首页 > 其他分享 >URPF---源地址校验

URPF---源地址校验

时间:2023-10-24 10:56:41浏览次数:35  
标签:源地址 uRPF ip URPF 接口 --- 视图 数据包

uRPF技术:
  单播逆向路径转发(Unicast Reverse Path Forwarding),其主要功能是防止基于源地址欺骗的网络攻击行为。

  

在没有配置uRPF技术时,网络设备不检查数据包的源地址,只关心能不能到达目的地址。由此,产生了虚假源地址欺骗网络攻击行为,例如基于源地址欺骗的DOS攻击和DDOS攻击。

uRPF有两种模式:
1.松散模式(loose)
设备检查流入数据包的源地址,在此设备上只要有和源地址相同网段的明细路由就能会放行。
2.严格模式(strict)
设备检查流入数据包的源地址,在此设备上不仅要有和源地址相同网段的明细路由,还要求这条路由必须是从这个接口学习而来的才能放行。

命令格式

华为:

ip urpf { loose | strict | allow default-route }

undo ip urpf { loose | strict | allow default-route }

视图

CE12800交换机:

系统视图

10GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、VLANIF接口视图

<HUAWEI> system-view
[~HUAWEI] ip urpf strict
[~HUAWEI] vlan 100
[*HUAWEI-vlan100] quit
[*HUAWEI] interface vlanif 100
[*HUAWEI-Vlanif100] ip urpf enable

S6700、S9300系列的交换机:
  1. 执行命令system-view,进入系统视图。

  2. 执行命令interface interface-type interface-number,进入接口视图。

  3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。缺省情况下,以太网接口处于二层模式,二层模式下不能开启URPF。URPF只能在三层接口启用。

  4. 执行命令urpf { loose | strict } [ allow-default-route ],使能接口的URPF功能并配置URPF模式。缺省情况下,接口未使能URPF功能。

 

H3C全局开启uRPF 

  配置步骤

  (1)     进入系统视图。

  system-view

  (2)     开启全局uRPF功能。

  ip urpf { loose | strict }

  缺省情况下,uRPF功能处于关闭状态。

  

  uRPF显示和维护

  在完成上述配置后,在任意视图下执行display命令可以显示配置uRPF后的运行情况,通过查看显示信息验证配置的效果。

  [H3C]dis ip urpf
  Global uRPF configuration information:
  Check type: strict
  Allow default route

 

 

思科、锐捷uRPF(Unicast Reverse Path Forwarding 单播的反向路径转发)

 

(1)uRPF概述 
uRPF功能是让路由器具备防IP欺骗或IP伪造的能力。uRPF所认为的IP伪造,是指某个IP的数据包的并不应该从某个接口进来,却从某个接口进来了,那么这样的数据包便认为是具有IP欺骗性质的,默认是被丢弃的。 
(2)uRPF检测 
当路由器从某个开启了uRPF的接口上收到数据包之后,都会检测该数据包的源IP地址,同时与路由表中的路由条目作对比,经过判断后,如果到达这个源IP的出口确实是这个开了uRPF的接口,则数据包被转发,否则被丢弃。 
因为uRPF开启后,所有从此接口进入的数据包都要被检测,速度将会变慢,所以必须开启CEF后,才能开启uRPF。uRPF只能在in方向上开启,在做检查时,所有到源IP的最优路径都认为是可行的。 
在正常情况下,如果一个数据包无法通过uRPF检查,那么该数据包默认是丢弃的,但是有时因为特殊原因,可以让某些即使检查失败的数据包也能通过,要做到这一点,就可以在开启uRPF除加ACL,其中检查失败的数据包,是丢弃还是放行,全由ACL来定,ACL允许,就放行,ACL拒绝,就丢弃。 
(3)Strict Mode 严格模式 
Router (config-if)# ip verify unicast source reachable-via rx
 在接口上开启uRPF的严格模式 
Router (config-if)# ip verify unicast reverse-path 
Loose Mode 宽松模式 
Router (config-if)# ip verify unicast source reachable-via any 在接口上开启uRPF的宽松模式 
(4)uRPF 配置 
Router(config-if)#ip verify unicast reverse-path 
接口上开启uRPF,默认检测进入接口的所有数据包。 
Router(config)#access-list 100 permit ip host 3.3.3.3 any 
Router(config-if)#ip verify unicast reverse-path 100

