uRPF Unicast Reverse Path Forwarding

最新推荐文章于 2021-01-15 13:22:48 发布
最新推荐文章于 2021-01-15 13:22:48 发布
阅读量696 收藏
点赞数
分类专栏: CCIE学习 路由实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinshangwy/article/details/104703570
版权

uRPF Unicast Reverse Path Forwarding 单播的反向路径转发
uRPF功能是让路由器具备防IP欺骗或IP伪造的能力。
uRPF所认为的IP伪造,是指某个IP的数据包的并不应该从某个接口进来,却从某个接口进来了,那么这样的数据包便认为是具有IP欺骗性质的,默认是被丢弃的 。
当路由器从某个开启了uRPF的接口上收到数据包之后,都会检测该数据包的源IP地址,同时与路由表中的路由条目作对比,经过判断后,如果到达这个源IP的出口确实是这个开了uRPF的接口,则数据包被转发,否则被丢弃。
因为uRPF开启后,所有从此接口进入的数据包都要被检测,速度将会变慢,所以必须开启CEF后,才能开启uRPF。uRPF只能在in方向上开启,在做检查时,所有到源IP的最优路径都认为是可行的。
uRPF的两种模式

Strict Mode 严格模式
检查IP条目,接口
Strict checking mode verifies that the source IPv4 address of an IPv4 packet exists in the routing table and that the source IPv4 address is reachable by a path through the input interface (the interface on which the packet enters the router). To configure strict checking mode, use one of the following commands:

Router (config-if)# ip verify unicast source reachable-via rx

Router (config-if)# ip verify unicast reverse-path

Loose Mode 宽松模式
检测ip条目
To provide ISPs with a DDoS resistance tool on the ISP-to-ISP edge of a network, Unicast RPF was modified from its original strict mode implementation to check the source addresses of each ingress packet without regard for the specific interface on which it was received.
Example
Router (config-if)# ip verify unicast source reachable-via any
Enables Unicast RPF using loose mode.

在正常情况下,如果一个数据包无法通过uRPF检查,那么该数据包默认是丢弃的,但是有时因为特殊原因,可以让某些即使检查失败的数据包也能通过,要做到这一点,就可以在开启uRPF除加ACL,其中检查失败的数据包,是丢弃还是放行,全由ACL来决定,ACL允许,就放行,ACL拒绝,就丢弃
Router(config-if)#ip verify unicast reverse-path
接口上开启uRPF,默认检测进入接口的所有数据包。

Router(config)#access-list 100 permit ip host 3.3.3.3 any
Router(config-if)#ip verify unicast reverse-path 100

