專利名稱:偽造源地址過濾方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于互聯(lián)網(wǎng)技術(shù)領(lǐng)域����,尤其涉及IP源地址驗(yàn)證領(lǐng)域,用于偽造源地址過濾 的方法���。
背景技術(shù):
源地址偽造是網(wǎng)絡(luò)主機(jī)使用偽造的IP(網(wǎng)際協(xié)議)源地址發(fā)起網(wǎng)絡(luò)攻擊或進(jìn)行不 正當(dāng)網(wǎng)絡(luò)活動的行為��。利用源地址偽造的手段�,網(wǎng)絡(luò)攻擊的發(fā)起者可以隱匿自己的身份和 位置����,逃避法律的制裁。隨著源地址偽造手段的大量使用����,基于真實(shí)地址的網(wǎng)絡(luò)計費(fèi)、管理���、 監(jiān)控和安全認(rèn)證等都無法正常進(jìn)行���,對互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和上層應(yīng)用都造成了嚴(yán)重的危害。 隨著互聯(lián)網(wǎng)地下經(jīng)濟(jì)的發(fā)展��,基于源地址偽造的網(wǎng)絡(luò)攻擊愈發(fā)猖獗���,甚至危害到社會和國 家的安全����。據(jù)互聯(lián)網(wǎng)觀測組織CAIDA (互聯(lián)網(wǎng)數(shù)據(jù)分析協(xié)作聯(lián)盟)的統(tǒng)計����,中國已成為全世 界第二大的偽造源地址流量的源泉。加強(qiáng)網(wǎng)絡(luò)設(shè)備對源地址的驗(yàn)證�、過濾掉源地址偽造的 IP報文,對于互聯(lián)網(wǎng)的安全和擴(kuò)展����,乃至經(jīng)濟(jì)、社會的健康發(fā)展都具有重要的意義����。互聯(lián)網(wǎng)中存在源地址偽造的根本原因在于��,網(wǎng)絡(luò)設(shè)備(例如路由器�����、交換機(jī)等)按 照IP報文的目的地址進(jìn)行轉(zhuǎn)發(fā)和處理,并不對報文的源地址進(jìn)行檢查���,從而致使帶有偽造 源地址的IP報文也可以在網(wǎng)絡(luò)傳輸����、最終到達(dá)攻擊目標(biāo)�。目前,應(yīng)用較為廣泛的偽造源地 址過濾方法是uRPF (Unicast Reverse Path Forwarding����,單播逆向路徑轉(zhuǎn)發(fā))。該方法利用路由器上的轉(zhuǎn)發(fā)表(FIB)進(jìn)行反向的檢查���,如果報文源地址在轉(zhuǎn)發(fā)表 中所對應(yīng)的出端口與報文的進(jìn)入端口一致���,則認(rèn)為該報文的源地址是正確的并予以轉(zhuǎn)發(fā), 否則認(rèn)為該報文的源地址是偽造的并將其丟棄�。該方法的特征在于,假設(shè)一個IP地址作為 報文源地址所到達(dá)的端口與其作為報文目的地址轉(zhuǎn)發(fā)出去的端口是一致的��,因而反向利用 轉(zhuǎn)發(fā)表作為源地址檢查表����。但是���,這種假設(shè)在非對稱路由、多路徑的情況下是不成立的�,因 此����,該方法可能會丟棄掉一些源地址正確的報文,嚴(yán)重影響正常用戶的網(wǎng)絡(luò)應(yīng)用�。
發(fā)明內(nèi)容
本發(fā)明的目的旨在至少解決現(xiàn)有技術(shù)中的上述問題之一。為此���,本發(fā)明的實(shí)施例提出一種能夠正確�����、有效過濾網(wǎng)絡(luò)中源地址偽造報文的方 法和裝置�。根據(jù)本發(fā)明的一個方面�����,本發(fā)明實(shí)施例提出了一種偽造源地址過濾方法�,所述方 法包括以下步驟在報文到達(dá)路由器的一個接口后,使用報文的源地址檢查該到達(dá)接口是 否學(xué)習(xí)到報文的源地址對應(yīng)的前綴����;如果該到達(dá)接口沒有學(xué)習(xí)到過��,則進(jìn)一步檢查路由器 的其他接口是否學(xué)習(xí)到報文的源地址對應(yīng)的前綴�����;以及在其他接口學(xué)習(xí)到過時�,丟棄該報 文��;在其他接口沒有學(xué)習(xí)到過時���,轉(zhuǎn)發(fā)該報文��。根據(jù)本發(fā)明進(jìn)一步的實(shí)施例�����,如果該到達(dá)接口學(xué)習(xí)到過���,則轉(zhuǎn)發(fā)該報文。根據(jù)本發(fā)明進(jìn)一步的實(shí)施例�,所述檢查步驟是通過將報文的源地址在路由器的路 由信息表中進(jìn)行最長前綴匹配來執(zhí)行。
