[发明专利]报文发送方法及装置

说明书

本发明公开了一种报文发送方法及装置，属于网络技术领域，所述方法包括：终端设备获取待发送报文的源因特网协议IP地址和所述终端设备的N个IP地址，N为整数；当所述待发送报文的源IP地址与所述终端设备的N个IP地址中任意一个均不相同时，确定所述待发送报文的源IP地址是伪造的，禁止发送所述待发送报文。本发明可解决终端设备自身被木马等病毒利用发送攻击报文，使得攻击报文在网络中任意传输的问题，可以防止终端设备中木马等病毒伪造其它设备的源IP地址，在网络中任意传输攻击报文，从而提高了网络安全性。

技术领域

本发明涉及网络技术领域，特别涉及一种报文发送方法及装置。

背景技术

在诸如分布式拒绝服务(英文：distributed denial-of-service，简称：DDoS)攻击之类的应用场景中，携带有木马等病毒的终端设备会向网络中发送攻击报文，并且为了避免被追踪，攻击报文中的源因特网协议(英文：Internet Protocol；简称：IP)地址通常是伪造的。网络设备通常采用单播逆向路径转发(英文：unicast reverse path forwarding；简称：uRPF)的方法对伪造了源IP地址的攻击报文进行过滤。具体地，网络设备读取报文的源IP地址；当本地存储的转发信息库(英文：forward information base；简称：FIB)不包括该源IP地址，确定该源IP地址是伪造的，丢弃该报文。

但是，若终端设备伪造的源IP地址是其它设备的源IP地址，且转发信息库中包括该其它设备的源IP地址，网络设备无法过滤该源IP地址，使得攻击报文可以在网络中任意传输，导致网络的安全性较低。

发明内容

为了解决伪造源IP地址的攻击报文在网络中任意传输，导致网络的安全性较低的问题，本发明实施例提供了一种报文发送方法及装置。

第一方面，提供了一种报文发送方法，包括：

终端设备获取待发送报文的源因特网协议IP地址和所述终端设备的N个IP地址，N为正整数；

当所述待发送报文的源IP地址与所述终端设备的N个IP地址中任意一个均不相同时，确定所述待发送报文的源IP地址是伪造的，禁止发送所述待发送报文。

在第一方面的第一种可能的实现方式中，所述禁止发送所述报文，包括：

向物理层中的物理编码子层PCS发送禁止发送指令，所述禁止发送指令用于指示所述PCS禁止发送所述待发送报文，或，禁止将所述待发送报文加入报文队列，所述报文队列用于存储所述终端设备将要发送的报文。

根据第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，还包括：

向监控设备发送携带有所述终端设备的IP地址或媒体访问控制MAC地址的告警报文，所述告警报文用于指示所述监控设备根据所述IP地址或所述MAC地址确定所述终端设备，并对所述终端设备进行监控。

根据第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述终端设备获取待发送报文的源IP地址和所述终端设备的N个IP地址之前，还包括：

将所述终端设备置于过滤状态，所述过滤状态用于指示所述终端设备对待发送报文的源IP地址进行过滤。

第二方面，提供了一种报文发送装置，包括：

地址获取模块，用于获取待发送报文的源因特网协议IP地址和所述终端设备的N个IP地址，N为正整数；

报文处理模块，用于当所述地址获取模块获取到的所述待发送报文的源IP地址与所述终端设备的N个IP地址中任意一个均不相同时，确定所述待发送报文的源IP地址是伪造的，禁止发送所述待发送报文。