URPF技術會首先獲取包的源地址和入接口,而后以源地址為目的地址,在路由轉發表中查找相對應的轉發接口是否與入接口匹配,如不匹配則認為該源地址是偽裝的,並將該包丟棄。
URPF主要模式:
URPF有三種方式,Strict URPF、Loose URPF和iACL URPF (Infrastructure ACL)。 Strict, Loose是URPF的常用模式,還有另外一種基於ACL來實現的的URPF方式--Infrastructure ACL
- Loose: 只要RIB中有該Src Addr,不管是從哪個接口學到都可。RPF松散模式是在ISP行業廣泛使用的觸發式黑洞過濾技術的基礎。在松散模式下,URPF可以根據源IP地址有效地丟棄DoS和DDoS攻擊分組,並在很短的時間內將該方案發送到數百台路由器。
- Strict:不僅要查SrcAddr,而且還要看是否來自從該接口學到的源地址。當某個接口啟用URPF嚴格模式時,路由器會檢查接收到的所有分組,驗證源地址和以源地址為目的地址查找到的出接口是否出現在路由表中,以及與收到分組的接口是否匹配。
- iACL :主要通過ACL來實現uRPF的功能。
在接入路由器上實施時,對於通過單鏈路接入時,一般使用Strict uRPF;在出口路由器配置uRPF的安全策略時,一般采用Loose uRPF;對於通過ECMP接入到網絡,一般可采用iACL uRPF和Loose uRPF。
華三通信上對URPF的幾種模式講解的比較透徹:
http://www.h3c.com.cn/MiniSite/Technology_Circle/Technology_Column/ICG/ICG_Technology/201209/753898_97665_0.htm