一种伪造IP数据包的处理方法及装置.pdfVIP

(19)中华人民共和国国家知识产权局

(12)发明专利说明书

(10)申请公布号CN101582833A

(43)申请公布日2009.11.18

(21)申请号CN200810067292.5

(22)申请日2008.05.15

(71)申请人成都市华为赛门铁克科技有限公司

地址611731四川省成都市高新区西部园区清水河片区

(72)发明人蒋武

(74)专利代理机构

代理人

(51)Int.CI

H04L12/56

H04L29/06

权利要求说明书说明书幅图

(54)发明名称

一种伪造IP数据包的处理方法及装

置

(57)摘要

本发明实施例中公开了一种伪造IP

数据包的处理方法，包括：接收待处理的

IP数据包，其中该IP数据包中包含TTL

生存时间数值；判断该IP数据包中的TTL

数值是否在可信范围，当该IP数据包中的

TTL数值不在可信范围内时，将所述IP数

据包丢弃；当在可信范围内时，根据该IP

数据包中的源IP地址，查找得到相应的

TTL对照记录信息；当相应记录中的实际

TTL与该IP数据包的TTL不一致，且确

定已有效探测过时，将该IP数据包丢弃。

本发明实施例还公开了一种处理装置，以

实现以更大的概率来发现伪造IP数据包，

以保证设备尽可能少的受到伪造IP数据包

的攻击。

法律状态

法律状态公告日法律状态信息法律状态

权利要求说明书

1、一种IP数据包的处理方法，其特征在于，包括步骤：

接收待处理的IP数据包，其中该IP数据包中包含TTL生存时间数值；

判断该IP数据包中的TTL生存时间数值是否在可信范围，当该IP数据包中的

TTL生存时间数值不在可信范围内时，将所述IP数据包丢弃；

当在可信范围内时，根据该IP数据包中的源IP地址，查找得到相应的TTL对照记

录信息；

当相应记录中的实际TTL与该IP数据包的TTL不一致，且确定已有效探测过时，

将该IP数据包丢弃。

2、根据权利要求1所述的方法，其特征在于，所述TTL对照记录信息至少包括：

源IP地址、实际TTL生存时间、探测标记之间的关联信息。

3、根据权利要求2所述的方法，其特征在于，所述方法进一步包括：当相应记录

中的实际TTL与该IP数据包的TTL不一致，且确定未有效探测过时，向所述源

IP地址对应的设备发送探测包，在接收到回应的数据包后，根据探测的结果至少

更新探测标记。

4、根据权利要求3所述的方法，其特征在于，所述根据探测的结果至少更新探测

标记包括：

从接收的回应数据包中提取得到TTL数值；

判断所述提取得到的TTL数值与源IP地址关联的记录中的实际TTL的内容是否相

同，当相同时，更新探测标记；当不相同时，用提取得到的TTL数值更新源IP地

址关联的记录中的实际TTL，并且更新探测标记，所述更新后的探测标记表示已

探测过。

5、根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据该IP数据包中的源IP地址，确定不存在相应的TTL对照记录信息时，将该

IP数据包发送下一节点设备；

或者，当相应记录中的实际TTL与该IP数据包的TTL一致时，将该IP数据包发

送下一节点设备；

或者，当相应记录中的实际TTL与该IP数据包的TTL不一致，且确定未有效探测

过时，将该IP数据包发送下一节点设备。

6、根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据与源节点设备的三次握手，从三次握手成功的数据中提取源IP地址和相应的

TTL数值；

根据所述提取得到的源IP地址和TTL数值，建立或更新相应的TTL对照记录信息。

7、根据权利要求3所述的方法，其特征在于，所述方