本发明专利技术公开了一种域内源地址的验证装置和方法,包括获取模块,从域内网络节点上选择作为各个部署点的预定节点上,分别获取途经每个部署点的所有源地址前缀;计算模块,读取每个部署点对应路由器上的链路状态数据库,并结合每个部署点对应的途经源地址前缀计算出以各个前缀为源到达其他前缀的路由转发路径;提取模块,从路由转发路径上提取各个源地址前缀、到达每个部署点的入接口以及经过的跳数;以及报文验证模块,获得待验证报文宣告的源地址前缀、到达当前部署点的入接口以及实际转发经过的跳数,并分别与提取的源地址前缀、到达当前部署点的入接口以及跳数进行匹配验证。本发明专利技术实现简单、支持增量部署且具有更好的源地址验证效果。
【技术实现步骤摘要】
该方法属于互联网
,尤其涉及真实IP源地址验证技术。
技术介绍
互联网上的采用伪造IP源地址的攻击相当泛滥,据互联网观测组织的统计,每周 至少有4000起采用伪造源地址的拒绝服务攻击。这类攻击具有容易发起但是难以追溯的 特点,这是造成伪造源地址攻击泛滥的原因。目前已经有很多技术被提出来希望能控制这类攻击。它们可以分为三类路径过滤类(Filtering),这一类技术主要是使用路由信息来过滤掉一部分伪造 源地址的报文。典型的例子如入口过滤(Ingress filtering),就是通过检查网关上接收到 的报文其源地址是否在接入子网的地址空间范围内,从而判断报文是否合法。端到端认证类(End-to-End Approach),这一类技术在源端给报文加入标记,这一 标记在报文的目的端被检查用来判断报文中所含源地址的真实性。回溯类(Traceback),回溯类技术是一种被动的技术。它希望获取报文在互联网上 所经过的路径,在攻击发生时,通过分析报文路径来获取攻击源的地址。尽管出现了很多解决方法,但目前并没有一种方法可以完美地解决源地址伪造问 题。不支持增量部署及缺乏对运营商的激励也是这一难题形成的重要原因。完全部署Ingress Filtering是一种技术上最为简单且有效的方法,但是由于缺 少激励机制,我们无法强求它被完全部署。uRPF (Unicast ReversePath Forwarding,单播 逆向路径转发)是一种更加实际的替代方案,现有的一些发展也是在对uRPF进行补充和强 化,但是它也存在致命的缺点,比如对于非对称路由效果较差,对于同一反向路径上的源地 址伪造无能无力。这种情况在域内有更广泛的需求,加上现在IPv6 (互联网协议版本6)网 络的大力发展,一种同时支持IPv6和IPv4(互联网协议版本4)的域内源地址方案的需求 就变得很迫切。
技术实现思路
本专利技术的目的旨在至少解决现有技术中的上述问题之一。为此,本专利技术的实施例提出一种实现简单、支持增量部署且具有更好效果的源地 址验证方案。根据本专利技术的一个方面,本专利技术实施例提出了一种域内源地址的验证方法,应用 在域内网络节点上,所述方法包括以下步骤a)从域内网络节点上选择预定节点作为各个部署点;b)分别获取途经每个部署点的所有源地址前缀;c)读取每个部署点对应路由器上的链路状态数据库,并结合每个部署点对应的途 经源地址前缀计算出以各个途经源地址前缀为源到达其他前缀的路由转发路径;d)从所述路由转发路径上提取各个源地址前缀、各个源地址前缀到达每个部署点4的入接口以及各个源地址前缀到达每个部署点经过的跳数;以及e)对于待验证报文,获得待验证报文宣告的源地址前缀、到达当前部署点的入接 口以及实际转发到当前部署点经过的跳数,并分别与提取的源地址前缀、到达当前部署点 的入接口以及到达当前部署点的跳数进行匹配验证。根据本专利技术进一步的实施例,所述步骤c包括分别以每个部署点的各个途经源地址前缀为根,使用最短路径算法SPF计算出对 应的最短路径树,以获得所述路由转发路径。根据本专利技术进一步的实施例,所述步骤e包括利用待验证报文宣告的源地址前缀查找对应的提取源地址前缀;根据查找的提取源地址前缀,获得提取源地址前缀对应的到达当前部署点的入接 口以及到达当前部署点的跳数;匹配待验证报文到达当前部署点的入接口和提取源地址前缀对应的到达当前部 署点的入接口 ;以及在入接口匹配时,将待验证报文实际转发到当前部署点经过的跳数和提取源地址 前缀对应的到达当前部署点的跳数进行匹配。根据本专利技术的另一方面,本专利技术的实施例提出一种域内源地址的验证装置,应用 在域内网络节点上,所述装置包括获取模块,所述获取模块从域内网络节点上选择作为各 个部署点的预定节点上,分别获取途经每个部署点的所有源地址前缀;计算模块,所述计算 模块读取每个部署点对应路由器上的链路状态数据库,并结合每个部署点对应的途经源地 址前缀计算出以各个途经源地址前缀为源到达其他前缀的路由转发路径;提取模块,所述 提取模块从所述路由转发路径上提取各个源地址前缀、各个源地址前缀到达每个部署点的 入接口以及各个源地址前缀到达每个部署点经过的跳数;以及报文验证模块,所述报文验 证模块获得待验证报文宣告的源地址前缀、到达当前部署点的入接口以及实际转发到当前 部署点经过的跳数,并分别与提取的源地址前缀、到达当前部署点的入接口以及到达当前 部署点的跳数进行匹配验证。根据本专利技术进一步的实施例,所述计算模块分别以每个部署点的各个途经源地址 前缀为根,使用最短路径算法SPF计算出对应的最短路径树,以获得所述路由转发路径。