【技术实现步骤摘要】
本申请实施例涉及网络领域,尤其涉及一种生成验证规则的方法以及相关装置。
技术介绍
1、源地址伪造攻击是主要的互联网安全威胁之一,攻击者所发送的报文的源地址可以伪造成其他主机的地址,从而造成直接或间接的攻击。
2、源地址验证(source address validation,sav)可以用于消除源地址伪造攻击,sav的基本原理是基于sav规则检测具有目标源地址的报文是否从合法接口到达网络设备,从而确定该报文是否为非法报文,sav规则体现为目标源地址与合法接口的对应关系。上述sav规则需要基于分布式源地址验证协议(distributed sav,dsav)建立,然而在现有的技术中没有考虑到实际的通信需求,因此导致dsav的过程带来了过大的开销。
技术实现思路
1、本申请提供了一种生成验证规则的方法以及相关装置,用于降低生成源地址验证规则的开销。
2、本申请第一方面提供了一种生成验证规则的方法:
3、第一网络设备向第二网络设备发送第一通告报文,第一通告报文中的网络前缀为第一网络设备的用户侧的网络前缀。第一网络设备向第二网络设备发送第一探测报文,第一探测报文中的网络前缀为第二网络设备的用户侧的网络前缀。第二网络设备的用户侧的网络前缀用于引导第一探测报文传输至第二网络设备,并且第二网络设备接收第一探测报文的接口以及第一网络设备的用户侧的网络前缀用于第二网络设备生成第一源地址验证规则。
4、本申请中,用户侧的网络前缀与用户对应,由于在实际的通信
5、在一种可能的实现方式中,第一源地址验证规则包括接收第一探测报文的接口和第一网络设备的用户侧的网络前缀,其中接收第一探测报文的接口为接收第一报文的合法接口,第一报文的源地址为与第一网络设备的用户侧的网络前缀对应的地址。
6、在一种可能的实现方式中,第一探测报文以及第一通告报文还用于中继第一探测报文以及第一通告报文的网络设备生成第二源地址验证规则。
7、本申请中,中继第一探测报文以及第一通告报文的网络设备生成第二sav规则,从而能够提前识别攻击流量。
8、在一种可能的实现方式中,第一网络设备还生成第二通告报文,第二通告报文中的网络地址为第一网络设备的网络侧的地址。第一网络设备还向第二网络设备发送第二通告报文,第二通告报文用于第二网络设备生成第三源地址验证规则,第三源地址验证规则包括第二网络设备的用户侧接口以及第一网络设备的网络侧的地址。第三源地址验证规则指示第二网络设备的用户侧接口为接收第二报文的非法接口,第二报文的源地址为第一网络设备的网络侧的地址。
9、本申请中,网络侧的地址与网络设备对应,由于在实际的通信场景中还存在用户将源地址伪造成第一网络设备的网络侧的地址的非法流量,因此通过在第二网络设备生成第三sav规则,能够在第二网络设备的用户侧接口拦截上述非法流量,提高了生成sav规则的针对性,从而大幅降低了开销和提高路由变更时的协议收敛速度。
10、在一种可能的实现方式中,第一探测报文以及第一通告报文为内部网关协议(interior gateway protocol,igp)报文或边界网关协议(border gateway protocol,bgp)报文。
11、本申请第二方面提供了一种生成验证规则的方法:
12、第一网络设备生成通告报文,通告报文中的网络地址为第一网络设备的网络侧的地址。第一网络设备向第二网络设备发送通告报文,该通告报文用于第二网络设备生成源地址验证规则。源地址验证规则包括第二网络设备的用户侧接口和第一网络设备的网络侧的地址,源地址验证规则指示第二网络设备的用户侧接口为接收报文的非法接口,报文的源地址为第一网络设备的网络侧的地址。
13、本申请中,网络侧的地址与网络设备对应,由于在实际的通信场景中存在用户将源地址伪造成第一网络设备的网络侧的地址的非法流量,因此通过在第二网络设备生成第三sav规则,能够在第二网络设备的用户侧接口拦截上述非法流量,提高了生成sav规则的针对性,从而大幅降低了开销和提高路由变更时的协议收敛速度。
14、本申请第三方面提供了一种生成验证规则的方法:
15、第二网络设备接收来自第一网络设备的第一通告报文,第一通告报文中的网络前缀为第一网络设备的用户侧的网络前缀。第二网络设备接收来自第一网络设备的第一探测报文,第一探测报文中的网络前缀为第二网络设备的用户侧的网络前缀,第二网络设备的用户侧的网络前缀用于引导第一探测报文传输至第二网络设备。第二网络设备根据接收第一探测报文的接口以及第一网络设备的用户侧的网络前缀,生成第一源地址验证规则。
