本发明专利技术公开了一种防止网络攻击的方法及网络地址转换设备,其中,该方法包括:网络地址转换NAT设备接收数据流;NAT设备判断数据流中的源IP地址是否合法;在源IP地址合法的情况下,NAT设备对数据流创建NAT表项,在源IP地址不合法的情况下,NAT设备拒绝对数据流创建NAT表项。通过本发明专利技术,能够保护NAT设备的NAT表项,进而能够防止网络攻击。
【技术实现步骤摘要】
本专利技术涉及网络通信领域,具体而言,涉及一种防止网络攻击的方法及网络地址转换设备。
技术介绍
网络地址转换(Network Address Translator,简称为NAT),它实现内网的IP地 址与公网的地址之间的相互转换,将大量的内网IP地址转换为一个或少量的公网IP地址, 减少对公网IP地址的占用。 NAT的最典型应用是在一个局域网内,只需要一台计算机连接上Internet,就可 以利用NAT共享Internet连接,使局域网内其他计算机也可以上网。使用NAT协议,局域 网内的计算机可以访问Internet上的计算机,但Internet上的计算机无法访问局域网内 的计算机。 所有Internet服务提供商(Internet Sever Provider,简称为ISP)提供的内网 Internet接入方式,几乎都是基于NAT协议的。 应用NAT带来的好处有通过NAT功能实现多个用户同时共用一个公网IP地址与 外部Internet进行通信,达到节省IP地址的目的;通过NAT将内部网络与外部Internet 隔离开,使得内网更安全。 图1是根据相关技术的典型NAT应用环境拓扑图。 由图l所示,当内部网络一台主机访问外部网络资源时,分步图解拓扑详细过程 步骤包括步骤SI至步骤S5 : 步骤Sl,内部主机192. 168. 12. 2发起一个到外部主机168. 168. 12. 1的连接。 步骤S2,当路由器接收到以192. 168. 12. 2为源地址的第一个数据包时,引起路由 器检查NAT映射表,该地址有配置静态映射,就执行步骤S3,如果没有静态映射,就进行动 态映射,路由器就从内部全局地址池中选择一个有效的地址,并在NAT映射表种创建NAT转 换记录。这种记录叫基本记录。 步骤S3,路由器用192. 168. 12. 2对应的NAT转换记录中全局地址,替换数据包源 地址,经过转换后,数据包的源地址变为200. 168. 12. 2,然后转发该数据包。NAT转换记录 表详细见表1 : 表l 内部本地地址内部全局地址192. 168.12.2200. 168.12.2 步骤S4, 168. 168. 12. 1主机接收到数据包后,将向200. 168. 12. 2发送响应包。 步骤S5,当路由器接收到内部全局地址的数据包时,将以内部全局地址 200. 168. 12. 2为关键字查找NAT记录表,将数据包的目的地址转换成192. 168. 12. 2并转发4给192. 168. 12. 2。 步骤S6, 192. 168. 12. 2接收到应答包,并继续保持会话。步骤Sl到步骤S5将一直重复,直到会话结束。 通常, 一台启用了 NAT的设备,都是一台网关设备。NAT设备在进行NAT地址转换 时,最关键的信息就是NAT的地址转换表,通常每条数据流都会对应一个NAT的地址转换 表,我们也叫NAT表项。如果NAT表项容量满了 ,新的数据流就无法进行NAT转换。 近来,采用伪造源地址产生的攻击常常发生,给ISP和网络维护带来了许多问题。 比如攻击者所在的实际IP网段为192. 168. 196. O,但是却伪造不存在的源地址11. 0. 0. 1 的报文发起攻击,导致NAT网关设备还会为不存在的源地址11. 0. 0. 1的数据流建立NAT表 项。 我们通过反向路由查找,通常能够检测出这种情况的攻击。报文转发是根据接收 到的IP报文的目的地址,查找转发路由表,根据找到的转发路由表项进行报文转发。通常 查找转发路由表项的过程都是在报文要寻找转发的出接口时进行的。 反向路由查找则是在源接口收到报文的时候,就通过获取接收报文的源地址和入 接口 ,根据报文源地址在转发路由表中查找转发表项(其实就是假设如果要往这个源地址 发送报文,要发给哪个接口 ,这时就要通过查找转发路由表项才知道)。 如果转发表项不存在,或者如果转发报文表项的出接口与报文的入接口不匹配, 那么报文的源地址肯定是非法的源地址。否则,报文的源地址则是合法的源地址。 假设如图1所示典型NAT应用环境拓扑图,NAT设备上不存在11. 0. 0. 0网段,攻 击者所在的实际IP网段为192. 168. 196. O,如果我们用源地址11.0. 0. l在NAT设备上查找 路由,通常是找不到路由,也就是转发表项不存在。如果NAT设备有配置缺省路由,这时查 找路由就会找到缺省路由,在NAT设备上,缺省路由指向的接口都是NAT设备外网接口 ,肯 定和该报文的入接口不匹配(该报文的入接口为内网接口)。 目前内网的攻击方式很多,其中伪造源IP构造数据流攻击NAT设备,是一个常用 的方式。目前的NAT设备通常不会对源IP的合法性进行检查,因此,如果构造大量源IP不 存在的数据流攻击NAT设备。