哈喽，大家好，我又来了。见字如面，每篇锤炼！这是本公众号第112篇原创文章。

近期，我一直在开展 URPF 相关的核查工作。此前我已梳理分享了关于如何运用 Python 脚本进行核查的思路。我认为，除了单纯核查之外，还可以借此契机，学习一下 URPF 技术。稍作梳理，分享于你。

透过此文，我更想分享的是如何从手头的事情着手，由具体工作开启自身的学习与成长。毕竟 URPF 作为一项具体网络技术，你可能以后也不会碰到这种任务，不过，如何参阅产品文档，如何战胜学习焦虑情绪，如何进行自学自驱，如何守正出奇，这些均是通用的。

本文是一个具体实验，你可以依循步骤逐步操作。若有疑问，我们可以在读者群里探讨。文章末尾处，点击“阅读原文”可直达知乎对应文章（长期维护，动态更新）。

一、查阅手册

我们可根据运维的设备，找到一份数通设备的产品文档。在此，我以华为 CE12800 产品文档作为例子，实际上其他厂商和型号版本的产品文档也都类似。我们打开产品手册，在安全目录下查阅“URPF”有关内容，抑或直接搜寻“URPF”。

我直接引用产品文档里的“URPF 概述”。

URPF是单播逆向路径转发的简称。

拒绝服务 DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。DoS 的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

URPF（Unicast Reverse Path Forwarding）在 FIB（Forwarding Information Base）表中查找数据包的 IP（Internet Protocol）源地址是否与数据包的源接口相匹配，如果没有匹配表项将丢弃该数据包，从而预防 IP 欺骗，特别是针对伪造 IP 源地址的 DoS攻 击非常有效。

如上图所示，在 SwitchA 上伪造源地址为2.1.1.1的报文向 SwitchB 发起请求，SwitchB 响应请求时将向真正的2.1.1.1（即 SwitchC）发送报文。这种非法报文对 SwitchB 和 SwitchC 都造成了攻击。

如果在 SwitchB 上启用 URPF 严格检查，则 SwitchB 在收到源地址为2.1.1.1的报文时，URPF 检查到以此报文源地址对应的接口与收到该报文的接口不匹配，报文会被丢弃。

看着这些密密麻麻的文字，我们都很容易犯困。为何如此呢？产品手册必须严谨表达，具备十足的逻辑感。然而，这样常常理性有余，感性不足。我们瞧着每个字似乎都相识，可整句话却难以理解。（当然，我觉得华为文档已经整理得相当不错了。）

我自己有个防困小妙招，就是在边看文档的同时边做实验。

二、实验设计

2.1 实验拓扑

参照产品手册中的拓扑，我们在 EVE-NG 网络模拟器上，使用华为 CE12800 镜像搭建一个伪造源 IP 的实验拓扑。

地址规划抓包点：SwichB GE1/0/0、GE1/0/2

我们在 SwichA 的 LoopBack1 上，模拟出伪装地址3.3.3.3/32。随后， SwichA 以3.3.3.3为源地址，2.2.2.2为目的地址，向 SwichB，发送 ping，进行攻击。

观察现象：SwichB 响应了伪装报文，却将应答报文发往 SwichC。

2.2 实验目的

通过对 SwichA 发包给 SwichB，然而 SwichB 应答 SwichC 这一过程的观察，我们逐渐认识到 URPF 的存在意义。

三、实验过程

3.1 实验配置

SwitchAsysname SwitchA

interface GE1/0/0

undo portswitch

 undo shutdown  

 ip address 12.1.1.1 255.255.255.0

interface LoopBack0

ip address 1.1.1.1 255.255.255.255

interface LoopBack1

 ip address 3.3.3.3 255.255.255.255

ip route-static 0.0.0.0 0.0.0.0 GE1/0/0 12.1.1.2

SwitchBsysname SwitchB

interface GE1/0/0

 undo portswitch

 undo shutdown

ip address 12.1.1.2 255.255.255.0

interface GE1/0/2

 undo portswitch

 undo shutdown

 ip address 23.1.1.2 255.255.255.0

interface LoopBack0

 ip address 2.2.2.2 255.255.255.255

ip route-static 1.1.1.1 255.255.255.255 GE1/0/0 12.1.1.1

ip route-static 3.3.3.3 255.255.255.255 GE1/0/2 23.1.1.3

SwitchCsysname SwitchC

interface GE1/0/2

undo portswitch

 undo shutdown

 ip address 23.1.1.3 255.255.255.0

interface LoopBack0

ip address 3.3.3.3 255.255.255.255

ip route-static 0.0.0.0 0.0.0.0 GE1/0/2 23.1.1.2

检查命令display interface brief 

display ip interface brief

display ip routing-table

3.2 实验观察

我们在 SwitchA 上以3.3.3.3为源地址进行 ping 测。

ping -c 1 -a 3.3.3.3 2.2.2.2

其中，-c 1表示发送 1 个包；-a 3.3.3.3表示以3.3.3.3为源地址；2.2.2.2是目的地址。

WireShark 是一个可反复观察数据包流向的实用工具。仔细观察抓包信息，我们可以发现，实际上 SwitchC 并没有请求，但 SwitchB 且给它发了响应报文。

