memory,简称RAM)存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
[0122]处理器710执行存储器720所存放的程序,实现报文发送方法,包括:
[0123]获取待发送报文的源IP地址和所述终端设备的N个IP地址,N为正整数;当待发送报文的源IP地址与所述终端设备的N个IP地址中任意一个均不相同时,确定所述待发送报文的源IP地址是伪造的,禁止发送所述待发送报文;
[0124]这样,网络接口 730在处理器710的控制下,禁止发送该待发送报文。
[0125]所述禁止所述发送待发送报文具体包括:禁止将所述待发送报文加入报文队列,所述报文队列用于存储所述终端设备将要发送的报文。
[0126]所述存储器720,还可以用于存储所述报文队列。
[0127]所述方法还可以包括:向监控设备发送携带有所述终端设备的IP地址或MAC地址的告警报文,所述告警报文用于指示监控设备根据所述IP地址或所述MAC地址确定所述终端设备,并对所述终端设备进行监控。
[0128]所述方法还可以包括:对所述待发送报文的源IP地址是伪造的事件进行提示。比如,生成文字或语音的提示信息,使得用户根据提示信息确定所述终端设备中存在伪造源IP地址的待发送报文(攻击报文)。或,当所述终端设备包括LED (发光二极管)灯时,可以点亮LED灯,使得用户根据点亮的LED灯确定存在伪造源IP地址的待发送报文(攻击报文),可以对所述终端设备进行隔离、杀毒等处理。
[0129]可选的,在获取待发送报文的源IP地址和所述终端设备的N个IP地址之前,所述方法还包括:将所述终端设备置于过滤状态,过滤状态用于指示所述终端设备对待发送报文的源IP地址进行过滤。
[0130]上述的处理器710可以是通用处理器,包括中央处理器(Central ProcessingUnit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
[0131]综上所述,本发明实施例提供的终端设备,通过获取待发送报文的源因特网协议IP地址和终端设备的N个IP地址,N为正整数;当待发送报文的源IP地址与终端设备的N个IP地址中任意一个均不相同时,确定待发送报文的源IP地址是伪造的,禁止发送待发送报文,在确定出待发送报文的源IP地址是伪造的源IP地址时,禁止发送待发送报文,可以避免自身被木马等病毒利用发送攻击报文,从而禁止攻击报文进入网络。这样,可以防止终端设备中木马等病毒伪造其它设备的源IP地址,在网络中任意传输攻击报文,从而提高了网络安全性。
[0132]另外,通过向监控设备发送携带有终端设备的IP地址或MAC地址的告警报文,该告警报文用于指示监控设备根据所述IP地址或所述MAC地址确定所述终端设备,并对所述终端设备进行监控,监控设备可以对该终端设备进行隔离,并对该终端设备进行查杀,以进一步避免该终端设备对网络造成安全威胁,提高了网络的安全性。
[0133]需要说明的是:上述实施例提供的报文发送装置在进行报文发送时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将报文发送装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的报文发送装置与报文发送方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
[0134]上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0135]本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0136]以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种报文发送方法,其特征在于,包括: 终端设备获取待发送报文的源因特网协议IP地址和所述终端设备的N个IP地址,N为正整数; 当所述待发送报文的源IP地址与所述终端设备的N个IP地址中任意一个均不相同时,确定所述待发送报文的源IP地址是伪造的,禁止发送所述待发送报文。2.根据权利要求1所述的方法,其特征在于,所述禁止发送所述待发送报文,包括: 向物理层中的物理编码子层PCS发送禁止发送指令,所述禁止发送指令用于指示所述PCS禁止发送所述待发送报文;或 禁止将所述待发送报文加入报文队列,所述报文队列用于存储所述终端设备将要发送的报文。