通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  列兵

注册:2006-6-6
跳转到指定楼层
1#
发表于 2011-1-15 01:12:56 |只看该作者 |倒序浏览
在运营商,BAS本质上是面向用户接入的路由器,与核心路由器稍有不同,在防范地址攻击上,可以有2种方式:
1,常用的uRPF,即从组播机制沿用而来的,针对单播的反向路径检测。
原理上比较好理解,根据路由转发表进行判断,如果收到的ip报文源地址不是从正常的转发表上的接口来的,则进行丢弃。
R1-----------(S1)R(S2)--------------R2
R的接口S1上启用uRPF,R的S1接口收到来自R1的报文,其源地址通过查路由表是应该从S2过来的,则对其丢弃。
其局限性与拓扑有关,如果是单出口的缺省路由方式,意义不大。
----------------------------------------------------------------
2,另一种叫IP SAV,即ip source-validation,它应该是边缘设备上独有的一种地址检测方式,归类到Ingress过滤。
在BAS上机制是这样的,如果从用户收到的报文源地址通过用户所在的电路不可达,则丢弃该报文。这是一种入口过滤机制,主要是防范从边缘设备(如BAS)用户非法假冒地址进入Internet,把假冒地址扼杀于源头。
Subscriber1--------(用户电路)---------BAS-----------------CoreRouter
subscriber1给BAS发送一个报文,源地址假设为1.1.1.1,如果BAS对用户启用了SAV,则BAS会把1.1.1.1通过用户电路发送出去,如果1.1.1.1不可达,则说明这个报文源地址是假冒的,进行丢弃。
-------------------------------------------------------------------------------------
相比较1和2,uRPF通常是核心路由器启用,在纯路由环境中的一种transit检测方式;SAV是一种公益性的边缘过滤设置,设置了SAV对设备甚至本地城域网本身并没有多大的收益,因为假冒地址攻击通常会去到远离本地城域网的地方。但源地址攻击的危害广泛存在,即使是去到与本地无关的网络,源地址假冒会造成基于源地址的流量控制或其他策略机制失效。

举报本楼

本帖有 1 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-11-17 00:45 , Processed in 0.092382 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部