單一地址反向傳輸路徑轉(zhuǎn)發(fā)的實現(xiàn)方法及裝置的制作方法

專利名稱：：單一地址反向傳輸路徑轉(zhuǎn)發(fā)的實現(xiàn)方法及裝置的制作方法
技術領域：
：本發(fā)明涉及通信領域，具體而言，涉及一種單一地址反向傳輸3各4圣專爭發(fā)(UnicastReversePathForwarding,簡4爾為uRPF)的實i見方法及裝置。
背景技術：
：偽造源地址的網(wǎng)絡攻擊中，黑客才幾器向受害主才幾發(fā)送大量偽造源i也iih的TCP(TransmissionControlProtocol,4專豐IH空制妨、i義)SYN才艮文，占用安全網(wǎng)關的NAT(NetworkAddresstranslation，網(wǎng)纟各;也址轉(zhuǎn)換)會話資源，最終將安全網(wǎng)關的NAT會話表占滿，導致局域網(wǎng)內(nèi)所有人無法上網(wǎng)。uRPF是一項增強路由安全的有效措施，其主要防止基于源地址欺騙的網(wǎng)絡攻擊行為。uRPF采用以下數(shù)據(jù)包轉(zhuǎn)發(fā)機制當路由器(Router)接收到一個凄t據(jù)包，它才企查^各由表，判斷返回數(shù)據(jù)包的源IP地址的路由是否從接收到該數(shù)據(jù)包的接口進入，如果是，則正常轉(zhuǎn)發(fā)該ft據(jù)包；否則，i^為源IP地址是偽裝的，丟棄該^:據(jù)包。反向3各由轉(zhuǎn)發(fā)在防止惡意偽造源地址以及DDoS(DistributedDenialofService,分布式拒絕月良務)攻擊方面頗有成效。例如，路由器接收到一個源IP地址為a的數(shù)據(jù)包，如果路由表中沒有為IP地址a提供任何路由(即反向數(shù)據(jù)包傳輸時所需的路由)，則路由器會丟棄它。uRPF在ISP(局端)實現(xiàn)阻止SMURF攻擊和其他基于IP地址偽裝的攻擊。這能夠保護網(wǎng)絡和客戶免受來自互聯(lián)網(wǎng)其他地方的侵擾。從保護效果的角度考慮，越邊緣的設備實現(xiàn)網(wǎng)絡防護的效果越好。同時，越邊緣的設備，網(wǎng)絡流量也相對較小，打開保護功能，對網(wǎng)絡轉(zhuǎn)發(fā)性能的影響也較'J、。但是，目前IPv6網(wǎng)絡缺少在寬帶接入設備上實現(xiàn)源地址過濾控制的技術。
發(fā)明內(nèi)容本發(fā)明旨在提供一種uRPF的實現(xiàn)方法及裝置，以解決接入設備缺少源地址過濾控制的技術的問題。才艮據(jù)本發(fā)明的一個方面，提供了一種uRPF的實現(xiàn)方法。根據(jù)本發(fā)明的用于IPv6網(wǎng)絡的uRPF的實現(xiàn)方法，該IPv6網(wǎng)絡包括接入設備、路由器、用戶側(cè)設備，其中，該方法包括接入設備偵聽并獲取來自路由器的公告報文，其中，公告報文中攜帶有地址前綴信息；接入設備根據(jù)獲取的地址前綴信息建立前綴表；接入i殳備接收來自用戶側(cè)設備的接入請求才艮文，判斷4妻入i青求報文的源IP地址是否存在于前綴表內(nèi)，并根據(jù)判斷結(jié)果決定是否向路由器轉(zhuǎn)發(fā)報文。優(yōu)選地，接入設備偵聽并獲取的公告報文由路由器以預定周期發(fā)送，并且在接入設備獲取到新的公告才艮文的情況下，該方法還包括接入設備更新前綴表中記錄的信息。優(yōu)選地，該方法還包括在預設時間內(nèi)前綴表中記錄的信息沒有被更新的情況下，老化前綴表中記錄的信息。優(yōu)選地，根據(jù)判斷結(jié)果決定是否轉(zhuǎn)發(fā)報文的處理具體為在判斷結(jié)果為是的情況下，向^各由器轉(zhuǎn)發(fā)凈艮文；在判斷結(jié)果為否的情況下，丟棄報文。才艮據(jù)本發(fā)明的另一方面，還提供了一種uRPF的實現(xiàn)裝置。