首页 > 其他分享 >uRPF(Unicast Reverse Path Forwarding,单播反向路径转发)

uRPF(Unicast Reverse Path Forwarding,单播反向路径转发)

时间:2024-04-10 16:59:23浏览次数:23  
标签:Reverse uRPF ip 报文 192.168 单播 转发 route 路由

uRPF(Unicast Reverse Path Forwarding)

概念和原理

这是网络设备的一个安全特性,主要功能是用于防止基于源地址欺骗的网络攻击行为,说简单一点就是在IP数据包转发的时候不单基于目的地址查看路由表,对源地址同样进行查表,如未能查到路由(一般不是默认路由,但根据策略不同行为稍有区别),则不对数据包进行转发;从路由角度讲就是不仅要将数据包转发到目的也对回包预先查找路由。
和uRPC最相关的一个路由术语是“非对称路由 (Asymmetric Routing)”也有翻译成“异步路由”的;非对称路由指的是数据包往返的路径不一致,其实在现在网络中非对称路由非常常见,常规路由技术是无状态的只针对目的地址查表转发,网络设备配置不当会出现非对称路由甚至路由环路;但是对于防火墙这种注重安全的网络设备可能会对数据包进行追踪(即跟踪会话状态),此时如果出现非对称路由导致数据包只有单侧经过防火墙则会导致通信异常。

  • 对称路由
    img
  • 非对称路由
    img
  • 非对称+防火墙
    img
  • 伪造IP情况,Host3冒充Host2的IP地址给Host1发包,诱骗Host1回包给Host2,如果大量发起这种报文会使得Host2网络拥塞超载。Host1IP为Host2信任IP,也不会引起Host2管理员的注意,导致DoS攻击。
    img
    uRPF就是为了此种情况开发的特性,数据包转发时候同时对源ip和目的ip分别查路由表,再决定是否转发。当伪造的Host2 IP从eth1接口收到后,检查目的地址转发接口为eth3,但是检查源地址路由接口应该为eth2,与接收的接口eth1不符,与uRPF策略冲突----丢包。

URPF处理流程

URPF检查根据检查的内容和策略不同,有严格(strict)型和松散(loose)型两种。有些设备还可以支持ACL与缺省路由的检查。

URPF的处理流程如下:

(1)如果报文的源地址在路由器的FIB表中存在对于strict型检查,反向查找报文出接口,若其中至少有一个出接口和报文的入接口相匹配,则报文通过检查;否则报文将被拒绝。(反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口);对于loose型检查,报文进行正常的转发。

(2)如果报文的源地址在路由器的FIB表中不存在,则检查缺省路由及URPF设置是否允许默认路由。

对于配置了缺省路由,但未允许默认路由的情况,不管是strict型检查还是loose型检查,只要报文的源地址在路由器的FIB表中不存在,该报文都将被拒绝;

对于配置了缺省路由,但允许默认路由的情况下,如果是strict型检查,只要缺省路由的出接口与报文的入接口一致,则报文将通过URPF的检查,正常转发;如果缺省路由的出接口和报文的入接口不一致,则拒绝转发。如果是loose型检查,报文都将通过URPF的检查,进行正常的转发。

(3)当且仅当报文被拒绝后,再去匹配ACL。如果被ACL允许通过,则报文继续进行正常的转发;如果被ACL拒绝,则报文被丢弃。(相当于是uRPF的白名单)

示例

基于下面拓扑使用H3C VSR1000,进行uRPF实验:
img

#Host1
IP:192.168.1.1/24 GW:192.168.1.254

#Host2
IP:192.168.2.1/24 GW:192.168.2.254

#R1
interface GigabitEthernet1/0
 port link-mode route
 ip address 10.0.0.1 255.255.255.252
#
interface GigabitEthernet2/0
 port link-mode route
 ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet8/0
 port link-mode route
 ip address 10.0.0.5 255.255.255.252
#
 ip route-static 192.168.2.0 24 10.0.0.2

#R2
#
interface GigabitEthernet1/0
 port link-mode route
 ip address 10.0.0.2 255.255.255.252
#
interface GigabitEthernet2/0
 port link-mode route
 ip address 192.168.2.254 255.255.255.0
#
 ip route-static 192.168.1.0 24 10.0.0.1
#

#Spoofer
#
interface LoopBack0
 description SpoofingIP
 ip address 192.168.2.1 255.255.255.255
#
interface GigabitEthernet1/0
 port link-mode route
 ip address 10.0.0.6 255.255.255.252
#
 ip route-static 192.168.1.1 32 10.0.0.5
#

