国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種辨別報(bào)文源地址真?zhèn)蔚姆椒?

      文檔序號:7961567閱讀:269來源:國知局
      專利名稱:一種辨別報(bào)文源地址真?zhèn)蔚姆椒?br> 技術(shù)領(lǐng)域
      本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種辨別報(bào)文源地址真?zhèn)蔚姆椒ā?br> 背景技術(shù)
      在目前的網(wǎng)絡(luò)中,普遍存在使用大量源地址為偽造的報(bào)文向目標(biāo)發(fā)起攻擊的情況。為了對付報(bào)文的攻擊,需要確定攻擊報(bào)文的真實(shí)地址與其攜帶的源地址是否相符?,F(xiàn)有技術(shù)普遍在路由器接收到報(bào)文時使用使用單播反向路徑轉(zhuǎn)發(fā)(uRPF)技術(shù)來檢測該報(bào)文源地址的真實(shí)性。
      但對于負(fù)載分擔(dān)路由情況下,如何進(jìn)行uRPF,尚無有效的算法。
      如圖1所示,當(dāng)攻擊點(diǎn)本身地址為204.69.207.0/24,但在發(fā)起攻擊時,卻使用隨機(jī)產(chǎn)生的偽地址向互聯(lián)網(wǎng)服務(wù)提供商(ISP)A發(fā)起報(bào)文流,如果不對該報(bào)文源地址進(jìn)行識別,被攻擊端無法識別出攻擊報(bào)文的真實(shí)地址,無法對攻擊端進(jìn)行處理。
      為對付這種攻擊,現(xiàn)有技術(shù)確定了使用uRPF技術(shù)來檢測攻擊報(bào)文的技術(shù)。
      在邊緣路由器router2在收到報(bào)文時,使用目的IP地址(DIP)進(jìn)行轉(zhuǎn)發(fā)信息查詢,確定報(bào)文去向;使用源地址(SIP)在路由表(FIB)中進(jìn)行uRPF查詢,確定報(bào)文的來源。
      進(jìn)行uRPF查詢將有如下幾種情況uRPF FIB查詢失敗,這說明源IP地址(SIP)無法路由,互聯(lián)網(wǎng)服務(wù)提供商(ISP)的應(yīng)答報(bào)文也無法到達(dá)發(fā)起者。
      雖然uRPF FIB查詢成功,但報(bào)文的源端口與轉(zhuǎn)發(fā)信息表中的目的端口不符,這說明報(bào)文來源端口不正確。
      如果查詢到的是負(fù)載分擔(dān)路由,需要進(jìn)一步分析各個負(fù)載分擔(dān)信息表,在這種情況下逐一查詢負(fù)載分擔(dān)中的各條轉(zhuǎn)發(fā)信息,當(dāng)查到有一個轉(zhuǎn)發(fā)表項(xiàng)如果符合,則說明報(bào)文來源正確;如果查詢到的負(fù)載分擔(dān)信息表都不符合,說明報(bào)文源地址為偽造。
      當(dāng)遇到一個源地址為偽造的報(bào)文,現(xiàn)有技術(shù)對負(fù)載分擔(dān)路由的情況進(jìn)行嚴(yán)格的uRPF檢查,需要對等價(jià)多路徑(ECMP)的等價(jià)路由轉(zhuǎn)發(fā)表項(xiàng)進(jìn)行循環(huán)讀取并檢查,當(dāng)其中一條轉(zhuǎn)發(fā)路徑與報(bào)文源端口一致,則認(rèn)為uRPF成功;當(dāng)對所有等價(jià)路徑一一檢查完畢后,發(fā)現(xiàn)所有等價(jià)路徑都與報(bào)文源端口不一致,才能認(rèn)定uRPF失敗。
      現(xiàn)有技術(shù)這種確認(rèn)uRPF失敗的操作大量耗費(fèi)接口帶寬和處理器處理時間,無法支持高速轉(zhuǎn)發(fā)的性能要求。

      發(fā)明內(nèi)容