才艮據(jù)本發(fā)明的uRPF的實現(xiàn)裝置，用于IPv6網(wǎng)絡，該IPv6網(wǎng)絡包括接入設備、路由器、用戶側(cè)設備，該裝置位于接入設備，其中，該裝置包括偵聽和獲取模塊，用于偵聽并獲取來自路由器的公告報文，其中，路由器公告報文中攜帶有地址前綴信息；建立模塊，用于根據(jù)獲取的地址前綴信息建立前綴表；接收^t塊，用于接收來自用戶側(cè)設備的接入請求報文；轉(zhuǎn)發(fā)模塊，用于在接入請求報文的源IP地址存在于建立才莫塊建立的前綴表內(nèi)的情況下，向^各由器轉(zhuǎn)發(fā)報文。優(yōu)選地，該裝置還包括判斷模塊，連接于接收模塊和轉(zhuǎn)發(fā)模塊，用于判斷接入請求報文的源IP地址是否存在于建立模塊建立的前綴表內(nèi)，在判斷結(jié)果為是的情況下，執(zhí)行轉(zhuǎn)發(fā)模塊。優(yōu)選地，偵聽和獲取模塊偵聽并獲取的公告報文由路由器以預定周期發(fā)送，并且在偵聽和獲取模塊獲取到新的公告報文的情況下，該裝置還包括更新模塊，連接至偵聽和獲取模塊以及建立模塊，用于更新前綴表中記錄的信息。優(yōu)選地，該裝置還包括老化模塊，連接至建立才莫塊，用于老化在預設時間內(nèi)沒有被更新的前綴表中記錄的信息。7優(yōu)選地，建立模塊將建立的前綴表以訪問控制鏈表的方式傳輸?shù)睫D(zhuǎn)發(fā)模塊。通過本發(fā)明的上述l支術方案，才艮據(jù)獲取的^各由器^妄口(Interface)的路由信息對來自用戶側(cè)i殳備的報文進4亍處理，能夠過濾偽造數(shù)據(jù)包，在接入設備上實現(xiàn)了地址過濾控制。此處所i兌明的附圖用來纟是供對本發(fā)明的進一步理解，構(gòu)成本申請的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當限定。在附圖中圖1是沖艮據(jù)本發(fā)明實施例的網(wǎng)絡應用場景示意圖2是根據(jù)本發(fā)明實施例的uRPF的實現(xiàn)方法的流禾呈圖3是才艮據(jù)本發(fā)明方法實施例的實現(xiàn)原理的示意圖4是4艮據(jù)本發(fā)明方法實施例的才艮文結(jié)構(gòu)的示意圖5是才艮據(jù)本發(fā)明優(yōu)選實施例的uRPF的實現(xiàn)方法的流程圖6是根據(jù)本發(fā)明實施例的uRPF的實現(xiàn)裝置的框圖7是根據(jù)本發(fā)明優(yōu)選實施例的uRPF的實現(xiàn)裝置的框圖。具體實施例方式功能概述在IPv6網(wǎng)絡中，路由器接口會定期發(fā)布包括鏈路前綴、鏈路MTU(MaximumTransmissionUnit，最大傳l命單元)、7>網(wǎng)3各由等信息的公告報文。寬帶接入設備可以通過偵聽這個報文，獲取路由器接口的路由信息，從而在寬帶接入設備上實現(xiàn)基于IPv6網(wǎng)絡的源地址過濾控制。以下結(jié)合附圖對本發(fā)明的優(yōu)選實施例進行說明，應當理解，此處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明，并不用于限定本發(fā)明。方法實施例根據(jù)本發(fā)明實施例，#是供了一種uRPF的實現(xiàn)方法。才艮據(jù)本發(fā)明實施例的uRPF的實現(xiàn)方法用于IPv6網(wǎng)^>,如圖1所示，該IPv6網(wǎng)絡至少包括接入設備、^各由器、用戶側(cè)i殳備(CustomerPremisesEquipment,簡稱為CPE)。其中，4妻入"i殳備可以是^f旦不限于以下之一多業(yè)務4姿入節(jié)點(Muti-ServiceAccessNode,簡稱為MSAN)、凄t字用戶線鴻4妄入復用器(DigitalSubscriberLineAccessMultiplexer,簡稱為DSLAM)、光纖線鴻4冬端(OpticalLineTerminal,簡稱為OLT)。