报文发送方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络技术领域,特别涉及一种报文发送方法及装置。
【背景技术】
[0002]在诸如分布式拒绝服务(英文!distributeddenial-of-service,简称:DDoS)攻击之类的应用场景中,携带有木马等病毒的终端设备会向网络中发送攻击报文,并且为了避免被追踪,攻击报文中的源因特网协议(英文:Internet Protocol ;简称:IP)地址通常是伪造的。网络设备通常采用单播逆向路径转发(英文:unicast reverse pathforwarding ;简称:uRPF)的方法对伪造了源IP地址的攻击报文进行过滤。具体地,网络设备读取报文的源IP地址;当本地存储的转发信息库(英文:forward informat1n base ;简称:FIB)不包括该源IP地址,确定该源IP地址是伪造的,丢弃该报文。
[0003]但是,若终端设备伪造的源IP地址是其它设备的源IP地址,且转发信息库中包括该其它设备的源IP地址,网络设备无法过滤该源IP地址,使得攻击报文可以在网络中任意传输,导致网络的安全性较低。
【发明内容】
[0004]为了解决伪造源IP地址的攻击报文在网络中任意传输,导致网络的安全性较低的问题,本发明实施例提供了一种报文发送方法及装置。
[0005]第一方面,提供了一种报文发送方法,包括:
[0006]终端设备获取待发送报文的源因特网协议IP地址和所述终端设备的N个IP地址,N为正整数;
[0007]当所述待发送报文的源IP地址与所述终端设备的N个IP地址中任意一个均不相同时,确定所述待发送报文的源IP地址是伪造的,禁止发送所述待发送报文。
[0008]在第一方面的第一种可能的实现方式中,所述禁止发送所述报文,包括:
[0009]向物理层中的物理编码子层PCS发送禁止发送指令,所述禁止发送指令用于指示所述PCS禁止发送所述待发送报文,或,禁止将所述待发送报文加入报文队列,所述报文队列用于存储所述终端设备将要发送的报文。
[0010]根据第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,还包括:
[0011]向监控设备发送携带有所述终端设备的IP地址或媒体访问控制MAC地址的告警报文,所述告警报文用于指示所述监控设备根据所述IP地址或所述MAC地址确定所述终端设备,并对所述终端设备进行监控。
[0012]根据第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述终端设备获取待发送报文的源IP地址和所述终端设备的N个IP地址之前,还包括:
[0013]将所述终端设备置于过滤状态,所述过滤状态用于指示所述终端设备对待发送报文的源IP地址进行过滤。
[0014]第二方面,提供了一种报文发送装置,包括:
[0015]地址获取模块,用于获取待发送报文的源因特网协议IP地址和所述终端设备的N个IP地址,N为正整数;
[0016]报文处理模块,用于当所述地址获取模块获取到的所述待发送报文的源IP地址与所述终端设备的N个IP地址中任意一个均不相同时,确定所述待发送报文的源IP地址是伪造的,禁止发送所述待发送报文。
[0017]在第二方面的第一种可能的实现方式中,所述报文处理模块,具体用于禁止将所述待发送报文加入报文队列,所述报文队列用于存储所述终端设备将要发送的报文。
[0018]根据第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,还包括:
[0019]报文发送模块,用于向监控设备发送携带有所述终端设备的IP地址或媒体访问控制MAC地址的告警报文,所述告警报文用于指示所述监控设备根据所述IP地址或所述MAC地址确定所述终端设备,并对所述终端设备进行监控。
[0020]根据第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,还包括:
[0021]状态设置模块,用于将所述终端设备置于过滤状态,所述过滤状态用于指示所述终端设备对待发送报文的源IP地址进行过滤。
[0022]第三方面,提供了一种报文发送装置,包括:物理编码子层PCS和报文过滤模块;所述PCS与所述报文过滤模块连接;