      本發(fā)明的目的是提供一種辨別報(bào)文源地址真?zhèn)蔚姆椒?,用于在路由器接收到一條報(bào)文后判斷是否轉(zhuǎn)發(fā)該報(bào)文。
      本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的一種辨別報(bào)文源地址真?zhèn)蔚姆椒ǎ酚善鳛樨?fù)載分擔(dān)路由表設(shè)置用于識別路由地址真實(shí)性的信息,路由器接收報(bào)文后根據(jù)修改后的路由表對報(bào)文攜帶的源地址進(jìn)行單播反向路徑查詢,確定報(bào)文的源地址的真實(shí)性。
      所述為路由表設(shè)置用于識別路由地址真實(shí)性的信息并確定源地址真實(shí)性的方法包括
      為單板的路由表項(xiàng)設(shè)置用于標(biāo)識該路由表項(xiàng)與本單板相關(guān)關(guān)系的本板相關(guān)標(biāo)志域,通過對該域的檢測確定報(bào)文攜帶的源地址是否與本板相關(guān),當(dāng)源地址與本板無關(guān),則確定該地址為偽造地址;在路由表項(xiàng)中設(shè)置用于標(biāo)識本板各端口與報(bào)文攜帶的源地址關(guān)系的地址相關(guān)端口標(biāo)識域以及單板端口有效性的有效端口域,在確定源地址與本板相關(guān)后,將報(bào)文進(jìn)入路由器所經(jīng)過的端口號與地址相關(guān)端口標(biāo)識域和有效端口域的值進(jìn)行比較,根據(jù)比較結(jié)果確定報(bào)文源地址真?zhèn)巍?br> 通過所述比較確定報(bào)文進(jìn)入路由器所經(jīng)過的端口是否為與報(bào)文攜帶的源地址相連的端口且為路由器的有效端口,如果是,則報(bào)文的源地址為真實(shí)地址,如果不是,則報(bào)文的源地址為偽地址。
      所述比較通過報(bào)文進(jìn)入路由器所經(jīng)過的端口號與地址相關(guān)端口標(biāo)識域的值以及有效端口域的值進(jìn)行的與邏輯運(yùn)算實(shí)現(xiàn)。
      路由器可由包括多端口單板在內(nèi)的多個單板組成或僅由多個單端口單板組成,對于由包括多端口單板在內(nèi)的多個單板組成的路由器,通過為負(fù)載分擔(dān)路由表設(shè)置用于識別路由地址真實(shí)性信息的方法確定報(bào)文源地址真實(shí)性,對于僅由多個單端口單板組成的路由器,通過根據(jù)負(fù)載分擔(dān)路由表中的路由轉(zhuǎn)發(fā)信息配置多個與本板相關(guān)的單跳路由表并反向查詢該單跳路由表的方法確定報(bào)文源地址真實(shí)性。
      一種辨別報(bào)文源地址真?zhèn)蔚姆椒?,包括路由器根?jù)單板上原有負(fù)載分擔(dān)路由表中的路由轉(zhuǎn)發(fā)信息設(shè)置僅與本板相關(guān)的單跳路由表,根據(jù)所述單跳路由表進(jìn)行反向查詢確定報(bào)文源地址真?zhèn)巍?br> 所述設(shè)置僅與本板相關(guān)的單跳路由表包括對于本板相關(guān)的單端口單板,該單板關(guān)于報(bào)文源地址的唯一路由轉(zhuǎn)發(fā)信息與地址構(gòu)成單跳路由表;本板相關(guān)的多端口單板,將該單板的每條路由轉(zhuǎn)發(fā)信息與地址構(gòu)成一個單跳路由表,得到多個單跳路由表。
      由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明通過為負(fù)載分擔(dān)路由表添加用于辨別地址真?zhèn)蔚男畔㈨?xiàng),或通過壓縮路由表的方法簡化了對負(fù)載分擔(dān)路由表多跳信息的逐一比較和查詢,提高辨別效率,減少對系統(tǒng)處理能力的消耗。


