基于地址重写的防IP地址伪造方法

摘要

本发明涉及计算机通信领域，广泛应用于各种网络接入设备中，如以太网交换机、路由器、拨号服务器、DSL集中器等，特别涉及单台计算机直接和网络接入设备连接场合的基于地址重写的防IP地址伪造方法。实现过程由地址分配、IP包源IP地址重写组成，若网络接入设备端口，连接单台计算机时，单台计算机不论采用动态IP地址还是静态IP地址，网络接入设备都会同时维护一个“端口－IP地址对应表”，保证单台计算机上分配的IP地址与“端口－IP地址对应表”第i项的IP地址字段值相同。本发明有效防止了用户端的IP地址伪造。由于重写操作很简单，因此，对网络性能影响也非常小。

说明书

技术领域

本发明涉及计算机通信领域，广泛应用于各种网络接入设备中，如以太网交换机、路由器、拨号服务器、DSL集中器等，特别涉及单台计算机直接和网络接入设备连接场合的基于地址重写的防IP地址伪造方法。

背景技术

IP地址伪造是网络应用中常见的问题，联网计算机进行基于TCP/IP协议的通信时，会发出IP数据包。其中，源地址字段中，应填写由网络机构分配给自己的IP地址，但该地址很容易被发送者修改。许多网络攻击者会利用这一特性，进行匿名攻击，如DoS(拒绝服务)。

目前，防止IP地址伪造的主要方法有两种：

一种是利用IPsec。IPsec中的AH协议可以对IP包头产生认证数据，称为ICV。ICV计算的内容包括IP包头中传输过程中值不改变的字段(对于值改变的字段，计算时假设其值为0)、AH包头(认证数据字段初值为0)、上层协议数据(假设传输过程中不会改变)等。

计算ICV使用的算法可以是基于单向哈希函数和对称密钥算法的消息认证码(MAC)，如HMAC-MD5-96、HMAC-SHA-1-96等，也可以是基于单向哈希函数和公钥算法的数字签名。

基于IPsec方法的主要问题是实现比较困难，需要大规模密钥管理机构的支持。该方法主要防止IP包在传输过程中被篡改、伪造，但无法防止用户端的IP地址伪造。

另一种采用MAC地址、IP地址绑定的方法。该方法能对双向通信中的IP地址伪造有一定遏制作用，但无法防止，因为用户端可以同时修改MAC地址、IP地址。现有的方法也无法防止单向(用户端发出IP数据包)的源IP地址伪造。

发明内容

本发明的目的在于提供一种操作简洁、能够防止用户端的IP地址伪造的基于地址重写的防IP地址伪造方法。

本发明的技术方案是这样解决的：

网络接入设备在直接连接单台计算机时，不论单台计算机采用动态IP地址还是静态IP地址，网络接入设备都会同时维护一个“端口-IP地址对应表”，端口i(1≤i≤n)所连接的单台计算机上分配的IP地址与“端口-IP地址对应表”中第i项的IP地址字段值相同。

具体处理步骤如下：

1)若网络接入设备的端口i(1≤i≤n)没有连接单台计算机，则“端口-IP地址对应表”中第i项的IP地址字段设置为0；

若网络接入设备的端口i(1≤i≤n)连接了单台计算机，且使用网络管理机构分配的静态IP地址Xi，则网络管理机构通过控制台、网管协议、远程登录方式对接入设备进行手工配置，将静态IP地址Xi同时设置到“端口-IP地址对应表”中第i项的IP地址字段；

若网络接入设备的端口i(1≤i≤n)连接了单台计算机，且使用动态IP地址，网络接入设备获取了单台计算机到网络管理机构的动态认证、地址分配信息后，将获得的动态IP地址同时设置到“端口-IP地址对应表”中第i项的IP地址字段；

2)网络接入设备端口i(1≤i≤n)收到IP数据包后，网络接入设备检查“端口-IP地址对应表”中第i项中的IP地址字段值，如果值为0，则丢弃IP数据包；如果IP地址字段值不为0，则将IP地址字段值写入IP数据包的源IP地址字段，得到被地址重写的IP数据包，网络接入设备转发该IP数据包。

所说的“端口-IP地址对应表”是指：

    端口号    IP地址    1    X1    2    X2    …    …    n    Xn

采用本发明的方法及步骤，由于接入设备地址重写是强制性的，不管计算机所发的IP包中源地址是否被伪造，接入设备都要重新写入IP地址，从而有效防止了用户端的IP地址伪造。由于重写操作很简单，因此，对网络性能影响也非常小。

附图说明

图1是本发明的流程图；

图2是本发明中接入设备维护的“端口-IP地址对应表”。

具体实施方式

附图是本发明的具体实施例；

下面结合附图对本发明的内容作进一步的详细说明；

参照图1所示，1是进行地址分配的网络管理机构。网络接入设备2可以是以太网交换机、拨号服务器、DSL集中器等，用于连接计算机的端口号为1～N。单台计算机3直接与网络接入设备2连接。IP数据包4是单台计算机3发出的IP包。IP数据包5是经过接入设备2地址重写后的IP包。

本发明实现过程由地址分配、IP包中源IP地址字段重写组成。

1)若网络接入设备2的端口i(1≤i≤n)没有连接单台计算机3，则“端口-IP地址对应表”中第i项的IP地址字段设置为0；

若网络接入设备2的端口i(1≤i≤n)连接了单台计算机3，且使用网络管理机构1分配的静态IP地址Xi，则网络管理机构1通过控制台、网管协议、远程登录方式对网络接入设备2进行手工配置，将静态IP地址Xi同时设置到“端口-IP地址对应表”中第i项的IP地址字段；

若网络接入设备2的端口i(1≤i≤n)连接了单台计算机3，且使用动态IP地址，网络接入设备2获取了单台计算机3到网络管理机构1的动态认证、地址分配信息后，将获得的动态IP地址同时设置到“端口-IP地址对应表”中第i项的IP地址字段；

2)网络接入设备2端口i(1≤i≤n)收到IP数据包4后，检查“端口-IP地址对应表”中第i项的IP地址字段值，如果值为0，则丢弃IP数据包4；如果不为0，则将IP地址字段值写入IP数据包4的源IP地址字段。得到IP数据包5，网络接入设备2转发IP数据包5。

参照图2所示，网络接入设备2上维护一个“端口-IP地址对应表”，表中主要字段为IP地址。