 

标签:源地址,uRPF,ip,URPF,接口,---,视图,数据包
From: https://www.cnblogs.com/Mingcheng/p/17784226.html

相关文章

  • Tita 升级|任务中心-看板模式上线
    一、任务中心-看板模式介绍Tita-OKR和新绩效一体化管理平台看板模式可将任务进行多种分类,并将每种分类的任务可视化在一个看板上,以帮助人员更好地跟踪和管理任务。使用场景1:在查看任务中心数据时,状态、优先级等不同数据的任务混杂在一起,没办法有序查看解决方案: 支持按状......
  • springcloud-gateWay
    基础模板spring:cloud:gateway:routes: -id:gulimall-search#别重复就行 uri:lb://gulimall-search#对应微服务的applicationName predicates: -Path=/api/search/**predicates的概念每一个route对应一个--->RouteDefi......
  • spring-cloud 配置管理
    作用:实现配置热更新实现网关配置热部署配置模板spring:datasource:driver-class-name:com.mysql.cj.jdbc.Driverurl:jdbc:mysql://${db.gulimall.host:192.168.229.128}:${db.gulimall.port:3306}/{$db.gulimall.database:my_db}username:${db.gulima......
  • DevExpress WinForms地图组件 - 轻松集成地图功能到应用程序
    DevExpressWinForms地图控件允许您在WinForms应用程序中合并地图服务,您可以选择现有的地图资源,如如Bing或OpenStreetMap,或者在公司网络中创建自己的地图数据服务器。DevExpressWinForms地图控件完全支持矢量和笛卡尔坐标地图。DevExpressWinForms有180+组件和UI库,能为Windows......
  • Maven-安装与配置
    1.下载maven从官方下载maven,下载页面:http://maven.apache.org/download.cgi 2.安装mavenmaven压缩包解压到一个没有中文,空格或其他特殊字符的文件夹内即可使用。 3.配置maven环境变量maven的使用是在jdk的基础上,所以电脑必须有jdk(1).新增环境变量:MAVEN_HOME (2)......
  • uniapp项目引入uView-ui
    通过npm下载//如果您的根目录没有package.json文件的话,请先执行如下命令://npminit-ynpminstalluview-ui//更新//npmupdateuview-ui配置步骤1.引入uView主JS库在项目根目录中的main.js中,引入并使用uView的JS库,注意这两行要放在importVue之后。//main.j......
  • oracle-数据库备份
    热备份数据库备份就是将数据库的内容全部复制出来保存到计算机的另一个位置或者其他存储设备上。数据库备份分为物理备份和逻辑备份。使用export/import的方式对数据进行导入导出操作。冷备份脱机备份称为冷备份,使用管理员身份的用户使用shutdown命令关闭数据库的服务,之后复......
  • oracle-存储过程
    存储过程通俗的理解就是就是一个执行过程,调用的时候给他所需要的需求就会对数据库进行操作,相当于我们自己手写Sql,只不过有了存储过程只要调用一下传给他参数他就会帮我们写,比较方便,灵活的运用存储过程会让我们开发很方便 创建存储过程create[orreplace]procedure......
  • C++常用语法知识--数据类型
    C++常用语法知识--数据类型C++为用户提供了7种基本C++数据类型:类型关键字字节大小布尔型bool1字符型char1有符号字符型signedchar1无符号字符型unsignedchar1整型int4有符号整型signedint4无符号整型unsignedint4短整型int2......
  • oracle-视图
    视图视图是一个虚拟表,其内容由查询定义。同真实的表一样,视图包含一系列带有名称的列和行数据。但是,视图并不在数据库中以存储的数据值集形式存在。行和列数据来自由定义视图的查询所引用的表,并且在引用视图时动态生成的。视图是oracle又一个数据对象,其主要作用是简化操作,提高安......