[发明专利]一种防止非法路由攻击的方法、系统和装置

权利要求书

1、一种防止非法路由攻击的方法，其特征在于，包括以下步骤：

当会话初始协议SIP请求消息中下一跳为IP地址格式时，检测所述SIP请求消息中下一跳的IP地址是否为广播地址；

当所述IP地址为广播地址时，拒绝所述SIP请求消息；

当所述IP地址为非广播地址时，根据预先配置的SIP应用层逻辑路由表中的IP禁止列表和IP允许列表对所述SIP请求消息进行合法性检查。

2、如权利要求1所述防止非法路由攻击的方法，其特征在于，当SIP请求消息中下一跳为IP地址格式时，检测所述SIP请求消息中下一跳的IP地址是否为广播地址之前，还包括：

判断所述SIP请求消息中下一跳的格式。

3、如权利要求2所述防止非法路由攻击的方法，其特征在于，还包括：

当所述SIP请求消息中下一跳为域名格式时，解析所述域名，获取所述域名对应的IP地址；

或者，当所述SIP请求消息中下一跳为域名格式时，根据预先配置的SIP应用层逻辑路由表中的禁止域名列表和允许域名列表对所述SIP请求消息进行合法性检查。

4、如权利要求1所述防止非法路由攻击的方法，其特征在于，所述根据预先配置的SIP应用层逻辑路由表中的IP禁止列表和IP允许列表对所述SIP请求消息进行合法性检查，具体包括：

根据所述SIP请求消息中的请求方法名称查询所述IP禁止列表中是否出现所述IP地址；当所述IP禁止列表中出现所述IP地址时，拒绝所述SIP请求消息；

否则，根据所述请求方法名称查询所述IP允许列表中是否出现所述IP地址；当所述IP允许列表中出现所述IP地址时，根据所述IP地址将所述SIP请求消息进行路由，否则，拒绝所述SIP请求消息。

5、如权利要求3所述防止非法路由攻击的方法，其特征在于，所述根据预先配置的SIP应用层逻辑路由表中的禁止域名列表和允许域名列表对所述SIP请求消息进行合法性检查，具体包括：

根据所述SIP请求消息中的请求方法名称查询所述禁止域名列表中是否出现所述域名；当所述禁止域名列表中出现所述域名时，拒绝所述SIP请求消息；

否则，根据所述请求方法名称查询所述允许域名列表中是否出现所述域名；当所述允许域名列表中出现所述域名时，根据所述域名将所述SIP请求消息进行路由，否则，拒绝所述SIP请求消息。

6、一种防止非法路由攻击的系统，其特征在于，包括：

防止非法路由攻击的装置，用于根据预先配置的应用层逻辑路由表对会话初始协议SIP请求消息进行合法性检测检查和路由处理；

所述防止非法路由攻击的装置，包括：

检测模块，用于当SIP请求消息中下一跳为IP地址格式时，检测所述SIP请求消息中下一跳的IP地址是否为广播地址；

拒绝模块，用于当所述IP地址为广播地址时，拒绝所述SIP请求消息；

第一检查模块，用于当所述IP地址为非广播地址时，根据预先配置的SIP应用层逻辑路由表中的IP禁止列表和IP允许列表对所述SIP请求消息进行合法性检查。

7、一种防止非法路由攻击的装置，其特征在于，包括：

检测模块，用于当SIP请求消息中下一跳为IP地址格式时，检测所述SIP请求消息中下一跳的IP地址是否为广播地址；

拒绝模块，用于当所述IP地址为广播地址时，拒绝所述SIP请求消息；

第一检查模块，用于当所述IP地址为非广播地址时，根据预先配置的SIP应用层逻辑路由表中的IP禁止列表和IP允许列表对所述SIP请求消息进行合法性检查。

8、如权利要求7所述防止非法路由攻击的装置，其特征在于，还包括：

判断模块，用于判断所述SIP请求消息中下一跳的格式。

9、如权利要求8所述防止非法路由攻击的装置，其特征在于，还包括：

获取模块，用于当所述SIP请求消息中下一跳为域名格式时，解析所述域名，获取所述域名对应的IP地址；

或者，第二检查模块，用于当所述SIP请求消息中下一跳为域名格式时，根据预先配置的SIP应用层逻辑路由表中的禁止域名列表和允许域名列表对所述SIP请求消息进行合法性检查。