防仿冒攻击检查的方法、设备和系统技术方案

本申请公开了一种防仿冒攻击检查的方法，包括第一网络设备通过第一接口接收报文。所述第一网络设备根据所述报文的源IP地址确定和所述源IP地址对应的第一标识。所述第一网络设备根据所述第一接口确定与所述第一接口对应的第二标识。所述第一网络设备基于所述第一标识和所述第二标识确定所述报文的安全性。有助于避免防仿冒攻击检查的误判。

The method, equipment and system of anti-counterfeiting attack inspection

【技术实现步骤摘要】
防仿冒攻击检查的方法、设备和系统
本申请涉及通信领域，尤其涉及防仿冒攻击检查的方法、设备和系统。
技术介绍
通常情况下，网络中的路由器接收到报文后，获取报文的目的地址，针对目的地址查找路由，如果查找到则进行正常的转发，否则丢弃该报文。由此可见，路由器转发报文时，并不关心数据包的源地址，这就给源地址欺骗攻击有了可乘之机。源地址欺骗攻击就是入侵者通过构造一系列带有伪造源地址的报文，频繁访问目的地址所在设备或者主机(即被攻击对象)，对被攻击对象造成一定程度的破坏。uRPF(UnicastReversePathForwarding)是一种单播反向路由查找技术，用于防止这种基于源地址欺骗的网络攻击行为。uRPF通过检查数据包中源IP地址，并根据接收到该数据包的接口以及路由表中是否存在源IP地址的路由表项信息，来确定流量是否真实有效，并选择数据包进行转发或丢弃处理。uRPF对报文源地址的合法性检查主要包括严格型(strict)和松散型(loose)。在接口上设置严格模式的uRPF后，路由器对从该接口进入的数据包的源IP地址进行查询，本文档来自技高网...

【技术保护点】
1.一种防仿冒攻击检查的方法，其特征在于，包括：/n第一网络设备通过第一接口接收报文；/n所述第一网络设备根据所述报文的源IP地址确定和所述源IP地址对应的第一标识；所述第一网络设备根据所述第一接口确定与所述第一接口对应的第二标识；/n所述第一网络设备基于所述第一标识和所述第二标识确定所述报文的安全性。/n

【技术特征摘要】
1.一种防仿冒攻击检查的方法，其特征在于，包括：
第一网络设备通过第一接口接收报文；
所述第一网络设备根据所述报文的源IP地址确定和所述源IP地址对应的第一标识；所述第一网络设备根据所述第一接口确定与所述第一接口对应的第二标识；
所述第一网络设备基于所述第一标识和所述第二标识确定所述报文的安全性。


2.根据权利要求1所述的方法，其特征在于，所述第一标识用于标识所述源IP地址的路由对应的所述第一网络设备的出接口集合，所述第二标识用于标识所述第一接口所在的一个接口集合。


3.根据权利要求1所述的方法，其特征在于，所述第一标识用于标识所述源IP地址的路由对应的下一跳网络设备所属的网络域，所述第二标识用于标识与所述第一接口相连的邻居网络设备所属的网络域。


4.根据权利要求1至3任一项所述的方法，其特征在于，所述第一网络设备保存所述源IP地址与所述第一标识间的第一对应关系，所述第一网络设备根据所述源IP地址和所述第一对应关系确定所述第一标识。


5.根据权利要求1至4任一项所述的方法，其特征在于，所述第一网络设备保存所述第一接口和所述第二标识间的第二对应关系，所述第一网络设备根据所述第一接口和所述第二对应关系确定所述第二标识。


6.根据权利要求1至5任一项所述的方法，其特征在于，
当所述第一标识和第二标识相同，则所述报文为非仿冒攻击报文；
当所述第一标识和第二标识不同，则所述报文为仿冒攻击报文。


7.根据权利要求4至6任一项所述的方法，其特征在于，所述第一对应关系被保存在所述源IP地址对应的路由表项中。


8.根据权利要求7所述的方法，其特征在于，在所述第一网络设备根据所述报文的源IP地址确定和所述源IP地址对应的第一标识之前，还包括：
所述第一网络设备获得所述源IP地址对应的路由策略，所述路由策略指示所述源IP地址与所述第一标识间的所述第一对应关系；
所述第一网络设备根据所述路由策略，在所述路由表项中添加与所述源IP地址对应的所述第一标识。


9.根据权利要求8所述的方法，其特征在于，所述第一网络设备获得所述源IP地址对应的路由策略包括下述方式中的至少一种：
所述第一网络设备根据命令行配置获得所述路由策略；
所述第一网络设备接收来自控制管理设备的第一消息，所述第一消息包括所述路由策略；
所述第一网络设备自身运行算法软件自动生成所述路由策略。


10.根据权利要求5至9任一项所述的方法，其特征在于，在所述第一网络设备根据所述第一接口确定与所述第一接口对应的第二标识之前，还包括下述方式中的至少一种：所述第一网络设备根据命令行配置获得所述第一接口与所述第二标识间的所述第二对应关系；
所述第一网络设备接收来自控制管理设备的第二消息，所述第二消息指示所述第一接口与所述第二标识间的所述第二对应关系；
所述第一网络设备自身运行算法软件自动生成所述第一接口与所述第二标识间的所述第二对应关系。


11.一种发送消息的方法，其特征在于，包括：
生成第一消息，所述第一消息指示源IP地址与第一标识间的第一对应关系；
向第一网络设备发送所述第一消息；
生成第二消息，所述第二消息指示第一接口与第二标识间的第二对应关系；
所述控制管理设备向所述第一网络设备发送所述第二消息。


12.根据权利要求11所述的方法，其特征在于，所述方法还包括：
所述第一消息和所述第二消息由相同的控制管理设备发送或者由不同的控制管理设备发送。


13.一种网络设备，用作第一网络设备，其特征在于，包括：
存储器；
与所述存储器相连的处理器，所述处理器用于执行所述存储器中的计算机可读指令从而执行以下操作：
通过第一接口接收报文；
根据所述报文的源IP地址确定和所述源IP地址对应...

【专利技术属性】
技术研发人员：李益忠，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44