针对分段路由标签探测的防御方法及装置制造方法及图纸

本发明专利技术公开了一种针对分段路由标签探测的防御方法及装置，其中防御方法包括：集中式认证服务器验证网络中的所有接入设备的身份；接入设备根据设备信息生成设备指纹；获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；根据所述特征确定恶意流量；确定所述恶意流量的源IP地址，将源IP地址加入黑名单并设置期限；确定当前网络中的接入设备的设备指纹是否改变；本发明专利技术通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量，从而对其进行防御，这样可以精确防御分段路由标签探测的攻击，可以提高目标网络的安全性，减少了网络被破坏的可能。少了网络被破坏的可能。少了网络被破坏的可能。

【技术实现步骤摘要】
针对分段路由标签探测的防御方法及装置


[0001]本专利技术涉及网络通信安全领域，特别涉及一种针对分段路由标签探测的防御方法及装置。

技术介绍

[0002]分段路由体系结构是不基于特定的控制平面实现的。尽管理论上讲，在网络节点上静态地配置Segment指令是可能的，但是通常使用路由协议在网络中分发Segment信息。SR控制平面当前支持链路状态IGP、ISIS/OSPF以及BGP。有IGP分发的Segment称为“IGP Segment”，由BGP分发的Segment称为“BGP Segment”。分段路由可以通过PCEP协议，实施集中控制方案，通过PCE来为流量根据需求计算路径，然后下发到PCC来引导流量路径。
[0003]SID有很多类型，有Node SID，Prefix SID，Adjacency SID，此场景下使用的是Prefix SID。SR域中的每个节点为其接收到的每个Prefix Segment安装转发条目。节点学习到IP前缀P，以及与此前缀相关联的用于算法A的Prefix
‑
SID S。N是采用算法A计算出的去往前缀P路径的下一跳。该节点及其下一跳N都支持算法A。如果存在多条去往前缀P的等价路径，则存在多个下一跳(N1,N2,N3
……
)，并且流量在这些等价路径上负载均衡。节点为此Prefix Segment安装以下SR转发条目，图1展示了Prefix
‑
SID的转发行为。图1中，入向活动Segment:S；出接口：去往下一跳N的接口；下一跳：N；Segment列表操作：如果下一跳N是P的发起者，且N指示删除活动Segment，则执行“NEXT”操作。否则，执行“CONTINUE”操作。
[0004]参照图1，节点11到节点12有两条等价路径：经由节点1和经由节点3。节点11使用常规的哈希计算，来实现流量在两条路径上的负载均衡。例如，节点1收到携带Prefix
‑
SID 16012的数据包，将其沿着去往节点12的最短路径转发：经由节点2。然后节点2将该数据包转发到节点12。
[0005]节点11使用节点4的Prefix Segment 16004将数据包引导到节点4。去往节点4的最短路径经由节点3，然后节点3将该数据包转发到节点4。
[0006]在SR域中，SR通过Prefix Segment来进行数据包转发，当Prefix Segment被攻击者知道，攻击者可以通过构造包来为数据包添加Prefix Segment，从而达到恶意引流的目的。恶意引流可以造成网络整体的拥挤和堵塞从而瘫痪网络，可以造成某条链路的拥挤和堵塞从而使服务器拒绝服务，可以使恶意包发送的目标设备上从而探测目标设备的信息为后续攻击做准备，可以发送恶意包到目标设备上从而触发漏洞利用。

