[发明专利]一种防止非法路由攻击的方法、系统和装置

说明书

技术领域

本发明涉及网络技术领域，特别涉及一种防止非法路由攻击的方法、系统和装置。

背景技术

随着网络技术的发展，IMS(IP Multimedia Subsystem，IP多媒体子系统)/广义NGN(Next Generation Network，下一代网络)的解决方案代表了电信解决方案向IP(Internet Protocol，因特网协议)化发展的趋势，基于VOIP(VoiceoverIP，语音IP)的电信解决方案由于其开放性以及与IP通信的结合，出现了相对传统较为封闭的电信网络所未有的安全威胁。

目前以IMS解决方案为代表的电信网络IP化面对较多安全威胁，该系列安全威胁主要覆盖组网安全漏洞、应用层逻辑实现安全漏洞如SIP(SessionInitiation Protocol，会话初始协议)应用层逻辑非法路由攻击和协议/标准安全漏洞等多个方面。由于IMS/广义NGN等VOIP解决方案依赖的协议较多，可能存在协议制定过程中考虑不充分，早期开发的协议没有考虑到或不存在特定安全问题，后期的协议标准直接引用该协议而没有进行适应性修订等情况，导致的存在诸多安全漏洞。

目前还没有解决SIP应用层逻辑非法路由攻击的技术方案。

发明内容

本发明实施例提供一种防止非法路由攻击的方法、系统和装置，以解决SIP应用层逻辑止非法路由攻击问题。

为达到目的，本发明实施例一方面提供一种防止非法路由攻击的方法，包括以下步骤：

当SIP请求消息中下一跳为IP地址格式时，检测所述SIP请求消息中下一跳的IP地址是否为广播地址；

当所述IP地址为广播地址时，拒绝所述SIP请求消息；

当所述IP地址为非广播地址时，根据预先配置的SIP应用层逻辑路由表中的IP禁止列表和IP允许列表对所述SIP请求消息进行合法性检查。

另一方面，本发明实施例还提供一种防止非法路由攻击的装置系统，包括：

防止非法路由攻击的装置，用于根据预先配置的应用层逻辑路由表对会话初始协议SIP请求消息进行合法性检测检查和路由处理。

再一方面，本发明实施例还提供一种防止非法路由攻击的装置，包括：

检测模块，用于当SIP请求消息中下一跳为IP地址格式时，检测所述SIP请求消息中下一跳的IP地址是否为广播地址；

拒绝模块，用于当所述IP地址为广播地址时，拒绝所述SIP请求消息；

第一检查模块，用于当所述IP地址为非广播地址时，根据预先配置的SIP应用层逻辑路由表中的IP禁止列表和IP允许列表对所述SIP请求消息进行合法性检查。

本发明实施例具有以下有益效果：本发明实施例通过查询预先配置的SIP应用层逻辑路由表对所述SIP请求消息进行合法性检查，从而解决了SIP请求消息的非法路由攻击问题。

附图说明

图1为现本发明实施例一中防止非法路由攻击的方法流程图；

图2为现本发明实施例一中SIP请求消息预处理的方法流程图；

图3为现本发明实施例一中按照IP地址进行攻击检测及路由处理的方法流程图；

图4为现本发明实施例一中报文发送处理的方法流程图；

图5为现本发明实施例二中防止非法路由攻击的方法流程图；

图6为现本发明实施例二中按照域名进行攻击检测及路由处理的方法流程图；

图7为现本发明实施例三中防止非法路由攻击的方法流程；

图8为现本发明实施例四中防止非法路由攻击的系统结构示意图；

图9为现本发明实施例四中一种防止非法路由攻击的装置结构示意图；

图10为现本发明实施例四中另一种防止非法路由攻击的装置结构示意图。

具体实施方式

下面结合附图和具体实施步骤对本发明实施例的实施方式进行详细描述：