half ~summer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
urpf原理与实现
06-08
urpf原理与配置,包括严格urpf,松散urpf和忽略缺省路由的urpf
Unicast Reverse Path Forwarding 单播逆向转发
weixin_34032827的博客
11-24 399
Unicast Reverse Path ForwardingUnicast RPF,单播逆向转发) 之前在组播部分我们提到过这个Unicast RPF,这里我们详细说一下。这个功能可以帮助我们减轻(注意不是完全避免,是减轻)伪造的源IP地址(IP Spoofing,IP地址欺骗)的数据包通过路由器所带来的问题。 1.基本概念Unicast RPF对于进入...
URPFUnicast Reverse Path Forwarding)反向路径转发
weixin_30819085的博客
09-19 1268
uRPFUnicast Reverse Path Forwarding)是一种单播反向路由查找技术,用于防止基于源地址欺骗的网络攻击行为。 URPF技术会首先获取包的源地址和入接口,而后以源地址为目的地址,在路由转发表中查找相对应的转发接口是否与入接口匹配,如不匹配则认为该源地址是伪装的,并将该包丢弃。 URPF主要模式: URPF有三种方式,Strict URPF、Loos...
RPF(Reverse Path Forwarding 反向路径转发)技术
weixin_33854644的博客
11-16 3803
基于发送源的 IP 地址(数据包中的源地址)来转发 。包括三个过程: Broadcast(广播)洪泛传递,假定网络上的每个主机都是多播组成员。 Prune(修剪)停止向那些没有组成员存在的网络转发多播信息。 Selective Forwarding(选择性转发)如果有多条转发路 径可用,则依靠单播路由表来帮助选择最佳路径 一 路由器只转发从可达源的上游路由器...
URPF简介
qq_41062084的博客
01-15 7264
URPF简介 1.定义 URPFUnicast Reverse Path Forwarding)单播逆向路径转发,其主要功能是防止ARP源地址欺骗。 2.URPF原理简介 URPF主要通过对数据包源IP地址进行合法性检查实现预防ARP源地址欺骗的功能。 主要有松散和严格两种工作模式。 (1)松散模式 图1-1 图1-1中Router1地址为10.0.0.1,其伪造源地址的10.1.1.1的数据包发送至Router2,Router2收到数据包后会对接收到的数据包进行源IP匹配检查,发现..
URPF技术介绍
06-24
URPFUnicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于 防止基于源地址欺骗的网络攻击行为。
数通技术安全篇—URPF详解.doc
08-25
数通技术安全篇—URPF详解.doc
URPF技术白皮书.docx
06-05
本文介绍了URPF的应用背景,URPF主要用于防止基于源地址欺骗的网络攻击行为,例如基于源地址欺骗的DoS攻击和DDoS攻击;随后介绍了URPF的技术原理以及URPF的几种灵活定制方案(NULL0口,缺省路由,ACL等);最后简要...
华为 ME60 V800R010C10SPC500 配置指南 - URPF配置
04-05
通过URPF的配置,能够解决基于源地址欺骗的攻击。 1 URPF概述 2 URPF支持的License和配置注意事项 3 配置接口URPF 4 配置基于流的URPF 5 维护URPF 6 URPF配置举例
深刻理解策略路由的原理和用法
热门推荐
openlab网工之路
08-30 2万+
拓扑图: 关键知识点: 策略路由(PBR)概念:路由器根据路由表中的信息,将分组转发到目标地址。通过使用 PBR 的 一些策略,这些策略根据源地址、协议类型或应用类型让分组选择不同的路径,PBR 覆盖了路由 器的正常路由过程,他优先于路由表操作; 路由的优先级:策略路由 > 默认路由 > 动态路由 Match:在路由映射表中,使用 match 命令指定要操纵哪些数据流; S...
默认路由全解析
openlab网工之路
08-19 1万+
实验拓扑图: 知识点: 默认路由的功能: 当路由器收到报文发现该报文的目的地址不在路由表中,就会发送到默认路由所定义的下一跳,作为未知地址数据包的一种最后求助方式。 默认路由的好处: 可以大大节省资源,缩减路由表大小 默认路由的产生方式: ip route 0.0.0.0 0.0.0.0 在路由功能开启的情况下,为路由器配置默认网关 ip default-gateway 除了目的地址在本网段的...
IP路由选路三大原则
openlab网工之路
08-20 8071
拓扑图: 知识点 路由选路 3 大原则 首先,按最长匹配原则:当有多条路径到达目标时,以其 IP 地址或网络号最长匹配的作为最 佳路由。例如在 10.1.1.1/18、10.1.1.1/24、10.1.1.1/32 将选择 10.1.1.1/32 这个掩码最长的 IP; 其次,按最小管理距离优先:在相同掩码长度的情况下,按照路由的管理距离:管理距离越 小,路由越优先。例如 S 10.1.1....
Netflow及其及配置案例
openlab网工之路
03-12 6672
NetFlow 是Cisco发布的一款用于分析网络数据包信息的工具包; 根据不同的需要定制不同的方案; 典型的是对网络数据的源地址、目的地址的分析,对流量各种应用的分析或者路由器上各个端口的负载等; addr、dstaddr、port、dstport、protocol、ToS、input interface、output interface、nexthop、masked Packet count、...
深刻理解OSPF6类LSA用处
openlab网工之路
08-20 5016
拓扑图: 知识点 OSPF 6 类 LSA 类型 1 类 LSA(Router Link):每台路由都只产生一条 1 类 LSA,只在区域内传递; 2 类 LSA(Router Link):只在有 DR/BDR 选举的多路访问网络中产生,点到点或帧中继等没 有 DR/BDR 选举的网络不产生 2 类; 3 类 LSA(Router Link):将区域内的 LSA 汇总和简化,并发往另一个区域,由...
IPV6组播配置案例
openlab网工之路
02-18 3368
案例配置拓扑: 案例配置需求: 1、 互联IP为CC1E:XY::/64 EUI 64,Loopback 0的IP为CC1E:XXXX::X/64,其中X为本设备ID; 2、 三台路由器使用OSPFv3进行IGP通信; 3、 R1、R2、R3之间开启IPv6组播,R2的F0/0作为组FF08::1的RP; 4、 通过配置,使得R3的F0/0能接收来自组FF08::1的组播信息; 案例配置思路: ...
深刻理解OSPF建立邻居过程
openlab网工之路
08-20 3235
拓扑图: 知识点: Router-id:确定网络中的每一台路由器,router-id 是唯一的,不能重复,三种方法确定它: 1.在 OSPF 进程中手工指定 Router-id; 2…活动 loopback 接口 IP 地址最大的,最优选; 3.活动物理接口 IP 地址最大的,次优选; DR/BDR:多路访问网络中必须选择出一个核心路由器和备份核心路由器,称为 DR(Designated Ro...
深刻理解BGP协议13条选路原则
openlab网工之路
08-28 2952
实验拓扑: 关键知识点 1.weight: 选择权值最大的,只影响本路由器,不在 AS 中传递 2.Local_Pref: 选择 Local_pref 最大的,在 AS 中传递,影响 AS 中所有路由器–iBGP 默认为 100,eBGP 默认为空 3.0.0.0.0: 0.0.0.0 表示本路由器(通告)产生的路由。 有三种方法可以产生 0.0.0.0 (1):netw...
EIGRP协议配置
openlab网工之路
08-20 2372
拓扑图: 知识点 私有协议:EIGRP 是思科私有协议,只能运行在思科的设备上; 多协议支持:EIGRP 能够支持的协议有 IP、AppleTalk 和 IPX; 水平分割:EIGRP 是高级距离矢量协议,所有会受水平分割(Split Horizon)的影响; 自制系统:EIGRP 使用了自治系统(AS)的概念,不同AS之间,EIGRP 无法传递路由信息; 跳数:EIGRP 扩展到了最大 255...
Unicast Reverse Path Forwarding是什么
最新发布
06-10
Unicast Reverse Path Forwarding (URPF)是一种网络安全机制,用于防止IP地址欺骗攻击(例如IP地址伪造)。URPF验证数据包的源IP地址是否可以通过正确的出接口到达。如果不能,则数据包将被丢弃。URPF通常用于边界...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值