技术实现思路

[0007]为了解决上述问题，本专利技术提供一种能够有效抑制针对分段路由标签探测的攻击的防御方法及装置。
[0008]为了实现上述目的，本专利技术一方面提供一种针对分段路由标签探测的防御方法，包括：
[0009]集中式认证服务器验证网络中的所有接入设备的身份；若通过验证则将其加入白
名单，并设置身份有效期；
[0010]接入设备根据设备信息生成设备指纹；
[0011]获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；所述流量包带有分段路由标签；
[0012]根据所述特征确定恶意流量；
[0013]确定所述恶意流量的源IP地址，将源IP地址加入黑名单并设置期限；
[0014]确定当前网络中的接入设备的设备指纹是否改变，若设备指纹发生改变集中式认证服务器重新验证其身份，否则续约白名单。
[0015]作为优选的一种技术方案，接入设备根据设备信息生成设备指纹，进一步包括：
[0016]接入设备利用设备信息做哈希；所述设备信息包括系统的进程、开放的端口、开启的服务、依赖库、硬件版本、系统版本、软件版本和设备配置中的一项或多项；
[0017]根据哈希生成设备指纹。
[0018]作为优选的一种技术方案，在获取转发流量包的特征，之前还包括：
[0019]确定当前网络是否拥塞，若拥塞，则镜像通过路由器的流量，优先让流量拥塞的路由器快速转发流量。
[0020]作为优选的一种技术方案，所述恶意流量包的特征为预设时间内多次向路由器发送的流量包且该流量包的IPv4层的TTL值为1。
[0021]作为优选的一种技术方案，集中式认证服务器验证网络中的所有接入设备的身份，进一步包括：
[0022]集中式认证服务器通过密码验证网络中的所有接入设备的身份。
[0023]作为优选的一种技术方案，身份验证在设备上进行认证或在控制器上统一认证。
[0024]另一方面，本专利技术还提供一种针对分段路由标签探测的防御装置，包括：
[0025]验证单元，用于验证网络中的所有接入设备的身份；若通过验证则将其加入白名单，并设置身份有效期；
[0026]生成单元，用于根据设备信息生成设备指纹；
[0027]获取单元，用于获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；所述流量包带有分段路由标签；
[0028]第一确定单元，用于根据所述特征确定恶意流量；
[0029]第二确定单元，用于确定所述恶意流量的源IP地址，将源IP地址加入黑名单并设置期限；
[0030]第三确定单元，用于确定当前网络中的接入设备的设备指纹是否改变，若设备指纹发生改变集中式认证服务器重新验证其身份，否则续约白名单。
[0031]本专利技术相对于现有技术的有益效果是：本专利技术通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量，从而对其进行防御，这样可以精确防御分段路由标签探测的攻击，对于开启了SR域的网络来说，可以提高目标网络的安全性，减少了网络被破坏的可能。由于数据包的特征比较特殊，误报率也极低，实施防御后也不会影响目标网络的稳定性和可用性。
附图说明
[0032]图1是本专利技术提供的现有技术中Prefix
‑
SID的转发行为的示意图；
[0033]图2是本专利技术提供的攻击者通过分段路由标签探测方法攻击网络的示意图；
[0034]图3是本专利技术提供的攻击者发送恶意数据包的转发路线图；
[0035]图4是本专利技术提供的攻击者探测出路由器的SR标签值后的转发路线图；
[0036]图5是本专利技术提供的针对分段路由标签探测的防御方法的流程图；
[0037]图6是本专利技术提供的含有集中式的认证设备的拓扑图；
[0038]图7是本专利技术提供的针对分段路由标签探测的防御装置的结构图。
具体实施方式
[0039]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种针对分段路由标签探测的防御方法，其特征在于，包括：集中式认证服务器验证网络中的所有接入设备的身份，若通过验证则将其加入白名单，并设置身份有效期；接入设备根据设备信息生成设备指纹；获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；所述流量包带有分段路由标签；根据所述特征确定恶意流量；确定所述恶意流量的源IP地址，将源IP地址加入黑名单并设置期限；确定当前网络中的接入设备的设备指纹是否改变，若设备指纹发生改变集中式认证服务器重新验证其身份，否则续约白名单。2.根据权利要求1所述的防御方法，其特征在于，接入设备根据设备信息生成设备指纹，进一步包括：接入设备利用设备信息做哈希；所述设备信息包括系统的进程、开放的端口、开启的服务、依赖库、硬件版本、系统版本、软件版本和设备配置中的一项或多项；根据哈希生成设备指纹。3.根据权利要求1所述的防御方法，其特征在于，在获取转发流量包的特征，之前还包括：确定当前网络是否拥塞，若拥塞，则镜像通过路由器的流量，优先让流量拥塞的路由器快速转发流量。4.根据权利要求1所述的防御方法，其特征在于：所述恶意流量包的特征为预设时间内多次向路由器发送的流量包且该流量包的IPv4层的TTL值为1。5.根据权利要求1所述的防御方法，其特征在于，集中式认证服务器验证网络中的所有接入设备的身份，进一步包括：集中式认证服务器通过密码验证网络中的所有接入设备的身份。6.根据权利要求5所述的防御方法，其特征在于：身份验证在设备上进行认证或在控制器上统一认证。7.一种针对...

【专利技术属性】
技术研发人员：荆文韬，江逸茗，张进，唐寅，
申请(专利权)人：国家数字交换系统工程技术研究中心，
类型：发明
国别省市：