RPF叫做逆向路徑轉(zhuǎn)發(fā)序臂,主要用于組播環(huán)境中針對于組播源對于組播組地址的所有數(shù)據(jù)做路由檢查。首先組播路由協(xié)議是基于單播路由協(xié)議來運(yùn)行的实束,即單播路由協(xié)議是組播路由協(xié)議的底層奥秆,而組播路由表在形成時,其目的地址是一個組播地址咸灿,源地址是單播地址构订,為了保證源到目的的組播數(shù)據(jù)發(fā)送路徑可達(dá)且順暢,所以組播路由器會默認(rèn)開啟RPF功能避矢,去基于單播路由協(xié)議的下一跳反向檢查上游接口是否是可達(dá)且最優(yōu)的路徑悼瘾,如果是可達(dá)且最優(yōu)的囊榜,則直接發(fā)送;如果RPF檢查失敗亥宿,則直接丟棄卸勺。
URPF叫做單播逆向路徑轉(zhuǎn)發(fā),雖然名字和上述的RPF差不多烫扼,但是這項(xiàng)技術(shù)主要用于單播領(lǐng)域曙求,而且是用于網(wǎng)絡(luò)安全的。解釋一下映企,在互聯(lián)網(wǎng)環(huán)境中圆到,我們最常見的網(wǎng)絡(luò)攻擊模式就是拒絕服務(wù)攻擊,即DOS卑吭。這種攻擊的主要模式就是通過大量的肉雞在同一時間內(nèi)訪問某個服務(wù)器的固定服務(wù)芽淡,導(dǎo)致服務(wù)器疲于處理大量流量,最終崩潰豆赏。既然是攻擊挣菲,就自然是數(shù)據(jù)發(fā)送,只要發(fā)送數(shù)據(jù)掷邦,就可以溯源白胀。舉個例子,黑客抚岗、服務(wù)器或杠、普通用戶三臺終端通過公網(wǎng)互聯(lián),黑客希望攻擊服務(wù)器宣蔚,但是不想讓服務(wù)器通過源地址發(fā)現(xiàn)自己向抢,此時,黑客可以通過IP地址欺騙來形成攻擊胚委,即黑客向服務(wù)器發(fā)送大量的ICMP數(shù)據(jù)包挟鸠,此時源地址應(yīng)該黑客的終端IP,但是亩冬,它在發(fā)送數(shù)據(jù)包的時候?qū)⒃吹刂纷兂闪似胀ㄓ脩舻腎P地址艘希,那么服務(wù)器就會認(rèn)為是普通用戶給我發(fā)送的數(shù)據(jù),說白了硅急,就是黑客甩鍋給普通用戶了覆享!
如何解決呢?在公網(wǎng)路由器上開啟URPF功能营袜,開啟之后撒顿,它會檢測任何需要通過本設(shè)備發(fā)送的數(shù)據(jù),去溯源连茧,如果數(shù)據(jù)源地址和設(shè)備中的轉(zhuǎn)發(fā)表的下一跳一致核蘸,則正常轉(zhuǎn)發(fā);如果不一致啸驯,則直接丟棄客扎!當(dāng)前所有PE設(shè)備都會開啟URPF,從而實(shí)現(xiàn)了部分網(wǎng)絡(luò)安全罚斗。
小伙伴們?nèi)绻€想了解更多學(xué)習(xí)內(nèi)容徙鱼,歡迎加群一起學(xué)習(xí)~