      圖1所示為使用分布式路由器的網(wǎng)絡(luò)示意圖;圖2所示為使用由單端口單板組成的負(fù)載分擔(dān)路由器的網(wǎng)絡(luò)示意圖;圖3所示為使用包含多端口單板的負(fù)載分擔(dān)路由器的網(wǎng)絡(luò)示意圖。
      具體實(shí)施例方式
      本發(fā)明的核心是在路由器中的單板接收報(bào)文時,根據(jù)所述報(bào)文的源地址信息查詢配置有用于識別路由地址真實(shí)性的信息,再根據(jù)查找結(jié)果確定報(bào)文源地址的真?zhèn)巍?br> 對分布式路由器各單板的路由表進(jìn)行修改,當(dāng)有報(bào)文進(jìn)入路由器時,根據(jù)修改后的路由表,將該報(bào)文的源地址作為反向查詢的目的地址進(jìn)行單播反向路徑查詢,辨別報(bào)文中攜帶的源地址信息是否為真實(shí)源地址。由于構(gòu)成路由器的單板可能有單個或者多個端口,可以采用不同的方法對路由表進(jìn)行修改對含有多端口單板的路由器,為負(fù)載分擔(dān)路由表設(shè)置用于識別路由地址真實(shí)性的信息;對僅由單端口單板組成的路由器,將其負(fù)載分擔(dān)的路由表壓縮為單跳路由表。
      具體一點(diǎn)講,本發(fā)明在由單端口單板組成的負(fù)載分擔(dān)路由器中,對于每個單板的本板相關(guān)負(fù)載分擔(dān)路由表,根據(jù)負(fù)載分擔(dān)路由表中的路由信息進(jìn)行重新設(shè)置得到單跳路由表,單跳路由表中僅包含轉(zhuǎn)發(fā)信息中與本板相關(guān)的端口,不包含其他端口。進(jìn)行單播反向路徑查詢時,如果查到單一下一跳的路由表項(xiàng),則進(jìn)行端口比較,如果入端口與表項(xiàng)內(nèi)的端口一致,則uRPF通過;如果查到多下一跳的負(fù)載分擔(dān)路由表,則說明uRPF失敗,不需要再進(jìn)行逐一比較。
      本發(fā)明還可以在負(fù)載分擔(dān)路由器中為各單板的路由表添加新的信息域,根據(jù)報(bào)文進(jìn)入路由器的端口以及新的信息項(xiàng)辨別報(bào)文中攜帶的源地址是否為真實(shí)源地址。
      本發(fā)明添加的信息項(xiàng)包括本板相關(guān)標(biāo)志域、地址相關(guān)端口標(biāo)識域(本板端口bit域)以及有效端口域(本板端口bit mask域)。辨別源地址是否為真實(shí)地址時首先需要檢測單板路由表中的本板相關(guān)標(biāo)志域的值,若該值為無關(guān),則報(bào)文攜帶的源地址為偽地址;若該項(xiàng)值為相關(guān),則將報(bào)文進(jìn)入路由器所經(jīng)過的端口號與地址相關(guān)端口標(biāo)識域和有效端口域的值進(jìn)行比較,根據(jù)比較結(jié)果確定報(bào)文源地址真?zhèn)巍?br> 所述比較確定報(bào)文進(jìn)入路由器所經(jīng)過的端口是否為與報(bào)文攜帶的源地址相連的端口且為路由器的有效端口,如果是,則報(bào)文的源地址為真實(shí)地址,如果不是,則報(bào)文的源地址為偽地址。
      下面將結(jié)合本發(fā)明具體實(shí)施例附圖對本發(fā)明作詳細(xì)說明。
      圖2所示為包含多端口單板的負(fù)載分擔(dān)路由器示意圖。
      如圖2所示,圖中共有3個分布式路由器router1、router2、router3,其中router2包含單板1,單板2,單板3共三個單板,且單板2為多端口單板,共有8個端口,其中的兩個端口port0,port1連接至地址204.69.207.0/24,其余端口連接至其他地址;單板2上有一個端口,也連接至地址204.69.207.0/24;單板3上有一個端口,與ISP相連。
