本申請(qǐng)涉及通信技術(shù)領(lǐng)域，尤其涉及一種跟蹤路由處理方法和裝置。

背景技術(shù)：

Traceroute(跟蹤路由)的工作原理是：源設(shè)備發(fā)送TTL(Time to Live，存活時(shí)間)值為1的UDP(User Datagram Protocol，用戶數(shù)據(jù)報(bào)協(xié)議)報(bào)文，第一個(gè)網(wǎng)絡(luò)設(shè)備在收到UDP報(bào)文后，將TTL值減1，若修改后的TTL值為0，則表明UDP報(bào)文無法到達(dá)目的設(shè)備，丟棄UDP報(bào)文，向源設(shè)備發(fā)送ICMP(Internet Control Message Protocol，Internet控制報(bào)文協(xié)議)超時(shí)報(bào)文，該ICMP超時(shí)報(bào)文攜帶第一個(gè)網(wǎng)絡(luò)設(shè)備的IP地址，源設(shè)備在收到ICMP超時(shí)報(bào)文后，記錄第一個(gè)網(wǎng)絡(luò)設(shè)備的IP地址，發(fā)送TTL值為2的UDP報(bào)文。第一個(gè)網(wǎng)絡(luò)設(shè)備在收到UDP報(bào)文后，將TTL值減1，若修改后的TTL值不為0，則將UDP報(bào)文轉(zhuǎn)發(fā)給第二個(gè)網(wǎng)絡(luò)設(shè)備，第二個(gè)網(wǎng)絡(luò)設(shè)備在收到UDP報(bào)文后，將TTL值減1，若修改后的TTL值為0，則表明UDP報(bào)文無法到達(dá)目的設(shè)備，丟棄UDP報(bào)文，向源設(shè)備發(fā)送ICMP超時(shí)報(bào)文，該ICMP超時(shí)報(bào)文攜帶第二個(gè)網(wǎng)絡(luò)設(shè)備的IP地址，源設(shè)備在收到ICMP超時(shí)報(bào)文后，記錄第二個(gè)網(wǎng)絡(luò)設(shè)備的IP地址，并發(fā)送TTL值為3的UDP報(bào)文。以此類推，直到源設(shè)備發(fā)送的UDP報(bào)文可以到達(dá)目的設(shè)備，這樣，源設(shè)備就可以記錄源設(shè)備與目的設(shè)備之間的各網(wǎng)絡(luò)設(shè)備的IP地址。

但是，在上述過程中，各網(wǎng)絡(luò)設(shè)備會(huì)通過ICMP超時(shí)報(bào)文將本網(wǎng)絡(luò)設(shè)備的IP地址發(fā)送給源設(shè)備，若源設(shè)備是一個(gè)攻擊者，其可以通過Traceroute技術(shù)獲取到各網(wǎng)絡(luò)設(shè)備的IP地址，從而對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊，給網(wǎng)絡(luò)帶來了安全隱患。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)?zhí)峁┮环N跟蹤路由處理方法，應(yīng)用于網(wǎng)絡(luò)設(shè)備，所述方法包括：

在接收到第一類報(bào)文時(shí)，根據(jù)所述第一類報(bào)文判斷是否發(fā)生特定事件；

如果是，若所述第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)，且所述第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)匹配，則向源設(shè)備發(fā)送攜帶本設(shè)備的地址的第二類報(bào)文，以使所述源設(shè)備根據(jù)所述第二類報(bào)文進(jìn)行跟蹤路由的處理；

若第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)，所述第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)不匹配，或第一類報(bào)文未攜帶驗(yàn)證數(shù)據(jù)，丟棄所述第一類報(bào)文。

本申請(qǐng)?zhí)峁┮环N跟蹤路由處理裝置，應(yīng)用于網(wǎng)絡(luò)設(shè)備，所述裝置包括：

接收模塊，用于接收第一類報(bào)文；

判斷模塊，用于根據(jù)所述第一類報(bào)文判斷是否發(fā)生特定事件；

處理模塊，用于當(dāng)發(fā)生特定事件時(shí)，若所述第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)，且所述第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)匹配，則向源設(shè)備發(fā)送攜帶本設(shè)備的地址的第二類報(bào)文，以使所述源設(shè)備根據(jù)所述第二類報(bào)文進(jìn)行跟蹤路由的處理；當(dāng)發(fā)生特定事件時(shí)，若所述第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)，且所述第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)不匹配，或者，所述第一類報(bào)文未攜帶驗(yàn)證數(shù)據(jù)，則丟棄所述第一類報(bào)文。

