单播逆向路径转发
作用是防御简单的dos和ddos攻击(规模性的dos和ddos没有有效的预防方法)
一句话 就是两项检查,其目的就是检查源地址是否可以正确送达
1源地址路由是否可达
2进出端口是否一致
如果不能通过检查就证明这是一个无意义的地址和访问{因为根本无法返回数据,他的请求也就没有任何意义(源地址欺骗只是其中的一种情况)}
如果需要具体原理可以再问
====================================================================
针对题主的问题举一个栗子
试想这样一种情况
图中被攻击的对象为地址为10.10.10.1的服务器。攻击者伪装自己的地址为攻击目标的地址10.10.10.1然后向广播域中广播icmp请求包。所有主机收到后都会认为是10.10.10.1的服务器向他们发送的请求,然后会同时向服务器发起icmp回复包。造成服务器无响应。
这就完成了一次DDOS分布式拒绝服务攻击(对服务器发动攻击来自不同的主机,非单台设备)
再来看我们的urpf,源地址为10.10.10.1,这是我们内网的服务器地址,防火墙当然可路由,也就顺理成章的通过了第一项检查。
第二项检查,防火墙会检查这条路由信息的出接口F0/2,也就是说这个地址是在F0/2口的位置,如果回包要从F0/2发出,而这个包是从F0/1口收到的,F0/1入站,F0/2口出站。这就是出入接口不一致。而明显这个地址就是有问题的,判断之后就可以进行下一步的动作了(通过、丢弃、记录、告警)。
领取专属 10元无门槛券
私享最新 技术干货