      這樣,router2與地址204.69.207.0/24之間共有三條等價(jià)路由,分別為單板1、單板2的port0以及port1。
      當(dāng)有報(bào)文進(jìn)入路由器,如果報(bào)文的SIP為204.69.207.0/24,路由器需要查詢該報(bào)文是否確實(shí)由204.69.207.0/24發(fā)出。如果確實(shí)是從204.69.207.0/24發(fā)出,則該報(bào)文可轉(zhuǎn)發(fā);如果該報(bào)文是從其他地址發(fā)出,但報(bào)文地址信息中攜帶的SIP卻為204.69.207.0/24,則該報(bào)文的SIP地址為偽造,不予轉(zhuǎn)發(fā)。
      本發(fā)明使用單播反向路徑轉(zhuǎn)發(fā)進(jìn)行源地址查詢時。由于是進(jìn)行反向檢查,報(bào)文信息中的源地址204.69.207.0/24在反向查詢中成為查詢的目的地址。
      對于路由器中的各個單板,其維護(hù)的關(guān)于同一地址的路由表項(xiàng)均由主控協(xié)議模塊下發(fā),且在一般情況下,主控協(xié)議模塊下發(fā)給各單板的路由表項(xiàng)是完全相同的。在本實(shí)施例中,主控協(xié)議模塊下發(fā)給各單板的地址為204.69.207.0/24的路由表項(xiàng)為表1-1所示

      表1-1可以看出,該路由表為負(fù)載分擔(dān)路由表,且同一單板具有多個端口作為負(fù)載分擔(dān)。在這種情況下,本發(fā)明實(shí)施例一對現(xiàn)有負(fù)載分擔(dān)路由表進(jìn)行修改,為各單板上指定目的地址的路由表設(shè)置用于識別路由地址真實(shí)性的信息,路由器接收報(bào)文后根據(jù)修改后的路由表對報(bào)文攜帶的源地址進(jìn)行單播反向路徑查詢,確定報(bào)文的源地址的真實(shí)性。
      所述添加的信息項(xiàng)包括本板相關(guān)標(biāo)志域,該域的值為相關(guān)或無關(guān),表示本板與報(bào)文攜帶的源地址是否相關(guān);地址相關(guān)端口標(biāo)識域(本板端口bit域),該域中每個本板端口對應(yīng)一位二進(jìn)制數(shù),用每位二進(jìn)制數(shù)的取值表示本板各端口與報(bào)文攜帶的源地址的連接關(guān)系;有效端口域(本板端口bit mask域),該域中用二進(jìn)制數(shù)表示本板的有效端口數(shù),每個端口對應(yīng)一位二進(jìn)制數(shù)。
      在本發(fā)明實(shí)施例一中,所述本板相關(guān)標(biāo)志域、地址相關(guān)端口標(biāo)識域以及有效端口域的具體信息如下本板相關(guān)標(biāo)志域,表示本板是否與路由表中的目的地址相關(guān),1表示相關(guān),0表示不相關(guān)。
      地址相關(guān)端口標(biāo)識域,表示路由表項(xiàng)中所涉及的本板端口,用一位二進(jìn)制數(shù)表示本板上的一個端口是否在路由表項(xiàng)中被涉及,用1表示涉及,用0表示其余未涉及的端口。對于本實(shí)施例,單板1共有8個端口,分別為端口0~端口7,路由表項(xiàng)涉及單板1中的端口0和端口1,則單板1的端口bit域表示為11000000。
      有效端口域,表示本板的端口總數(shù),對于本實(shí)施例,單板1共有8個端口,則該域的值表示為11111111;對于只有1個端口的單板,該域的值表示為10000000。
      本實(shí)施例中0和1所表示的信息并不是固定不變的,可以根據(jù)實(shí)際情況進(jìn)行調(diào)整。
      在本實(shí)施例中,為單板2增加本板相關(guān)信息后的路由表項(xiàng)如表1-2所示

