评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
LDP GTSM
关于GTSM的整体介绍,请参见《HUAWEI NE40E-M2系列特性描述-安全》。
基本原理
LDP GTSM是GTSM在LDP方面的具体应用。
GTSM通过判定报文的TTL值,确定报文是否有效,从而保护路由器免受攻击。GTSM for LDP即是对相邻或相近(基于只要跳数确定的原则)路由器间的LDP消息报文应用此种机制,预先在各路由上设定好针对其他路由器报文的有效范围,使能GTSM,这样当相应路由器之间应用LDP时,如果LDP消息报文的TTL不符合之前设置的范围要求,就认为此报文为非法攻击报文予以丢弃,进而实现对上层协议的保护。
应用场景
GTSM在实际应用中,主要服务于保护建立在TCP/IP层上的控制层面免受CPU-utilization(CPU overload)类型的攻击。应用于LDP,就是将GTSM应用于LDP各种消息报文,以免LDP协议在收到大量伪装报文时,因处理报文导致CPU-utilization等情况的攻击。
如图3-21所示,LSR1-LSR5为骨干网中核心路由器,当LSRA通过其他设备与核心路由器间接相连时,LSRA可能会伪造LSR1~LSR5之间的LDP相关报文来达到攻击的目的。
当LSRA经过其他设备接入后,伪造报文中携带的TTL值被认为是不可伪造的,这就是GTSM的前提。
在LSR1~LSR5上分别配置到各个可能邻居的GTSM策略:如在LSR5上配置LSR2发送的报文有效跳数为1~2,有效TTL值为254~255。当LSRA发送的伪造报文到达LSR5时,由于经过多跳中间设备,导致TTL比预先设置的有效范围小,因此LSR5可以直接把伪造报文丢弃,避免了攻击。
