[发明专利]报文处理方法、装置、存储介质及处理器

说明书

本发明提供了一种报文处理方法、装置、存储介质及处理器，其中，该方法包括：在接收到待转发的报文后，确定与所述待转发的报文的源互联网协议IP地址对应的单播反向路径检查标识集合，以及预先为所述待转发的报文的入端口配置的单播反向路径检查标识；在确定单播反向路径检查标识集合中包括入端口的单播反向路径检查标识时，转发该待转发的报文；在确定单播反向路径检查标识集合中不包括入端口的单播反向路径检查标识时，丢弃该待转发的报文。通过本发明，解决了相关技术中存在的无法有效识别源IP地址欺骗的网络攻击行为的问题。

技术领域

本发明涉及通信领域，具体而言，涉及一种报文处理方法、装置、存储介质及处理器。

背景技术

在相关技术中，基于源IP地址欺骗发起的网络攻击，成为因特网上一种非常普遍的攻击形式，由此会带来严重的网络安全问题。URPF是Unicast Reverse Path Forwarding的简称，又称单播反向路径检查，用于防止基于源IP地址欺骗的网络攻击行为。通常，路由器接收到报文后，会根据报文的目的地址查找转发表，如果找到了就转发该报文，否则就丢弃该报文。URPF通过在转发表中查找源IP地址对应的路由是否存在，如果不存在，则认为源IP地址是伪装的，直接丢弃该报文。通过这种方式，URPF能够有效地防范网络中通过修改报文源IP地址而进行恶意攻击行为的发生。

在相关技术中，URPF有两种模式：

严格模式：不仅要求在转发表中存在相应表项，还要求当接口名匹配时，数据报文才能通过URPF检查。必须确保客户上行流向因特网上某主机的报文在路由器上的入口与因特网该主机流向客户的报文在路由器下行到客户的出口保持一致，也就是要保持路由的对称性。否则，URPF将因为接口不匹配而丢掉某些正常的报文。

松散模式：只检查是否有源IP地址的路由，有路由就通过URPF检查。不比对报文入口和路由的出接口是否一致。

在实际组网中，两个网络的边界设备之间如果有多个连接的话，路由的对称性就不能得到保证。如果选取URPF的松散模式，由于核心骨干路由器上包含了全球的公网路由，多达几十万条的BGP路由，伪造的源IP地址有很大概率能命中路由表里的条目，无法起到检查源IP地址真实性的目的，所以松散模式几乎没有安全防护的作用。而如果使用严格URPF，由于捆绑链路、负荷分担、双向流量路径不一致等原因，会造成误丢包，也是不可取的。总之，在核心路由器上，URPF业务无法部署，这个问题一直困扰着网络运营商。

针对相关技术中存在的无法有效识别源IP地址欺骗的网络攻击行为的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种报文处理方法、装置存储介质及处理器，以至少解决相关技术中存在的无法有效识别源IP地址欺骗的网络攻击行为的问题。

根据本发明的一个实施例，提供了一种报文处理方法，包括：在接收到待转发的报文后，确定与所述待转发的报文的源互联网协议IP地址对应的单播反向路径检查标识集合，以及预先为所述待转发的报文的入端口配置的单播反向路径检查标识；在确定所述单播反向路径检查标识集合中包括所述入端口的单播反向路径检查标识时，转发所述待转发的报文；在确定所述单播反向路径检查标识集合中不包括所述入端口的单播反向路径检查标识时，丢弃所述待转发的报文。

可选地，在接收到待转发的所述报文之前，所述方法还包括：确定预先为各边界路由器ASBR配置的基于BGP邻居节点的单播反向路径检查标识，其中，所述BGP邻居节点为其他自治系统AS中的节点，一个ASBR与一个或多个其他AS互联，且与所述一个或多个其他AS中的每个AS相连的BGP邻居节点为一个或多个，所述其他AS为除被配置了所述单播反向路径检查标识的ASBR所在的AS之外的其他AS；确定各BGP邻居节点通告的路由前缀，其中，所述路由前缀包括与各ASBR直连和/或非直连的AS对应的路由前缀；记录各BGP邻居节点通告的路由前缀与为各ASBR配置的基于BGP邻居节点的单播反向路径检查标识的对应关系。