      表1-2根據(jù)該路由表項(xiàng),對進(jìn)入單板2的源地址為204.69.207.0/24報(bào)文進(jìn)行單播反向路徑轉(zhuǎn)發(fā)查詢,檢查發(fā)送該報(bào)文的真實(shí)源地址是否真正為204.69.207.0/24,以便確定是否轉(zhuǎn)發(fā)該報(bào)文,具體包括步驟11、本發(fā)明實(shí)施例一在進(jìn)行單播反向路徑轉(zhuǎn)發(fā)時首先需要查詢本板相關(guān)標(biāo)志域,其中1表示相關(guān),0表示無關(guān)。
      當(dāng)本板相關(guān)標(biāo)志域的信息為0,則所有通過該板進(jìn)入路由器且目的地址與路由表中目的地址相同的報(bào)文均不予轉(zhuǎn)發(fā),報(bào)文攜帶的源地址信息為偽信息;當(dāng)本板相關(guān)標(biāo)志域的信息為相關(guān),則繼續(xù)進(jìn)行步驟22。
      步驟12、將報(bào)文進(jìn)入單板2的端口號與單板2的路由表中本板端口bit域和本端口bit mask域的值進(jìn)行與邏輯運(yùn)算,根據(jù)運(yùn)算值判斷報(bào)文地址的真實(shí)性。
      實(shí)施例一中,單板2具有8個端口,其中端口0、端口1與目的地址204.69.207.0/24相連。
      當(dāng)一個目的地址為204.69.207.0/24的報(bào)文從端口1進(jìn)入路由器,根據(jù)路由表項(xiàng)的內(nèi)容,將報(bào)文進(jìn)入路由器的端口與本板端口bit和本板端口bit mask進(jìn)行與邏輯運(yùn)算,根據(jù)所得的結(jié)果判斷報(bào)文源地址是否為204.69.207.0/24。若不是真實(shí)的地址,則認(rèn)為該地址為偽造,該報(bào)文為攻擊報(bào)文,不轉(zhuǎn)發(fā)該報(bào)文;若是真實(shí)的地址,則認(rèn)為該報(bào)文為有效報(bào)文,對其進(jìn)行正常的轉(zhuǎn)發(fā)。
      單板2中的8個端口為端口0-端口7,其中從端口1進(jìn)入報(bào)文時,端口1表示為01000000;將端口1與路由表項(xiàng)中本板bit域和本端口bit mask域進(jìn)行與操作(01000000)&amp;(port bits)&amp;(port bits mask),即(01000000)&amp;(11000000)&amp;(port11111111),其結(jié)果為1,說明路有表中端口1的單播反向路徑轉(zhuǎn)發(fā)查詢成功,亦即可以斷定從端口1進(jìn)入的報(bào)文,若報(bào)文中攜帶的源地址信息為204.69.207.0/24,則該源地址是該報(bào)文的真實(shí)源地址,該報(bào)文為有效報(bào)文,路由器將按照該報(bào)文的目的地址轉(zhuǎn)發(fā)該報(bào)文。
      在本發(fā)明實(shí)施例一中,當(dāng)一個源地址為204.69.207.0/24的報(bào)文從端口4進(jìn)入路由器,根據(jù)路由表項(xiàng)的內(nèi)容,將報(bào)文進(jìn)入路由器的端口與本板端口bit和本板端口bit mask進(jìn)行與操作,根據(jù)所得的結(jié)果判斷該報(bào)文地址的真實(shí)性。
      單板2中的端口4表示為00001000;將端口4與路由表項(xiàng)中本板bit域和本端口bit mask域進(jìn)行與操作(00001000)&amp;(port bits)&amp;(port bits mask),(00001000)&amp;(11000000)&amp;(11111111),即(00001000)&amp;(11000000)&amp;(11111111),其結(jié)果為0,說明路由表中端口4的單播反向路徑轉(zhuǎn)發(fā)查詢失敗,亦即可以斷定從端口4進(jìn)入的報(bào)文,若報(bào)文中攜帶的源地址信息為204.69.207.0/24,則該報(bào)文的源地址為偽造,該報(bào)文無效,可能是某一個終端發(fā)出的攻擊報(bào)文,路由器不轉(zhuǎn)發(fā)該報(bào)文,并將其丟棄。