关于"攻击"，如果现实网络中，SwitchA 不停地发各种各样的以3.3.3.3为源的数据包（不仅仅是 ping 请求包），这种行为就是“伪造源攻击”。SwitchB、SwitchC 会不时受扰，严重的话，将影响正常业务。

那么，从路由交换技术的角度，有没有办法限制这种攻击呢？答案是有的，如 URPF 技术。

结合产品手册：如果在 SwitchB 上启用 URPF 相关检查，则 SwitchB 在收到源地址为3.3.3.3的报文时，URPF 检查到以此报文源地址对应的接口与收到该报文的接口不匹配，报文会被丢弃。

四、本文总结

我们结合着实验现象，再度回过头去品读文档手册中的相关表述，便会发觉那些原本云里雾里的表述会清晰许多。在实际生产中，网络技术相当繁杂，其使用场景也相当多，我们难以将产品文档自头开始进行通读。就拿这个产品文档的 URPF 概述来说，我反复琢磨了许久，实验我探究了良久。当然，这个实验还有后续。为避免篇幅冗长，有关开启 URPF 功能后的实验，我将另外安排一篇文章梳理总结。

熟识我的读者朋友可能都知道。我长久以来不断表达：于浩瀚如烟的网络世界中，有时我们并不知晓该如何寻觅学习的切入点，我们可以尝试从“手头做什么，就学什么”起步，逐步构建我们的技术知识框架。共勉。

今晚先分享这些，后续将继续梳理分享。

我知乎总目录

https://zhuanlan.zhihu.com/p/370526806

读者再创作目录

https://zhuanlan.zhihu.com/p/498090646

感谢阅读，欢迎关注点赞，转发分享。

觉得有帮助，特别认可，可打赏1元鼓励！

2024年4月于广东汕头

（本人在家乡广东汕头工作和生活。汕头位于大陆海岸线与北回归线的交界处，是著名侨乡和“美食孤岛”，也是中国数字经济创新发展大会的永久会址。欢迎我的读者和同行朋友们有机会来汕头进行商务出差或旅游。如果你们有空来汕头，欢迎与我交流本地的风土人情和网络技术实践。我们的团队专注于大型数据中心和通信基础网的建设与运维，业务辐射华南乃至全国全球。欢迎交流洽谈合作。另，《网络工程师的Python之路》已被多所院校、培训机构列为教材，也是 NetDevOps 生产工具书，欢迎购买支持。）

标签：

相关文章： 如何轻松查询联想官网收录情况？  苹果上线“Apps by Apple”网站，展示旗下官方应用设计私人博物馆馆长马未都，本想捐出百亿古董，儿子反对让他陷入沉思  跨国网站复制攻略：轻松布局海外市场  销售压单是什么意思  网络吸粉，精准获客秘诀  淄博好活双核科技，网络未来谁主沉浮？,华人网站建设工作内容  吸引客流25招，一语道破精髓！  南威软件申请实现小程序开发与上架的方法、系统、存储介质及设备专利，实现生产环境快速开发、调试小程序曾被千万人表白“我等你长大”，如今她27岁长成这样，网友：告辞了  丹东SEO，技术精炼，策略独到，高效优化。  上海SEO优化，高效提升网站排名  网站导航如何SEO优化?  发布员工手册的通知  垂直运营和其他运营模式  青岛SEO优化，助力网络飞跃  工作动态什么意思  百度不收录内页原因有哪些？网站内容质量低吗？,商业网站推广专注火9星  网站推广，精准优化  西安网站推广，如何让你的网站脱颖而出？,网站建设要求app  拼多多的商品真的可信吗？  闭环数据是什么意思  系统开发 篇一：小程序开发费用，做小程序多少钱 小程序开发需要多少钱？41岁贾玲与49岁吴彦祖合照曝光，减肥后满脸皱纹，P图后变化明显  百度SEM徐州百都网络，SEM效果如何？,推广做任务 有哪些网站  小红书怎么搜不到我的发帖？  分析法与综合法的区别  财务体系搭建内容  宁波网络优化，首选专业公司  关键词排名快速查询  SEO稳居前列，长效推广保障  广西SEO技术全解：关键词优化，如何提升网站排名？,舟山seo公司合作  “一键免费建APP神器”  全网营销策略推广如何做？  一键查询，快速获取网站IP地址  抖音增曝光，运营技巧精！  如何问hr面试结果呢  环保设备SEO优化，关键词霸屏专家  怀化车管，便捷服务，一网通办  恩施网站，打造专业门户  微信三级分销的三大优势  创新策略是什么意思  “沉浸式体验，一触即达，快来挑战！”  网络营销新势力，一触即达全渠道！  SEO高效提升，搜狗排名翻倍秘诀  多源数据是什么意思  SEO兼职优选平台  优质体验，双倍惊喜？揭秘好评背后的秘密！,抖音关键词排名开通  茶道茶叶种植基地类网站模板  免费数据网，揭秘核心关键词，你猜是哪？,8*站建设工作  智推矩阵，全网覆盖  网传东风本田裁员2000人，被裁员工可获N+2补偿  数据分析培训机构，实力排名一览