哈喽，大家好，我又来了。见字如面，每篇锤炼！这是本公众号第112篇原创文章。

近期，我一直在开展 URPF 相关的核查工作。此前我已梳理分享了关于如何运用 Python 脚本进行核查的思路。我认为，除了单纯核查之外，还可以借此契机，学习一下 URPF 技术。稍作梳理，分享于你。

透过此文，我更想分享的是如何从手头的事情着手，由具体工作开启自身的学习与成长。毕竟 URPF 作为一项具体网络技术，你可能以后也不会碰到这种任务，不过，如何参阅产品文档，如何战胜学习焦虑情绪，如何进行自学自驱，如何守正出奇，这些均是通用的。

本文是一个具体实验，你可以依循步骤逐步操作。若有疑问，我们可以在读者群里探讨。文章末尾处，点击“阅读原文”可直达知乎对应文章（长期维护，动态更新）。

一、查阅手册

我们可根据运维的设备，找到一份数通设备的产品文档。在此，我以华为 CE12800 产品文档作为例子，实际上其他厂商和型号版本的产品文档也都类似。我们打开产品手册，在安全目录下查阅“URPF”有关内容，抑或直接搜寻“URPF”。

我直接引用产品文档里的“URPF 概述”。

URPF是单播逆向路径转发的简称。

拒绝服务 DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。DoS 的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

URPF（Unicast Reverse Path Forwarding）在 FIB（Forwarding Information Base）表中查找数据包的 IP（Internet Protocol）源地址是否与数据包的源接口相匹配，如果没有匹配表项将丢弃该数据包，从而预防 IP 欺骗，特别是针对伪造 IP 源地址的 DoS攻 击非常有效。

如上图所示，在 SwitchA 上伪造源地址为2.1.1.1的报文向 SwitchB 发起请求，SwitchB 响应请求时将向真正的2.1.1.1（即 SwitchC）发送报文。这种非法报文对 SwitchB 和 SwitchC 都造成了攻击。

如果在 SwitchB 上启用 URPF 严格检查，则 SwitchB 在收到源地址为2.1.1.1的报文时，URPF 检查到以此报文源地址对应的接口与收到该报文的接口不匹配，报文会被丢弃。

看着这些密密麻麻的文字，我们都很容易犯困。为何如此呢？产品手册必须严谨表达，具备十足的逻辑感。然而，这样常常理性有余，感性不足。我们瞧着每个字似乎都相识，可整句话却难以理解。（当然，我觉得华为文档已经整理得相当不错了。）

我自己有个防困小妙招，就是在边看文档的同时边做实验。

二、实验设计

2.1 实验拓扑

参照产品手册中的拓扑，我们在 EVE-NG 网络模拟器上，使用华为 CE12800 镜像搭建一个伪造源 IP 的实验拓扑。

地址规划抓包点：SwichB GE1/0/0、GE1/0/2

我们在 SwichA 的 LoopBack1 上，模拟出伪装地址3.3.3.3/32。随后， SwichA 以3.3.3.3为源地址，2.2.2.2为目的地址，向 SwichB，发送 ping，进行攻击。

观察现象：SwichB 响应了伪装报文，却将应答报文发往 SwichC。

2.2 实验目的

通过对 SwichA 发包给 SwichB，然而 SwichB 应答 SwichC 这一过程的观察，我们逐渐认识到 URPF 的存在意义。

三、实验过程

3.1 实验配置

SwitchAsysname SwitchA

interface GE1/0/0

undo portswitch

 undo shutdown  

 ip address 12.1.1.1 255.255.255.0

interface LoopBack0

ip address 1.1.1.1 255.255.255.255

interface LoopBack1

 ip address 3.3.3.3 255.255.255.255

ip route-static 0.0.0.0 0.0.0.0 GE1/0/0 12.1.1.2

SwitchBsysname SwitchB

interface GE1/0/0

 undo portswitch

 undo shutdown

ip address 12.1.1.2 255.255.255.0

interface GE1/0/2

 undo portswitch

 undo shutdown

 ip address 23.1.1.2 255.255.255.0

interface LoopBack0

 ip address 2.2.2.2 255.255.255.255

ip route-static 1.1.1.1 255.255.255.255 GE1/0/0 12.1.1.1

ip route-static 3.3.3.3 255.255.255.255 GE1/0/2 23.1.1.3

SwitchCsysname SwitchC

interface GE1/0/2

undo portswitch

 undo shutdown

 ip address 23.1.1.3 255.255.255.0

interface LoopBack0

ip address 3.3.3.3 255.255.255.255

ip route-static 0.0.0.0 0.0.0.0 GE1/0/2 23.1.1.2

检查命令display interface brief 

display ip interface brief

display ip routing-table

3.2 实验观察

我们在 SwitchA 上以3.3.3.3为源地址进行 ping 测。

ping -c 1 -a 3.3.3.3 2.2.2.2

其中，-c 1表示发送 1 个包；-a 3.3.3.3表示以3.3.3.3为源地址；2.2.2.2是目的地址。

WireShark 是一个可反复观察数据包流向的实用工具。仔细观察抓包信息，我们可以发现，实际上 SwitchC 并没有请求，但 SwitchB 且给它发了响应报文。