基于上述技術(shù)方案，本申請(qǐng)實(shí)施例中，網(wǎng)絡(luò)設(shè)備在收到第一類報(bào)文后，只有第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)，第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)匹配，才會(huì)發(fā)送第二類報(bào)文；若第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)，第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)不匹配，或者第一類報(bào)文未攜帶驗(yàn)證數(shù)據(jù)，則丟棄第一類報(bào)文。這樣，針對(duì)知道驗(yàn)證數(shù)據(jù)的合法用戶，網(wǎng)絡(luò)設(shè)備可以確定出合法身份，并返回第二類報(bào)文，以使合法用戶根據(jù)第二類報(bào)文進(jìn)行跟蹤路由的處理。針對(duì)不知道驗(yàn)證數(shù)據(jù)的非法用戶，網(wǎng)絡(luò)設(shè)備可以確定出其非法身份，不向非法用戶返回第二類報(bào)文，從而達(dá)到維護(hù)網(wǎng)絡(luò)安全的目的，使非法用戶無法獲知網(wǎng)絡(luò)設(shè)備的關(guān)鍵信息(如IP地址)，繼而無法對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊。

附圖說明

為了更加清楚地說明本申請(qǐng)實(shí)施例或者現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)本申請(qǐng)實(shí)施例或者現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請(qǐng)中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，還可以根據(jù)本申請(qǐng)實(shí)施例的這些附圖獲得其他的附圖。

圖1是本申請(qǐng)一種實(shí)施方式中的跟蹤路由處理方法的流程圖；

圖2是本申請(qǐng)一種實(shí)施方式中的應(yīng)用場景示意圖；

圖3是本申請(qǐng)一種實(shí)施方式中的網(wǎng)絡(luò)設(shè)備的硬件結(jié)構(gòu)圖；

圖4是本申請(qǐng)一種實(shí)施方式中的跟蹤路由處理裝置的結(jié)構(gòu)圖。

具體實(shí)施方式

在本申請(qǐng)使用的術(shù)語僅僅是出于描述特定實(shí)施例的目的，而非限制本申請(qǐng)。本申請(qǐng)和權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其它含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。

應(yīng)當(dāng)理解，盡管在本申請(qǐng)可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請(qǐng)范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，此外，所使用的詞語“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。

本申請(qǐng)實(shí)施例中提出一種跟蹤路由處理方法，該方法可以應(yīng)用于網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī))，參見圖1所示，為該方法的流程圖，該方法可以包括：

步驟101，在接收到第一類報(bào)文時(shí)，根據(jù)該第一類報(bào)文判斷是否發(fā)生特定事件。如果是，則執(zhí)行步驟102；如果否，則對(duì)第一類報(bào)文攜帶的TTL值減去預(yù)設(shè)數(shù)值(如1)，并根據(jù)第一類報(bào)文的目的地址發(fā)送修改后的第一類報(bào)文。

在一個(gè)例子中，該第一類報(bào)文可以包括UDP報(bào)文，且第一類報(bào)文是源設(shè)備發(fā)出的用于實(shí)現(xiàn)跟蹤路由的報(bào)文。而且，該第一類報(bào)文可以攜帶TTL值，在未發(fā)生特定事件時(shí)，可以對(duì)第一類報(bào)文攜帶的TTL值執(zhí)行減去預(yù)設(shè)數(shù)值(如1)的處理，并根據(jù)第一類報(bào)文的目的地址繼續(xù)發(fā)送修改后的第一類報(bào)文。