圖2是才艮據(jù)本發(fā)明實施例的uRPF實現(xiàn)方法的流禾呈圖，如圖2所示，該方法包括步驟S202,接入設備偵聽并獲取來自路由器的公告報文，其中，公告報文中攜帶有地址前綴信息；步驟S204，接入設備根據(jù)獲取的地址前綴信息建立前綴表；步驟S206，接入設備4妄收來自用戶側(cè)設備的接入請求報文，判斷接入請求報文的源IP地址是否存在于前綴表內(nèi)，并根據(jù)判斷結(jié)果決定是否向路由器轉(zhuǎn)發(fā)報文。下面參考圖3進一步描述上述各處理的細節(jié)，圖3是才艮據(jù)本發(fā)明方法實施例的實if見原理的示意圖。(一)步驟S202路由器接口定期發(fā)出公告報文，該3各由器公告報文包括有以下信息鏈路前綴、鏈路MTU、特定路由、是否使用地址自動配置、有效期等。接入設備(或?qū)拵Ы尤朐O備)偵聽路由器發(fā)送的公告報文，并通過上聯(lián)口接收路由器公告報文，由于收到的路由器公告報文還要轉(zhuǎn)發(fā)到用戶側(cè)設備，因此，上聯(lián)口收到的公告報文需要復制一份到接入設備的CPU處理；另一份報文還是正常轉(zhuǎn)到用戶側(cè)去。(二)步驟S204接入設備獲取路由器公告報文中的地址前綴信息，按照如圖4所示的4艮文格式處理報文，并根據(jù)地址前綴信息自動建立如表1所示的前綴表，將地址前綴信息填入下面的前綴表中。表1<table>tableseeoriginaldocumentpage10</column></row><table>4夸自動生成的前纟農(nóng)表，通過ACL(AccessControlList,i方問4空制列表)方式下載到轉(zhuǎn)發(fā)平面。這個ACL是全局ACL,從用戶側(cè)線路來的所有數(shù)據(jù)都要經(jīng)過ACL處理后才轉(zhuǎn)發(fā)。一般地，生成前綴控制ACL可以是如下形式:Permitipwhichinpre-fix-tableDenyall前綴表中的每條記錄都要老化以適應路由器接口地址變化。路由器重新配置地址后，會公告新的IP網(wǎng)段前綴，根據(jù)上述步驟，接入設備就能夠?qū)W習到新的IP地址，從而讓下面新的IP網(wǎng)段的數(shù)據(jù)通過接入設備上行。但原來老的記錄必須老化掉，以清除系統(tǒng)中的垃;及數(shù)據(jù)。老化地原理是在^^由器有公告才艮文過來的前^:下，如果三次都沒有刷新到這條記錄，就認為這個地址已經(jīng)在3各由器4妄口上被刪除。這樣既能夠老化記錄，也不會因^各由器暫時性故障，不發(fā)出教:據(jù)才艮文或者》務改了才艮文發(fā)布時間，而產(chǎn)生4妄入i殳備"i吳刪除有效記錄的情況。(三)步驟S206接入設備接收來自用戶側(cè)設備的接入請求報文，這些才艮文都要經(jīng)過查詢前綴表，源IP地址在這個表內(nèi)的數(shù)據(jù)報文才進行轉(zhuǎn)發(fā)，并丟棄源IP地址不在前綴表內(nèi)的數(shù)據(jù)才艮文。才艮據(jù)本發(fā)明上述實施例的方法，根據(jù)獲取的路由器接口的路由信息對來自用戶側(cè)設備的報文進行處理，能夠過濾偽造數(shù)據(jù)包，在4妄入i殳備上實現(xiàn)了地址過濾控制。圖5是根據(jù)本發(fā)明優(yōu)選實施例的uRPF實現(xiàn)方法的流程圖，如圖5所示，該方法包4舌以下處理步驟S502，路由器定期發(fā)布公告才艮文，其中，該7>告才艮文包括鏈^各前綴、鏈^各MTU、7>網(wǎng)^各由等信息；步驟S504,DSLAM^妻收到該z^告才艮文后，DSLAM不4旦向CPE(用戶側(cè))轉(zhuǎn)發(fā)，同時復制一份到CPU，DSLAM根據(jù)/^告報文中的鏈路前綴信息生成前綴表；步驟S506，DSLAM偵聽(Snooping)該公告才艮文，獲取鏈路上的^^由信息；步驟S508，CPE向DSLAM發(fā)出上網(wǎng)請求報文，如果來自CPE的報文的源IP地址在前綴表的網(wǎng)段內(nèi)，則轉(zhuǎn)發(fā)該報文；步驟S510，如果來自CPE的報文的源IP地址不在前綴表的網(wǎng)l史內(nèi)，則丟棄該才艮文，并阻塞來自該CPE的才艮文。