根據(jù)本發(fā)明的另一方面,本發(fā)明的實(shí)施例提出一種偽造源地址過濾裝置�,所述裝 置設(shè)置在路由器上,并包括檢查模塊����,所述檢查模塊在報文到達(dá)路由器的一個接口后,使 用報文的源地址檢查該到達(dá)接口是否學(xué)習(xí)到報文的源地址對應(yīng)的前綴�;如果該到達(dá)接口沒 有學(xué)習(xí)到過,則進(jìn)一步檢查路由器的其他接口是否學(xué)習(xí)到報文的源地址對應(yīng)的前綴����;以及 丟棄模塊�,在其他接口學(xué)習(xí)到過時,丟棄該報文��;轉(zhuǎn)發(fā)模塊���,在其他接口沒有學(xué)習(xí)到過時�����,轉(zhuǎn) 發(fā)該報文����。根據(jù)本發(fā)明進(jìn)一步的實(shí)施例,在檢查模塊檢查該到達(dá)接口學(xué)習(xí)到過報文的源地址 對應(yīng)的前綴時����,所述轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)該報文。根據(jù)本發(fā)明進(jìn)一步的實(shí)施例�,所述檢查模塊通過將報文的源地址在路由器的路由 信息表中進(jìn)行最長前綴匹配來進(jìn)行檢查。本發(fā)明部署在路由器上�����,在非對稱路由和多路徑的情況下依然能夠正確工作����,能 夠正確而有效的過濾網(wǎng)絡(luò)中的源地址偽造報文。相比于嚴(yán)格的反向路徑檢查��,本發(fā)明可以避免假陽性�����;相比于寬松的反向路徑檢 查�����,本發(fā)明降低了假陰性程度��。本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出,部分將從下面的描述中變 得明顯�,或通過本發(fā)明的實(shí)踐了解到。
本發(fā)明的上述和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對實(shí)施例的描述中將變 得明顯和容易理解�,其中圖1為本發(fā)明的偽造源地址過濾方法流程圖;圖2為本發(fā)明偽造源地址過濾方法的實(shí)施例���;圖3為本發(fā)明偽造源地址過濾裝置的結(jié)構(gòu)方塊圖��。
具體實(shí)施例方式下面詳細(xì)描述本發(fā)明的實(shí)施例����,所述實(shí)施例的示例在附圖中示出�����,其中自始至終 相同或類似的標(biāo)號表示相同或類似的元件或具有相同或類似功能的元件���。下面通過參考附 圖描述的實(shí)施例是示例性的,僅用于解釋本發(fā)明����,而不能解釋為對本發(fā)明的限制。本發(fā)明的方法部署在報文轉(zhuǎn)發(fā)路徑的任一路由器上����,用于檢查報文源地址的真實(shí) 性��,其中路由器上建立有對應(yīng)的路由信息表(Routing Information Base)�����,通過執(zhí)行本方 法所述的偽造源地址過濾流程進(jìn)行實(shí)施��。首先參考圖1�����,該圖為本發(fā)明的偽造源地址過濾方法流程圖����。如圖1所示�����,報文首先到達(dá)路由器的一個接口(步驟102)��,然后使用報文的源地址檢查該到達(dá) 接口是否學(xué)習(xí)到報文的源地址對應(yīng)的前綴檢查(步驟104)�����,即是否從報文的到達(dá)接口學(xué)習(xí) 到過報文的源地址對應(yīng)的前綴。