[发明专利]一种IPv6网络虚假源地址数据包追溯方法和装置

权利要求书

1.一种虚假源地址IP数据包追溯装置，其特征在于所述装置包括由路由子系统和转发子系统两部分组成的路由器，其中所述转发子系统中，增加了地址信息搜集模块、主机地址信息数据库、转发包摘要数据库、数据包转发判断模块、虚假数据包处理模块和虚假源地址IP数据包查询模块。

2.根据权利要求1所述的装置，其特征在于所述地址信息搜集模块负责从交换机、DHCP服务器、网络流量中搜集主机地址信息的对应关系。

3.根据权利要求1所述的装置，其特征在于所述主机地址信息数据库负责存储地址信息搜集模块得到的地址对应数据，为数据包转发判断模块等其他模块提供主机地址信息对应关系的查询服务。

4.根据权利要求1所述的装置，其特征在于当路由器从网络接口接收数据包后，由数据包转发判断模块负责检查数据包源地址是否来源于已经注册的合法的对应网络端口，与MAC地址是否匹配，如果匹配则正常转发，如果不匹配，则交给虚假数据包处理模块处理后再进行正常数据包转发；该模块也检查数据包目的地址，如果目的地址是特殊保留前缀地址，则交给虚假数据包处理模块，进行必要的源地址替换后，再进行正常的数据包转发。

5.根据权利要求1所述的装置，其特征在于所述转发包摘要数据库主要用来存储疑似虚假源地址IP数据包的包摘要和真实发送主机的地址对应关系，对虚假数据包处理模块提供查询服务。

6.根据权利要求1所述的装置，其特征在于如果数据包转发判断模块判断数据包是疑似虚假源地址数据包，由虚假数据包处理模块负责计算包哈希摘要，并与特殊地址前缀合成新的可追溯源地址，替换原数据包源地址后进行正常数据包转发，同时存储包摘要与主机源地址的对应关系；如果数据包转发判断模块识别出该数据包的目的地址是特殊源地址数据包，由虚假数据包处理模块负责查找转发包摘要数据库和主机地址信息数据库，获得数据包真实的目的地址，并用该地址填充目的地址后，进行正常的数据包转发。

7.根据权利要求1所述的装置，其特征在于所述虚假源地址IP数据包查询模块负责给定数据包摘要的虚假数据包来源主机的查询功能。

8.一种利用权利要求1所述的装置进行虚假源地址IP数据包追溯的方法，其特征在于所述方法包括以下步骤：首先在接入网边界路由器预先生成主机标识信息的对应关系，当路由器转发数据包时，对比数据包源地址和转发设备端口号的对应关系是否与预先存储的对应关系一致，如果一致，说明该数据包的源地址是真实的，路由器正常转发；如果不一致，说明该数据包有可能是采用虚假地址的网络攻击包，此时路由器采集数据包的特征，编码为IPv6源地址的后64位中，与预先保留的特殊IPv6地址64位前缀合成新的可追溯的IPv6源地址，取代原有IPv6源地址，进行数据包的正常转发，同时路由器记录该数据包特征与真实数据来源的对应关系和转发时间等信息，以供该数据包的追溯。

9.根据权利要求8所述的方法，其特征在于上述可追溯的IPv6源地址是网络在进行IPv6地址规划时，预先在所拥有的在链地址中分离出的用于IPv6数据包追溯的特定的IPv6地址空间，这样的地址空间由4部分组成：前3比特标识可路由单播地址空间，固定为比特位001；接下来的45位是按照运营商及其网络拓扑结构分配的全球可路由地址前缀；然后是16位魔数(Magic Number)地址，用于标识该段地址不是子网标识，而是用于IPv6数据包追溯的特殊地址空间，可规定为十六进制的F7F7；最后64位是该IPv6数据包的哈希值索引，用于地址追溯。

10.根据权利要求9所述的方法，其特征在于可追溯的IPv6源地址空间最后64位是对选定的IPv6数据包头字段进行哈希运算，得到160位哈希值后，截取特定64位而成。