URPF(Unicast Reverse Path Forwarding)反向路径转发
URPF技术会首先获取包的源地址和入接口,而后以源地址为目的地址,在路由转发表中查找相对应的转发接口是否与入接口匹配,如不匹配则认为该源地址是伪装的,并将该包丢弃。
URPF主要模式:
URPF有三种方式,Strict URPF、Loose URPF和iACL URPF (Infrastructure ACL)。 Strict, Loose是URPF的常用模式,还有另外一种基于ACL来实现的的URPF方式--Infrastructure ACL
- Loose: 只要RIB中有该Src Addr,不管是从哪个接口学到都可。RPF松散模式是在ISP行业广泛使用的触发式黑洞过滤技术的基础。在松散模式下,URPF可以根据源IP地址有效地丢弃DoS和DDoS攻击分组,并在很短的时间内将该方案发送到数百台路由器。
- Strict:不仅要查SrcAddr,而且还要看是否来自从该接口学到的源地址。当某个接口启用URPF严格模式时,路由器会检查接收到的所有分组,验证源地址和以源地址为目的地址查找到的出接口是否出现在路由表中,以及与收到分组的接口是否匹配。
- iACL :主要通过ACL来实现uRPF的功能。
在接入路由器上实施时,对于通过单链路接入时,一般使用Strict uRPF;在出口路由器配置uRPF的安全策略时,一般采用Loose uRPF;对于通过ECMP接入到网络,一般可采用iACL uRPF和Loose uRPF。
华三通信上对URPF的几种模式讲解的比较透彻:
http://www.h3c.com.cn/MiniSite/Technology_Circle/Technology_Column/ICG/ICG_Technology/201209/753898_97665_0.htm