urpf是什么?uRPF(Unicast Reverse Path Forwarding)是一種單播反向路由查找技術，用于防止基于源地址欺騙的網絡攻擊行為。

通常情況下，網絡中的路由器接收到報文后，獲取報文的目的地址，針對目的地址查找路由，如果查找到則進行正常的轉發，否則丟棄該報文。由此得知，路由器轉發報文時，并不關心數據包的源地址，這就給源地址欺騙攻擊有了可乘之機。

源地址欺騙攻擊就是入侵者通過構造一系列帶有偽造源地址的報文，頻繁訪問目的地址所在設備或者主機，即使受害主機或網絡的回應報文不能返回到入侵者，也會對被攻擊對象造成一定程度的破壞。

URPF通過檢查數據包中源IP地址，并根據接收到數據包的接口和路由表中是否存在源地址路由信息條目，來確定流量是否真實有效，并選擇數據包是轉發或丟棄。

工作模式

在復雜的網絡環境中應用 URPF 時，會遇到路由不對稱的情況，即對端設備記錄的路由路徑不一樣，此時使能URPF 的設備可能丟棄合法報文，造成設備不能正確轉發。

為了解決以上復雜網絡中應用 URPF 的問題，設備實現了 URPF 的兩種工作模式：

1、嚴格模式，嚴格模式下，設備不僅要求報文源地址在 FIB 表中存在相應表項，還要求接口匹配才能通過 URPF 檢查。

建議在路由對稱的環境下使用 URPF 嚴格模式，例如兩個網絡邊界設備之間只有一條路徑的話，這時，使用嚴格模式能夠較大限度的保證網絡的安全性。

2、松散模式，松散模式下，設備不檢查接口是否匹配，只要 FIB 表中存在該報文源地址的路由，報文就可以通過。

建議在不能保證路由對稱的環境下使用 URPF 的松散模式，例如兩個網絡邊界設備之間如果有多條路徑連接的話，路由的對稱性就不能保證，在這種情況下， URPF 的松散模式也可以保證較強的安全性。

小結

諸如TCP Syn Flood、UDP flood 和ICMP flood等攻擊，都可能通過借助源地址欺騙的方式攻擊目標設備或者主機，造成被攻擊者系統性能嚴重的降低，甚至導致系統崩潰。URPF就是網絡設備為了防范此類攻擊而使用的一種常用技術。

不同廠家的不同產品對URFP功能的支持情況有所不同，具體應用中，請查看相關產品手冊，以確認設備的實現情況。