WO2019196562A1

WO2019196562A1 - 报文处理方法、装置、存储介质及处理器

Info

Publication number: WO2019196562A1
Application number: PCT/CN2019/075771
Authority: WO
Inventors: 朱小龙; 张玮玮; 沈益明; 叶正鑫; 黄红建
Original assignee: 南京中兴新软件有限责任公司
Priority date: 2018-04-12
Filing date: 2019-02-22
Publication date: 2019-10-17
Also published as: CN110381006A

Abstract

本发明实施例中提供了一种报文处理方法、装置、存储介质及处理器，其中，该方法包括：在接收到待转发的报文后，确定与所述待转发的报文的源互联网协议IP地址对应的单播反向路径检查标识集合，以及预先为所述待转发的报文的入端口配置的单播反向路径检查标识；在确定单播反向路径检查标识集合中包括入端口的单播反向路径检查标识时，转发该待转发的报文；在确定单播反向路径检查标识集合中不包括入端口的单播反向路径检查标识时，丢弃该待转发的报文。通过本发明中的实施例，解决了相关技术中存在的无法有效识别源IP地址欺骗的网络攻击行为的问题。

Description

报文处理方法、装置、存储介质及处理器

技术领域

本发明涉及通信领域，具体而言，涉及一种报文处理方法、装置、存储介质及处理器。

背景技术

在相关技术中，基于源IP地址欺骗发起的网络攻击，成为因特网上一种非常普遍的攻击形式，由此会带来严重的网络安全问题。URPF是Unicast Reverse Path Forwarding的简称，又称单播反向路径检查，用于防止基于源IP地址欺骗的网络攻击行为。通常，路由器接收到报文后，会根据报文的目的地址查找转发表，如果找到了就转发该报文，否则就丢弃该报文。URPF通过在转发表中查找源IP地址对应的路由是否存在，如果不存在，则认为源IP地址是伪装的，直接丢弃该报文。通过这种方式，URPF能够有效地防范网络中通过修改报文源IP地址而进行恶意攻击行为的发生。

在相关技术中，URPF有两种模式：

严格模式：不仅要求在转发表中存在相应表项，还要求当接口名匹配时，数据报文才能通过URPF检查。必须确保客户上行流向因特网上某主机的报文在路由器上的入口与因特网该主机流向客户的报文在路由器下行到客户的出口保持一致，也就是要保持路由的对称性。否则，URPF将因为接口不匹配而丢掉某些正常的报文。

松散模式：只检查是否有源IP地址的路由，有路由就通过URPF检查。不比对报文入口和路由的出接口是否一致。

在实际组网中，两个网络的边界设备之间如果有多个连接的话，路由的对称性就不能得到保证。如果选取URPF的松散模式，由于核心骨干路由器上包含了全球的公网路由，多达几十万条的BGP路由，伪造的源IP 地址有很大概率能命中路由表里的条目，无法起到检查源IP地址真实性的目的，所以松散模式几乎没有安全防护的作用。而如果使用严格URPF，由于捆绑链路、负荷分担、双向流量路径不一致等原因，会造成误丢包，也是不可取的。总之，在核心路由器上，URPF业务无法部署，这个问题一直困扰着网络运营商。

针对相关技术中存在的无法有效识别源IP地址欺骗的网络攻击行为的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种报文处理方法、装置存储介质及处理器，以至少解决相关技术中存在的无法有效识别源IP地址欺骗的网络攻击行为的问题。

根据本发明的一个实施例，提供了一种报文处理方法，包括：在接收到待转发的报文后，确定与所述待转发的报文的源互联网协议IP地址对应的单播反向路径检查标识集合，以及预先为所述待转发的报文的入端口配置的单播反向路径检查标识；在确定所述单播反向路径检查标识集合中包括所述入端口的单播反向路径检查标识时，转发所述待转发的报文；在确定所述单播反向路径检查标识集合中不包括所述入端口的单播反向路径检查标识时，丢弃所述待转发的报文。

根据本发明的另一个实施例，还提供了一种报文处理装置，包括：第一确定模块，设置为在接收到待转发的报文后，确定与所述待转发的报文的源互联网协议IP地址对应的单播反向路径检查标识集合，以及预先为所述待转发的报文的入端口配置的单播反向路径检查标识；处理模块，设置为在确定所述单播反向路径检查标识集合中包括所述入端口的单播反向路径检查标识时，转发所述待转发的报文；在确定所述单播反向路径检查标识集合中不包括所述入端口的单播反向路径检查标识时，丢弃所述待转发的报文。

