uRPF

uRPF對(duì)報(bào)文源地址的合法性檢查主要有兩種：嚴(yán)格型（strict）和松散型（loose）。另外還支持忽略缺省路由的uRPF檢查以及配置了ACL規(guī)則的uRPF檢查。

• 在接口上設(shè)置嚴(yán)格模式的uRPF：路由器對(duì)從該接口進(jìn)入的數(shù)據(jù)包源地址進(jìn)行查詢(xún)，如果報(bào)文的源地址在路由表中存在（為正常的源地址路由或者缺省路由），并且報(bào)文的入接口等于路由的出接口，則認(rèn)為該報(bào)文合法，否則丟棄該報(bào)文。

• 在接口上設(shè)置松散模式的uRPF：路由器僅檢查報(bào)文的源地址是否在路由表中存在（正常的源地址路由或者缺省路由），而不再檢查報(bào)文的入接口與路由表是否匹配。這使得uRPF既可以有效地阻止網(wǎng)絡(luò)攻擊，又可以避免錯(cuò)誤的攔截合法用戶(hù)的報(bào)文。

• 當(dāng)路由器上配置了缺省路由后，會(huì)導(dǎo)致uRPF根據(jù)路由表檢查源地址路由時(shí)，對(duì)查不到源地址路由的報(bào)文自動(dòng)檢查到缺省路由。針對(duì)這種情況，用戶(hù)可以配置uRPF忽略缺省路由的檢查。

通過(guò)ACL規(guī)則的引入，uRPF給用戶(hù)提供了一種更加靈活的定制方案。配置了ACL后，在uRPF檢查失敗的情況下，路由器按照ACL規(guī)則permit或者deny報(bào)文進(jìn)行操作。

通信網(wǎng)絡(luò)中，諸如DoS攻擊、TCP SYN洪泛攻擊、UDP洪泛攻擊和ICMP洪泛攻擊等，都可能通過(guò)借助源地址欺騙的方式攻擊目標(biāo)設(shè)備或者主機(jī)，造成被攻擊者系統(tǒng)性能?chē)?yán)重的降低，甚至導(dǎo)致系統(tǒng)崩潰。uRPF技術(shù)就是網(wǎng)絡(luò)設(shè)備為了防范此類(lèi)攻擊而使用的一種常用技術(shù)。

通常情況下，網(wǎng)絡(luò)中的路由器接收到報(bào)文后，獲取報(bào)文的目的地址，針對(duì)目的地址查找路由，如果查找到則進(jìn)行正常的轉(zhuǎn)發(fā)，否則丟棄該報(bào)文。由此得知，路由器轉(zhuǎn)發(fā)報(bào)文時(shí)，并不關(guān)心數(shù)據(jù)包的源地址，這就給源地址欺騙攻擊有了可乘之機(jī)。

源地址欺騙攻擊就是入侵者通過(guò)構(gòu)造一系列帶有偽造源地址的報(bào)文，頻繁訪問(wèn)目的地址所在設(shè)備或者主機(jī)，即使受害主機(jī)或網(wǎng)絡(luò)的回應(yīng)報(bào)文不能返回到入侵者，也會(huì)對(duì)被攻擊對(duì)象造成一定程度的破壞。

URPF通過(guò)檢查數(shù)據(jù)包中源IP地址，并根據(jù)接收到數(shù)據(jù)包的接口和路由表中是否存在源地址路由信息條目，來(lái)確定流量是否真實(shí)有效，并選擇數(shù)據(jù)包是轉(zhuǎn)發(fā)或丟棄。

uRPF應(yīng)用的一個(gè)簡(jiǎn)單實(shí)例如圖所示。在Router A上偽造一個(gè)源地址為3.3.3.3/8的報(bào)文，向Router B發(fā)起請(qǐng)求，Router B響應(yīng)請(qǐng)求時(shí)將向真正的“3.3.3.3/8”設(shè)備（Router C）發(fā)送報(bào)文。這種非法報(bào)文同時(shí)對(duì)Router B和Router C都造成了攻擊。

uRPF可以應(yīng)用在上述環(huán)境中，在Router B的接口上啟用URPF功能，即可以阻止基于源地址欺騙的攻擊行為。

在本例中，源地址使用一些保留的非全局的IP地址，因此不可達(dá)。其實(shí)即使是一個(gè)合法的IP地址，只要是不可達(dá)的也可以用來(lái)發(fā)起攻擊。

另一種情況是攻擊者還可以偽造一個(gè)源地址，該地址是另一個(gè)合法網(wǎng)絡(luò)的地址并且在全局路由表中存在。例如，攻擊者偽造一個(gè)源地址使得被攻擊者認(rèn)為攻擊來(lái)自于偽造的源地址，但實(shí)際上該源地址是完全無(wú)辜的，并且有時(shí)候網(wǎng)絡(luò)管理員會(huì)因此而關(guān)閉所有來(lái)自源地址的數(shù)據(jù)流，這樣正好使得攻擊者的拒絕服務(wù)攻擊成功實(shí)現(xiàn)。

更復(fù)雜的情形是TCP SYN洪泛攻擊將使得SYN-ACK數(shù)據(jù)包發(fā)送到完全與攻擊無(wú)關(guān)的許多主機(jī)，而這些主機(jī)就成了犧牲者。這使得攻擊者可以同時(shí)去欺騙一個(gè)或者多個(gè)系統(tǒng)。

逆向轉(zhuǎn)發(fā)嚴(yán)格模式

在嚴(yán)格模式下，每個(gè)傳入數(shù)據(jù)包都根據(jù)FIB進(jìn)行測(cè)試，如果“傳入”接口不是最佳反向路徑，則數(shù)據(jù)包檢查失敗。默認(rèn)情況下，失敗的數(shù)據(jù)包被丟棄。

Cisco設(shè)備上的示例命令：ip verify unicast source reachable-via {rx} - 嚴(yán)格模式, {any}- 寬松模式

逆向轉(zhuǎn)發(fā)可能模式

在可能模式中，F(xiàn)IB維護(hù)到給定IP地址的備用路由。如果“傳入”接口與任何與該IP地址相關(guān)聯(lián)的路由匹配，則該分組被轉(zhuǎn)發(fā)。否則，數(shù)據(jù)包被丟棄。

逆向轉(zhuǎn)發(fā)寬松模式

在寬松模式，每個(gè)進(jìn)入的單播數(shù)據(jù)包的來(lái)源地址同樣會(huì)被檢查。如果來(lái)源地址是無(wú)經(jīng)由該接口的路徑到達(dá)，檢查將失敗。

標(biāo)準(zhǔn)/認(rèn)證 支持ACL安全過(guò)濾機(jī)制, 可提供基于用戶(hù), 地址, 應(yīng)用以及端口級(jí)的安全控制功能, 并支持MPLS VPN特性

支持基于端口不同優(yōu)先級(jí)對(duì)列的和基于流的入口和出口帶寬限制, uRPF, 防DDOS攻擊, SSH2.0安全管理, 802.1x接入認(rèn)證及透?jìng)?

機(jī)身重量 < 25