[发明专利]针对分段路由标签探测的防御方法及装置

说明书

本发明公开了一种针对分段路由标签探测的防御方法及装置，其中防御方法包括：集中式认证服务器验证网络中的所有接入设备的身份；接入设备根据设备信息生成设备指纹；获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；根据所述特征确定恶意流量；确定所述恶意流量的源IP地址，将源IP地址加入黑名单并设置期限；确定当前网络中的接入设备的设备指纹是否改变；本发明通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量，从而对其进行防御，这样可以精确防御分段路由标签探测的攻击，可以提高目标网络的安全性，减少了网络被破坏的可能。

技术领域

本发明涉及网络通信安全领域，特别涉及一种针对分段路由标签探测的防御方法及装置。

背景技术

分段路由体系结构是不基于特定的控制平面实现的。尽管理论上讲，在网络节点上静态地配置Segment指令是可能的，但是通常使用路由协议在网络中分发Segment信息。SR控制平面当前支持链路状态IGP、ISIS/OSPF以及BGP。有IGP分发的Segment称为“IGPSegment”，由BGP分发的Segment称为“BGP Segment”。分段路由可以通过PCEP协议，实施集中控制方案，通过PCE来为流量根据需求计算路径，然后下发到PCC来引导流量路径。

SID有很多类型，有Node SID，Prefix SID，Adjacency SID，此场景下使用的是Prefix SID。SR域中的每个节点为其接收到的每个Prefix Segment安装转发条目。节点学习到IP前缀P，以及与此前缀相关联的用于算法A的Prefix-SID S。N是采用算法A计算出的去往前缀P路径的下一跳。该节点及其下一跳N都支持算法A。如果存在多条去往前缀P的等价路径，则存在多个下一跳(N1,N2,N3……)，并且流量在这些等价路径上负载均衡。节点为此Prefix Segment安装以下SR转发条目，图1展示了Prefix-SID的转发行为。图1中，入向活动Segment:S；出接口：去往下一跳N的接口；下一跳：N；Segment列表操作：如果下一跳N是P的发起者，且N指示删除活动Segment，则执行“NEXT”操作。否则，执行“CONTINUE”操作。

参照图1，节点11到节点12有两条等价路径：经由节点1和经由节点3。节点11使用常规的哈希计算，来实现流量在两条路径上的负载均衡。例如，节点1收到携带Prefix-SID16012的数据包，将其沿着去往节点12的最短路径转发：经由节点2。然后节点2将该数据包转发到节点12。

节点11使用节点4的Prefix Segment 16004将数据包引导到节点4。去往节点4的最短路径经由节点3，然后节点3将该数据包转发到节点4。

在SR域中，SR通过Prefix Segment来进行数据包转发，当Prefix Segment被攻击者知道，攻击者可以通过构造包来为数据包添加Prefix Segment，从而达到恶意引流的目的。恶意引流可以造成网络整体的拥挤和堵塞从而瘫痪网络，可以造成某条链路的拥挤和堵塞从而使服务器拒绝服务，可以使恶意包发送的目标设备上从而探测目标设备的信息为后续攻击做准备，可以发送恶意包到目标设备上从而触发漏洞利用。

发明内容

为了解决上述问题，本发明提供一种能够有效抑制针对分段路由标签探测的攻击的防御方法及装置。

为了实现上述目的，本发明一方面提供一种针对分段路由标签探测的防御方法，包括：

集中式认证服务器验证网络中的所有接入设备的身份；若通过验证则将其加入白名单，并设置身份有效期；

接入设备根据设备信息生成设备指纹；

获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；所述流量包带有分段路由标签；

根据所述特征确定恶意流量；