根据本发明的又一个实施例，还提供了一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

根据本发明的又一个实施例，还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。

通过本发明中的实施例，可以通过对比接收报文的端口的单播反向路径检查标识和报文的源IP地址对应的单播反向路径检查标识集合来确定是否丢弃报文，处理方式简单有效，实现了在复杂的网络场景中也能实现基于物理接口部署严格URPF的目的，解决了相关技术中存在的无法有效识别源IP地址欺骗的网络攻击行为的问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的报文处理方法的流程图；

图2是根据本发明具体实施例一的网络架构图；

图3是根据本发明具体实施例二的网络架构图；

图4是根据本发明具体实施例三的网络架构图；

图5是根据本发明具体实施例四的网络架构图；

图6是根据本发明实施例的报文处理装置的结构框图；

图7是根据本发明实施例的控制面和转发面处理示意图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

在本实施例中提供了一种报文处理方法，图1是根据本发明实施例的报文处理方法的流程图，如图1所示，该流程包括如下步骤：

步骤S102，在接收到待转发的报文后，确定与所述待转发的报文的源互联网协议IP地址对应的单播反向路径检查标识集合，以及预先为所述待转发的报文的入端口配置的单播反向路径检查标识；

步骤S104，在确定单播反向路径检查标识集合中包括入端口的单播反向路径检查标识时，转发该待转发的报文(即，通过URPF检查)；在确定单播反向路径检查标识集合中不包括入端口的单播反向路径检查标识时，丢弃该待转发的报文(即，未通过URPF检查)。

其中，执行上述操作的可以是报文处理装置，该装置可以位于网络中的任一网元中(可以根据实际情况对网络中的网元的功能进行更改)。在上述实施例中，待转发的报文也可以称为入向流量，上述的单播反向路径检查标识可以简称为URPF id(URPF id作为单播反向路径检查标识的一种示例，后述是以URPF id为例进行说明的)，URPF id可以支持可选参数通配符。在本发明的各实施例中，单播反向路径检查标识可以是BGP控制面在接收路由时根据BGP邻居互联关系在BGP路由中增加的一种信息，供转发面在接收IP报文时进行单播反向路由检查。

通过上述实施例，可以通过对比接收报文的端口的URPF id和报文的源IP地址对应的URPF id集合来确定是否丢弃报文，处理方式简单有效，实现了在复杂的网络场景中也能实现基于物理接口部署严格URPF的目的，解决了相关技术中存在的无法有效识别源IP地址欺骗的网络攻击行为的问题。

在一个可选的实施例中，在接收报文之前，需要对ASBR以及各入端口进行URPF id的配置，在对入端口进行URPF id配置时，可以根据实际需求进行配置(可以是人为配置的)，在对ASBR进行配置时可以基于BGP邻居节点进行配置。可选地，在接收到待转发的报文之前，上述方法还包括：确定预先为各边界路由器ASBR配置的基于BGP邻居节点的URPF id，其中，该BGP邻居节点为其他自治系统AS中的节点，一个ASBR与一个或多个其他AS互联，且与一个或多个其他AS中的每个AS相连的BGP邻居节点为一个或多个，该其他AS为除被配置了URPF id的ASBR所在的AS之外的其他AS，也就是说，每个ASBR配置的是基于该ASBR所在的AS之外的其他AS中的BGP邻居节点的URPF id；确定各BGP邻居节点通告的路由前缀，其中，该路由前缀包括与各ASBR直连和/或非直连的AS对应的路由前缀；记录各BGP邻居节点通告的路由前缀与为各ASBR配置的基于通告路由前缀的BGP邻居节点的URPF id的对应关系。在本实施例中，是在自治系统的边界路由器上配置的基于邻居的URPF id，以及在自治系统的边界路由器上配置应用扩展URPF和指定端口的URPF id，并且，在接收BGP路由通告后(即，接收到各BGP邻居节点通告的路由前缀)，可以按照上述对应关系确定在自治系统的边界路由器上配置的基于该通告路由前缀的BGP邻居节点的URPF id，设置路由的URPF id值，并支持在路由协议报文里携带URPF id属性通告给其他BGP邻居或者路由反射器RR。在记录了各BGP邻居节点通告的路由前缀与为各ASBR配置的URPF id的对应关系之后，可以基于接收的报文的源IP地址确定该源IP地址所属的路由前缀，进而依据上述对应关系确定与源IP地址所属的路由前缀对应的URPF id集合。

