[发明专利]伪造源地址过滤方法和装置

说明书

技术领域

本发明属于互联网技术领域，尤其涉及IP源地址验证领域，用于伪造源地址过滤的方法。

背景技术

源地址伪造是网络主机使用伪造的IP(网际协议)源地址发起网络攻击或进行不正当网络活动的行为。利用源地址伪造的手段，网络攻击的发起者可以隐匿自己的身份和位置，逃避法律的制裁。随着源地址伪造手段的大量使用，基于真实地址的网络计费、管理、监控和安全认证等都无法正常进行，对互联网基础设施和上层应用都造成了严重的危害。随着互联网地下经济的发展，基于源地址伪造的网络攻击愈发猖獗，甚至危害到社会和国家的安全。据互联网观测组织CAIDA(互联网数据分析协作联盟)的统计，中国已成为全世界第二大的伪造源地址流量的源泉。加强网络设备对源地址的验证、过滤掉源地址伪造的IP报文，对于互联网的安全和扩展，乃至经济、社会的健康发展都具有重要的意义。

互联网中存在源地址伪造的根本原因在于，网络设备(例如路由器、交换机等)按照IP报文的目的地址进行转发和处理，并不对报文的源地址进行检查，从而致使带有伪造源地址的IP报文也可以在网络传输、最终到达攻击目标。目前，应用较为广泛的伪造源地址过滤方法是uRPF(Unicast Reverse Path Forwarding，单播逆向路径转发)。

该方法利用路由器上的转发表(FIB)进行反向的检查，如果报文源地址在转发表中所对应的出端口与报文的进入端口一致，则认为该报文的源地址是正确的并予以转发，否则认为该报文的源地址是伪造的并将其丢弃。该方法的特征在于，假设一个IP地址作为报文源地址所到达的端口与其作为报文目的地址转发出去的端口是一致的，因而反向利用转发表作为源地址检查表。但是，这种假设在非对称路由、多路径的情况下是不成立的，因此，该方法可能会丢弃掉一些源地址正确的报文，严重影响正常用户的网络应用。

发明内容

本发明的目的旨在至少解决现有技术中的上述问题之一。

为此，本发明的实施例提出一种能够正确、有效过滤网络中源地址伪造报文的方法和装置。

根据本发明的一个方面，本发明实施例提出了一种伪造源地址过滤方法，所述方法包括以下步骤：在报文到达路由器的一个接口后，使用报文的源地址检查该到达接口是否学习到报文的源地址对应的前缀；如果该到达接口没有学习到过，则进一步检查路由器的其他接口是否学习到报文的源地址对应的前缀；以及在其他接口学习到过时，丢弃该报文；在其他接口没有学习到过时，转发该报文。

根据本发明进一步的实施例，如果该到达接口学习到过，则转发该报文。

根据本发明进一步的实施例，所述检查步骤是通过将报文的源地址在路由器的路由信息表中进行最长前缀匹配来执行。

根据本发明的另一方面，本发明的实施例提出一种伪造源地址过滤装置，所述装置设置在路由器上，并包括：检查模块，所述检查模块在报文到达路由器的一个接口后，使用报文的源地址检查该到达接口是否学习到报文的源地址对应的前缀；如果该到达接口没有学习到过，则进一步检查路由器的其他接口是否学习到报文的源地址对应的前缀；以及丢弃模块，在其他接口学习到过时，丢弃该报文；转发模块，在其他接口没有学习到过时，转发该报文。

根据本发明进一步的实施例，在检查模块检查该到达接口学习到过报文的源地址对应的前缀时，所述转发模块转发该报文。

根据本发明进一步的实施例，所述检查模块通过将报文的源地址在路由器的路由信息表中进行最长前缀匹配来进行检查。

本发明部署在路由器上，在非对称路由和多路径的情况下依然能够正确工作，能够正确而有效的过滤网络中的源地址伪造报文。

相比于严格的反向路径检查，本发明可以避免假阳性；相比于宽松的反向路径检查，本发明降低了假阴性程度。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本发明的伪造源地址过滤方法流程图；

图2为本发明伪造源地址过滤方法的实施例；

图3为本发明伪造源地址过滤装置的结构方块图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。