思科CCIE必考:源代码是个小骗子,URPF小能手帮你惩治他!

思科CCIE必考:源代码是个小骗子,URPF小能手帮你惩治他!_第1张图片

功能介绍

URPF(单播逆向路径检测)

例如TCP Syn Flood、UDP flood 和ICMP flood等攻击,都可能通过借助源地址欺骗的方式攻击目标设备或者主机,造成被攻击者系统性能严重的降低,甚至导致系统崩溃。URPF就是网络设备为了防范此类攻击而使用的一种常用技术。

路由器接口一旦开启URPF功能,当该接口收到数据报文时,首先会对数据包的源地址进行合法性检查,对于源地址合法性检查通过的报文,才会进一步查找去往目的地址的转发表项,进入报文转发流程;否则,将丢弃报文。

模式介绍

URPF检查分为严格(strict)和宽松(loose)两种模式。

严格型:不但要求路由器的转发表中存在去往数据包源地址的路由,还要求收到数据包的接口与转发表中去往源地址路由的出接口一致,只有同时满足上述两个条件的报文才被认为是合法报文。

宽松型:要求路由器的转发表中存在去往报文的源地址路由即可。

严格型和松散型检查是URPF两个基本检查机制;部分设备在此基础上,还进一步增加了缺省路由检查以及ACL检查功能,进而将URPF检查实现的更灵活和全面(CCIE 5.0的版本考试就有关于URPF严格模式的考题,并且增加了缺省路由)。

模式设置

严格模式配置:

URPF(config-if)#ip verify unicast source reachable-via rx allow-default

宽松模式配置:

URPF(config-if)#ip verify unicast source reachable-via any allow-default

原文来自公众号“思科CCIE训练营”定期更新网络技术干货文章,学习资料视频教程+文档PPT+工具软件包及安装使用教程免费领,欢迎关注,一起吹皮,一起飞!

思科CCIE必考:源代码是个小骗子,URPF小能手帮你惩治他!_第2张图片

你可能感兴趣的:(思科CCIE必考:源代码是个小骗子,URPF小能手帮你惩治他!)