攻击。
另一种情况:攻击者可以伪造一个源地址,该地址是另一个合法网络的地址并且在全局路由表中存在。例如,攻击者伪造一个源地址使得被攻击者认为攻击来自于伪造的源地址,但实际上该源地址是完全无辜的,并且有时候网络管理员会因此而关闭所有来自源地址的数据流,这样正好使得攻击者的拒绝服务攻击成功实现。
更复杂的情形是tcp syn 洪泛攻击将使得syn-ack数据包发送到完全与攻击无关的许多主机,而这些主机就成了牺牲者。这使得攻击者可以同时去欺骗一个或者多个系统。
同样也可以采用udp 和icmp 洪泛攻击。
所有这些攻击都会严重的降低系统性能,甚至使得系统崩溃。urpf 就是为了防范这种攻击而使用的一种技术。