OSPF GTSM(通用TTL安全保护机制)

目录

GTSM的定义

使用GTSM的目的

GTSM的原理

[配置OSPF GTSM实例](#配置OSPF GTSM实例)

组网需求

配置思路

操作步骤

[1. 配置各接口的IP地址](#1. 配置各接口的IP地址)

2.配置OSPF基本功能

[3.配置OSPF GTSM](#3.配置OSPF GTSM)

[4. 验证配置结果](#4. 验证配置结果)


GTSM的定义

GTSM(Generalized TTL Security Mechanism),即通用TTL安全保护机制。GTSM通过检查IP报文头中的TTL值是否在一个预先定义好的范围内,对IP层以上业务进行保护。

使用GTSM的目的

网上存在一些"有效报文"攻击,可能通过对一台设备不断发送报文,使设备收到这些发送给本机的报文后,不辨别其"合法性",直接由转发层面上送控制层面处理,导致设备因为处理这些"合法"报文,系统异常繁忙,CPU占用率高。

在实际应用中,GTSM特性主要用于保护建立在TCP/IP基础上的控制层面(路由协议等)免受CPU利用 (CPU-utilization)类型的攻击,如CPU过载(CPU overload)。

GTSM的原理

使能了GTSM特性和策略的设备会对收到的所有报文进行策略检查。对于没有通过策略的报文丢弃或者上送控制平面,从而达到防止攻击的目的。策略内容包括:

  • 发送给本机IP报文的源地址。
  • 报文所属的VPN实例。
  • IP报文的协议号(OSPF是89,BGP是6)。
  • TCP/UDP之上协议的协议源端口号、目的端口号。
  • 有效TTL范围。

GTSM的实现手段如下:

  • 对于直连的协议邻居:将需要发出的单播协议报文的TTL值设定为255。
  • 对于多跳的邻居:可以定义一个合理的TTL范围。

GTSM的应用范围是:

  • GTSM对单播报文有效,对组播报文无效。这是因为组播报文本身具有TTL值为255的限制,不需要 使用GTSM进行保护。
  • GTSM不支持基于Tunnel的邻居。

配置OSPF GTSM实例

组网需求

如图1所示,各路由器间运行OSPF协议,在RouterA、RouterB和RouterC上启用GTSM保护功能。

图1 OSPF GTSM组网图

配置思路

采用如下的思路配置OSPF GTSM功能:

  1. 配置OSPF基本功能
  2. 在各路由器上使能GTSM,指定有效TTL范围

操作步骤

1. 配置各接口的IP地址

配置RouterA的各接口的IP地址。

复制代码
<Huawei> system-view
[Huawei] sysname RouterA
[RouterA] interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0] ip address 192.168.1.1 255.255.255.0
[RouterA-GigabitEthernet1/0/0] quit
[RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] ip address 192.168.2.1 255.255.255.0
[RouterA-GigabitEthernet2/0/0] quit
[RouterA] interface gigabitethernet 3/0/0
[RouterA-GigabitEthernet3/0/0] ip address 10.1.1.1 255.0.0.0.0
[RouterA-GigabitEthernet3/0/0] quit

RouterB、RouterC和RouterD的配置同RouterA此处略。

2.配置OSPF基本功能

3.配置OSPF GTSM

在RouterA上配置到其他路由器的最大有效TTL范围255到255。

复制代码
[RouterA] ospf valid-ttl-hops 1

在RouterB上配置到其他设备的有效TTL范围254到255。

复制代码
[RouterB] ospf valid-ttl-hops 2

在Routerc上配置到其他设备的有效TTL范围254到255。

复制代码
[RouterC] ospf valid-ttl-hops 2

4. 验证配置结果

查看各路由器间OSPF的邻居是否正常建立。以RouterC为例,可以看到邻居关系为"Full",邻居 正常建立。

在RouterC上执行display gtsm statistics all,查看RouterC的GTSM统计信息,在缺省动作是通 过且没有非法报文的情况下,丢弃的报文数是0。

相关推荐
阿米亚波9 分钟前
【EVE-NG 实战】防火墙基础(VLAN · VRRP · NAT · ACL · 静态路由)
运维·网络·笔记·网络协议·计算机网络·网络安全·运维开发
零意@13 分钟前
海光平台debian11的系统,打开pstore功能和验证功能
网络
学究天人1 小时前
数学公理体系大全:Comprehensive Collection of Mathematical Axiom Systems(卷6)
网络·算法·数学建模·动态规划·几何学·图论·拓扑学
tiantianuser1 小时前
NVME-oF IP 设计2 :设计之前的调研!
网络·网络协议·rdma·roce v2·nvme of
星恒讯工业路由器2 小时前
工业无线通信选型常见问题解答
网络·信息与通信·无线ap·设备选型·工业无线通信·防爆无线设备·4g/5g路由器
智慧光迅AINOPOL2 小时前
校园全光网建设成本对比:全光网取代传统校园网建设成本分析
网络·全光网解决方案·全光网·校园全光网·校园全光网解决方案
2401_873479402 小时前
如何识别代理IP和伪装流量?用IP情报工具三步穿透住宅代理伪装
网络·数据库·网络协议·tcp/ip·ip
s09071362 小时前
深入解析 Sensor Hub Transport Protocol (SHTP) 协议
网络·协议·传感器·shtp
hey you~2 小时前
400电话选型技术测评:一个开发视角的线路质量评估方案
运维·网络·数据库·400电话·企业通信
曾令胜3 小时前
HTTP协议基础总结
网络·网络协议·http