16、本申请中,用户侧的网络前缀与用户对应,由于在实际的通信场景中大部分是用户与用户之间进行通信,并且用户侧的网络前缀更容易受到攻击,因此有必要有针对性的对用户侧的网络前缀进行验证,第一通告报文中的网络前缀为第一网络设备的用户侧的网络前缀,第一探测报文的网络前缀为第二网络设备的用户侧的网络前缀,提高了生成sav规则的针对性,从而大幅降低了开销和提高路由变更时的协议收敛速度。
17、在一种可能的实现方式中,第一源地址验证规则包括接收第一探测报文的接口和第一网络设备的用户侧的网络前缀,其中接收第一探测报文的接口为接收第一报文的合法接口,第一报文的源地址为与第一网络设备的用户侧的网络前缀对应的地址。
18、在一种可能的实现方式中,第一探测报文以及第一通告报文还用于中继第一探测报文以及第一通告报文的网络设备生成第二源地址验证规则。
19、本申请中,中继第一探测报文以及第一通告报文的网络设备生成第二sav规则,从而能够提前识别攻击流量。
20、在一种可能的实现方式中,第二网络设备还接收来自第一网络设备的第二通告报文,第二通告报文中的网络地址为第一网络设备的网络侧的地址。第二网络设备还生成第三源地址验证规则,第三源地址验证规则包括第二网络设备的用户侧接口和第一网络设备的网络侧的地址,第三源地址验证规则指示第二网络设备的用户侧接口为接收第二报文的非法接口,第二报文的源地址为第一网络设备的网络侧的地址。
21、本申请中,网络侧的地址与网络设备对应,由于在实际的通信场景还存在用户将源地址伪造成第一网络设备的网络侧的地址的非法流量,因此通过在第二网络设备生成第三sav规则,能够在第二网络设备的用户侧接口拦截上述非法流量,提高了生成sav规则的针对性,从而大幅降低了开销和提高路由变更时的协议收敛速度。
22、在一种可能的实现方式中,第一探测报文以及第一通告报文本文档来自技高网...
【技术保护点】
1.一种生成验证规则的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述第一源地址验证规则包括所述接收所述第一探测报文的接口和所述第一网络设备的用户侧的网络前缀,其中,所述接收所述第一探测报文的接口为接收第一报文的合法接口,所述第一报文的源地址为与所述第一网络设备的用户侧的网络前缀对应的地址。
3.根据权利要求1或2所述的方法,其特征在于,所述第一探测报文以及所述第一通告报文还用于中继所述第一探测报文以及所述第一通告报文的网络设备生成第二源地址验证规则。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述第一探测报文以及所述第一通告报文为内部网关协议IGP报文或边界网关协议BGP报文。
6.一种生成验证规则的方法,其特征在于,包括:
7.一种生成验证规则的方法,其特征在于,包括:
8.根据权利要求7所述的方法,其特征在于,所述第一源地址验证规则包括所述接收所述第一探测报文的接口和所述第一网络设备的
9.根据权利要求7或8所述的方法,其特征在于,所述第一探测报文以及所述第一通告报文还用于中继所述第一探测报文以及所述第一通告报文的网络设备生成第二源地址验证规则。
10.根据权利要求7至9中任一项所述的方法,其特征在于,所述方法还包括:
11.根据权利要求7至10中任一项所述的方法,其特征在于,所述第一探测报文以及所述第一通告报文为内部网关协议IGP报文或边界网关协议BGP报文。
12.一种生成验证规则的方法,其特征在于,包括:
13.一种网络设备,其特征在于,所述网络设备用作第一网络设备,所述网络设备包括:
14.根据权利要求13所述的网络设备,其特征在于,所述第一源地址验证规则包括所述接收所述第一探测报文的接口和所述第一网络设备的用户侧的网络前缀,其中,所述接收所述第一探测报文的接口为接收第一报文的合法接口,所述第一报文的源地址为与所述第一网络设备的用户侧的网络前缀对应的地址。
15.根据权利要求13或14所述的网络设备,其特征在于,所述第一探测报文以及所述第一通告报文还用于中继所述第一探测报文以及所述第一通告报文的网络设备生成第二源地址验证规则。
16.根据权利要求13至15中任一项所述的网络设备,其特征在于,所述网络设备还包括处理单元;
17.根据权利要求13至16中任一项所述的网络设备,其特征在于,所述第一探测报文以及所述第一通告报文为内部网关协议IGP报文或边界网关协议BGP报文。
