zoukankan      html  css  js  c++  java
  • 路由汇总(黑洞路由)

     AR1左侧连接着192.168.0.0/24、192.168.1.0/24、192.168.2.0/24三个网段,为了让它们能够访问internet,AR1配置了指向AR2的默认路由,而为了让这些网段访问internet的回程流量能够顺利返回,又为了精减路由表,AR2配置了一条静态汇总路由192.168.0.0/22,而下一跳是AR1。这样做看似没有问题,但是却存在一个不小的隐患,考虑这样一种情况:有一个网络攻击者连接到AR1,它开始向AR1发送大量垃圾数据包,这些数据包的目的IP地址为192.168.3.0/24网络中的随机地址(该子网在AR1并不存在),以发往192.168.3.1的垃圾报文为例,该报文首先被发送到AR1,后者通过路由表查询后发现数据包的目的IP地址只能匹配默认路由,,因此将其转发给默认路由的下一跳AR2,然而AR2经过路由表查询后,发现数据包的目的IP地址匹配路由表中的汇总路由192.168.0.0/22,因此又将数据包转发给AR1,AR1又将报文转回AR2,至此就产生了环路,发往192.168.3.1的垃圾报文将不断地在AR1与AR2之间被来回转发,直到它们的TTL(time to live)值减到0时被丢弃。

    在AR1上增加一条黑洞路由:ip route-static 192.168.0.0 22 Null0即可。这条路由的出接口非常特殊,是Null0。当其收到发往192.168.23.0/24这个在AR1上并不存在的网段的非法报文时,就会直接丢弃这些报文,而不会再转发给AR2了,因为这些报文的目的地址匹配这条指向Null0的路由。当然,AR1如果收到目的地址为192.168.0.0/24 192.168.1.0/24 192.168.2.0/24这三个网段的数据包时,会把它们从相应的直连接口转发出去,而不会丢弃,因为三个网段在AR1的路由表中存在直连路由,而相比黑洞路由直连路由的掩更长,

  • 相关阅读:
    LeetCode 623. Add One Row to Tree
    LeetCode 894. All Possible Full Binary Trees
    LeetCode 988. Smallest String Starting From Leaf
    LeetCode 979. Distribute Coins in Binary Tree
    LeetCode 814. Binary Tree Pruning
    LeetCode 951. Flip Equivalent Binary Trees
    LeetCode 426. Convert Binary Search Tree to Sorted Doubly Linked List
    LeetCode 889. Construct Binary Tree from Preorder and Postorder Traversal
    LeetCode 687. Longest Univalue Path
    LeetCode 428. Serialize and Deserialize N-ary Tree
  • 原文地址:https://www.cnblogs.com/liujunjun/p/13160583.html
Copyright © 2011-2022 走看看