[发明专利]一种辨别报文源地址真伪的方法

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种辨别报文源地址真伪的方法。

背景技术

在目前的网络中，普遍存在使用大量源地址为伪造的报文向目标发起攻击的情况。为了对付报文的攻击，需要确定攻击报文的真实地址与其携带的源地址是否相符。现有技术普遍在路由器接收到报文时使用使用单播反向路径转发(uRPF)技术来检测该报文源地址的真实性。

但对于负载分担路由情况下，如何进行uRPF，尚无有效的算法。

如图1所示，当攻击点本身地址为204.69.207.0/24，但在发起攻击时，却使用随机产生的伪地址向互联网服务提供商(ISP)A发起报文流，如果不对该报文源地址进行识别，被攻击端无法识别出攻击报文的真实地址，无法对攻击端进行处理。

为对付这种攻击，现有技术确定了使用uRPF技术来检测攻击报文的技术。

在边缘路由器router2在收到报文时，使用目的IP地址(DIP)进行转发信息查询，确定报文去向；使用源地址(SIP)在路由表(FIB)中进行uRPF查询，确定报文的来源。

进行uRPF查询将有如下几种情况：

uRPF FIB查询失败，这说明源IP地址(SIP)无法路由，互联网服务提供商(ISP)的应答报文也无法到达发起者。

虽然uRPF FIB查询成功，但报文的源端口与转发信息表中的目的端口不符，这说明报文来源端口不正确。

如果查询到的是负载分担路由，需要进一步分析各个负载分担信息表，在这种情况下逐一查询负载分担中的各条转发信息，当查到有一个转发表项如果符合，则说明报文来源正确；如果查询到的负载分担信息表都不符合，说明报文源地址为伪造。

当遇到一个源地址为伪造的报文，现有技术对负载分担路由的情况进行严格的uRPF检查，需要对等价多路径(ECMP)的等价路由转发表项进行循环读取并检查，当其中一条转发路径与报文源端口一致，则认为uRPF成功；当对所有等价路径一一检查完毕后，发现所有等价路径都与报文源端口不一致，才能认定uRPF失败。

现有技术这种确认uRPF失败的操作大量耗费接口带宽和处理器处理时间，无法支持高速转发的性能要求。

发明内容

本发明的目的是提供一种辨别报文源地址真伪的方法，用于在路由器接收到一条报文后判断是否转发该报文。

本发明的目的是通过以下技术方案实现的：

一种辨别报文源地址真伪的方法，包括：

在负载分担路由表为单板的路由表项添加用于标识该路由表项与本单板相关关系的本板相关标志域、用于标识本板各端口与报文携带的源地址关系的地址相关端口标识域以及用于标识单板端口有效性的有效端口域；

通过对本板相关标志域的检测确定报文携带的源地址是否与本板相关，当源地址与本板无关，则确定该地址为伪造地址；

在确定源地址与本板相关后，将报文进入路由器所经过的端口号与地址相关端口标识域和有效端口域的值进行比较，根据比较结果确定报文源地址真伪。

通过所述比较确定报文进入路由器所经过的端口是否为与报文携带的源地址相连的端口且为路由器的有效端口，如果是，则报文的源地址为真实地址，如果不是，则报文的源地址为伪地址。

所述比较通过报文进入路由器所经过的端口号与地址相关端口标识域的值以及有效端口域的值进行的与逻辑运算实现。

一种辨别报文源地址真伪的方法，包括：

路由器根据单板上原有负载分担路由表中的路由转发信息设置仅与本板相关的单跳路由表，根据所述单跳路由表进行反向查询确定报文源地址真伪；

所述设置仅与本板相关的单跳路由表包括：对于本板相关的单端口单板，该单板关于报文源地址的唯一路由转发信息与地址构成单跳路由表。

由上述本发明提供的技术方案可以看出，本发明通过为负载分担路由表添加用于辨别地址真伪的信息项，或通过压缩路由表的方法简化了对负载分担路由表多跳信息的逐一比较和查询，提高辨别效率，减少对系统处理能力的消耗。

附图说明

图1所示为使用分布式路由器的网络示意图；

图2所示为使用包含多端口单板的负载分担路由器的网络示意图；

图3所示为使用由单端口单板组成的负载分担路由器的网络示意图。

具体实施方式

本发明的核心是在路由器中的单板接收报文时，根据所述报文的源地址信息查询配置有用于识别路由地址真实性的信息，再根据查找结果确定报文源地址的真伪。