18.一种网络设备,其特征在于,所述网络设备用作第一网络设备,所述网络设备包括:
19.一种网络设备,其特征在于,所述网络设备用作第二网络设备,所述网络设备包括:
20.根据权利要求19所述的网络设备,其特征在于,所述第一源地址验证规则包括所述接收所述第一探测报文的接口和所述第一网络设备的用户侧的网络前缀,其中,所述接收所述第一探测报文的接口为接收第一报文的合法接口,所述第一报文的源地址为与所述第一网络设备的用户侧的网络前缀对应的地址。
21.根据权利要求19或20所述的网络设备,其特征在于,所述第一探测报文以及所述第一通告报文还用于中继所述第一探测报文以及所述第一通告报文的网络设备生成第二源地址验证规则。
22.根据权利要求19至21中任一项所述的网络设备,其特征在于,
23.根据权利要求19至22中任一项所述的网络设备,其特征在于,所述第一探测报文以及所述第一通告报文为内部网关协议IGP报文或边界网关协议BGP报文。
24.一种网络设备,其特征在于,所述网络设备用作第二网络设备,所述网络设备包括:
25.一种网络设备,其特征在于,用作第一网络设备,所述网络设备包括处理器以及存储器,所述处理器与所述存储器耦合,所述存储器用于存储指令,当指令被所述处理器执行时,使得所述网络设备执行前述权利要求1至6中任一项的方法。
26.一种网络设备,其特征在于,用作第二网络设备,所述网络设备包括处理器以及存储器,所述处理器与所述存储器耦合,所述存储器用于存储指令,当指令被所述处理器执行时,使得所述网络设备执行前述权利要求7至12中任一项的方法。
27.一种计算机可读存储介质,其上存储有计算机指令或...
【技术特征摘要】
1.一种生成验证规则的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述第一源地址验证规则包括所述接收所述第一探测报文的接口和所述第一网络设备的用户侧的网络前缀,其中,所述接收所述第一探测报文的接口为接收第一报文的合法接口,所述第一报文的源地址为与所述第一网络设备的用户侧的网络前缀对应的地址。
3.根据权利要求1或2所述的方法,其特征在于,所述第一探测报文以及所述第一通告报文还用于中继所述第一探测报文以及所述第一通告报文的网络设备生成第二源地址验证规则。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述第一探测报文以及所述第一通告报文为内部网关协议igp报文或边界网关协议bgp报文。
6.一种生成验证规则的方法,其特征在于,包括:
7.一种生成验证规则的方法,其特征在于,包括:
8.根据权利要求7所述的方法,其特征在于,所述第一源地址验证规则包括所述接收所述第一探测报文的接口和所述第一网络设备的用户侧的网络前缀,其中,所述接收所述第一探测报文的接口为接收第一报文的合法接口,所述第一报文的源地址为与所述第一网络设备的用户侧的网络前缀对应的地址。
9.根据权利要求7或8所述的方法,其特征在于,所述第一探测报文以及所述第一通告报文还用于中继所述第一探测报文以及所述第一通告报文的网络设备生成第二源地址验证规则。
10.根据权利要求7至9中任一项所述的方法,其特征在于,所述方法还包括:
11.根据权利要求7至10中任一项所述的方法,其特征在于,所述第一探测报文以及所述第一通告报文为内部网关协议igp报文或边界网关协议bgp报文。
12.一种生成验证规则的方法,其特征在于,包括:
13.一种网络设备,其特征在于,所述网络设备用作第一网络设备,所述网络设备包括:
14.根据权利要求13所述的网络设备,其特征在于,所述第一源地址验证规则包括所述接收所述第一探测报文的接口和所述第一网络设备的用户侧的网络前缀,其中,所述接收所述第一探测报文的接口为接收第一报文的合法接口,所述第一报文的源地址为与所述第一网络设备的用户侧的网络前缀对应的地址。
15.根据权利要求13或14所述的网络设备,其特征在于,所述第一探测报文以及所述第一通告报文还用于中继所述第一探测报文以及所述第一通告报文的网络设备生成第二源地址验证规则。
16.根据权利要求13至15中任一项所述的网络设备,其特征在于,所述网络设备...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。