根據(jù)本發(fā)明實施例的上述方法，DSLAM能夠才艮據(jù)^各由器發(fā)布的公告報文過濾掉來自用戶側(cè)的偽造數(shù)據(jù)包，避免了惡意報文進入網(wǎng)絡，從而保障了網(wǎng)絡的安全。裝置實施例才艮據(jù)本發(fā)明的另一方面，還提供了一種uRPF的實現(xiàn)裝置。圖6是才艮據(jù)本發(fā)明實施例的uRPF的實現(xiàn)裝置，圖7是才艮據(jù)本發(fā)明伊二選實施例的uRPF的實3見裝置。才艮據(jù)本發(fā)明實施例的實現(xiàn)裝置用于IPv6網(wǎng)絡，該IPv6網(wǎng)絡至少包括接入設備、路由器、用戶側(cè)設備。在具體實施過程中，該uRPF的實現(xiàn)裝置可以-沒置于4妾入i殳備也可以單獨i殳置，如圖6所示，該裝置包括偵聽和獲取模塊10，用于偵聽并獲取來自路由器的公告報文，其中，路由器公告報文中攜帶有地址前綴信息；建立模塊20，連接至偵聽和獲取模塊10，用于根據(jù)獲取的地址前綴信息建立前綴表；接收模塊30,連接至建立模塊20，用于接收來自用戶側(cè)設備的4妄入i青求才艮文；轉(zhuǎn)發(fā)模塊40,連接至接收模塊30,用于在接入請求報文的源IP地址存在于建立模塊建立的前綴表內(nèi)的情況下，向路由器轉(zhuǎn)發(fā)報文。優(yōu)選地，如圖7所示，該裝置還可以包括判斷沖莫塊50，與接收模塊30和轉(zhuǎn)發(fā)模塊40分別連接，用于判斷接入請求報文的源IP地址是否存在于建立模塊建立的前綴表內(nèi)，并且在判斷結(jié)果為是的情況下，執(zhí)行轉(zhuǎn)發(fā)模塊。并且，偵聽和獲取模塊10偵聽并獲取的公告報文由路由器以預定周期發(fā)送，在偵聽和獲取模塊10獲取到新的公告報文的情況下，該裝置還包括更新模塊60,與偵聽和獲取才莫塊10以及建立模塊20分別連接，用于更新前綴表中記錄的信息。該裝置還可以包括老化模塊70,與建立模塊20相連接，用于老化在預設時間內(nèi)沒有被更新的前綴表中記錄的信息。優(yōu)選地，建立才莫塊20將建立的前綴表以ACL的方式傳輸?shù)睫D(zhuǎn)發(fā)模塊40。從以上的描述中，可以看出，本發(fā)明實現(xiàn)了如下技術效果1、能夠過濾用戶發(fā)出的偽造數(shù)據(jù)包，保護了網(wǎng)絡安全；2、不需要手工配置過濾地址，通過自動學習地址，實現(xiàn)了動態(tài)刷-斤;l也址過濾表；3、不影響現(xiàn)有設備的轉(zhuǎn)發(fā)能力，不額外增加負荷。顯然，本領域的技術人員應該明白，上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn)，它們可以集中在單個的計算裝置上，或者分布在多個計算裝置所組成的網(wǎng)絡上，可選地，它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn)，從而，可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行，或者將它們分別制作成各個集成電路模塊，或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)。這樣，本發(fā)明不限制于任何特定的石更件和軟件結(jié)合。以上所述v又為本發(fā)明的優(yōu)選實施例而已，并不用于限制本發(fā)明，對于本領域的技術人員來說，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何-修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。權(quán)利要求1.