[发明专利]报文识别方法和防护设备

说明书

技术领域

本发明涉及通信技术，尤其涉及一种报文识别方法和防护设备。

背景技术

当前，因特网协议版本4（Internet Protocol version4；以下简称：IPv4）在使用过程中逐渐暴露了地址资源短缺和对新业务支持的不足的问题，因特网协议版本6（Internet Protocol version6；以下简称：IPv6）处于小规模试点到大规模使用阶段，随着IPv6的大规模使用，其安全问题越来越突出，将影响运营商的运营。

路径最大传输单元（Maximum Transmission Unit；以下简称：MTU）是一种各种协议用来寻找因特网（Internet）上整条路径中支持的MTU的技术，小于MTU限制的数据可以不用进行分片传输。路径MTU发现机制利用因特网控制报文协议版本6（Internet Control Message Protocol version6；以下简称：ICMPv6）协议来发现从源节点到目的节点之间所有路径上的最小MTU。

由于IPv6协议规定数据转发节点不进行分片操作，由源节点执行分片，由目的节点进行分片重组，如果不采用路径MTU发现机制，那么IPv6网络中的节点将使用默认的1280字节作为路径MTU，凡是大于1280字节的数据包均需要经过分片操作，因此采用路径MTU发现机制可以降低分片的概率，同时提高网络传输的效率。

恶意节点基于上述路径MTU发现机制可以通过向受攻击节点发送伪造的因特网控制报文协议（Internet Control Message Protocol；以下简称：ICMP）虚假消息，增加受攻击节点的处理负荷，造成受攻击节点堆栈过载、或者受攻击节点与其他节点的正常通信中断。

目前，通常只能通过关闭路径MTU发现机制这一功能来避免路径MTU攻击，但是这会降低网络的传输效率，因此现有技术并未提供有效的防护措施。

发明内容

本发明提供一种报文识别方法和防护设备，以解决现有技术不能对路径MTU攻击进行有效防护的问题。

本发明第一方面提供一种攻击防范处理方法，包括：

防护设备接收第一报文；

如果所述防护设备确定所述第一报文为因特网控制报文协议版本6ICMPv6分组太大报文，则所述防护设备解析所述第一报文，获得所述第一报文携带的源节点的因特网协议IP地址、目的节点的IP地址和最大传输单元MTU的值；

所述防护设备根据所述源节点的IP地址和所述目的节点的IP地址，确定所述源节点和所述目的节点之间路径上合法的MTU的范围；

如果所述防护设备确定所述MTU的值不属于所述源节点和所述目的节点之间路径上合法的MTU的范围，则所述防护设备对所述第一报文进行攻击防范处理。

结合第一方面，在第一方面的第一种可能的实现方式中，所述防护设备根据所述源节点的IP地址和所述目的节点的IP地址，确定所述源节点和所述目的节点之间路径上合法的MTU的范围包括：

所述防护设备根据所述源节点的IP地址和所述目的节点的IP地址，获得所述防护设备保存的所述源节点至所述目的节点路径上MTU的值和所述目的节点至所述源节点路径上MTU的值，确定所述源节点和所述目的节点之间路径上合法的MTU的范围的上限值为所述源节点至所述目的节点路径上MTU的值和所述目的节点至所述源节点路径上MTU的值中的较大值，确定所述源节点和所述目的节点之间路径上合法的MTU的范围的下限值为所述源节点至所述目的节点路径上MTU的值和所述目的节点至所述源节点路径上MTU的值中的较小值；或者，

所述防护设备根据所述源节点的IP地址和所述目的节点的IP地址，从保存的IP地址对与路径MTU的范围的对应关系中，查询得到为所述源节点和所述目的节点之间的路径配置的路径MTU的范围。

结合第一方面或者第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述防护设备对所述第一报文进行攻击防范处理包括：

如果所述防护设备确定所述第一报文为所述第一报文所属数据流的首报文，则所述防护设备丢弃所述第一报文，以触发ICMPv6分组太大报文的重传；

如果所述防护设备在预设的第一时间长度内接收到重传的第二报文，所述第二报文是ICMPv6分组太大报文，则所述防护设备确定所述第一报文为正常的ICMPv6分组太大报文，并放行所述第二报文。

结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述方法还包括：