uRPF Unicast Reverse Path Forwarding
uRPF Unicast Reverse Path Forwarding 单播的反向路径转发
uRPF功能是让路由器具备防IP欺骗或IP伪造的能力。
uRPF所认为的IP伪造,是指某个IP的数据包的并不应该从某个接口进来,却从某个接口进来了,那么这样的数据包便认为是具有IP欺骗性质的,默认是被丢弃的 。
当路由器从某个开启了uRPF的接口上收到数据包之后,都会检测该数据包的源IP地址,同时与路由表中的路由条目作对比,经过判断后,如果到达这个源IP的出口确实是这个开了uRPF的接口,则数据包被转发,否则被丢弃。
因为uRPF开启后,所有从此接口进入的数据包都要被检测,速度将会变慢,所以必须开启CEF后,才能开启uRPF。uRPF只能在in方向上开启,在做检查时,所有到源IP的最优路径都认为是可行的。
uRPF的两种模式
Strict Mode 严格模式
检查IP条目,接口
Strict checking mode verifies that the source IPv4 address of an IPv4 packet exists in the routing table and that the source IPv4 address is reachable by a path through the input interface (the interface on which the packet enters the router). To configure strict checking mode, use one of the following commands:
Router (config-if)# ip verify unicast source reachable-via rx
Router (config-if)# ip verify unicast reverse-path
Loose Mode 宽松模式
检测ip条目
To provide ISPs with a DDoS resistance tool on the ISP-to-ISP edge of a network, Unicast RPF was modified from its original strict mode implementation to check the source addresses of each ingress packet without regard for the specific interface on which it was received.
Example
Router (config-if)# ip verify unicast source reachable-via any
Enables Unicast RPF using loose mode.
在正常情况下,如果一个数据包无法通过uRPF检查,那么该数据包默认是丢弃的,但是有时因为特殊原因,可以让某些即使检查失败的数据包也能通过,要做到这一点,就可以在开启uRPF除加ACL,其中检查失败的数据包,是丢弃还是放行,全由ACL来决定,ACL允许,就放行,ACL拒绝,就丢弃
Router(config-if)#ip verify unicast reverse-path
接口上开启uRPF,默认检测进入接口的所有数据包。
Router(config)#access-list 100 permit ip host 3.3.3.3 any
Router(config-if)#ip verify unicast reverse-path 100
uRPF Unicast Reverse Path Forwarding相关推荐
- 逆向路径转发 linux,RPF(Reverse Path Forwarding 反向路径转发)技术
基于发送源的 IP 地址(数据包中的源地址)来转发 .包括三个过程: Broadcast(广播)洪泛传递,假定网络上的每个主机都是多播组成员. Prune(修剪)停止向那些没有组成员存在的网络转发多播 ...
- linux内核路由反向检查,反向路径过滤——reverse path filter
反向路径过滤--reverse path filter 一.原理 先介绍个非对称路由的概念 参考<Understanding Linux Network Internals>三十章, 30 ...
- 从Android访问PC端的port (reverse port forwarding)
2019独角兽企业重金招聘Python工程师标准>>> 大致就是 Device side: install SSH Server, add ssh server on 22222 p ...
- Unicast RPF,单播逆向转发
Unicast Reverse Path Forwarding (Unicast RPF,单播逆向转发) Unicast RPF 这个功能可以帮助我们减轻(注意不是完全避免,是减轻)伪造的源IP地址( ...
- DDOS核弹攻击--Memcached放大攻击复现
情景:当有一个Request过来后,Web服务器交给APP服务器,APP处理并从Database中存取相关数据,但Database存取的花费是相当高昂的.特别是每次都取相同的数据,等于是让数据库每次都 ...
- 7. 常见网络攻击欺骗手段与防护
一.ARP欺骗 用户上线后,在网关上生成用户的ARP表项.如果此时其中的一个用户(攻击者)通过发送ARP欺骗报文,修改正常用户或网关的ARP表项,即可以轻易的窃取其他用户的信息或阻碍其他用户正常访问网 ...
- 安全技术(Security)
1. 单包攻击防范 1.1 LAND攻击 LAND攻击原理: 攻击者利用TCP连接三次握手机制中的缺陷,向目标主机发送一个源地址和目的地址均为目标主机.源端口和目的端口相同的SYN报文,目标主机接收到 ...
- cisco english word
virtualprivate network "VPN" redirects here.For other uses, see VPN (disambiguation). A vi ...
- Cisco IOS XRv 9000 Router Release 7.5.1 ED 下载
请访问原文链接:https://sysin.cn/blog/cisco-ios-xr-7/,查看最新版.原创作品,转载请保留出处. 作者:gc(at)sysin.org,主页:www.sysin.cn ...
- CCIE知识点总结——安全及高级特性
1.uRPF(Unicast Reverse Path Forwarding 单播的反向路径转发) (1)uRPF概述 uRPF功能是让路由器具备防IP欺骗或IP伪造的能力.uRPF所认为的IP伪造, ...
最新文章
- 转: 回车(CR)与换行(LF), '\r'和'\n'的区别
- android视频通信和web端,探讨用webrtc在手机和浏览器之间实现音视频实时通信的实施环境...
- java定义int函数_Java自定义函数的四种类型
- 根目录_ubuntu 18.04 server版根目录只有4G?
- Google 搜索老矣,尚能饭否?
- 初学Reporting Service2008
- H3 BPM MVC表单SheetAttachment控件使用NTKO打开附件(Word、Excel)
- 构成vspher虚拟化平台所需构建概念
- Nodejs写的搬家工具知识分享
- linux文件系统程序设计实验报告,浙江大学Linux程序设计实验报告
- [英文邮件写作技巧] 表达感谢,提出问题,描述附件
- [小o地图-数据] - 地址文字转为经纬度坐标(地理编码)
- Flutter 路由原理解析
- Win10调整各窗口的任务栏位置
- expect 自动输入密码
- 北京科技大学,计算机考研情况
- Python-Web前端概述
- frp Connection refused
- java未来三年的工作计划_未来三年工作计划精选.doc
- 点击“换一换”切换商品,使用jquery slice()实现无缝连接切换