      本發(fā)明實(shí)施例一中修改路由表,為路由表添加信息項(xiàng)的方法對于只有一個端口的單板1同樣適用。使用該方法,單板1中目的地址為204.69.207.0/24的路由表項(xiàng)如表1-3所示

      表1-3當(dāng)單板1從其唯一端口接收到一條源地址為204.69.207.0/24的報(bào)文時,首先檢查本板相關(guān)標(biāo)志域,其值為1,表示相關(guān),則繼續(xù)進(jìn)行與邏輯運(yùn)算檢查。接收報(bào)文的端口表示為10000000,將該端口與路由表項(xiàng)中本板bit域和本端口bit mask域進(jìn)行與操作(00001000)&amp;(port bits)&amp;(port bits mask),即(10000000)&amp;(10000000)&amp;(10000000),其結(jié)果為1,說明從單板1的唯一端口進(jìn)入路由器的報(bào)文,若其源地址為204.69.207.0/24,則該報(bào)文的地址為真實(shí)地址,路由器轉(zhuǎn)發(fā)該報(bào)文。
      對于只有一個端口的單板3,其保存的204.69.207.0/24表項(xiàng)如表1-4所示

      表1-4由于單板3的端口不與204.69.207.0/24相連,因此在單板3中204.69.207.0/24的路由表項(xiàng)中本板相關(guān)項(xiàng)數(shù)值為0,即可得出如下結(jié)論從單板3端口輸出的報(bào)文均無法到達(dá)204.69.207.0/24這個地址。
      圖3所示為單接口單板組成的負(fù)載分擔(dān)路由器示意圖。
      如圖3所示,在實(shí)施例二中router2與地址204.69.207.0/24之間有單板1和單板2兩條等價(jià)路由,router2的單板3與互聯(lián)網(wǎng)服務(wù)提供商(ISP)相連,所述的單板1和單板2均只有一個接口。
      在根據(jù)本發(fā)明進(jìn)行處理前,router2中各單板均維護(hù)同一張由主控協(xié)議模塊下發(fā)的路由表。在圖3所示的router2的各個單板中,目的地址為204.69.207.0/24路由表項(xiàng)如表2-1所示

      表2-1當(dāng)router2接收到源地址為204.69.207.0/24的報(bào)文后,在按照該報(bào)文的目的地址轉(zhuǎn)發(fā)該報(bào)文前,需將報(bào)文的源地址作為反向查詢的目的地址,對報(bào)文進(jìn)行單播反向路徑查詢,檢查該報(bào)文攜帶的源地址信息是否為真實(shí)地址。
      本發(fā)明在進(jìn)行單播反向查詢前對路由器個單板上維護(hù)的路由表進(jìn)行修改。
      對于一個單板上的負(fù)載分擔(dān)路由表,根據(jù)該路由表中的信息重新設(shè)置路由表,得到僅包含與本板相關(guān)的路由轉(zhuǎn)發(fā)信息的路由表。由于各單板均只有一個端口,所以經(jīng)本發(fā)明修改的各單板路由表從負(fù)載分擔(dān)路由表壓縮為僅含單跳轉(zhuǎn)發(fā)信息的普通路由表。
      在刪除其它板轉(zhuǎn)發(fā)信息后,單板1上保存的目的地址為204.69.207.0/24的路由表如表2-2所示

      表2-2單板2上保存的204.69.207.0/24的路由表如表2-3所示