一種用于IPv6網(wǎng)絡的單一地址反向傳輸路徑轉(zhuǎn)發(fā)的實現(xiàn)方法，其特征在于，所述IPv6網(wǎng)絡包括接入設備、路由器、用戶側(cè)設備，所述方法包括所述接入設備偵聽并獲取所述來自所述路由器的公告報文，其中，所述公告報文中攜帶有地址前綴信息；所述接入設備根據(jù)獲取的所述地址前綴信息建立前綴表；所述接入設備接收來自用戶側(cè)設備的接入請求報文，判斷所述接入請求報文的源IP地址是否存在于所述前綴表內(nèi)，并根據(jù)判斷結(jié)果決定是否向所述路由器轉(zhuǎn)發(fā)所述報文。2.才艮據(jù)權(quán)利要求1所述的方法，其特;f正在于，所述4妄入設備偵聽并獲取的所述公告報文由所述路由器以預定周期發(fā)送，并且在所述接入設備獲取到新的公告報文的情況下，所述方法還包括所述接入設備更新所述前綴表中記錄的信息。3.根據(jù)權(quán)利要求2所述的方法，其特征在于，還包括在預設時間內(nèi)所述前綴表中記錄的信息沒有被更新的情況下，老化所述前綴表中記錄的信息。4.根據(jù)權(quán)利要求1所述的方法，其特征在于，根據(jù)判斷結(jié)果決定是否轉(zhuǎn)發(fā)所述才艮文的處理具體為在判斷結(jié)果為是的情況下，向所述路由器轉(zhuǎn)發(fā)所述報文；在判斷結(jié)果為否的情況下，丟棄所述凈艮文。5.—種用于IPv6網(wǎng)絡的單一地址反向傳輸路徑轉(zhuǎn)發(fā)的實現(xiàn)裝置，所述IPv6網(wǎng)絡包括接入設備、路由器、用戶側(cè)i殳備，所述裝置位于4妾入設備，其特征在于，所述裝置包括偵聽和獲取模塊，用于偵聽并獲取來自所述路由器的公告報文，其中，所述路由器公告報文中攜帶有地址前綴信息；建立才莫塊，用于#4居獲取的所述地址前綴信息建立前綴表；接收模塊，用于接收來自所述用戶側(cè)設備的接入請求報文；轉(zhuǎn)發(fā)模塊，用于在所述接入請求報文的源ip地址存在于所述建立才莫塊建立的所述前綴表內(nèi)的情況下，向所述^各由器轉(zhuǎn)發(fā)所述^艮文。6.根據(jù)權(quán)利要求5所述的裝置，其特征在于，還包括判斷模塊，連接至所述接收模塊和所述轉(zhuǎn)發(fā)模塊，用于判斷所述接入請求報文的源IP地址是否存在于所述建立模塊建立的所述前綴表內(nèi)，在判斷結(jié)果為是的情況下，4丸行所述轉(zhuǎn)發(fā)模塊。7.根據(jù)權(quán)利要求5所述的裝置，其特征在于，所述偵聽和獲取模并且在所述偵聽和獲取模塊獲取到新的公告報文的情況下，所述裝置還包括更新模塊，連接至所述偵聽和獲取一莫塊以及所述建立模塊，用于更新所述前綴表中記錄的信息。8.根據(jù)權(quán)利要求7所述的裝置，其特征在于，還包括老化模塊，連接至所述建立模塊，用于老化在預設時間內(nèi)沒有凈皮更新的所述前綴表中記錄的信息。9.根據(jù)權(quán)利要求8所述的裝置，其特征在于，所述建立模塊將建立的所述前綴表以訪問控制鏈表的方式傳輸?shù)剿鲛D(zhuǎn)發(fā)模塊。全文摘要本發(fā)明公開了一種用于IPv6網(wǎng)絡的單一地址反向傳輸路徑轉(zhuǎn)發(fā)的實現(xiàn)方法及裝置，其中，該方法包括接入設備偵聽并獲取來自路由器的公告報文，其中，公告報文中攜帶有地址前綴信息；接入設備根據(jù)獲取的地址前綴信息建立前綴表；接入設備接收來自用戶側(cè)設備的接入請求報文，判斷接入請求報文的源IP地址是否存在于前綴表內(nèi)，并根據(jù)判斷結(jié)果決定是否向路由器轉(zhuǎn)發(fā)報文。通過本發(fā)明，能夠在接入設備實現(xiàn)地址過濾控制。文檔編號H04L12/56GK101662423SQ20081021483公開日2010年3月3日申請日期2008年8月29日優(yōu)先權(quán)日2008年8月29日發(fā)明者鵬孫,詹喻平申請人:中興通訊股份有限公司