在一个可选的实施例中，为ASBR配置的基于BGP邻居节点的URPF id包括：ASBR的标识和/或BGP邻居节点所位于的AS的标识。需要说明的是，为ASBR配置的基于BGP邻居节点的URPF id包括为ASBR配置的基于一个或多个BGP邻居节点的URPF id，也就是说，ASBR与BGP邻居节点的对应关系可以是一对一，也可以是一对多。为ASBR配置的URPF id和为入端口配置的URPF id都可以采用本实施例中的设计方式。在本实施例中，主要采用了两种URPF id的设计方案，第一种设计方案是采用一个数值，第二种设计方案是采用两段式(支持可选参数：在端口上配置通配符)，其中，在第一种设计方案中，URPF id的命名形式是在一个策略应用下，部署含义唯一，采用本地ASBR或远端AS的标识进行命名，在该方案中，不需要指定URPF通配符，配置简便，但在变更策略类型时，需要重新规划URPF id值。在第二种设计方案中，URPF id的命名形式是包含两个标识，即同时包含本地ASBR的标识和远端AS的标识，在该方案中，如果需要修改策略类型，不需要修改URPF id值，只需要设置或修改通配符即可，但是由于配置命令可支持通配符，增加了一个参数，代码实现较为复杂，需要与通配符运算后再检查URPF id。

在一个可选的实施例中，在确定预先为各边界路由器ASBR配置的基于BGP邻居节点的URPF id之后，上述方法还包括：当两个以上ASBR分别与同一个AS中的不同的BGP邻居节点相连时，通过将所述两个以上ASBR中的任一个ASBR配置的基于所述同一个AS中的BGP邻居节点的URPF id携带在BGP路由中的方式通告给所述两个以上ASBR中的其他ASBR。也就是说，URPF id属性可以在BGP邻居之间进行传递，在本实施例中，当RR开启通告同一前缀多条路由功能后，多个ASBR学到的同一个前缀的URPF id的数值可以随路由通过RR互相传递。

在一个可选的实施例中，上述BGP路由可以通过如下方式之一携带上述两个以上ASBR中的任一个ASBR配置的基于同一个AS中的BGP邻居节点的URPF id：通过在所述BGP路由中增加一种BGP属性字段(该字段可以定义为URPF安全属性)来进行携带；通过在所述BGP路由中扩展共同体类型(该类型可以定义为URPF安全属性)来进行携带；通过在所述BGP现有的扩展共同体类型0x40(Non-Transitive Two-octet AS)、0x41(Non-Transitive IPV4address)以及0x42(Non-Transitive four-octet AS)下，分别增加一种新的子类型(新增加的子类型可以定义为URPF安全属性)来进行携带。

由上述实施例可知，在本发明实施例中提供的是一种扩展的URPF方式，通过BGP策略配置邻居的URPF id、入端口配置扩展URPF策略和绑定URPF id(即，为入端口配置URPF id)，检查入向报文入端口的URPF id值是否属于源IP地址查路由转发表获取的URPF id集合(支持可选参数通配符)来执行报文的处理，在本发明实施例中，可以由管理员依据网络规划，将设备上一个或一组BGP邻居通告的路由部署为一个URPF id值，同时将设备上一个或一组端口部署为一个URPF id值。在进行URPF检查时，判断入端口的URPF id值是否属于路由表的URPF id集合。属于则通过检查，不属于则丢弃。通过采用检查用户部署的URPF id值，而非具体的物理端口名称，能够满足在BGP路由多路径的场景下灵活部署URPF业务，实现基于URPF id的严格URPF。这里的链路指三层IP链路，包含但不限于物理端口、逻辑端口、捆绑链路等各种物理连接方式。

下面结合具体实施例对本发明进行说明：

为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例，对本发明提出的BGP路由多路径场景支持扩展URPF的方法和系统，详细说明见后述的实施例。