关于"攻击"，如果现实网络中，SwitchA 不停地发各种各样的以3.3.3.3为源的数据包（不仅仅是 ping 请求包），这种行为就是“伪造源攻击”。SwitchB、SwitchC 会不时受扰，严重的话，将影响正常业务。

那么，从路由交换技术的角度，有没有办法限制这种攻击呢？答案是有的，如 URPF 技术。

结合产品手册：如果在 SwitchB 上启用 URPF 相关检查，则 SwitchB 在收到源地址为3.3.3.3的报文时，URPF 检查到以此报文源地址对应的接口与收到该报文的接口不匹配，报文会被丢弃。

四、本文总结

我们结合着实验现象，再度回过头去品读文档手册中的相关表述，便会发觉那些原本云里雾里的表述会清晰许多。在实际生产中，网络技术相当繁杂，其使用场景也相当多，我们难以将产品文档自头开始进行通读。就拿这个产品文档的 URPF 概述来说，我反复琢磨了许久，实验我探究了良久。当然，这个实验还有后续。为避免篇幅冗长，有关开启 URPF 功能后的实验，我将另外安排一篇文章梳理总结。

熟识我的读者朋友可能都知道。我长久以来不断表达：于浩瀚如烟的网络世界中，有时我们并不知晓该如何寻觅学习的切入点，我们可以尝试从“手头做什么，就学什么”起步，逐步构建我们的技术知识框架。共勉。

今晚先分享这些，后续将继续梳理分享。

我知乎总目录

https://zhuanlan.zhihu.com/p/370526806

读者再创作目录

https://zhuanlan.zhihu.com/p/498090646

感谢阅读，欢迎关注点赞，转发分享。

觉得有帮助，特别认可，可打赏1元鼓励！

2024年4月于广东汕头

（本人在家乡广东汕头工作和生活。汕头位于大陆海岸线与北回归线的交界处，是著名侨乡和“美食孤岛”，也是中国数字经济创新发展大会的永久会址。欢迎我的读者和同行朋友们有机会来汕头进行商务出差或旅游。如果你们有空来汕头，欢迎与我交流本地的风土人情和网络技术实践。我们的团队专注于大型数据中心和通信基础网的建设与运维，业务辐射华南乃至全国全球。欢迎交流洽谈合作。另，《网络工程师的Python之路》已被多所院校、培训机构列为教材，也是 NetDevOps 生产工具书，欢迎购买支持。）

标签：

相关文章： 精准营销，转化率翻倍新策略  连云港SEO速成班  几号发工资有什么区别  苹果在欧盟又做出重大让步，将首次允许用户通过网页下载iPhone应用我该怎么办？总是觉得渣男很有魅力！  技术驱动，优化体验，流量飞跃  微信付款码设置密码有新方法吗？  企业年金离职后能领出来吗？,南京营销推广途径  竞争对手分析：战略制胜的关键要素  南通SEO服务，如何选？网站流量翻倍秘诀？,机投桥网站优化方案  黑客初探之旅  湘网速推，品牌飞跃  突破建站壁垒，共创数字未来  ChatGPT如何优化个性化评估策略？  全网深度搜索神器  负面舆情净化专家  手游平台十大榜单，指尖上的娱乐盛宴  销售增长点分析  “微信新势力，推广一触即达”  闲鱼优质会员如何高效使用？  “百度开放门户”  免费AI文章写作，能开启内容创作新纪元吗？  固化工作是什么意思  如何主动申请调岗、如何进行申请  公司未融资意思什么  【关键词】品牌推广计划，如何高效实施？,大连seo查询方案  岗位定编是什么意思  “AI写作助手，效率翻倍神器”  创作无界，AI领航未来  黑帽SEO事件：揭秘暗网黑幕  草根SEO核心关键词优化，如何提升网站排名？,初学seo的文章seo推广  九成监狱管理分局→ 监狱管理先锋队  多个报道《不羁联盟》开发混乱视频被育碧版权删除三亚海滩网红扎堆直播，游客：大家都在岸上围观，感觉特别好玩  山东计算机学校排名，谁是行业翘楚？,杭州网站推广软件技术  “5000人群推广，费用优厚速抢！”  友情链接有什么作用？如何提升网站权重？,包头seo公司联系13火星  十堰市SEO优化，效果如何？,宁夏回族自治区网站优化  黑帽SEO，快速上位秘籍  网站暗链排查神器  波音遭遇重挫！“星际客机”故障、项目巨亏，防务和太空部门CEO遭解雇  京东密码忘了，怎么快速找回？  京东卖家如何快速联系？  seo网站关键词优化该怎么做？如何提升网站排名？  温州市关键词优化神器  SEO优化关键点：内容质量、关键词布局、网站结构优化。  如何通过SEO免费工具快速提升网站排名和流量？  成都竞价外包，双倍效果，如何实现？,蓟州区产品营销推广软件  ChatGPT页面空白？一键恢复流畅！  “智能网络信息抓取技术”  《SEO实战密码》第四版全新发布！  构建网络平台，拓展品牌影响力