路由器、交换机上的源地址检查
最近处理了一些DDOS事件, 深深感受到如果各地都能做好源地址检查,将会大大降低伪造源地址的各种类型攻击流量(这些流量很难追查)。
至于不伪造源地址的攻击流量,追查可就容易的多了。
以校园网为例:
汇聚层交换机可以使用标准ACL来实现源地址检查。
例如:
access-list 12 permit 202.120.0.0 0.0.63.255
access-list 12 permit 111.186.0.0 0.0.63.255
access-list 12 deny any
不同设备具体配置实现方式可能会有区别,不过思想还是很明确的。
Cisco 的路由器也可以用 ipv4 verify unicast source 来做检查。
边界出口设备上也建议加上这类源地址检查。
虽然是常识,还是值得反复强调,
全网都这样显然不现实,但先把自家篱笆扎牢总归能办到。
Work 2,811 views
找厂家实现URPF可能会好一些。
ACL的效率比较低