NEWS

网站建设、网站制作、网站设计等相关资讯

【实用】网络 URPF 技术（实验1）

日期：2024-04-03 访问：234次作者：admin

哈喽，大家好，我又来了。见字如面，每篇锤炼！这是本公众号第112篇原创文章。

近期，我一直在开展 URPF 相关的核查工作。此前我已梳理分享了关于如何运用 Python 脚本进行核查的思路。我认为，除了单纯核查之外，还可以借此契机，学习一下 URPF 技术。稍作梳理，分享于你。

透过此文，我更想分享的是如何从手头的事情着手，由具体工作开启自身的学习与成长。毕竟 URPF 作为一项具体网络技术，你可能以后也不会碰到这种任务，不过，如何参阅产品文档，如何战胜学习焦虑情绪，如何进行自学自驱，如何守正出奇，这些均是通用的。

本文是一个具体实验，你可以依循步骤逐步操作。若有疑问，我们可以在读者群里探讨。文章末尾处，点击“阅读原文”可直达知乎对应文章（长期维护，动态更新）。

一、查阅手册

我们可根据运维的设备，找到一份数通设备的产品文档。在此，我以华为 CE12800 产品文档作为例子，实际上其他厂商和型号版本的产品文档也都类似。我们打开产品手册，在安全目录下查阅“URPF”有关内容，抑或直接搜寻“URPF”。

我直接引用产品文档里的“URPF 概述”。

URPF是单播逆向路径转发的简称。

拒绝服务 DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。DoS 的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

URPF（Unicast Reverse Path Forwarding）在 FIB（Forwarding Information Base）表中查找数据包的 IP（Internet Protocol）源地址是否与数据包的源接口相匹配，如果没有匹配表项将丢弃该数据包，从而预防 IP 欺骗，特别是针对伪造 IP 源地址的 DoS攻击非常有效。

如上图所示，在 SwitchA 上伪造源地址为2.1.1.1的报文向 SwitchB 发起请求，SwitchB 响应请求时将向真正的2.1.1.1（即 SwitchC）发送报文。这种非法报文对 SwitchB 和 SwitchC 都造成了攻击。

如果在 SwitchB 上启用 URPF 严格检查，则 SwitchB 在收到源地址为2.1.1.1的报文时，URPF 检查到以此报文源地址对应的接口与收到该报文的接口不匹配，报文会被丢弃。

看着这些密密麻麻的文字，我们都很容易犯困。为何如此呢？产品手册必须严谨表达，具备十足的逻辑感。然而，这样常常理性有余，感性不足。我们瞧着每个字似乎都相识，可整句话却难以理解。（当然，我觉得华为文档已经整理得相当不错了。）

我自己有个防困小妙招，就是在边看文档的同时边做实验。

二、实验设计

2.1 实验拓扑

参照产品手册中的拓扑，我们在 EVE-NG 网络模拟器上，使用华为 CE12800 镜像搭建一个伪造源 IP 的实验拓扑。

地址规划

抓包点：SwichB GE1/0/0、GE1/0/2

我们在 SwichA 的 LoopBack1 上，模拟出伪装地址3.3.3.3/32。随后， SwichA 以3.3.3.3为源地址，2.2.2.2为目的地址，向 SwichB，发送 ping，进行攻击。

