urpf是什么

urpf是什么?uRPF(Unicast Reverse Path Forwarding)是一种单播反向路由查找技术，用于防止基于源地址欺骗的网络攻击行为。

通常情况下，网络中的路由器接收到报文后，获取报文的目的地址，针对目的地址查找路由，如果查找到则进行正常的转发，否则丢弃该报文。由此得知，路由器转发报文时，并不关心数据包的源地址，这就给源地址欺骗攻击有了可乘之机。

源地址欺骗攻击就是入侵者通过构造一系列带有伪造源地址的报文，频繁访问目的地址所在设备或者主机，即使受害主机或网络的回应报文不能返回到入侵者，也会对被攻击对象造成一定程度的破坏。

URPF通过检查数据包中源IP地址，并根据接收到数据包的接口和路由表中是否存在源地址路由信息条目，来确定流量是否真实有效，并选择数据包是转发或丢弃。

工作模式

在复杂的网络环境中应用 URPF 时，会遇到路由不对称的情况，即对端设备记录的路由路径不一样，此时使能URPF 的设备可能丢弃合法报文，造成设备不能正确转发。

为了解决以上复杂网络中应用 URPF 的问题，设备实现了 URPF 的两种工作模式：

1、严格模式，严格模式下，设备不仅要求报文源地址在 FIB 表中存在相应表项，还要求接口匹配才能通过 URPF 检查。

建议在路由对称的环境下使用 URPF 严格模式，例如两个网络边界设备之间只有一条路径的话，这时，使用严格模式能够较大限度的保证网络的安全性。

2、松散模式，松散模式下，设备不检查接口是否匹配，只要 FIB 表中存在该报文源地址的路由，报文就可以通过。

建议在不能保证路由对称的环境下使用 URPF 的松散模式，例如两个网络边界设备之间如果有多条路径连接的话，路由的对称性就不能保证，在这种情况下， URPF 的松散模式也可以保证较强的安全性。

小结

诸如TCP Syn Flood、UDP flood 和ICMP flood等攻击，都可能通过借助源地址欺骗的方式攻击目标设备或者主机，造成被攻击者系统性能严重的降低，甚至导致系统崩溃。URPF就是网络设备为了防范此类攻击而使用的一种常用技术。

不同厂家的不同产品对URFP功能的支持情况有所不同，具体应用中，请查看相关产品手册，以确认设备的实现情况。