具体实施例一

本具体实施例的网络架构图如图2所示，其中：

网络特征：

一个ASBR点与多个AS互联，且互联端口相互独立。

路由特征：

1、从多个AS学到直连AS以及部分非直连AS的路由；

2、从不同直连AS学习的同一个非直连AS的路由集合不一致但存在交集。

安全策略：

策略1：在与指定AS互联的端口上，只允许源IP地址属于从该AS收到的BGP路由前缀的流量通过。

具体步骤：

方案一：

步骤一、在路由器ASBR1上配置基于邻居AS100的URPF id＝100，邻居AS200的URPF id＝200；

步骤二、在路由器ASBR1上与AS100相连的端口1上配置应用扩展URPF和指定端口的URPF id＝100，与AS200相连的端口2上配置应用扩展URPF和指定端口的URPF id＝200；

步骤三、收到AS100里的BGP邻居1通告路由前缀A+B+D+F,收到AS200里的BGP邻居2通告路由前缀A+C+E+F；AS100和AS200都和AS300网络相连，AS300网络包含网段A+B+C；

步骤四、依据表1：

X∈{Y1，Y2……Yn}，报文检查通过，继续转发。

报文检查不通过，丢弃。

1、流量从与AS100相连的端口流入时，源IP地址属于A、B、D、F的流量允许通过，源IP地址属于C、E的流量不允许通过；

2、流量从与AS200相连的端口流入时，源IP地址属于A、C、E、F的流量允许通过，源IP地址属于B、D的流量不允许通过。

表1

方案二：

步骤一、在路由器ASBR1上配置邻居AS100的URPF id＝1.100；邻居AS200的URPF id＝1.200；

步骤二、在路由器ASBR1与AS100相连的端口1上配置应用扩展URPF和指定端口的URPF id＝1.100；与AS200相连的端口2上配置应用扩展URPF和指定端口的URPF id＝1.200；配置通配符，既比较本端ASBR，也比较对端AS。

步骤三、收到AS100里的BGP邻居1通告路由前缀A+B+D+F；收到AS200里的BGP邻居2通告路由前缀A+C+E+F，AS100和AS200都和AS300网络相连，AS300网络包含网段A+B+C；

步骤四、依据表2：

X∈{Y1，Y2……Yn}，报文检查通过，继续转发。

报文检查不通过，丢弃。

表2

具体实施例二

本具体实施例的网络架构如图3所示，其中：

网络特征：

多个ASBR与同一个AS互联。

路由特征：

从不同的ASBR点学到同一个AS的路由集合不一致但存在交集

安全策略：(可以支持2种)

策略1：在指定的ASBR点上，只允许源IP地址属于该ASBR从直连的AS收到的BGP路由前缀的流量通过；

策略2：在指定的ASBR点上，允许源IP地址属于全网(本具体实施例中为ASBR1、ASBR2和ASBR3)从该AS收到的BGP路由前缀的流量通过。

具体步骤：

策略1&方案一：

步骤一、在路由器ASBR1上配置基于邻居1的URPF id＝1，在路由器ASBR2上配置基于邻居2的URPF id＝2，在路由器ASBR3上配置基于邻居3的URPF id＝3；

步骤二、在路由器ASBR1上与邻居1相连的端口上配置应用扩展URPF和指定端口的URPF id＝1，在路由器ASBR2上与邻居2相连的端口上配置应用扩展URPF和指定端口的URPF id＝2，在路由器ASBR3上与邻居3相连的端口上配置应用扩展URPF和指定端口的URPF id＝3；

步骤三、收到与ASBR1相连的BGP邻居1通告路由前缀A+B；收到与ASBR2相连的BGP邻居2通告路由前缀A+C；收到与ASBR3相连的BGP邻居3通告路由前缀A+B+C。

步骤四、依据表3：

X∈{Y1，Y2……Yn}，报文检查通过，继续转发。

报文检查不通过，丢弃。

1、流量从ASBR1流入时，源IP地址属于A、B的流量允许通过，源IP地址属于C的流量不允许通过；

2、流量从ASBR2流入时，源IP地址属于A、C的流量允许通过，源IP地址属于B的流量不允许通过；

3、流量从ASBR3流入时，源IP地址属于A、B、C的流量都允许通过。

表3

策略2&方案一：

步骤一、在路由器ASBR1上配置基于邻居1的URPF id＝200，在路由器ASBR2上配置基于邻居2的URPF id＝200，在路由器ASBR3上配置基于邻居3的URPF id＝200；

