概述

对于传统的网络转发设备来说，主要依靠的就是路由表，只要有路由就转发，如果没有就不转发。可以说对于要转发的报文，网络转发设备是无条件的完全信任，这就导致了IP欺骗的问题，这也是诸多内网IP欺骗的来源，列如在一个局域网的内部，可以在某台主机上面使用流量制造工具进行虚假流量的制造，这些流量的目的可能就是对当前网络进行扰乱。

像IP-MAC的绑定也可以防范IP欺骗以及ARP欺骗，IP-MAC绑定技术主要是人为设置的IP-MAC的映射关系，于是在报文转发或者arp记录学习的过程中就会对映射关系进行检查，只有检查通过才会进行转发。但是无论是URPF还是IP-MAC的绑定，毫无疑问都会减少网络设备的转发速度。

基本原理

URPF的基本原理也很简单，总共分为严格模式和松散模式，严格模式是这样的，若一个报文进入网络设备的时候，若在路由表中可以找到目的网络是该报文的源IP网络，而且它的入接口和路由表中的指明的接口是对应的，那么就可以进行转发。松散模式是只要可以找到目的网络是该报文的源IP网络那么就进行转发。

如何防范

为什么这样子就可以防范IP欺骗，首先攻击者在进行虚假流量的制造的时候，可能会使用虚假的源IP地址，如果是不存在的主机IP，那么当这类奴存在的IP到达设置了URPF的网络设备的时候，就会因为没有相应的路由表条目而被丢弃。那么如果攻击者伪冒内网已经存在的主机去进行流量发送，那么毫无疑问也是会被丢弃的。

缺点

现在有一个缺点，假如攻击者控制了内网的一台主机，而且这台主机的网段为192.168.0.0，那么只要攻击者知道这个原理，那么就可以假冒该C类网络的所有主机IP进行虚假流量的发送。如果网段更大一点，比如B类私网地址，那么可以假冒的就更多了。所以说URPF确实可以减少IP欺骗，但是如果知道了原理，想要假冒那还不是分分钟的事情。