根据本专利技术进一步的实施例,所述报文验证模块包括查找单元,所述查找单元利用待验证报文宣告的源地址前缀查找对应的提取源地 址前缀;提取单元,所述提取单元根据查找的提取源地址前缀,获得提取源地址前缀对应 的到达当前部署点的入接口以及到达当前部署点的跳数;第一匹配单元,所述第一匹配单元用于匹配待验证报文到达当前部署点的入接口 和提取源地址前缀对应的到达当前部署点的入接口 ;以及第二匹配单元,在入接口匹配时,第二匹配单元将待验证报文实际转发到当前部 署点经过的跳数和提取源地址前缀对应的到达当前部署点的跳数进行匹配。本专利技术不依赖于底层网络设备、不依赖于源地址分配方式,是具有前缀级粒度的 域内源地址验证方案,本专利技术可以部署在OSPF域内网络,支持IPv6及IPv4。本方法没有使用其他额外的技术,本质上是分析域内网络中报文的转发方向和跳数这两个行为指标,从而达到验证报文源地址真实与否的目的。方法支持在网络中增量部 署,将嵌入路由器中作为扩展部件。本专利技术实现简单,且具有更好效果的源地址验证。本专利技术附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变 得明显,或通过本专利技术的实践了解到。附图说明本专利技术的上述和/或附加的方面和优点从下面结合附图对实施例的描述中将变 得明显和容易理解,其中图1为本专利技术实施例的域内源地址的验证方法流程图;图2为本专利技术实施例的域内源地址的验证装置的工作原理图;图3为本专利技术的部署实施例示意图。具体实施例方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终 相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附 图描述的实施例是示例性的,仅用于解释本专利技术,而不能解释为对本专利技术的限制。本专利技术部署在域内网络节点,比如路由器或者三层交换机,是一种具有前缀级粒 度的、适用于IPv6和IPv4的、不修改主机及现有的协议的、且不增加新的协议的前提下,支 持增量部署,相比uRPF有更好效果的源地址验证方案。现在参考图1,该图为本专利技术实施例的域内源地址的验证方法流程图。如图所示,所述方法包括以下步骤本方法支持增量部署。首先选取部署点,从域内网络节点上选择预定节点作为各 个部署点(步骤102)。可以选取一些关键的中心节点,比如选取连接数较大的节点、选择报文流量大的 节点、另外选取易于升级并便于部署的节点,这主要取决于网络管理者的经验。在部署之前,先要做如下的预处理工作。即,分别获取途经每个部署点的所有源地 址前缀(步骤104)。各部署点都要知道这些信息,在同一时间段,各个部署本文档来自技高网...
【技术保护点】
一种域内源地址的验证方法,应用在域内网络节点上,其特征在于,所述方法包括以下步骤:a)从域内网络节点上选择预定节点作为各个部署点;b)分别获取途经每个部署点的所有源地址前缀;c)读取每个部署点对应路由器上的链路状态数据库,并结合每个部署点对应的途经源地址前缀计算出以各个途经源地址前缀为源到达其他前缀的路由转发路径;d)从所述路由转发路径上提取各个源地址前缀、各个源地址前缀到达每个部署点的入接口以及各个源地址前缀到达每个部署点经过的跳数;以及e)对于待验证报文,获得待验证报文宣告的源地址前缀、到达当前部署点的入接口以及实际转发到当前部署点经过的跳数,并分别与提取的源地址前缀、到达当前部署点的入接口以及到达当前部署点的跳数进行匹配验证。
【技术特征摘要】
一种域内源地址的验证方法,应用在域内网络节点上,其特征在于,所述方法包括以下步骤a)从域内网络节点上选择预定节点作为各个部署点;b)分别获取途经每个部署点的所有源地址前缀;c)读取每个部署点对应路由器上的链路状态数据库,并结合每个部署点对应的途经源地址前缀计算出以各个途经源地址前缀为源到达其他前缀的路由转发路径;d)从所述路由转发路径上提取各个源地址前缀、各个源地址前缀到达每个部署点的入接口以及各个源地址前缀到达每个部署点经过的跳数;以及e)对于待验证报文,获得待验证报文宣告的源地址前缀、到达当前部署点的入接口以及实际转发到当前部署点经过的跳数,并分别与提取的源地址前缀、到达当前部署点的入接口以及到达当前部署点的跳数进行匹配验证。2.如权利要求1所述的方法,其特征在于,所述步骤c包括分别以每个部署点的各个途经源地址前缀为根,使用最短路径算法SPF计算出对应的 最短路径树,以获得所述路由转发路径。3.如权利要求1所述的方法,其特征在于,所述步骤e包括利用待验证报文宣告的源地址前缀查找对应的提取源地址前缀;根据查找的提取源地址前缀,获得提取源地址前缀对应的到达当前部署点的入接口以 及到达当前部署点的跳数;匹配待验证报文到达当前部署点的入接口和提取源地址前缀对应的到达当前部署点 的入接口 ;以及在入接口匹配时,将待验证报文实际转发到当前部署点经过的跳数和提取源地址前缀 对应的到达当前部署点的跳数进行匹配。4.如权利要求3所述的方法,其特征在于,在待验证报文实际转发到当前部署点经过 的跳数和提取源地址前缀对应的到达当前部署点的跳数之间的差值超出预定阈值时,丢弃 该待验证报文。5.一种域内源地址的验证装置,应用在域内网络节点上,其特征在于,所述装置包括获取模块,所述获取模...
【专利技术属性】
技术研发人员:毕军,姚广,王军涛,胡萍,
申请(专利权)人:清华大学,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。