3.根据权利要求1或2所述的方法,其特征在于,还包括: 向监控设备发送携带有所述终端设备的IP地址或媒体访问控制MAC地址的告警报文,所述告警报文用于指示所述监控设备根据所述IP地址或所述MAC地址确定所述终端设备,并对所述终端设备进行监控。4.根据权利要求1至3任一项所述的方法,其特征在于,所述终端设备获取待发送报文的源IP地址和所述终端设备的N个IP地址之前,还包括: 将所述终端设备置于过滤状态,所述过滤状态用于指示所述终端设备对待发送报文的源IP地址进行过滤。5.一种报文发送装置,其特征在于,包括: 地址获取模块,用于获取待发送报文的源因特网协议IP地址和所述终端设备的N个IP地址,N为正整数; 报文处理模块,用于当所述地址获取模块获取到的所述待发送报文的源IP地址与所述终端设备的N个IP地址中任意一个均不相同时,确定所述待发送报文的源IP地址是伪造的,禁止发送所述待发送报文。6.根据权利要求5所述的装置,其特征在于,所述报文处理模块,具体用于禁止将所述待发送报文加入报文队列,所述报文队列用于存储所述终端设备将要发送的报文。7.根据权利要求5或6所述的装置,其特征在于,还包括: 报文发送模块,用于向监控设备发送携带有所述终端设备的IP地址或媒体访问控制MAC地址的告警报文,所述告警报文用于指示所述监控设备根据所述IP地址或所述MAC地址确定所述终端设备,并对所述终端设备进行监控。8.根据权利要求5至7任一项所述的装置,其特征在于,还包括: 状态设置模块,用于将所述终端设备置于过滤状态,所述过滤状态用于指示所述终端设备对待发送报文的源IP地址进行过滤。9.一种报文发送装置,其特征在于,包括:物理编码子层PCS和报文过滤模块;所述PCS与所述报文过滤模块连接; 所述报文过滤模块,用于获取待发送报文的源因特网协议IP地址和所述终端设备的N个IP地址,N为正整数;当所述待发送报文的源IP地址与所述终端设备的N个IP地址中任意一个均不相同时,确定所述待发送报文的源IP地址是伪造的,生成禁止发送所述待发送报文的禁止发送指令发送给所述PCS ; 所述PCS,用于接收所述禁止发送指令,并在所述禁止发送指令的指示下禁止发送所述待发送报文。10.根据权利要求9所述的装置,其特征在于,还包括:网络接口; 所述报文过滤模块,还用于生成携带有所述终端设备的IP地址或媒体访问控制MAC地址的告警报文发送给所述PCS ; 所述PCS,还用于将所述告警报文转发给所述网络接口 ; 所述网络接口与监控设备连接,用于将所述告警报文转发给所述监控设备,所述告警报文用于指示所述监控设备根据所述IP地址或所述MAC地址确定所述终端设备,并对所述终端设备进行监控。11.根据权利要求9或10所述的装置,其特征在于,还包括:告警记录寄存器;所述告警记录寄存器与所述报文过滤模块连接; 所述报文过滤模块,还用于生成中断信号发送给所述告警记录寄存器; 所述告警记录寄存器,用于根据所述中断信号对所述待发送报文的源IP地址是伪造的事件进行提示。12.根据权利要求9至11任一项所述的装置,其特征在于,还包括:过滤使能模块;所述过滤使能模块与所述报文过滤模块连接; 所述过滤使能模块,用于将所述报文发送装置置于过滤状态,使能所述报文过滤模块,所述过滤状态用于指示所述报文发送装置对待发送报文的源IP地址进行过滤。
【专利摘要】本发明公开了一种报文发送方法及装置,属于网络技术领域,所述方法包括:终端设备获取待发送报文的源因特网协议IP地址和所述终端设备的N个IP地址,N为整数;当所述待发送报文的源IP地址与所述终端设备的N个IP地址中任意一个均不相同时,确定所述待发送报文的源IP地址是伪造的,禁止发送所述待发送报文。本发明可解决终端设备自身被木马等病毒利用发送攻击报文,使得攻击报文在网络中任意传输的问题,可以防止终端设备中木马等病毒伪造其它设备的源IP地址,在网络中任意传输攻击报文,从而提高了网络安全性。
【IPC分类】H04L29/06
【公开号】CN105635067
【申请号】CN201410612678
【发明人】饶俊阳, 高庆, 谢金成
【申请人】华为技术有限公司
【公开日】2016年6月1日
【申请日】2014年11月4日
【公告号】WO2016070568A1