如果學(xué)習(xí)到過����,則認(rèn)為報文的源地址是真實(shí)的,轉(zhuǎn)發(fā)報文(步驟110)���;否則���,進(jìn)一 步檢查路由器的其他接口是否學(xué)習(xí)到報文的源地址對應(yīng)的前綴(步驟106)。如果只在別的接口上學(xué)習(xí)到過對應(yīng)的前綴���,則認(rèn)為報文的源地址是偽造的丟棄報 文(步驟108)��;如果從來沒有學(xué)習(xí)到過對應(yīng)的前綴��,即路由器的到達(dá)接口和其他接口均沒學(xué)習(xí)過該報文的源地址對應(yīng)的前綴,則認(rèn)為報文的源地址是真實(shí)的�����,轉(zhuǎn)發(fā)報文(步驟110)���。在一個實(shí)施例中��,步驟104和106中的檢查步驟可以通過將報文的源地址在路由 器的路由信息表中進(jìn)行最長前綴匹配來執(zhí)行�����。具體可以參考圖2�����,圖2為本發(fā)明偽造源地址 過濾方法的實(shí)施例����。同樣地,在報文到達(dá)路由器的一個接口(步驟202)之后��,查找報文的允許入接口�����。 即����,使用報文的源地址在路由信息表中進(jìn)行最長前綴匹配,以查找報文源地址在當(dāng)前路由 中是否有匹配的接口(步驟204)�����。如果沒有匹配結(jié)果,則轉(zhuǎn)步驟210��,認(rèn)為報文的源地址是真實(shí)的��,轉(zhuǎn)發(fā)報文����。否則, 在所有匹配的路由信息的接口(即路由器中學(xué)習(xí)到相應(yīng)路由信息的接口)中�����,判斷是否存 在一個或多個與報文進(jìn)入路由器的接口��,即到達(dá)接口一致的匹配接口(步驟206)��。如果有��, 則認(rèn)為報文的源地址是真實(shí)的����,轉(zhuǎn)發(fā)報文(步驟210)�����;否則,認(rèn)為報文的源地址是偽造的�����, 丟棄報文(步驟208)��。另外�����,本發(fā)明還提供了 一種偽造源地址過濾裝置���,所述裝置設(shè)置在路由器上�����。如圖 3實(shí)施例所示����,該裝置包括檢查模塊12����、轉(zhuǎn)發(fā)模塊14以及丟棄模塊16。檢查模塊12在報文到達(dá)路由器的一個接口后,使用報文的源地址檢查該到達(dá)接 口是否學(xué)習(xí)到報文的源地址對應(yīng)的前綴��。如果該到達(dá)接口沒有學(xué)習(xí)到過�����,則進(jìn)一步檢查路 由器的其他接口是否學(xué)習(xí)到報文的源地址對應(yīng)的前綴��。并將對應(yīng)的檢查結(jié)果輸出給轉(zhuǎn)發(fā)模 塊14和丟棄模塊16���。 丟棄模塊16根據(jù)檢查模塊12的輸出�����,在其他接口學(xué)習(xí)到過時丟棄該報文�����;轉(zhuǎn)發(fā)模 塊14根據(jù)檢查模塊12的輸出��,在其他接口沒有學(xué)習(xí)到過時����,轉(zhuǎn)發(fā)該報文�����。在檢查模塊14 檢查該到達(dá)接口學(xué)習(xí)到過報文的源地址對應(yīng)的前綴時����,轉(zhuǎn)發(fā)模塊14則轉(zhuǎn)發(fā)該報文。在一個實(shí)施例中�����,檢查模塊12通過將報文的源地址在路由器的路由信息表中進(jìn) 行最長前綴匹配來進(jìn)行檢查���。即��,使用報文的源地址在路由信息表中進(jìn)行最長前綴匹配��,以 查找報文源地址在當(dāng)前路由中是否有匹配的接口�����。如果沒有匹配結(jié)果����,則轉(zhuǎn)發(fā)報文�。否則, 在所有匹配的路由信息的接口(即路由器中學(xué)習(xí)到相應(yīng)路由信息的接口)中,判斷是否存 在一個或多個與報文進(jìn)入路由器的接口�����,即到達(dá)接口 一致的匹配接口�����。如果有���,則轉(zhuǎn)發(fā)報 文��;否則��,丟棄報文��。