标签：源地址 URPF 报文 packets discarded 单包 HCIP FW1

一，拓扑

1.1实验拓扑

 1.2拓扑介绍

　　配置OSPF使得全网互通，使用Cloud1桥接一台linux，发送修改源地址的欺骗报文。基于源地址欺骗发起的网络攻击，已经成为Internet上一种非常普遍的攻击形式。使用URPF技术可以解决源地址欺骗造成的网络安全问题。

二，URPF技术

2.1定义

　　URPF（Unicast Reverse Path Forwarding）是单播逆向路径转发的简称，其主要功能是防止基于源地址欺骗的网络攻击行为。一般情况下，FW接收到报文，获取报文的目的地址，针对目的地址查找转发表，如果找到了就转发报文，否则丢弃该报文。而URPF通过获取报文的源地址和入接口，在转发表中查找源地址对应的接口是否与入接口匹配，如果不匹配，则认为源地址是伪装的，直接丢弃该报文。通过这种方式，URPF能够有效地防范网络中通过修改报文源IP地址而进行恶意攻击行为的发生。

2.2源地址欺骗示意

发送：

>>> sr1(IP(dst="202.100.4.5",src="202.100.3.4")/ICMP(),timeout=1)
Begin emission:
Finished sending 1 packets.
............................
Received 28 packets, got 0 answers, remaining 1 packets

抓包AR1(GE0/0/1):

抓包AR1(GE0/0/2):

 

 

 　　PC修改源为202.100.3.4给AR5，AR5收到后则发送回应报文给R4。这样同时影响两台设备。

2.3URPF原理

2.3.1逻辑图

2.3.2 松散模式

　　在不能保证路由对称的环境下使用，即不检查接口是否匹配，只要存在路由就可以通过。

2.3.3严格模式

　　在路由对称的环境下使用严格模式，不仅要求转发表中存在对应表象，还要求接口一定要通过URPF检查，即

三，配置URPF

3.1松散模式

3.1.1配置

[FW1]interface  GigabitEthernet  1/0/0
[FW1-GigabitEthernet1/0/0]ip urpf loose

3.1.1现象

　　此时只要有路由存在，源欺骗的报文就可以通过。

 

 

 3.2严格模式

3.2.1配置

[FW1]ip route-static  0.0.0.0 0 202.100.1.2
[FW1-GigabitEthernet1/0/0]ip urpf strict

3.2.2现象一（出接口不同）

使用测试PC发送欺骗ICMP：

>>> sr1(IP(dst="202.100.4.5",src="202.100.6.7")/ICMP(),timeout=1)
Begin emission:
Finished sending 1 packets.
...........................
Received 27 packets, got 0 answers, remaining 1 packets

 抓取FW1的GE1/0/2和GE1/0/0口分别是截图中的上下窗口，报文并未被转发：

 

 

查看被丢弃的报文统计,URPF packets discarded项为URPF丢弃的报文数：

[FW1]display  firewall statistics  system  discard 
2022-08-28 08:33:48.200 
 Discard statistic information:
                                     Fib miss packets discarded: 3
                             TCP session miss packets discarded: 1
                        Packet default filter packets discarded: 162
                                 L3 mac error packets discarded: 2
                            L3 other eth type packets discarded: 1
                             L3 protocol down packets discarded: 414
                                         URPF packets discarded: 1

注意：

　　此时FW1，AR1,AR5虽然配置了默认路由，分别指向AR2,FW1,AR1使这三台设备能ping通1.1.1.1逻辑口，但是有URPF存在没有配置ip urpf  strict  allow-default-route 。

3.2.3现象二（出接口相同）

使用测试PC发送欺骗ICMP：

>>> sr1(IP(dst="202.100.4.5",src="202.100.5.3")/ICMP(),timeout=1)
Begin emission:
Finished sending 1 packets.
.............................
Received 29 packets, got 0 answers, remaining 1 packets

 抓包，报文被转发，因为出接口相同：

 

标签：源地址,URPF,报文,packets,discarded,单包,HCIP,FW1
From： https://www.cnblogs.com/l-f-a-l/p/16633123.html