评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
URPF概述
URPF是单播逆向路径转发的简称。
拒绝服务DoS(Denial of Service)攻击是一种阻止连接服务的网络攻击。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
URPF(Unicast Reverse Path Forwarding)在FIB(Forwarding Information Base)表中查找数据包的IP(Internet Protocol)源地址是否与数据包的源接口相匹配,如果没有匹配表项将丢弃该数据包,从而预防IP欺骗,特别是针对伪造IP源地址的DoS攻击非常有效。
如图15-1所示,在SwitchA上伪造源地址为2.1.1.1的报文向SwitchB发起请求,SwitchB响应请求时将向真正的“2.1.1.1”即SwitchC发送报文。这种非法报文对SwitchB和SwitchC都造成了攻击。
如果在SwitchB上启用URPF严格检查,则SwitchB在收到源地址为2.1.1.1的报文时,URPF检查到以此报文源地址对应的接口与收到该报文的接口不匹配,报文会被丢弃。