步骤二、在路由器ASBR1上与邻居1相连的端口上配置应用扩展URPF和指定端口的URPF id＝200，在路由器ASBR2上与邻居2相连的端口上配置应用扩展URPF和指定端口的URPF id＝200，在路由器ASBR3上与邻居3相连的端口上配置应用扩展URPF和指定端口的URPF id＝200；

步骤四、依据表4：

X∈{Y1，Y2……Yn}，报文检查通过，继续转发。

报文检查不通过，丢弃。

1、流量从ASBR1流入时，源IP地址属于A、B、C的流量都允许通过；

2、流量从ASBR2流入时，源IP地址属于A、B、C的流量都允许通过；

表4

策略1&方案二：

步骤一、在路由器ASBR1上配置基于邻居1的URPF id＝1.200；在路由器ASBR2上配置基于邻居2的URPF id＝2.200；在路由器ASBR3上配置基于邻居3的URPF id＝3.200。

步骤二、在路由器ASBR1上与邻居1相连的端口上配置应用扩展URPF和指定端口的URPF id＝1.200，在路由器ASBR2上与邻居2相连的端口上配置应用扩展URPF和指定端口的URPF id＝2.200，在路由器ASBR3上与邻居3相连的端口上配置应用扩展URPF和指定端口的URPF id＝3.200。配置通配符，既比较本端ASBR，也比较对端AS。

步骤三、收到与ASBR1相连的邻居1通告路由前缀A+B；收到与ASBR2相连的邻居2通告路由前缀A+C；收到与ASBR3相连的邻居3通告路由前缀A+B+C。

步骤四、依据表5：

X∈{Y1，Y2……Yn}，报文检查通过，继续转发。

报文检查不通过，丢弃。

表5

策略2&方案二：

步骤二、在路由器ASBR1上与邻居1相连的端口上配置应用扩展URPF和指定端口的URPF id＝1.200；在路由器ASBR2上与邻居2相连的端口上配置应用扩展URPF和指定端口的URPF id＝2.200；在路由器ASBR3上与邻居3相连的端口上配置应用扩展URPF和指定端口的URPF id＝3.200。配置通配符，比较对端AS，不比较本端ASBR，(做取RIGHT操作)。

步骤四、依据表6：

RIGHT(X)∈{RIGHT(Y1)，RIGHT(Y2)……RIGHT(Yn)}，报文检查通过，继续转发。

RIGHT(Y2)……RIGHT(Yn)}，报文检查不通过，丢弃。

表6

具体实施例三

本发明具体实施例三的网络架构如图4所示，其中：

网络特征：

多个ASBR点与不同AS互联。

路由特征：

从多个AS学到AS自身以及非直连AS的路由；

从多个AS学到同一个非直连AS的路由集合不一致但存在交集。

安全策略：

策略1：在指定的ASBR点上，只允许源IP地址属于从与该ASBR直连的AS收到的BGP路由前缀的流量通过。

具体包括如下步骤：

方案一：

步骤一、在路由器ASBR1上配置基于邻居1的URPF id＝100；在路由器ASBR2上配置基于邻居2的URPF id＝200；在路由器ASBR3上配置基于邻居3的URPF id＝300。

步骤二、在路由器ASBR1上与邻居1相连的端口上配置应用扩展URPF和指定端口的URPF id＝100；在路由器ASBR2上与邻居2相连的端口上配置应用扩展URPF和指定端口的URPF id＝200；在路由器ASBR3上与邻居3相连的端口上配置应用扩展URPF和指定端口的URPF id＝300。

步骤四、依据表7：

X∈{Y1，Y2……Yn}，报文检查通过，继续转发。

报文检查不通过，丢弃。

表7

方案二：

步骤一、在路由器ASBR1上配置基于邻居1的URPF id＝1.100；在路由器ASBR2上配置基于邻居2的URPF id＝2.200；在路由器ASBR3上配置基于邻居3的URPF id＝3.300。

步骤二、在路由器ASBR1上与邻居1相连的端口上配置应用扩展URPF和指定端口的URPF id＝1.100；在路由器ASBR2上与邻居2相连的端口上配置应用扩展URPF和指定端口的URPF id＝2.200；在路由器ASBR3上与邻居3相连的端口上配置应用扩展URPF和指定端口的URPF id＝3.300。配置通配符，既检查本端ASBR，也检查对端AS。

