码迷,mamicode.com
首页 > 其他好文 > 详细

URPF 简单流程

时间:2015-03-17 23:28:03      阅读:304      评论:0      收藏:0      [点我收藏+]

标签:

主要功能是防止基于源地址欺骗的网络攻击。

路由器接口一旦使能URPF功能,当该接口收到数据报文时,首先会对数据报文的源地址进行合法性检查,对于源地址合法性检查通过的报文,才会进一步查找去往目的地址的转发表项,进入报文转发流程;否则,将丢弃报文。

URPF检查分为严格(strict)和松散性(loose)两种。

严格型:不但要求路由器的转发表中存在去往报文源地址的路由,还要求报文的入接口与转发表中去往源地址路由的出接口一致,只有同时满足上述两个条件的报文才被认为是合法报文。对非对称路径下严格型检查会错误丢弃报文。

松散型:要求路由器的转发表中存在去往报文的源地址路由即可。

 

严格型和松散型检查是URPF两个基本检查机制;部分设备在此基础上,还进一步增加了缺省路由检查以及ACL检查功能,进而将URPF检查实现的更灵活和全面。

 

特别情况下,设备在严格型URPF检查的基础上再增加链路层检查,即在确认路由转发表中存在去往源地址的路由以及出接口后,再增加检查ARP表项,确保报文的源MAC地址和查到的ARP表项中的MAC地址一样才允许报文通过。链路层检查功能对于运营商用单个三层以太网接口接入大量PC机用户时较适合部署。

四、        小结

诸如TCP Syn FloodUDP flood ICMP flood等攻击,都可能通过借助源地址欺骗的方式攻击目标设备或者主机,造成被攻击者系统性能严重的降低,甚至导致系统崩溃。URPF就是网络设备为了防范此类攻击而使用的一种常用技术。

     不同厂家的不同产品对URFP功能的支持情况有所不同,具体应用中,请查看相关产品手册,以确认设备的实现情况。

DHCP的情况下DISCOVER包的源地址全0,目的地址为全F,目的在全网环境下查找有无DHCP Server

松散型流程图:                                                                                       严格型流程图:

技术分享技术分享

URPF 简单流程

标签:

原文地址:http://www.cnblogs.com/yangshine/p/4345784.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!