URPF简介
1.定义
URPF(Unicast Reverse Path Forwarding)单播逆向路径转发,其主要功能是防止ARP源地址欺骗。
2.URPF原理简介
URPF主要通过对数据包源IP地址进行合法性检查实现预防ARP源地址欺骗的功能。
主要有松散和严格两种工作模式。
(1)松散模式
图1-1
图1-1中Router1地址为10.0.0.1,其伪造源地址的10.1.1.1的数据包发送至Router2,Router2收到数据包后会对接收到的数据包进行源IP匹配检查,发现IP表项里没有10.1.1.1的地址,丢弃数据包。
(2)严格模式
图1-2
图1-2中Router1地址为10.0.0.1,其伪造源地址的10.1.1.1的数据包发送至Router3,Router3收到数据包后会对接收到的数据包进行源IP匹配检查,发现IP表项里有10.1.1.1的地址。如果Router3的URPF工作在严格模式下,则会进一步对接口进行匹配检查,发现数据包接受的接口与路由表项中10.1.1.1对应的出接口不匹配而丢弃数据包。URPF严格模式进一步防止了源地址欺骗的发生,但也会存在一个问题,如果10.1.1.1通过其他路径到达Router3,Router3同样会认为数据包不合法而丢弃。