[发明专利]一种地址检查方法及装置

说明书

本申请提供一种地址检查方法及装置，该方法应用于边界路由设备，该方法包括：在通过使能了源地址检查功能的接口接收到报文时，对该报文进行URPF检查；在检查结果为该报文为非法报文时，进一步根据地址检查表，判断该报文是否确实为非法报文，其中，地址检查表为边界路由设备根据学习到的所有远端路由生成的包括有合法IP地址的地址检查表；在判断结果为是时，确定该报文确实为非法报文，并丢弃该报文；在判断结果为否时，确定该报文确实为合法报文，并根据报文的目的IP地址转发报文。本申请可提高网络通信质量。

技术领域

本申请涉及通信技术领域，尤其涉及一种地址检查方法及装置。

背景技术

源地址欺骗攻击是攻击者通过发送携带有伪造源地址的报文对网络设备进行攻击的一种方式。

目前，通常采用单播反向路径转发(Unicast Reverse Path Forwarding，URPF)技术防止源地址欺骗的网络攻击行为。具体的地址检查方案为：当网络中的路由设备通过使能了URPF检查功能的接口接收到报文后，对该报文进行URPF检查；在检查结果为该报文为合法报文时，该由设备根据该报文的目的互联网协议(Internet Protocol，IP)地址转发该报文；在检查结果为该报文为非法报文时，该路由设备丢弃该报文。

在上述地址检查方案中，该路由设备对该报文进行URPF检查的具体检查过程为：该路由设备获取该报文的源IP地址和入接口；该路由设备以源IP地址为目的IP地址，在路由转发表中查找该目的IP地址对应的出接口，并检查查找到的出接口是否与入接口一致；若是，则该路由设备确定该报文为合法报文；否则，该路由设备确定该报文为非法报文。

但是，上述地址检查方案仅适用于路由对称的网络中，在路由不对称、终端侧子网的网段不一致等多种特定的网络中，路由设备可能会因查找不到出接口丢弃合法报文，进而影响网络通信质量。

发明内容

为克服相关技术中存在的问题，本申请提供了一种地址检查方法及装置。

根据本申请实施例的第一方面，提供一种地址检查方法，所述方法应用于边界路由设备，所述方法包括：

在通过使能了源地址检查功能的接口接收到报文时，对所述报文进行URPF检查；

在检查结果为所述报文为非法报文时，进一步根据地址检查表，判断所述报文是否确实为非法报文，其中，所述地址检查表为所述边界路由设备根据学习到的所有远端路由生成的包括有合法IP地址的地址检查表；

在判断结果为是时，确定所述报文确实为非法报文，并丢弃所述报文；

在判断结果为否时，确定所述报文确实为合法报文，并根据所述报文的目的IP地址转发所述报文。

根据本申请实施例的第二方面，提供一种地址检查装置，所述装置应用于边界路由设备，所述装置包括：

URPF检查模块，用于在通过使能了源地址检查功能的接口接收到报文时，对所述报文进行URPF检查；

判断模块，用于在所述URPF检查模块的检查结果为所述报文为非法报文时，进一步根据地址检查表，判断所述报文是否确实为非法报文，其中，所述地址检查表为所述边界路由设备根据学习到的所有远端路由生成的包括有合法IP地址的地址检查表；

丢弃模块，用于在所述判断模块的判断结果为是时，确定所述报文确实为非法报文，并丢弃所述报文；

第一转发模块，用于在所述判断模块的判断结果为否时，确定所述报文确实为合法报文，并根据所述报文的目的IP地址转发所述报文。

本申请的实施例提供的技术方案可以包括以下有益效果：