专利名称:防范网络攻击的方法
技术领域:
本发明涉及一种网络访问控制技术,尤其涉及一种防范网络攻击的方法.
而在目前的网络访问中,存在大量的源地址欺骗攻击行为。攻击者通过伪造网络上其他使用者的源地址向服务器发出请求,占用大量服务器资源,如果服务器响应请求的话,将向该源地址的实际使用者发送应答报文,应答报文大量地占用了该源地址实际使用者的资源,严重情况下将导致服务器及源地址实际使用者无法响应其他请求,甚至死机。
针对上述现有技术所存在的问题,如果采用第一种网络访问控制方法,则因为访问控制规则不具有动态特性,且规则的配置只能针对已知的非法和合法的报文,所以无法检测出未知的伪造成合法源地址的报文。如果采第二种基于流量统计的网络访问控制方法,虽然具有动态统计特性,并可以适应攻击的变化,但统计方法实现复杂、占用较多路由器资源,而且仍然无法从根据本上解决伪造源地址进行网络攻击的问题。因此,目前对伪造源地址进行网络攻击的行为并没有直接有效的解决办法。
本发明的目的是这样实现的防范网络攻击的方法,包括(1)在网络设备中配置网络设备接口与其网络地址的对应关系信息;(2)网络设备根据所接收报文的源地址查找网络地址与接口信息对应关系表;(3)根据查询结果和报文的实际入接口信息判断该报文是否为伪造网络地址的报文,以确定其网络可访问性。
所述的步骤(2)包括(21)获取报文中承载的报文的源地址;(22)在网络设备接口与其网络地址的对应关系信息中查找该源地址对应的接口信息。
所述的步骤(3)包括(31)判断源地址在网络设备接口与其网络地址的对应关系信息中所对应的接口信息与报文的实际入接口信息是否一致,如果一致,执行步骤(32),否则,执行步骤(33);
(32)该报文为合法报文,正常转发该报文;(33)该报文为伪造报文,丢弃该报文。
所述的步骤(1)包括建立用于存放网络设备接口与其网络地址的对应关系信息的映射表。
所述的网络设备接口与其网络地址的对应关系信息为路由器的路由转发表中的相应信息。
由上述本发明所提供的技术方案可以看出,路由器等网络设备接收到报文后,根据报文的目的地址查找路由转发表之前,首先要根据报文的源地址查找路由转发表,以确定该报文是否为伪造源地址的报文,并根据该结果做相应处理。因此,本发明可以方便、有效地阻止部分用户恶意伪造源地址进行网络攻击及通过伪造源地址更改自己访问权限等不合法行为,为网络的安全提供了进一步的保证。同时,本发明具有实现简单、占用资源少、效率高等优点。
通过上述本发明所提供的技术方案,即可以很容易地将伪造源地址的报文与合法的报文区分开来,从而控制伪造源地址的报文进行网络访问,保证网络的安全。本发明可以根据网络运营商等网络设备用户的需求设置于相应网络设备的相应接口,对由该接口接收来的报文进行相应的安全检查,例如,本发明可以应用于提供服务的网络与客户网络相连的路由器上的相应接口。
另外,上述本发明的实施方案是应用路由器中已经存在的路由转发表做为网络地址与接口信息对应关系表,用户也可以根据需要自己配置网络地址与接口信息对应关系表。
下面结合具体应用实例对本发明做进一步的说明,参见图2路由器RTA的IP地址为1.1.1.1,路由器RTC的IP地址为2.1.1.1,路由器RTA上伪造源地址为2.1.1.1的IP报文,该报文的访问目的是路由器RTB,我们在路由器RTB上应用了本发明所提供的技术方案,路由器RTB收到这个伪造报文后,根据其源地址2.1.1.1查找路由器RTB的转发表,发现地址2.1.1.1所对应的接口是右边的接口,而该报文记录实际进行入路由器RTB经过的是左边的接口,则路由器RTB认为该报文是伪造源地址的报文,并丢弃该报文。这样便可以方便、有效地防止部分用户恶意伪造源地址进行网络攻击或更改自己的访问权限等。
权利要求
1.一种防范网络攻击的方法,包括(1)在网络设备中配置网络设备接口与其网络地址的对应关系信息;(2)网络设备根据所接收报文的源地址查找网络地址与接口信息对应关系表;(3)根据查询结果和报文的实际入接口信息判断该报文是否为伪造网络地址的报文,以确定其网络可访问性。
2.根据权利要求1所述的防范网络攻击的方法,其特征在于所述的步骤(2)包括(21)获取报文中承载的报文的源地址;(22)在网络设备接口与其网络地址的对应关系信息中查找该源地址对应的接口信息。
3.根据权利要求2所述的防范网络攻击的方法,其特征在于所述的步骤(3)包括(31)判断源地址在网络设备接口与其网络地址的对应关系信息中所对应的接口信息与报文的实际入接口信息是否一致,如果一致,执行步骤(32),否则,执行步骤(33);(32)该报文为合法报文,正常转发该报文;(33)该报文为伪造报文,丢弃该报文。
4.根据权利要求1所述的防范网络攻击的方法,其特征在于所述的步骤(1)包括建立用于存放网络设备接口与其网络地址的对应关系信息的映射表。
5.根据权利要求1所述的防范网络攻击的方法,其特征在于所述的网络设备接口与其网络地址的对应关系信息为路由器的路由转发表中的相应信息。
全文摘要
本发明涉及一种防范网络攻击的方法。该方法包括首先在网络设备中配置网络地址与接口信息对应关系表;即与该网络设备接口相连的其它网络设备的网络地址与其它网络设备连接于该网络设备上所应用的接口信息对应关系表;在路由器由中则可以应用其中的路由转发表;然后,网络设备根据所接收报文的源地址查找该对应关系表,并根据查询结果判断该报文是否为伪造网络地址的报文,以确定其网络可访问性。因此,本发明可以有效地防止部分用户恶意伪造源址地进行网络攻击及通过伪造源地址更改自己的访问权限等,为网络的安全提供了进一步的保证。同时,本发明具有实现简单、占用资源少、效率高等优点。
文档编号H04L9/00GK1411208SQ0211728
公开日2003年4月16日 申请日期2002年4月23日 优先权日2002年4月23日
发明者胡宇驰, 周雯 申请人:华为技术有限公司