我试图理解为什么源地址 RTBH 需要与在边缘端口上配置 uRPF 相结合。
我已经阅读了有关此主题的 RFC5635 和其他供应商论文,但我无法弄清楚原因,也许我遗漏了一些明显的内容。
为什么没有 uRPF,S/RTBH 就不能工作?触发路由器将通告需要被特定“邪恶”社区阻止的源地址,并且基于该社区,边缘路由器将安装下一跳丢弃。所以源地址无论如何都会被阻止,那么为什么需要 uRPF?
非常感谢,
克里斯蒂安
为什么源 RTBH 需要 uRPF
网络工程
路由
bgp
2021-07-16 05:27:10
1个回答
路由器不能通告“源地址”。当您在 RIB 中看到某些前缀时,路由器会谈论目的地而不是源。如果来自特定来源的 S/RTBH数据包应丢弃。uRPF 检查数据包的来源是否可以通过除“空”以外的某个接口访问。
S/RTBH 技术使用空路由和 uRPF。因此,如果检测到的 DoS 攻击源可通过“空”设备访问,并且来自该源的数据包通过配置了 uRPF 的接口进入,则 uRPF 检查将失败并且数据包永远不会到达目的地。另一方面,uRPF 检查将允许所有健康的数据包。