uRPF技术：
单播逆向路径转发（Unicast Reverse Path Forwarding），其主要功能是防止基于源地址欺骗的网络攻击行为。

在没有配置uRPF技术时，网络设备不检查数据包的源地址，只关心能不能到达目的地址。由此，产生了虚假源地址欺骗网络攻击行为，例如基于源地址欺骗的DOS攻击和DDOS攻击。

uRPF有两种模式：
1.松散模式（loose）
设备检查流入数据包的源地址，在此设备上只要有和源地址相同网段的明细路由就能会放行。
2.严格模式（strict）
设备检查流入数据包的源地址，在此设备上不仅要有和源地址相同网段的明细路由，还要求这条路由必须是从这个接口学习而来的才能放行。

uRPF的处理流程：

下面我直接做实验来测试一下，这样会更加直观的体现这种基于源地址欺骗的网络攻击防御技术。

uRPF实验：

准备条件：
（1）防火墙放行所有策略
security-policy
default action permit
（2）AR9能够ping通AR10

（3）AR10开启debug命令
debugging ip icmp
terminal debugging

开始测试：
实验一、FW没有配置uRPF技术，AR9使用虚假源地址5.5.5.5 ping AR10的地址。

AR10显示的debug信息，如下

结果：
AR9虽然没有ping通AR10，但是AR10收到了来自虚假源的数据包，这是因为没有回到5.5.5.5这个虚假地址的路由所以它是不通的。既然AR10能够收到虚假源的ping包，所以这样给SYN Flood等虚假源攻击留下了可乘之机。

实验二：FW入接口配置uRPF技术，松散模式，AR9使用虚假的源地址5.5.5.5 pingAR10的地址。


结果：
AR9没有ping通AR10，而且AR10上并没有debug的信息，说明虚假源IP已经被FW丢弃。
在uRPF松散模式下，FW只放行路由表中存在的ip网段地址，5.5.5.5这个地址不存在，所有被丢弃。

实验三、FW入接口配置uRPF技术，松散模式，AR9使用存在于FW路由表中的虚假源地址192.168.1.2 ping AR10。

虚假源192.168.1.2存在于FW路由表中


结果：
AR9虽然没有ping通AR10，但是AR10收到了来自虚假源192.168.1.2的数据包，因为这个地址是虚假的所以它不通。
在uRPF松散模式下，FW会放行存在于路由表中的IP网段地址，即便它是一个虚假的地址。

实验四、FW入接口配置uRPF技术，严格模式，AR9使用存在于FW路由表中的虚假源地址192.168.1.2 ping AR10。


结果：
AR9没有ping通AR10，而且AR10上并没有debug的信息，虽然路由表上有这个虚假源地址的路由，但是虚假源IP还是被FW丢弃。
在uRPF严格模式下，即便路由表上有这个虚假源地址的路由，也要这个虚假源地址是从这个入接口学习到的路由，这样才能够放行。

总结：
uRPF技术，是网络设备检查数据包源地址合法性的一种方法。其在路由表中查找该源地址是否与数据包的来源接口相匹配，如果没有匹配表项将丢弃该数据包，从而起到预防IP欺骗，特别是针对虚假IP源地址的拒绝服务（DoS）攻击非常有效。