观察现象：SwichB 响应了伪装报文，却将应答报文发往 SwichC。

2.2 实验目的

通过对 SwichA 发包给 SwichB，然而 SwichB 应答 SwichC 这一过程的观察，我们逐渐认识到 URPF 的存在意义。

三、实验过程

3.1 实验配置

SwitchAsysname SwitchA

interface GE1/0/0

undo portswitch

undo shutdown

ip address 12.1.1.1 255.255.255.0

interface LoopBack0

ip address 1.1.1.1 255.255.255.255

interface LoopBack1

ip address 3.3.3.3 255.255.255.255

ip route-static 0.0.0.0 0.0.0.0 GE1/0/0 12.1.1.2

SwitchBsysname SwitchB

interface GE1/0/0

undo portswitch

undo shutdown

ip address 12.1.1.2 255.255.255.0

interface GE1/0/2

undo portswitch

undo shutdown

ip address 23.1.1.2 255.255.255.0

interface LoopBack0

ip address 2.2.2.2 255.255.255.255

ip route-static 1.1.1.1 255.255.255.255 GE1/0/0 12.1.1.1

ip route-static 3.3.3.3 255.255.255.255 GE1/0/2 23.1.1.3

SwitchCsysname SwitchC

interface GE1/0/2

undo portswitch

undo shutdown

ip address 23.1.1.3 255.255.255.0

interface LoopBack0

ip address 3.3.3.3 255.255.255.255

ip route-static 0.0.0.0 0.0.0.0 GE1/0/2 23.1.1.2

检查命令display interface brief

display ip interface brief

display ip routing-table

3.2 实验观察

我们在 SwitchA 上以3.3.3.3为源地址进行 ping 测。

ping -c 1 -a 3.3.3.3 2.2.2.2

其中，-c 1表示发送 1 个包；-a 3.3.3.3表示以3.3.3.3为源地址；2.2.2.2是目的地址。

WireShark 是一个可反复观察数据包流向的实用工具。仔细观察抓包信息，我们可以发现，实际上 SwitchC 并没有请求，但 SwitchB 且给它发了响应报文。

关于"攻击"，如果现实网络中，SwitchA 不停地发各种各样的以3.3.3.3为源的数据包（不仅仅是 ping 请求包），这种行为就是“伪造源攻击”。SwitchB、SwitchC 会不时受扰，严重的话，将影响正常业务。

那么，从路由交换技术的角度，有没有办法限制这种攻击呢？答案是有的，如 URPF 技术。

结合产品手册：如果在 SwitchB 上启用 URPF 相关检查，则 SwitchB 在收到源地址为3.3.3.3的报文时，URPF 检查到以此报文源地址对应的接口与收到该报文的接口不匹配，报文会被丢弃。

四、本文总结

我们结合着实验现象，再度回过头去品读文档手册中的相关表述，便会发觉那些原本云里雾里的表述会清晰许多。在实际生产中，网络技术相当繁杂，其使用场景也相当多，我们难以将产品文档自头开始进行通读。就拿这个产品文档的 URPF 概述来说，我反复琢磨了许久，实验我探究了良久。当然，这个实验还有后续。为避免篇幅冗长，有关开启 URPF 功能后的实验，我将另外安排一篇文章梳理总结。

熟识我的读者朋友可能都知道。我长久以来不断表达：于浩瀚如烟的网络世界中，有时我们并不知晓该如何寻觅学习的切入点，我们可以尝试从“手头做什么，就学什么”起步，逐步构建我们的技术知识框架。共勉。

今晚先分享这些，后续将继续梳理分享。

我知乎总目录

https://zhuanlan.zhihu.com/p/370526806

读者再创作目录

https://zhuanlan.zhihu.com/p/498090646

感谢阅读，欢迎关注点赞，转发分享。

觉得有帮助，特别认可，可打赏1元鼓励！

2024年4月于广东汕头

（本人在家乡广东汕头工作和生活。汕头位于大陆海岸线与北回归线的交界处，是著名侨乡和“美食孤岛”，也是中国数字经济创新发展大会的永久会址。欢迎我的读者和同行朋友们有机会来汕头进行商务出差或旅游。如果你们有空来汕头，欢迎与我交流本地的风土人情和网络技术实践。我们的团队专注于大型数据中心和通信基础网的建设与运维，业务辐射华南乃至全国全球。欢迎交流洽谈合作。另，《网络工程师的Python之路》已被多所院校、培训机构列为教材，也是 NetDevOps 生产工具书，欢迎购买支持。）

标签：

上一篇：《蔚蓝》开发者新作《大地之刃》推迟发售钱没白花！《哥斯拉大战金刚2》超预期，导演还懂赵本山的小品？

下一篇：计算机网络该怎么学？

【实用】网络 URPF 技术（实验1）

一、查阅手册

二、实验设计

2.1 实验拓扑

2.2 实验目的

三、实验过程

3.1 实验配置

3.2 实验观察

四、本文总结

热门推荐

响应式服装外贸企业网站模板

响应式日用百化外贸网站模板

响应式智能机器人网站模板

响应式人脸识别一体机网站模板