在一個(gè)例子中，該特定事件可以包括但不限于：超時(shí)事件、端口不可達(dá)事件。基于此，針對(duì)“根據(jù)該第一類報(bào)文判斷是否發(fā)生特定事件”的過程，可以包括但不限于：若該第一類報(bào)文的目的地址是本設(shè)備的地址，則確定發(fā)生端口不可達(dá)事件?；蛘?，若該第一類報(bào)文的目的地址不是本設(shè)備的地址，且該第一類報(bào)文攜帶的TTL值是特定標(biāo)識(shí)(如數(shù)值1)，則確定發(fā)生超時(shí)事件?；蛘?，若該第一類報(bào)文的目的地址不是本設(shè)備的地址，且第一類報(bào)文攜帶的TTL值不是特定標(biāo)識(shí)，則確定未發(fā)生超時(shí)事件和端口不可達(dá)事件，即未發(fā)生特定事件。

步驟102，判斷該第一類報(bào)文是否攜帶驗(yàn)證數(shù)據(jù)。如果是，則執(zhí)行步驟103；如果否，則執(zhí)行步驟105。該驗(yàn)證數(shù)據(jù)可以是明文類型的驗(yàn)證數(shù)據(jù)(即沒有經(jīng)過加密的驗(yàn)證數(shù)據(jù))或者密文類型的驗(yàn)證數(shù)據(jù)(即經(jīng)過加密的驗(yàn)證數(shù)據(jù))。

在一個(gè)例子中，第一類報(bào)文可以包括一個(gè)用于攜帶驗(yàn)證數(shù)據(jù)的數(shù)據(jù)字段。若該數(shù)據(jù)字段的內(nèi)容為空，則本設(shè)備確定出該第一類報(bào)文沒有攜帶驗(yàn)證數(shù)據(jù)。若該數(shù)據(jù)字段的內(nèi)容不為空，則本設(shè)備確定出該第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)。

步驟103，比較該第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)是否匹配。如果匹配，則可以執(zhí)行步驟104，如果不匹配，則可以執(zhí)行步驟105。

在一個(gè)例子中，針對(duì)“比較該第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)是否匹配”的過程，可以包括但不限于如下方式：若該第一類報(bào)文攜帶明文類型的驗(yàn)證數(shù)據(jù)，則從第一類報(bào)文解析出所述明文類型的驗(yàn)證數(shù)據(jù)，并比較所述明文類型的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)是否匹配。若該第一類報(bào)文攜帶密文類型的驗(yàn)證數(shù)據(jù)，則從第一類報(bào)文解析出所述密文類型的驗(yàn)證數(shù)據(jù)；然后，利用預(yù)設(shè)算法對(duì)所述密文類型的驗(yàn)證數(shù)據(jù)進(jìn)行解密，得到解密后的驗(yàn)證數(shù)據(jù)，并比較所述解密后的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)是否匹配。

其中，針對(duì)“從第一類報(bào)文解析出明文類型的驗(yàn)證數(shù)據(jù)/密文類型的驗(yàn)證數(shù)據(jù)”的過程，由于第一類報(bào)文可以包括用于攜帶驗(yàn)證數(shù)據(jù)的數(shù)據(jù)字段，因此，可以從該數(shù)據(jù)字段解析出明文類型的驗(yàn)證數(shù)據(jù)/密文類型的驗(yàn)證數(shù)據(jù)。

其中，可以在本設(shè)備預(yù)先存儲(chǔ)驗(yàn)證數(shù)據(jù)，本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)可以為明文類型的驗(yàn)證數(shù)據(jù)，這一驗(yàn)證數(shù)據(jù)與合法用戶能夠獲知的驗(yàn)證數(shù)據(jù)匹配?；诖?，在一個(gè)例子中，合法用戶可以在源設(shè)備輸入明文類型的驗(yàn)證數(shù)據(jù)，源設(shè)備可以將明文類型的驗(yàn)證數(shù)據(jù)添加到第一類報(bào)文，并發(fā)送第一類報(bào)文，這樣，本設(shè)備在接收到第一類報(bào)文后，可以比較第一類報(bào)文攜帶的明文類型的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)是否匹配。在另一個(gè)例子中，合法用戶可以在源設(shè)備輸入明文類型的驗(yàn)證數(shù)據(jù)，源設(shè)備可以采用預(yù)設(shè)算法對(duì)明文類型的驗(yàn)證數(shù)據(jù)進(jìn)行加密處理，得到密文類型的驗(yàn)證數(shù)據(jù)，并將密文類型的驗(yàn)證數(shù)據(jù)添加到第一類報(bào)文，并發(fā)送第一類報(bào)文，這樣，本設(shè)備在接收到第一類報(bào)文后，可以利用預(yù)設(shè)算法對(duì)第一類報(bào)文攜帶的密文類型的驗(yàn)證數(shù)據(jù)進(jìn)行解密，得到解密后的驗(yàn)證數(shù)據(jù)，并比較解密后的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)是否匹配。