NAT设备就会为这些非法的数据流创建NAT表项,占用大量 的NAT设备内存,如果这样的非法数据流非常多的情况下,就会把NAT设备NAT表项占满, 导致合法的数据流由于申请不到NAT表项,无法进行正常的NAT地址转换,无法正常转发。 在题为一种防止网络用户对网络地址转换(NAT)设备攻击的方法的中国专利 申请中,该专利描述的是对存在的内网网络用户的NAT链接信息进行统计,根据统计值判 断内网用户建立NAT链接的频率和个数是否合法,不合法进行限制。 该专利对内网不存在的源地址建立NAT连接请求的情况没有进行判断,因此无法 保护这种攻击情况下的NAT表项。 在题为在NAT环境下解决端口扫描和拒绝攻击的方法的中国专利申请中针对 内网已经存在的主机的NAT连接控制。 该专利对内网不存在的源地址建立NAT连接请求的情况没有进行判断,因此无法 保护这种攻击情况下的NAT表项。 在题为一种防止NAT-PT设备受到攻击的方法的中国专利申请中,该专利同样 也是针对内网已经存在的主机的NAT连接数进行统计和观察,进行对NAT连接的创建进行5控制,对内网不存在的源地址建立NAT连接请求的情况没有进行判断,因此无法保护这种 攻击情况下的NAT表项。 针对相关技术中NAT设备往往被大量非法源IP攻击,导致NAT表项被占满,正常 NAT报文无法转发的问题,目前尚未提出有效的解决方案。
技术实现思路
针对NAT设备往往被大量非法源IP攻击,导致NAT表项被占满,正常NAT报文无 法转发的问题而提出本专利技术,为此,本专利技术的主要目的在于提供一种防止网络攻击的方法 及NAT设备,以解决上述问题。 为了实现上述目的,根据本专利技术的一个方面,提供了一种防止网络攻击的方法。 根据本专利技术的防止网络攻击的方法包括网络地址转换NAT设备接收数据流;NAT 设备判断数据流中的源IP地址是否合法;在源IP地址合法的情况下,NAT设备对数据流创 建网络地址转换NAT表项,在源IP地址不合法的情况下,NAT设备拒绝对数据流创建NAT表 项。 优选地,NAT设备判断数据流中的源IP地址是否合法包括NAT设备判断数据流中 的源IP地址是否和NAT设备接收报文的网络接口在同一个网段;在源IP地址和NAT设备 接收报文的网络接口在同一个网段的情况下,NAT设备通过数据流的源IP地址查找ARP表 项;在NAT设备查到ARP本文档来自技高网...
【技术保护点】
一种防止网络攻击的方法,其特征在于,包括:网络地址转换NAT设备接收数据流;所述NAT设备判断所述数据流中的源IP地址是否合法;在所述源IP地址合法的情况下,所述NAT设备对所述数据流创建网络地址转换NAT表项,在所述源IP地址不合法的情况下,所述NAT设备拒绝对所述数据流创建NAT表项。
【技术特征摘要】
一种防止网络攻击的方法,其特征在于,包括网络地址转换NAT设备接收数据流;所述NAT设备判断所述数据流中的源IP地址是否合法;在所述源IP地址合法的情况下,所述NAT设备对所述数据流创建网络地址转换NAT表项,在所述源IP地址不合法的情况下,所述NAT设备拒绝对所述数据流创建NAT表项。2. 根据权利要求1所述的方法,其特征在于,所述NAT设备判断所述数据流中的源IP 地址是否合法包括所述NAT设备判断所述数据流中的源IP地址是否和所述NAT设备接收报文的网络接 口在同一个网段;在所述源IP地址和所述NAT设备接收报文的网络接口在同一个网段的情况下,所述 NAT设备通过所述数据流的源IP地址查找ARP表项;在所述NAT设备查到所述ARP表项的情况下,则确定所述源IP地址合法。3. 根据权利要求1或2所述的方法,其特征在于,在所述源IP地址和所述NAT设备接 收报文的网络接口不在同一个网段的情况下,所述NAT设备判断所述数据流中的源IP地址 是否合法还包括所述NAT设备判断其接收数据流的网络接口和目的接口是否为同一个接口 ,其中,所 述目的接口为所述源IP地址在NAT设备中查到的路由表项所对应的目的接口 ;在所述NAT设备接收数据流的网络接口和所述目的接口为同一个接口的情况下,所述 NAT设备统计以所述源IP地址为目的地址的数据报文的个数以及以所述源IP地址为源地 址的数据报文的个数;在以所述源IP地址为目的地址的数据报文的个数以及以所述源IP地址为源地址的数 据报文的个数均为非零的情况下,则确定所述源IP地址合法。4. 根据权利要求1至3中任一项所述的方法,其特征在于,所述NAT设备判断所述数据 流中的源IP地址是否合法包括所述NAT设备判断所述数据流中的第一个数据报文的源IP地址是否合法; 在所述第一个数据报文的源IP地址不合法的情况下,则确定所述数据流的源IP地址 不合法。5. 根据权利要求1至3中任一项所述的方法,其特征在于,在所述数据流中的源IP地 址不合法的情况下,所述方法还包括将不合法的所述源IP地址加入黑名单。6. 根据权利要求5所述的方法,其特征在于,在将不合法的所述源IP地址加入黑名单 之后,所述方法还包括所述NAT设备每隔预定的时间判断所述黑名单中的各个源IP地址是否被使用; 在所述黑名单中的源IP地址被使用的情况下,将被使用的源IP地址从所述黑名单中 删除。7. ...
【专利技术属性】
技术研发人员:陈朝晖,
申请(专利权)人:北京星网锐捷网络技术有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。