技術領域

本發明涉及網絡安全技術領域，特別涉及一種偽造IP數據包的處理方法及裝置。

背景技術

隨著因特網的廣泛應用，網絡攻擊，特別是分布式拒絕服務攻擊(DDoS，Distributed?Denial?of?Service)已經成為internet目前面臨的最嚴峻的威脅之一，其中，DDoS攻擊中有一種源欺騙攻擊即IP欺騙攻擊，現有DDoS的攻擊檢測對于攻擊者偽造IP發起攻擊的行為很難檢測。如果不借助其它輔助手段很難有好的方法判斷攻擊者的IP地址是否偽造。為了提高網絡安全，用戶對偽造IP數據包的網絡攻擊檢測提出了更高的要求。

本發明的發明人在對現有技術的研究過程中發現，現有對偽造IP數據包的網絡攻擊檢測方案無法滿足用戶提出的需求。

發明內容

本發明實施例提供一種偽造IP數據包的處理方法及裝置，實現以更大的概率來發現偽造IP數據包，以保證設備盡可能少的受到偽造IP數據包的攻擊。

本發明實施例提供一種IP數據包的處理方法，包括步驟：

接收待處理的IP數據包，其中該IP數據包中包含TTL生存時間數值；

判斷該IP數據包中的TTL生存時間數值是否在可信范圍，當該IP數據包中的TTL生存時間數值不在可信范圍內時，將所述IP數據包丟棄；

當在可信范圍內時，根據該IP數據包中的源IP地址，查找得到相應的TTL對照記錄信息；

當相應記錄中的實際TTL與該IP數據包的TTL不一致，且確定已有效探測過時，將該IP數據包丟棄。

以及，一種偽造IP數據包的處理裝置，包括：

TTL學習單元，用于管理和維護TTL對照記錄信息；

TTL檢測單元，用于接收到IP數據包后，判斷該IP數據包中的TTL是否在可信范圍內，當不在可信范圍內時，將該IP數據包丟棄；當在該可信范圍內時，根據該IP數據包的源IP地址查找所述TTL學習單元所維護的TTL對照記錄信息，當相應記錄中的實際TTL與該IP數據包的TTL數值不一致，且確定已有效探測過時，將該IP數據包丟棄。

由上述技術方案可見，本發明實施例中通過判斷IP數據包的TTL是否在可信范圍內，第一層過濾掉偽造IP數據包；進一步的，通過利用TTL對照記錄信息進一步的過濾掉偽造IP數據包，從而實現不管是基于TCP協議的IP數據包，還是基于UDP協議的IP數據包，都能以更大的概率來發現(丟棄)偽造IP數據包，以保證設備盡可能少的受到偽造IP數據包的攻擊。

附圖說明

圖1為現有IP數據包的包頭結構示意圖；

圖2為本發明實施例的一種偽造(虛假)IP數據包的處理原理示意圖；

圖3為本發明實施例的TTL對照表中記錄的數據結構示意圖；

圖4為本發明實施例建立和更新TTL對照表中記錄的流程圖；

圖5為本發明實施例的一種根據TCP三次握手得到真實的源IP地址和TTL數值的交互流程圖；

圖6為本發明實施例的一種偽造IP數據包的處理方法的流程圖；

圖7為本發明實施例一的偽造IP數據包的處理方法的具體流程圖；

圖8為本發明實施例的一種偽造IP數據包的處理裝置的內部結構示意圖；

圖9為本發明實施例的偽造IP數據包的處理方案應用于防火墻的網絡組網示意圖。

具體實施方式

為使本發明的目的、技術方案及優點更加清楚明白，以下參照附圖并舉實施例，對本發明作進一步詳細說明。

本發明實施例中，通過判斷IP數據包中的TTL(Time?To?Live，生存時間)是否在可信范圍內，第一層過濾掉偽造IP數據包；進一步的，通過建立至少包含真實的源IP地址和實際TTL數值的TTL對照記錄信息，以及更新該TTL對照記錄信息，保證IP對應的TTL數值的準確性，以利用該表排除偽造源IP的行為，從而實現不管是基于TCP協議的IP數據包，還是基于UDP協議的IP數據包，都能以更大的概率來發現(丟棄)偽造IP數據包，以保證設備盡可能少的受到偽造IP數據包的攻擊。應當理解的是：在一種實現下，TTL對照記錄信息為TTL對照表。

如圖1所示，為IP數據包的包頭結構示意圖，其中有一個TTL字段，即Time?to?Live字段，主要是表示其生存的周期。IP數據包在網絡傳輸過程中，TTL字段的數值每經過一次轉發，自動作減一處理，如果在該TTL數值到0的時候還沒有到達目的地址，則該IP數據包會被路由器或網關設備等拋棄。