本申請(qǐng)?zhí)峁┮环N地址檢查方法及裝置，該方法應(yīng)用于邊界路由設(shè)備，該方法包括：在通過(guò)使能了源地址檢查功能的接口接收到報(bào)文時(shí)，對(duì)該報(bào)文進(jìn)行URPF檢查；在檢查結(jié)果為該報(bào)文為非法報(bào)文時(shí)，進(jìn)一步根據(jù)地址檢查表，判斷該報(bào)文是否確實(shí)為非法報(bào)文，其中，地址檢查表為邊界路由設(shè)備根據(jù)學(xué)習(xí)到的所有遠(yuǎn)端路由生成的包括有合法IP地址的地址檢查表；在判斷結(jié)果為是時(shí)，確定該報(bào)文確實(shí)為非法報(bào)文，并丟棄該報(bào)文；在判斷結(jié)果為否時(shí)，確定該報(bào)文確實(shí)為合法報(bào)文，并根據(jù)報(bào)文的目的IP地址轉(zhuǎn)發(fā)報(bào)文。本申請(qǐng)可提高網(wǎng)絡(luò)通信質(zhì)量。

技術(shù)領(lǐng)域

本申請(qǐng)涉及通信技術(shù)領(lǐng)域，尤其涉及一種地址檢查方法及裝置。

背景技術(shù)

源地址欺騙攻擊是攻擊者通過(guò)發(fā)送攜帶有偽造源地址的報(bào)文對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊的一種方式。

目前，通常采用單播反向路徑轉(zhuǎn)發(fā)(Unicast Reverse Path Forwarding，URPF)技術(shù)防止源地址欺騙的網(wǎng)絡(luò)攻擊行為。具體的地址檢查方案為：當(dāng)網(wǎng)絡(luò)中的路由設(shè)備通過(guò)使能了URPF檢查功能的接口接收到報(bào)文后，對(duì)該報(bào)文進(jìn)行URPF檢查；在檢查結(jié)果為該報(bào)文為合法報(bào)文時(shí)，該由設(shè)備根據(jù)該報(bào)文的目的互聯(lián)網(wǎng)協(xié)議(Internet Protocol，IP)地址轉(zhuǎn)發(fā)該報(bào)文；在檢查結(jié)果為該報(bào)文為非法報(bào)文時(shí)，該路由設(shè)備丟棄該報(bào)文。

在上述地址檢查方案中，該路由設(shè)備對(duì)該報(bào)文進(jìn)行URPF檢查的具體檢查過(guò)程為：該路由設(shè)備獲取該報(bào)文的源IP地址和入接口；該路由設(shè)備以源IP地址為目的IP地址，在路由轉(zhuǎn)發(fā)表中查找該目的IP地址對(duì)應(yīng)的出接口，并檢查查找到的出接口是否與入接口一致；若是，則該路由設(shè)備確定該報(bào)文為合法報(bào)文；否則，該路由設(shè)備確定該報(bào)文為非法報(bào)文。

但是，上述地址檢查方案僅適用于路由對(duì)稱的網(wǎng)絡(luò)中，在路由不對(duì)稱、終端側(cè)子網(wǎng)的網(wǎng)段不一致等多種特定的網(wǎng)絡(luò)中，路由設(shè)備可能會(huì)因查找不到出接口丟棄合法報(bào)文，進(jìn)而影響網(wǎng)絡(luò)通信質(zhì)量。

發(fā)明內(nèi)容

為克服相關(guān)技術(shù)中存在的問(wèn)題，本申請(qǐng)?zhí)峁┝艘环N地址檢查方法及裝置。

根據(jù)本申請(qǐng)實(shí)施例的第一方面，提供一種地址檢查方法，所述方法應(yīng)用于邊界路由設(shè)備，所述方法包括：

在通過(guò)使能了源地址檢查功能的接口接收到報(bào)文時(shí)，對(duì)所述報(bào)文進(jìn)行URPF檢查；

在檢查結(jié)果為所述報(bào)文為非法報(bào)文時(shí)，進(jìn)一步根據(jù)地址檢查表，判斷所述報(bào)文是否確實(shí)為非法報(bào)文，其中，所述地址檢查表為所述邊界路由設(shè)備根據(jù)學(xué)習(xí)到的所有遠(yuǎn)端路由生成的包括有合法IP地址的地址檢查表；

在判斷結(jié)果為是時(shí)，確定所述報(bào)文確實(shí)為非法報(bào)文，并丟棄所述報(bào)文；

在判斷結(jié)果為否時(shí)，確定所述報(bào)文確實(shí)為合法報(bào)文，并根據(jù)所述報(bào)文的目的IP地址轉(zhuǎn)發(fā)所述報(bào)文。

根據(jù)本申請(qǐng)實(shí)施例的第二方面，提供一種地址檢查裝置，所述裝置應(yīng)用于邊界路由設(shè)備，所述裝置包括：

URPF檢查模塊，用于在通過(guò)使能了源地址檢查功能的接口接收到報(bào)文時(shí)，對(duì)所述報(bào)文進(jìn)行URPF檢查；

判斷模塊，用于在所述URPF檢查模塊的檢查結(jié)果為所述報(bào)文為非法報(bào)文時(shí)，進(jìn)一步根據(jù)地址檢查表，判斷所述報(bào)文是否確實(shí)為非法報(bào)文，其中，所述地址檢查表為所述邊界路由設(shè)備根據(jù)學(xué)習(xí)到的所有遠(yuǎn)端路由生成的包括有合法IP地址的地址檢查表；

丟棄模塊，用于在所述判斷模塊的判斷結(jié)果為是時(shí)，確定所述報(bào)文確實(shí)為非法報(bào)文，并丟棄所述報(bào)文；

第一轉(zhuǎn)發(fā)模塊，用于在所述判斷模塊的判斷結(jié)果為否時(shí)，確定所述報(bào)文確實(shí)為合法報(bào)文，并根據(jù)所述報(bào)文的目的IP地址轉(zhuǎn)發(fā)所述報(bào)文。

本申請(qǐng)的實(shí)施例提供的技術(shù)方案可以包括以下有益效果：