BAS上2种不同防地址假冒方式

ixuer

在运营商，BAS本质上是面向用户接入的路由器，与核心路由器稍有不同，在防范地址攻击上，可以有2种方式：
1，常用的uRPF，即从组播机制沿用而来的，针对单播的反向路径检测。
原理上比较好理解，根据路由转发表进行判断，如果收到的ip报文源地址不是从正常的转发表上的接口来的，则进行丢弃。
R1-----------(S1)R(S2)--------------R2
R的接口S1上启用uRPF，R的S1接口收到来自R1的报文，其源地址通过查路由表是应该从S2过来的，则对其丢弃。
其局限性与拓扑有关，如果是单出口的缺省路由方式，意义不大。
----------------------------------------------------------------
2，另一种叫IP SAV，即ip source-validation，它应该是边缘设备上独有的一种地址检测方式，归类到Ingress过滤。
在BAS上机制是这样的，如果从用户收到的报文源地址通过用户所在的电路不可达，则丢弃该报文。这是一种入口过滤机制，主要是防范从边缘设备（如BAS）用户非法假冒地址进入Internet，把假冒地址扼杀于源头。
Subscriber1--------（用户电路）---------BAS-----------------CoreRouter
subscriber1给BAS发送一个报文，源地址假设为1.1.1.1，如果BAS对用户启用了SAV，则BAS会把1.1.1.1通过用户电路发送出去，如果1.1.1.1不可达，则说明这个报文源地址是假冒的，进行丢弃。
-------------------------------------------------------------------------------------
相比较1和2，uRPF通常是核心路由器启用，在纯路由环境中的一种transit检测方式；SAV是一种公益性的边缘过滤设置，设置了SAV对设备甚至本地城域网本身并没有多大的收益，因为假冒地址攻击通常会去到远离本地城域网的地方。但源地址攻击的危害广泛存在，即使是去到与本地无关的网络，源地址假冒会造成基于源地址的流量控制或其他策略机制失效。