步骤四、依据表8：

X∈{Y1，Y2……Yn}，报文检查通过，继续转发。

报文检查不通过，丢弃。

表8

具体实施例四

本发明的具体实施例四的网络架构如图5所示，其中：

网络特征：

一个ASBR与多个AS互联，且互联口的物理端口共享(如：通过交换机)。

路由特征：

从多个AS学到直连AS以及部分非直连AS的路由；

从不同直连AS学习的同一个非直连AS的路由集合不一致，可能存在交集。

安全策略：

策略1：在与多个AS互联的端口(或一组端口)上，允许源IP地址属于该端口的所有BGP邻居通告的路由前缀的流量通过。

具体步骤：

方案一：

步骤一、在ASBR上配置基于邻居1的URPF id＝1；基于邻居2的URPF id＝1；基于邻居3的URPF id＝1。

步骤二、在ASBR上与邻居1相连的端口上配置应用扩展URPF和指定端口的URPF id＝1；与邻居2相连的端口上配置应用扩展URPF和指定端口的URPF id＝1；与邻居3相连的端口上配置应用扩展URPF和指定端口的URPF id＝1。

步骤三、收到与ASBR相连的邻居1通告路由前缀A+B；收到与ASBR相连的邻居2通告路由前缀A+C；收到与ASBR相连的邻居3通告路由前缀A+B+C。

步骤四、依据表9：

X∈{Y1，Y2……Yn}，报文检查通过，继续转发。

报文检查不通过，丢弃。

1、流量从ASBR与邻居1相连的端口流入时，源IP地址属于A、B、C的流量都允许通过；

2、流量从ASBR与邻居2相连的端口流入时，源IP地址属于A、B、C的流量都允许通过；

3、流量从ASBR与邻居3相连的端口流入时，源IP地址属于A、B、C的流量都允许通过。

表9

方案二：

步骤一、在路由器上配置基于邻居1的URPF id＝1.201；基于邻居2的URPF id＝1.202；基于邻居3的URPF id＝1.203。

步骤二、在路由器上与邻居1相连的端口上配置应用扩展URPF和指定端口的URPF id＝1.201；与邻居2相连的端口上配置应用扩展URPF和指定端口的URPF id＝1.202；与邻居3相连的端口上配置应用扩展URPF和指定端口的URPF id＝1.203。配置通配符，比较本端ASBR(做取LEFT操作)，不比较对端AS。

步骤四、依据表10：

LEFT(X)∈{LEFT(Y1)，LEFT(Y2)……LEFT(Yn)}，报文检查通过，继续转发。

LEFT(Y2)……LEFT(Yn)}，报文检查不通过，丢弃。

表10

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

在本实施例中还提供了一种报文处理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图6是根据本发明实施例的报文处理装置的结构框图，如图6所示，该装置包括第一确定模块62和处理模块64，下面对该装置进行说明：

第一确定模块62，设置为在接收到待转发的报文后，确定与该待转发的报文的源互联网协议IP地址对应的单播反向路径检查标识URPF id集合，以及预先为待转发的报文的入端口配置的URPF id；处理模块64，连接至上述第一确定模块62，设置为在确定URPF id集合中包括入端口的URPF id时，转发该待转发的报文；在确定URPF id集合中不包括入端口的URPF id时，丢弃该待转发的报文。

在一个可选的实施例中，上述装置还包括：第二确定模块，设置为在接收到待转发的所述报文之前，确定预先为各边界路由器ASBR配置的基于BGP邻居节点的URPF id，其中，该BGP邻居节点为其他自治系统AS中的节点，一个ASBR与一个或多个其他AS互联，且与该一个或多个其他AS中的每个AS相连的BGP邻居节点为一个或多个，该其他AS为除被配置了URPF id的ASBR所在的AS之外的其他AS；第三确定模块，设置为确定各BGP邻居节点通告的路由前缀，其中，该路由前缀包括与各ASBR直连和/或非直连的AS对应的路由前缀；记录模块，设置为记录各BGP邻居节点通告的路由前缀与为各ASBR配置的基于BGP邻居节点的URPF id的对应关系。

