urpf是什么?uRPF(Unicast Reverse Path Forwarding)是一種單播反向路由查找技術(shù)，用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。

通常情況下，網(wǎng)絡(luò)中的路由器接收到報(bào)文后，獲取報(bào)文的目的地址，針對(duì)目的地址查找路由，如果查找到則進(jìn)行正常的轉(zhuǎn)發(fā)，否則丟棄該報(bào)文。由此得知，路由器轉(zhuǎn)發(fā)報(bào)文時(shí)，并不關(guān)心數(shù)據(jù)包的源地址，這就給源地址欺騙攻擊有了可乘之機(jī)。

源地址欺騙攻擊就是入侵者通過(guò)構(gòu)造一系列帶有偽造源地址的報(bào)文，頻繁訪問(wèn)目的地址所在設(shè)備或者主機(jī)，即使受害主機(jī)或網(wǎng)絡(luò)的回應(yīng)報(bào)文不能返回到入侵者，也會(huì)對(duì)被攻擊對(duì)象造成一定程度的破壞。

URPF通過(guò)檢查數(shù)據(jù)包中源IP地址，并根據(jù)接收到數(shù)據(jù)包的接口和路由表中是否存在源地址路由信息條目，來(lái)確定流量是否真實(shí)有效，并選擇數(shù)據(jù)包是轉(zhuǎn)發(fā)或丟棄。

工作模式

在復(fù)雜的網(wǎng)絡(luò)環(huán)境中應(yīng)用 URPF 時(shí)，會(huì)遇到路由不對(duì)稱的情況，即對(duì)端設(shè)備記錄的路由路徑不一樣，此時(shí)使能URPF 的設(shè)備可能丟棄合法報(bào)文，造成設(shè)備不能正確轉(zhuǎn)發(fā)。

為了解決以上復(fù)雜網(wǎng)絡(luò)中應(yīng)用 URPF 的問(wèn)題，設(shè)備實(shí)現(xiàn)了 URPF 的兩種工作模式：

1、嚴(yán)格模式，嚴(yán)格模式下，設(shè)備不僅要求報(bào)文源地址在 FIB 表中存在相應(yīng)表項(xiàng)，還要求接口匹配才能通過(guò) URPF 檢查。

建議在路由對(duì)稱的環(huán)境下使用 URPF 嚴(yán)格模式，例如兩個(gè)網(wǎng)絡(luò)邊界設(shè)備之間只有一條路徑的話，這時(shí)，使用嚴(yán)格模式能夠較大限度的保證網(wǎng)絡(luò)的安全性。

2、松散模式，松散模式下，設(shè)備不檢查接口是否匹配，只要 FIB 表中存在該報(bào)文源地址的路由，報(bào)文就可以通過(guò)。

建議在不能保證路由對(duì)稱的環(huán)境下使用 URPF 的松散模式，例如兩個(gè)網(wǎng)絡(luò)邊界設(shè)備之間如果有多條路徑連接的話，路由的對(duì)稱性就不能保證，在這種情況下， URPF 的松散模式也可以保證較強(qiáng)的安全性。

小結(jié)

諸如TCP Syn Flood、UDP flood 和ICMP flood等攻擊，都可能通過(guò)借助源地址欺騙的方式攻擊目標(biāo)設(shè)備或者主機(jī)，造成被攻擊者系統(tǒng)性能嚴(yán)重的降低，甚至導(dǎo)致系統(tǒng)崩潰。URPF就是網(wǎng)絡(luò)設(shè)備為了防范此類攻擊而使用的一種常用技術(shù)。

不同廠家的不同產(chǎn)品對(duì)URFP功能的支持情況有所不同，具體應(yīng)用中，請(qǐng)查看相關(guān)產(chǎn)品手冊(cè)，以確認(rèn)設(shè)備的實(shí)現(xiàn)情況。