IP-spoofing造成策略路由不生效

发布时间:  2012-07-18 浏览次数:  184 下载次数:  0
问题描述
现象描述:
电信------
            USG-----内网
网通------
 
 nat server protocol tcp global 121.29.24.155 8080 inside 192.168.1.200 8080  
 
双出口网络,电信为ADSL,网通为固定IP。默认路由指向dialer口,网通路由为明细路由。客户通过电信的IP访问8080端口不能访问,添加到测试IP的明细路由指向网通,访问正常,通过分析发现存在来回路径不一致,建议客户配置策略路由,固定服务器的数据流通过网通网络出去。但是策略路由没有生效。
告警信息
处理过程
  1. 查看策略路由配置基本无问题
  2. 协同客户测试,使用电信27.129.133.212访问8080端口,策略路由存在且无到此ip的明细路由时访问不成功。查看会话,多次刷新,无此地址相关会话
  3.  
udp, NBT datagram,
  1.  
  2.  
tag: 0x82011080,State: 0x58,ttl:00:02:00left:00:00:28 VpnId:0
InTotalPkt:0,InTotalByt:0,OutTotalPkt:1,OutTotalByt:238
udp, DNS,
  1.  
  2.  
tag: 0xa0011080,State: 0x58,ttl:00:02:00left:00:01:10 VpnId:0
  •  
 
添加明细路由后测试,访问正常,也存在会话
[USG2120BSR]ip route-static27.129.133.0 24121.29.24.1
 
  •  
  •  
  •  
  •  
tag: 0x80001080,State: 0x53,ttl:00:10:00left:00:09:50 VpnId:0
InTotalPkt:9,InTotalByt:2237,OutTotalPkt:9,OutTotalByt:7042
udp, DNS,
  1.  
  2.  
tag: 0xa0011080,State: 0x58,ttl:00:02:00left:00:01:40 VpnId:0
InTotalPkt:15,InTotalByt:2790,OutTotalPkt:15,OutTotalByt:930
  •  
  •  
  •  
tag: 0x80001080,State: 0x53,ttl:00:10:00left:00:09:48 VpnId:0
  •  
 
  1. 怀疑策略路由没有生效,但是配置基本无问题,难道是在策略路由之前数据流已经被过滤。发现存在很多IP  Spoof  攻击。关闭IP  spoof攻击后问题解决。
Dis logbuffer
%Jan 19 12:09:58 2012 USG2120BSR SEC/4/ATCKDF:AttackType:IP spoof attack; Receive Interface: Dialer2 Ethernet0/0/0 ; proto:UDP ; from 124.65.97.174:49189 117.9.15.181:42962 118.186.202.64:2325 211.141.255.231:43358 27.197.98.130:1863 42.229.7.50:60978 211.143.3.209:33561 112.225.38.244:6655 211.141.163.95:55112 ; to 27.184.15.73:30691 27.184.15.73:39399 121.29.24.155:46509 121.29.24.155:43016 27.184.15.73:30204 121.29.24.155:25493 ; begin time :2012/01/19 12:09:29; end time: 2012/01/19 12:09:51; total packets: 70;
根因
  1. 策略路由配置问题
  2. 会话存在影响
  3. 其它配置干扰
建议与总结
ip-spoofing 原理
对报文的源IP地址进行FIB表反查,如果反查该IP地址的出接口与报文的入接口不相同,则视为IP欺骗攻击,给予处理。配置明细路由时,来回都是网通网络,不存在问题,但是无明细路由,根据FIB表会发现出接口为电信,进而判定为攻击,后续也不进行处理

END