本發(fā)明提出了一種新的部署在路由器上的偽造源地址過濾方法和裝置����,在非對稱 路由和多路徑的情況下依然能夠正確工作�����,能夠正確而有效的過濾網(wǎng)絡(luò)中的源地址偽造報 文�。因此����,相比于嚴(yán)格的反向路徑檢查����,本發(fā)明可以避免假陽性��,即避免將原本正確的 報文丟棄掉���;相比于寬松的反向路徑檢查����,本發(fā)明降低了假陰性程度�����,即降低將原本錯誤的 報文沒有過濾掉的程度�。盡管已經(jīng)示出和描述了本發(fā)明的實(shí)施例,對于本領(lǐng)域的普通技術(shù)人員而言�����,可以 理解在不脫離本發(fā)明的原理和精神的情況下可以對這些實(shí)施例進(jìn)行多種變化��、修改、替換 和變型����,本發(fā)明的范圍由所附權(quán)利要求及其等同限定。
權(quán)利要求
1.一種偽造源地址過濾方法�,其特征在于,所述方法包括以下步驟在報文到達(dá)路由器的一個接口后���,使用報文的源地址檢查該到達(dá)接口是否學(xué)習(xí)到報文 的源地址對應(yīng)的前綴����;如果該到達(dá)接口沒有學(xué)習(xí)到過����,則進(jìn)一步檢查路由器的其他接口是否學(xué)習(xí)到報文的源 地址對應(yīng)的前綴;以及在其他接口學(xué)習(xí)到過時�����,丟棄該報文���;在其他接口沒有學(xué)習(xí)到過時�����,轉(zhuǎn)發(fā)該報文�。
2.如權(quán)利要求1所述的偽造源地址過濾方法,其特征在于�����,如果該到達(dá)接口學(xué)習(xí)到過�, 則轉(zhuǎn)發(fā)該報文。
3.如權(quán)利要求1所述的偽造源地址過濾方法�,其特征在于���,所述檢查步驟是通過將報 文的源地址在路由器的路由信息表中進(jìn)行最長前綴匹配來執(zhí)行�����。
4.一種偽造源地址過濾裝置�,其特征在于���,所述裝置設(shè)置在路由器上�����,并包括檢查模塊����,所述檢查模塊在報文到達(dá)路由器的一個接口后,使用報文的源地址檢查該 到達(dá)接口是否學(xué)習(xí)到報文的源地址對應(yīng)的前綴����;如果該到達(dá)接口沒有學(xué)習(xí)到過,則進(jìn)一步 檢查路由器的其他接口是否學(xué)習(xí)到報文的源地址對應(yīng)的前綴���;以及丟棄模塊�����,在其他接口學(xué)習(xí)到過時���,丟棄該報文;轉(zhuǎn)發(fā)模塊�����,在其他接口沒有學(xué)習(xí)到過時��,轉(zhuǎn)發(fā)該報文��。
5.如權(quán)利要求4所述的偽造源地址過濾裝置�,其特征在于����,在檢查模塊檢查該到達(dá)接 口學(xué)習(xí)到過報文的源地址對應(yīng)的前綴時�����,所述轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)該報文�。
6.如權(quán)利要求4所述的偽造源地址過濾方法,其特征在于�����,所述檢查模塊通過將報文 的源地址在路由器的路由信息表中進(jìn)行最長前綴匹配來進(jìn)行檢查�����。
全文摘要
本發(fā)明公開了一種偽造源地址過濾方法和裝置�,在報文到達(dá)路由器的一個接口后���,使用報文的源地址檢查該到達(dá)接口是否學(xué)習(xí)到報文的源地址對應(yīng)的前綴�;如果該到達(dá)接口沒有學(xué)習(xí)到過��,則進(jìn)一步檢查路由器的其他接口是否學(xué)習(xí)到報文的源地址對應(yīng)的前綴���;以及在其他接口學(xué)習(xí)到過時����,丟棄該報文;在其他接口沒有學(xué)習(xí)到過時���,轉(zhuǎn)發(fā)該報文���。本發(fā)明能夠?qū)崿F(xiàn)正確且有效的過濾網(wǎng)絡(luò)中的源地址偽造報文。
文檔編號H04L29/06GK102006289SQ20101054367
公開日2011年4月6日 申請日期2010年11月11日 優(yōu)先權(quán)日2010年8月5日
發(fā)明者劉冰洋, 姚廣, 畢軍 申請人:清華大學(xué)