在一个可选的实施例中，为ASBR配置的基于BGP邻居节点的URPF id包括：该ASBR的标识和/或该BGP邻居节点所位于的AS的标识。

在一个可选的实施例中，上述装置还包括：传递模块，设置为在确定预先为各边界路由器ASBR配置的基于BGP邻居节点的URPF id之后，当两个以上ASBR分别与同一个AS中的不同的BGP邻居节点相连时，通过将为所述两个以上ASBR中的任一个ASBR配置的基于所述同一个AS中的BGP邻居节点的URPF id携带在BGP路由中的方式通告给所述两个以上ASBR中的其他ASBR。

在一个可选的实施例中，上述BGP路由可以通过如下方式之一携带两个以上ASBR中的任一个ASBR配置的基于所述同一个AS中的BGP邻居节点的URPF id：通过在BGP路由中增加一种BGP属性字段来进行携带；通过在BGP路由中扩展共同体类型来进行携带；通过在BGP现有的扩展共同体类型0x40、0x41以及0x42下，分别增加一种新的子类型来进行携带。

在本发明实施例中还提供了一种基于BGP策略防止源IP地址欺骗攻击的系统，包括如下模块：

1、配置模块：设置为在自治系统的边界路由器ASBR上配置基于BGP邻居的URPF id；在自治系统(AS)的边界路由器(ASBR)上配置应用扩展URPF端口和指定端口的URPF id(该配置模块在为ASBR配置URPF id时，相当于上述的第二确定模块)，具体可参见图7中控制面上的用户配置部分。

2、路由模块：为从配置了URPF id的BGP邻居学到的每条路由增加 URPF id属性，写入协议路由表(该路由模块对应于上述的第三确定模块以及记录模块)，具体可参见图7中控制面上的BGP协议报文配置部分。

3、写表模块：将协议路由表项写到转发面路由表；将入端口的URPF配置写到入端口属性表，具体可参见图7中的转发面上的处理。

4、转发模块：转发面每收到一个报文就先检查入端口是否启用了扩展URPF，如果启用，获取端口的URPF id值。再用报文的源IP地址查转发路由表，获取到路由条目的URPF id值。检查流量的入端口的URPF id值是否属于源IP地址查路由转发表获取的URPF id集合(支持可选参数通配符)。属于则通过URPF检查，继续转发，不属于则未通过URPF检查，做丢包处理(该转发模块对应于上述的第一确定模块62和处理模块64)，具体可参见图7中的转发面上的处理。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

本发明的实施例还提供了一种存储介质，该存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

本发明的实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

本发明所述的核心路由器在BGP路由多路径场景支持扩展URPF的方法和系统基于BGP协议策略把邻居(组)抽象为一个URPF id，把端口(组)也抽象为一个URPF id，解决了各种复杂的网络场景不能实现基于物理接口部署严格URPF的问题，弥补了现有URPF技术在BGP路由多路径场景的使用空白。本发明具有配置灵活，适用多种场景的优点，满足用户的不同需求。确保入向流量既经过严格检查，又不会被误丢包。有效地防止源IP地址欺骗的网络攻击行为，提高了核心路由器的稳定性和防攻击能力。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

如上所述，本发明实施例提供的一种报文处理方法、装置、存储介质及处理器具有以下有益效果：解决了相关技术中存在的无法有效识别源IP地址欺骗的网络攻击行为的问题。

Claims

一种报文处理方法，包括：

在接收到待转发的报文后，确定与所述待转发的报文的源互联网协议IP地址对应的单播反向路径检查标识集合，以及预先为所述待转发的报文的入端口配置的单播反向路径检查标识；

在确定所述单播反向路径检查标识集合中包括所述入端口的单播反向路径检查标识时，转发所述待转发的报文；在确定所述单播反向路径检查标识集合中不包括所述入端口的单播反向路径检查标识时，丢弃所述待转发的报文。
根据权利要求1所述的方法，其中，在接收到待转发的所述报文之前，所述方法还包括：

确定预先为各边界路由器ASBR配置的基于边界网关协议BGP邻居节点的单播反向路径检查标识，其中，所述BGP邻居节点为其他自治系统AS中的节点，一个ASBR与一个或多个其他AS互联，且与所述一个或多个其他AS中的每个AS相连的BGP邻居节点为一个或多个，所述其他AS为除被配置了所述单播反向路径检查标识的ASBR所在的AS之外的其他AS；

