[发明专利]单一地址反向传输路径转发的实现方法及装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种单一地址反向传输路径转发(Unicast Reverse Path Forwarding，简称为uRPF)的实现方法及装置。

背景技术

伪造源地址的网络攻击中，黑客机器向受害主机发送大量伪造源地址的TCP(Transmission Control Protocol，传输控制协议)SYN报文，占用安全网关的NAT(Network Address translation，网络地址转换)会话资源，最终将安全网关的NAT会话表占满，导致局域网内所有人无法上网。

uRPF是一项增强路由安全的有效措施，其主要防止基于源地址欺骗的网络攻击行为。uRPF采用以下数据包转发机制：当路由器(Router)接收到一个数据包，它检查路由表，判断返回数据包的源IP地址的路由是否从接收到该数据包的接口进入，如果是，则正常转发该数据包；否则，认为源IP地址是伪装的，丢弃该数据包。反向路由转发在防止恶意伪造源地址以及DDoS(Distributed Denialof Service，分布式拒绝服务)攻击方面颇有成效。

例如，路由器接收到一个源IP地址为a的数据包，如果路由表中没有为IP地址a提供任何路由(即反向数据包传输时所需的路由)，则路由器会丢弃它。uRPF在ISP(局端)实现阻止SMURF攻击和其他基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其他地方的侵扰。

从保护效果的角度考虑，越边缘的设备实现网络防护的效果越好。同时，越边缘的设备，网络流量也相对较小，打开保护功能，对网络转发性能的影响也较小。

但是，目前IPv6网络缺少在宽带接入设备上实现源地址过滤控制的技术。

发明内容

本发明旨在提供一种uRPF的实现方法及装置，以解决接入设备缺少源地址过滤控制的技术的问题。

根据本发明的一个方面，提供了一种uRPF的实现方法。

根据本发明的用于IPv6网络的uRPF的实现方法，该IPv6网络包括接入设备、路由器、用户侧设备，其中，该方法包括：接入设备侦听并获取来自路由器的公告报文，其中，公告报文中携带有地址前缀信息；接入设备根据获取的地址前缀信息建立前缀表；接入设备接收来自用户侧设备的接入请求报文，判断接入请求报文的源IP地址是否存在于前缀表内，并根据判断结果决定是否向路由器转发报文。

优选地，接入设备侦听并获取的公告报文由路由器以预定周期发送，并且在接入设备获取到新的公告报文的情况下，该方法还包括：接入设备更新前缀表中记录的信息。

优选地，该方法还包括：在预设时间内前缀表中记录的信息没有被更新的情况下，老化前缀表中记录的信息。

优选地，根据判断结果决定是否转发报文的处理具体为：在判断结果为是的情况下，向路由器转发报文；在判断结果为否的情况下，丢弃报文。

根据本发明的另一方面，还提供了一种uRPF的实现装置。

根据本发明的uRPF的实现装置，用于IPv6网络，该IPv6网络包括接入设备、路由器、用户侧设备，该装置位于接入设备，其中，该装置包括：侦听和获取模块，用于侦听并获取来自路由器的公告报文，其中，路由器公告报文中携带有地址前缀信息；建立模块，用于根据获取的地址前缀信息建立前缀表；接收模块，用于接收来自用户侧设备的接入请求报文；转发模块，用于在接入请求报文的源IP地址存在于建立模块建立的前缀表内的情况下，向路由器转发报文。

优选地，该装置还包括：判断模块，连接于接收模块和转发模块，用于判断接入请求报文的源IP地址是否存在于建立模块建立的前缀表内，在判断结果为是的情况下，执行转发模块。

优选地，侦听和获取模块侦听并获取的公告报文由路由器以预定周期发送，并且在侦听和获取模块获取到新的公告报文的情况下，该装置还包括：更新模块，连接至侦听和获取模块以及建立模块，用于更新前缀表中记录的信息。

优选地，该装置还包括：老化模块，连接至建立模块，用于老化在预设时间内没有被更新的前缀表中记录的信息。

优选地，建立模块将建立的前缀表以访问控制链表的方式传输到转发模块。

通过本发明的上述技术方案，根据获取的路由器接口(Interface)的路由信息对来自用户侧设备的报文进行处理，能够过滤伪造数据包，在接入设备上实现了地址过滤控制。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：