技術(shù)領(lǐng)域

本發(fā)明一般地涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，更具體地涉及真實(shí)IP源地址驗(yàn)證技術(shù)。

背景技術(shù)

互聯(lián)網(wǎng)上的采用偽造IP源地址的攻擊相當(dāng)泛濫，據(jù)互聯(lián)網(wǎng)觀測組織的統(tǒng)計(jì)，每周至少有4000起采用偽造源地址的拒絕服務(wù)攻擊。這類攻擊具有容易發(fā)起但是難以追溯的的特點(diǎn)，這是造成偽造源地址攻擊泛濫的原因。

目前已經(jīng)有很多技術(shù)被提出來希望能控制這類攻擊。它們可以分為三類：

路徑過濾類(Filtering)，這一類技術(shù)主要是使用路由信息來過濾掉一部分偽造源地址的報(bào)文。典型的例子如入口過濾(Ingress?filtering)，就是通過檢查網(wǎng)關(guān)上接收到的報(bào)文其源地址是否在接入子網(wǎng)的地址空間范圍內(nèi)，從而判斷報(bào)文是否合法。

端到端認(rèn)證類(End-to-End?Approach)，這一類技術(shù)在源端給報(bào)文加入標(biāo)記，這一標(biāo)記在報(bào)文的目的端被檢查用來判斷報(bào)文中所含源地址的真實(shí)性。

回溯類(Traceback)，回溯類技術(shù)是一種被動(dòng)的技術(shù)。它希望獲取報(bào)文在互聯(lián)網(wǎng)上所經(jīng)過的路徑，在攻擊發(fā)生時(shí)，通過分析報(bào)文路徑來獲取攻擊源的地址。

IPv6的部署越來越廣泛，保護(hù)IPv6源地址不被偽造也成了新的需求。但是，目前還沒有針對(duì)IPv6源地址的細(xì)粒度路徑過濾方案。由于IPv6源地址數(shù)量更多，前綴級(jí)別的過濾方案無法有效遏制偽造源地址攻擊。因此，需要一種主機(jī)粒度的IPv6源地址驗(yàn)證方案。考慮到雙棧網(wǎng)絡(luò)的普及，該方案同時(shí)需要考慮對(duì)IPv4源地址的保護(hù)。

發(fā)明內(nèi)容

為了解決上述問題之一，本發(fā)明提出了一種驗(yàn)證源地址的方法，包括以下步驟：網(wǎng)絡(luò)接入設(shè)備判斷接收到的報(bào)文是否為來自不直接相連的主機(jī)的報(bào)文、來自直接相連的主機(jī)的數(shù)據(jù)報(bào)文或來自直接相連的主機(jī)的控制報(bào)文；如果所述報(bào)文為來自于不直接相連的主機(jī)的報(bào)文，則檢查所述報(bào)文的源地址是否存在于綁定關(guān)系表中，如果存在，則丟棄所述報(bào)文；如果不存在，則轉(zhuǎn)發(fā)所述報(bào)文；如果所述報(bào)文為來自直接相連的主機(jī)的數(shù)據(jù)報(bào)文，則檢查報(bào)文源地址和報(bào)文到達(dá)端口或報(bào)文中源鏈路層地址的組合是否存在于綁定關(guān)系表中，若不存在，則丟棄所述報(bào)文，若存在，則轉(zhuǎn)發(fā)所述報(bào)文；如果所述報(bào)文為來自直接相連的主機(jī)的控制報(bào)文，則檢查所述報(bào)文的源地址是否合法，如果所述來自直接相連的主機(jī)的控制報(bào)文不合法，則丟棄所述報(bào)文；如果所述來自直接相連的主機(jī)的控制報(bào)文合法，則轉(zhuǎn)發(fā)所述報(bào)文；根據(jù)所述報(bào)文的類型對(duì)所述綁定關(guān)系表中的綁定關(guān)系進(jìn)行操作。

本發(fā)明還提出了一種驗(yàn)證源地址的裝置，包括：判斷模塊，其用于判斷接收到的報(bào)文是否為來自不直接相連的主機(jī)的報(bào)文、來自直接相連的主機(jī)的數(shù)據(jù)報(bào)文或來自直接相連的主機(jī)的控制報(bào)文；第一處理模塊，其用于在所述報(bào)文為來自于不直接相連的主機(jī)的報(bào)文時(shí)，檢查所述報(bào)文的源地址是否存在于綁定關(guān)系表中，如果存在，則丟棄所述報(bào)文；如果不存在，則轉(zhuǎn)發(fā)所述報(bào)文；第二處理模塊，其用于在所述報(bào)文為來自直接相連的主機(jī)的數(shù)據(jù)報(bào)文時(shí)，檢查報(bào)文源地址和報(bào)文到達(dá)端口或報(bào)文中源鏈路層地址的組合是否存在于綁定關(guān)系表中，若不存在，則丟棄所述報(bào)文，若存在，則轉(zhuǎn)發(fā)所述報(bào)文；第三處理模塊，其用于在所述報(bào)文為來自直接相連的主機(jī)的控制報(bào)文時(shí)，檢查所述報(bào)文的源地址是否合法，如果所述來自直接相連的主機(jī)的控制報(bào)文不合法，則丟棄所述報(bào)文；如果所述來自直接相連的主機(jī)的控制報(bào)文合法，則轉(zhuǎn)發(fā)所述報(bào)文；綁定操作模塊，其用于根據(jù)所述報(bào)文的類型對(duì)所述綁定關(guān)系表中的綁定關(guān)系進(jìn)行操作。

本發(fā)明所提出的驗(yàn)證源地址的方法及裝置是細(xì)粒度的，適用于IPv6和IPv4，且不必修改主機(jī)及現(xiàn)有的協(xié)議。

附圖說明

本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解，其中：

圖1為根據(jù)本發(fā)明的一個(gè)實(shí)施例的綁定狀態(tài)轉(zhuǎn)移圖；

圖2為根據(jù)本發(fā)明的一個(gè)實(shí)施例的驗(yàn)證源地址的方法的流程圖；

圖3為根據(jù)本發(fā)明的一個(gè)實(shí)施例的裝置的示意圖。

具體實(shí)施方式

下面詳細(xì)描述本發(fā)明的實(shí)施例，所述實(shí)施例的示例在附圖中示出。下面通過參考附圖描述的實(shí)施例是示例性的，僅用于解釋本發(fā)明，而不能解釋為對(duì)本發(fā)明的限制。

本發(fā)明的一個(gè)實(shí)施例提出了一種驗(yàn)證源地址的方法，如圖1所示為該方法的流程圖。該方法包括以下步驟：

網(wǎng)絡(luò)接入設(shè)備判斷接收到的報(bào)文是否為來自不直接相連的主機(jī)的報(bào)文、來自直接相連的主機(jī)的數(shù)據(jù)報(bào)文或來自直接相連的主機(jī)的控制報(bào)文；