确定各BGP邻居节点通告的路由前缀，其中，所述路由前缀包括与各ASBR直连和/或非直连的AS对应的路由前缀；

记录各BGP邻居节点通告的路由前缀与为各ASBR配置的基于BGP邻居节点的单播反向路径检查标识的对应关系。
根据权利要求2所述的方法，其中，为ASBR配置的基于BGP邻居节点的单播反向路径检查标识包括：ASBR的标识和/或BGP邻居节点所位于的AS的标识。
根据权利要求2所述的方法，其中，在确定预先为各边界路由器ASBR配置的基于BGP邻居节点的单播反向路径检查标识之后，所述方法还包括：

当两个以上ASBR分别与同一个AS中的不同的BGP邻居节点相连时，通过将为所述两个以上ASBR中的任一个ASBR配置的基于所述同一个AS中的BGP邻居节点的单播反向路径检查标识携带在BGP路由中的方式通告给所述两个以上ASBR中的其他ASBR。
根据权利要求4所述的方法，其中，所述BGP路由通过如下方式之一携带所述两个以上ASBR中的任一个ASBR配置的基于所述同一个AS中的BGP邻居节点的单播反向路径检查标识：

通过在所述BGP路由中增加一种BGP属性字段来进行携带；

通过在所述BGP路由中扩展共同体类型来进行携带；

通过在所述BGP现有的扩展共同体类型0x40、0x41以及0x42下，分别增加一种新的子类型来进行携带。
一种报文处理装置，包括：

第一确定模块，设置为在接收到待转发的报文后，确定与所述待转发的报文的源互联网协议IP地址对应的单播反向路径检查标识集合，以及预先为所述待转发的报文的入端口配置的单播反向路径检查标识；

处理模块，设置为在确定所述单播反向路径检查标识集合中包括所述入端口的单播反向路径检查标识时，转发所述待转发的报文；在确定所述单播反向路径检查标识集合中不包括所述入端口的单播反向路径检查标识时，丢弃所述待转发的报文。
根据权利要求6所述的装置，其中，所述装置还包括：

第二确定模块，设置为在接收到待转发的所述报文之前，确定预先为各边界路由器ASBR配置的基于BGP邻居节点的单播反向路径检查标识，其中，所述BGP邻居节点为其他自治系统AS中的节点，一个ASBR与一个或多个其他AS互联，且与所述一个或多个其他AS 中的每个AS相连的BGP邻居节点为一个或多个，所述其他AS为除被配置了所述单播反向路径检查标识的ASBR所在的AS之外的其他AS；

第三确定模块，设置为确定各BGP邻居节点通告的路由前缀，其中，所述路由前缀包括与各ASBR直连和/或非直连的AS对应的路由前缀；

记录模块，设置为记录各BGP邻居节点通告的路由前缀与为各ASBR配置的基于BGP邻居节点的单播反向路径检查标识的对应关系。
根据权利要求7所述的装置，其中，为ASBR配置的基于BGP邻居节点的单播反向路径检查标识包括：ASBR的标识和/或BGP邻居节点所位于的AS的标识。
根据权利要求7所述的装置，其中，所述装置还包括：

传递模块，设置为在确定预先为各边界路由器ASBR配置的基于BGP邻居节点的单播反向路径检查标识之后，当两个以上ASBR分别与同一个AS中的不同的BGP邻居节点相连时，通过将为所述两个以上ASBR中的任一个ASBR配置的基于所述同一个AS中的BGP邻居节点的单播反向路径检查标识携带在BGP路由中的方式通告给所述两个以上ASBR中的其他ASBR。
根据权利要求9所述的装置，其中，所述BGP路由通过如下方式之一携带所述两个以上ASBR中的任一个ASBR配置的基于所述同一个AS中的BGP邻居节点的单播反向路径检查标识：

通过在所述BGP路由中增加一种BGP属性字段来进行携带；

通过在所述BGP路由中扩展共同体类型来进行携带；

通过在所述BGP现有的扩展共同体类型0x40、0x41以及0x42下，分别增加一种新的子类型来进行携带。
一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行所述权利要求1至5任一项中所述的方法。
一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行所述权利要求1至5任一项中所述的方法。