      表2-3在路由器中,真正應(yīng)該前往204.69.207.0/24的是從單板3的接口進(jìn)入的報(bào)文,該報(bào)文在查詢路由表后得到關(guān)于地址204.69.207.0/24的轉(zhuǎn)發(fā)信息。因此,在接口板3上的路由表項(xiàng)需要完整的保存,不能進(jìn)行刪除,以便從接口板3進(jìn)入的報(bào)文可以得到所有的路由轉(zhuǎn)發(fā)信息。
      不刪除單板3上的轉(zhuǎn)發(fā)信息,其目的地址為204.69.207.0/24的路由表依然為


      在對單板1、單板2的路由表項(xiàng)進(jìn)行處理后,當(dāng)在單板1、單板2上進(jìn)行反向路徑檢查時,由于每個接口板的路由表項(xiàng)中僅含有一個單跳信息,不再存在負(fù)載分擔(dān),無需對多條等價(jià)路徑進(jìn)行循環(huán)讀取及檢查,節(jié)省運(yùn)算時間,提高路由效率。
      在對單板的路由表進(jìn)行壓縮后,對路由器中的單板進(jìn)行單播反向路徑查詢的過程如下步驟21、使用報(bào)文的源地址作為目的地址進(jìn)行反向查詢,如果路由表中沒有維護(hù)該目的地址的路由表,則報(bào)文源地址超出路由器的控制范圍,說明報(bào)文的源地址為偽地址。
      步驟22、如果路由表中有該目的地址的路由表,則檢測該路由表為負(fù)載分擔(dān)路由表還是單跳路由表。
      步驟23、當(dāng)路由表項(xiàng)仍是負(fù)載分擔(dān)的路由表,則說明對本板的反向查詢失?。划?dāng)路由表是單跳路由表,則檢查入端口與出端口是否一致。
      如果是一致的,則單播反向路徑查詢成功,報(bào)文攜帶的源地址為真實(shí)地址,如果不是同一單板,則說明uRPF失敗,也不再對其它單板進(jìn)行查詢。
      本發(fā)明實(shí)施例一、二對由不同單板組成的路由器采取不同的處理方法。由于在實(shí)際應(yīng)用中全部由單端口單板組成的路由器和由包括多端口單板的路由器可能同時出現(xiàn)在同一系統(tǒng)中,本發(fā)明在同一系統(tǒng)中綜合使用實(shí)施例一和實(shí)施例二的方法,對系統(tǒng)中包含多端口單板的路由器通過設(shè)置相關(guān)信息的方法進(jìn)行查詢,對僅包含單端口的路由器通過設(shè)置與本板相關(guān)的單跳路由表的方法進(jìn)行查詢。
      以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
      ,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
      權(quán)利要求
      1.一種辨別報(bào)文源地址真?zhèn)蔚姆椒?,其特征在于,包括路由器為?fù)載分擔(dān)路由表設(shè)置用于識別路由地址真實(shí)性的信息,路由器接收報(bào)文后根據(jù)修改后的路由表對報(bào)文攜帶的源地址進(jìn)行單播反向路徑查詢,確定報(bào)文源地址的真實(shí)性。
      2.根據(jù)權(quán)利要求1所述的一種辨別報(bào)文源地址真?zhèn)蔚姆椒?,其特征在于,所述為路由表設(shè)置用于識別路由地址真實(shí)性的信息并確定源地址真實(shí)性的方法包括為單板的路由表項(xiàng)設(shè)置用于標(biāo)識該路由表項(xiàng)與本單板相關(guān)關(guān)系的本板相關(guān)標(biāo)志域,通過對該域的檢測確定報(bào)文攜帶的源地址是否與本板相關(guān),當(dāng)源地址與本板無關(guān),則確定該地址為偽造地址;在路由表項(xiàng)中設(shè)置用于標(biāo)識本板各端口與報(bào)文攜帶的源地址關(guān)系的地址相關(guān)端口標(biāo)識域以及單板端口有效性的有效端口域,在確定源地址與本板相關(guān)后,將報(bào)文進(jìn)入路由器所經(jīng)過的端口號與地址相關(guān)端口標(biāo)識域和有效端口域的值進(jìn)行比較,根據(jù)比較結(jié)果確定報(bào)文源地址真?zhèn)巍?br> 3.