######
仿冒IP
[Spoofer]ping -a  192.168.2.1 192.168.1.1
Ping 192.168.1.1 (192.168.1.1) from 192.168.2.1: 56 data bytes, press CTRL_C tok
Request time out
Request time out
Request time out
Request time out
Request time out

--- Ping statistics for 192.168.1.1 ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss

正常通信
img
仿冒发包
img
抓包
img
uRFP开启前后

#R2 开启uRPF
ip urpf strict

img
图上显示仅从G8/0口收到了数据包并未进行转发。

参考:

https://www.h3c.com/cn/d_200805/605753_30003_0.htm

标签:Reverse,uRPF,ip,报文,192.168,单播,转发,route,路由
From: https://www.cnblogs.com/bfhyqy/p/18125848

相关文章

  • 攻防世界 Replace Reverse二星题
    解题过程中,虽然解出来了,但是磕磕绊绊犯了一些错误,记录一下 分析过程PE查壳有一个upx壳,最下面给了脱壳提示: upx.exe-dReplace.exe  脱壳结束,丢到IDA里,SHIF+F12,查看字符串,看到一个可疑的”WellDone!\n“,点进去看看,发现就是主函数,反汇编主函数 Buffer很明显是输入......
  • 羊城杯2023 | Reverse
    羊城杯2023CSGO学习到了sharpODorzIDA的话没办法动调至少很难动调FindCrypt插件可以发现有base64加密查看交叉引用在汇编代码中定位到字串.text:000000000049B144mov[rsp+0C8h+var_88],rcx.text:000000000049B149mov[r......
  • C++11标准模板(STL) 算法(std::reverse)
    定义于头文件<algorithm>算法库提供大量用途的函数(例如查找、排序、计数、操作),它们在元素范围上操作。注意范围定义为 [first,last) ,其中 last 指代要查询或修改的最后元素的后一个元素。逆转范围中的元素顺序std::reverse1)反转[first,last)范围中的元素顺序表......
  • C++ std::reverse函数
    函数原型,定义std::reverse定义于头文件 <algorithm>1(1)2template<classBidirIt>3voidreverse(BidirItfirst,BidirItlast);(C++20前)45template<classBidirIt>6constexprvoidreverse(BidirItfirst,BidirItlast);(C++20起)......
  • hackme 【攻防世界】Reverse
    题目: 丢到PE里,无壳,64bit丢到IDA里,shift+F12,查看字符串,找到一个很可疑的字符串跟进去看看,找到目标函数,我另外搜索了一下,没有mian函数,sub_400F8E应该就是解题的关键函数有部分变量我修改的名字,为了方便理解1__int64__fastcallsub_400F8E(__int64a1,inta2,inta......
  • BABYRE 【攻防世界】 Reverse
    题目 丢进ExeinfoPE里面,得到64bit,无壳丢进IDApro(x64)里面,找到主函数 代码中有一个花指令:*(unsignedint(__fastcall**)(char*))judge)(input) unsignedint(__fastcall**)(char*):这是一个函数指针类型,指向一个接受char*类型参数并返回unsignedint类型的函......
  • 【组播】组播 组播和单播、广播的区别
    什么是组播?作为IP传输三种方式之一,组播指的是报文从一个源发出,被转发到一组特定的接收者,相同的报文在每条链路上最多有一份。相较于传统的单播和广播,组播可以有效地节约网络带宽、降低网络负载,所以被广泛应用于IPTV、实时数据传送和多媒体会议等网络业务中。组播和单播的区......
  • 「AGC019B」 Reverse and Compare
    题意给定一个长度为\(n\)小写英文字母组成的字符串\(s\)。可以任意选定\(1\lex\ley\len\),把\(s_x\)到\(s_y\)之间的字符翻转。求最终不同字符串的方案数。分析我们先考虑所有字符都不同的情况。小学奥数的加法原理告诉我们,每一位都不同的字符串,对于第\(i\)位,可......
  • drf源码剖析----版本、reverse
    点击查看代码classAPIView(View):defdispatch(self,request,*args,**kwargs):self.args=argsself.kwargs=kwargsrequest=self.initialize_request(request,*args,**kwargs)self.request=requestself.headers......
  • FRP(Fast Reverse Proxy)网络映射工具部署
    FastReverseProxy(FRP)是一款由fatedier开发的高性能的反向代理工具,用于穿透防火墙、NAT等网络障碍,将内网服务映射到公网上github地址https://github.com/fatedier/frp 下载https://github.com/fatedier/frp/releases根据操作系统找到对应版本,客户端服务端共用一个包。 ......