[发明专利]一种域内源地址的验证方法和装置

说明书

技术领域

该方法属于互联网技术领域，尤其涉及真实IP源地址验证技术。

背景技术

互联网上的采用伪造IP源地址的攻击相当泛滥，据互联网观测组织的统计，每周至少有4000起采用伪造源地址的拒绝服务攻击。这类攻击具有容易发起但是难以追溯的特点，这是造成伪造源地址攻击泛滥的原因。

目前已经有很多技术被提出来希望能控制这类攻击。它们可以分为三类：

路径过滤类(Filtering)，这一类技术主要是使用路由信息来过滤掉一部分伪造源地址的报文。典型的例子如入口过滤(Ingress filtering)，就是通过检查网关上接收到的报文其源地址是否在接入子网的地址空间范围内，从而判断报文是否合法。

端到端认证类(End-to-End Approach)，这一类技术在源端给报文加入标记，这一标记在报文的目的端被检查用来判断报文中所含源地址的真实性。

回溯类(Traceback)，回溯类技术是一种被动的技术。它希望获取报文在互联网上所经过的路径，在攻击发生时，通过分析报文路径来获取攻击源的地址。

尽管出现了很多解决方法，但目前并没有一种方法可以完美地解决源地址伪造问题。不支持增量部署及缺乏对运营商的激励也是这一难题形成的重要原因。

完全部署Ingress Filtering是一种技术上最为简单且有效的方法，但是由于缺少激励机制，我们无法强求它被完全部署。uRPF(Unicast ReversePath Forwarding，单播逆向路径转发)是一种更加实际的替代方案，现有的一些发展也是在对uRPF进行补充和强化，但是它也存在致命的缺点，比如对于非对称路由效果较差，对于同一反向路径上的源地址伪造无能无力。这种情况在域内有更广泛的需求，加上现在IPv6(互联网协议版本6)网络的大力发展，一种同时支持IPv6和IPv4(互联网协议版本4)的域内源地址方案的需求就变得很迫切。

发明内容

本发明的目的旨在至少解决现有技术中的上述问题之一。

为此，本发明的实施例提出一种实现简单、支持增量部署且具有更好效果的源地址验证方案。

根据本发明的一个方面，本发明实施例提出了一种域内源地址的验证方法，应用在域内网络节点上，所述方法包括以下步骤：

a)从域内网络节点上选择预定节点作为各个部署点；

b)分别获取途经每个部署点的所有源地址前缀；

c)读取每个部署点对应路由器上的链路状态数据库，并结合每个部署点对应的途经源地址前缀计算出以各个途经源地址前缀为源到达其他前缀的路由转发路径；

d)从所述路由转发路径上提取各个源地址前缀、各个源地址前缀到达每个部署点的入接口以及各个源地址前缀到达每个部署点经过的跳数；以及

e)对于待验证报文，获得待验证报文宣告的源地址前缀、到达当前部署点的入接口以及实际转发到当前部署点经过的跳数，并分别与提取的源地址前缀、到达当前部署点的入接口以及到达当前部署点的跳数进行匹配验证。

根据本发明进一步的实施例，所述步骤c包括：

分别以每个部署点的各个途经源地址前缀为根，使用最短路径算法SPF计算出对应的最短路径树，以获得所述路由转发路径。

根据本发明进一步的实施例，所述步骤e包括：

利用待验证报文宣告的源地址前缀查找对应的提取源地址前缀；

根据查找的提取源地址前缀，获得提取源地址前缀对应的到达当前部署点的入接口以及到达当前部署点的跳数；

匹配待验证报文到达当前部署点的入接口和提取源地址前缀对应的到达当前部署点的入接口；以及

在入接口匹配时，将待验证报文实际转发到当前部署点经过的跳数和提取源地址前缀对应的到达当前部署点的跳数进行匹配。