根據(jù)權(quán)利要求2所述的一種辨別報(bào)文源地址真?zhèn)蔚姆椒?,其特征在于,通過所述比較確定報(bào)文進(jìn)入路由器所經(jīng)過的端口是否為與報(bào)文攜帶的源地址相連的端口且為路由器的有效端口,如果是,則報(bào)文的源地址為真實(shí)地址,如果不是,則報(bào)文的源地址為偽地址。
      4.根據(jù)權(quán)利要求2所述的一種辨別報(bào)文源地址真?zhèn)蔚姆椒?,其特征在于,所述比較通過報(bào)文進(jìn)入路由器所經(jīng)過的端口號與地址相關(guān)端口標(biāo)識域的值以及有效端口域的值進(jìn)行的與邏輯運(yùn)算實(shí)現(xiàn)。
      5.根據(jù)權(quán)利要求1所述的一種辨別報(bào)文源地址真?zhèn)蔚姆椒?,路由器可由包括多端口單板在?nèi)的多個單板組成或僅由多個單端口單板組成,其特征在于,對于由包括多端口單板在內(nèi)的多個單板組成的路由器,通過為負(fù)載分擔(dān)路由表設(shè)置用于識別路由地址真實(shí)性信息的方法確定報(bào)文源地址真實(shí)性,對于僅由多個單端口單板組成的路由器,通過根據(jù)負(fù)載分擔(dān)路由表中的路由轉(zhuǎn)發(fā)信息配置多個與本板相關(guān)的單跳路由表并反向查詢該單跳路由表的方法確定報(bào)文源地址真實(shí)性。
      6.一種辨別報(bào)文源地址真?zhèn)蔚姆椒?,其特征在于,包括路由器根?jù)單板上原有負(fù)載分擔(dān)路由表中的路由轉(zhuǎn)發(fā)信息設(shè)置僅與本板相關(guān)的單跳路由表,根據(jù)所述單跳路由表進(jìn)行反向查詢確定報(bào)文源地址真?zhèn)巍?br> 7.根據(jù)權(quán)利要求6所述的一種辨別報(bào)文源地址真?zhèn)蔚姆椒?,其特征在于,所述設(shè)置僅與本板相關(guān)的單跳路由表包括對于本板相關(guān)的單端口單板,該單板關(guān)于報(bào)文源地址的唯一路由轉(zhuǎn)發(fā)信息與地址構(gòu)成單跳路由表;本板相關(guān)的多端口單板,將該單板的每條路由轉(zhuǎn)發(fā)信息與地址構(gòu)成一個單跳路由表,得到多個單跳路由表。
      全文摘要
      本發(fā)明提供了一種辨別報(bào)文源地址真?zhèn)蔚姆椒?,屬于通信領(lǐng)域,包括路由器為負(fù)載分擔(dān)路由表設(shè)置用于識別路由地址真實(shí)性的信息,路由器接收報(bào)文后根據(jù)修改后的路由表對報(bào)文攜帶的源地址進(jìn)行單播反向路徑查詢,確定報(bào)文的源地址的真實(shí)性。由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明通過為負(fù)載分擔(dān)路由表添加用于辨別地址真?zhèn)蔚男畔㈨?xiàng),或通過壓縮路由表的方法簡化了對負(fù)載分擔(dān)路由表多跳信息的逐一比較和查詢,提高辨別效率,減少對系統(tǒng)處理能力的消耗。
      文檔編號H04L9/00GK101051994SQ200610082960
      公開日2007年10月10日 申請日期2006年6月21日 優(yōu)先權(quán)日2006年6月21日
      發(fā)明者李政, 肖斌 申請人:華為技術(shù)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1