[0023]报文过滤模块,用于获取待发送报文的源因特网协议IP地址和所述终端设备的N个IP地址,N为正整数;当所述待发送报文的源IP地址与所述终端设备的N个IP地址中任意一个均不相同时,确定所述待发送报文的源IP地址是伪造的,生成禁止发送所述待发送报文的禁止发送指令发送给所述PCS ;
[0024]所述PCS,用于接收所述禁止发送指令,并在所述禁止发送指令的指示下禁止发送所述待发送报文。
[0025]在第三方面的第一种可能的实现方式中,还包括:网络接口 ;
[0026]所述报文过滤模块,还用于生成携带有所述终端设备的IP地址或媒体访问控制MAC地址的告警报文发送给所述PCS ;
[0027]所述PCS,还用于将所述告警报文转发给所述网络接口 ;
[0028]所述网络接口与监控设备连接,用于将所述告警报文转发给所述监控设备,所述告警报文用于指示所述监控设备根据所述IP地址或所述MAC地址确定所述终端设备,并对所述终端设备进行监控。
[0029]根据第三方面或第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,还包括:告警记录集训期;所述告警记录寄存器与所述报文过滤模块连接;
[0030]所述报文过滤模块,还用于生成中断信号发送给所述告警记录寄存器;
[0031]所述告警记录寄存器,用于根据所述中断信号对所述待发送报文的源IP地址是伪造的事件进行提示。
[0032]根据第三方面或第三方面的第一种可能的实现方式或第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,还包括:过滤使能模块;所述过滤使能模块与所述报文过滤模块连接;
[0033]所述过滤使能模块,用于将所述报文过滤装置置于过滤状态,使能所述报文过滤模块,所述过滤状态用于指示所述报文过滤装置对待发送报文的源IP地址进行过滤。
[0034]本发明实施例提供的技术方案的有益效果是:
[0035]通过获取待发送报文的源IP地址和终端设备的N个IP地址,N为正整数;当待发送报文的源IP地址与终端设备的N个IP地址中任意一个均不相同时,确定待发送报文的源IP地址是伪造的,禁止发送待发送报文,在确定出待发送报文的源IP地址是伪造的源IP地址时,禁止发送待发送报文,可以避免自身被木马等病毒利用发送攻击报文,从而禁止攻击报文进入网络。这样,可以防止终端设备中木马等病毒伪造其它设备的源IP地址,在网络中任意传输攻击报文,从而提高了网络安全性。
【附图说明】
[0036]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0037]图1是本发明实施例提供的一种报文发送方法的方法流程图;
[0038]图2A是本发明实施例提供的一种源IP地址和终端设备的IP地址的比较示意图;
[0039]图2B是本发明实施例提供的另一种源IP地址和终端设备的IP地址的比较示意图;
[0040]图3是本发明实施例提供的一种报文发送装置的结构框图;
[0041]图4是本发明本实施提供的一种报文发送装置的结构框图;
[0042]图5是本发明实施例提供的一种报文过滤模块的结构框图;
[0043]图6是本发明实施例提供的另一种报文过滤模块的结构框图;
[0044]图7是本发明实施例提供的一种终端设备的结构框图。
【具体实施方式】
[0045]为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[0046]请参考图1,是本发明实施例提供的一种报文发送方法的方法流程图,包括:
[0047]步骤101,终端设备获取待发送报文的源IP地址和所述终端设备的N个IP地址,N为正整数。
[0048]所述终端设备包括个人电脑,笔记本,移动电话,服务器等可接入网络的设备。
[0049]所述终端设备的IP地址是指所述终端设备接入网络后,网络为所述终端设备分配的IP地址。本实施例中,网络可以为所述终端设备分配N个IP地址,所述终端设备分别对所述N个IP地址进行存储,N为正整数。
[0050]在发送待发送报文之前,所述终端设备需要将所述终端设备的IP地址添加到待发送报文中,使得传输该待发送报文的设备可以根据该待发送报文的源IP地址确定发送该待发送报文的终端设备。如果该待发送报文是木马等病毒伪造的攻击报文,该待发送报文中的源IP地址通常与所述终端设备的IP地址不同,以避免传