其中，可以在源設(shè)備以及各網(wǎng)絡(luò)設(shè)備配置相同的加解密算法，即上述預(yù)設(shè)算法，如可以為AES(Advanced Encryption Standard，高級(jí)加密標(biāo)準(zhǔn))算法、DES(Data Encryption Standard，數(shù)據(jù)加密標(biāo)準(zhǔn))算法、MD5(Message Digest Algorithm 5，信息摘要算法版本5)、SHA(Secure Hash Algorithm，安全哈希算法)等，本申請(qǐng)實(shí)施例對(duì)此預(yù)設(shè)算法不做限制?；诖?，在源設(shè)備使用預(yù)設(shè)算法對(duì)明文類型的驗(yàn)證數(shù)據(jù)進(jìn)行加密處理時(shí)，本設(shè)備也可以利用相同的預(yù)設(shè)算法，對(duì)該第一類報(bào)文攜帶的密文類型的驗(yàn)證數(shù)據(jù)進(jìn)行解密，得到解密后的驗(yàn)證數(shù)據(jù)，而解密后的驗(yàn)證數(shù)據(jù)也就是源設(shè)備得到的沒有進(jìn)行加密處理的明文類型的驗(yàn)證數(shù)據(jù)。也就是說，若合法用戶能夠獲知的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)匹配，本設(shè)備得到的解密后的驗(yàn)證數(shù)據(jù)會(huì)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)匹配。

在一個(gè)例子中，由于非法用戶無法獲知本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)，因此，非法用戶不會(huì)在源設(shè)備輸入驗(yàn)證數(shù)據(jù)，導(dǎo)致源設(shè)備發(fā)送未攜帶驗(yàn)證數(shù)據(jù)的第一類報(bào)文，或非法用戶在源設(shè)備輸入錯(cuò)誤的驗(yàn)證數(shù)據(jù)，這樣，雖然第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)，但第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)不匹配。

在上述過程中，第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)匹配，具體可以包括：第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)相同。此外，第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)不匹配，具體可以包括：第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)不同。

步驟104，向源設(shè)備發(fā)送攜帶本設(shè)備的地址(如IP地址)的第二類報(bào)文，以使源設(shè)備根據(jù)該第二類報(bào)文進(jìn)行跟蹤路由(即Traceroute)的處理。

在一個(gè)例子中，在發(fā)生超時(shí)事件時(shí)，第二類報(bào)文可以包括ICMP超時(shí)報(bào)文；在發(fā)生端口不可達(dá)事件時(shí)，第二類報(bào)文可以包括ICMP端口不可達(dá)報(bào)文。

步驟105，丟棄第一類報(bào)文，并拒絕向源設(shè)備發(fā)送第二類報(bào)文。

基于上述技術(shù)方案，本申請(qǐng)實(shí)施例中，網(wǎng)絡(luò)設(shè)備在收到第一類報(bào)文后，只有第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)，第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)匹配，才會(huì)發(fā)送第二類報(bào)文；若第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)，第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)不匹配，或者第一類報(bào)文未攜帶驗(yàn)證數(shù)據(jù)，則丟棄第一類報(bào)文。這樣，針對(duì)知道驗(yàn)證數(shù)據(jù)的合法用戶，網(wǎng)絡(luò)設(shè)備可以確定出其合法身份，并返回第二類報(bào)文，以使合法用戶根據(jù)第二類報(bào)文進(jìn)行跟蹤路由的處理。針對(duì)不知道驗(yàn)證數(shù)據(jù)的非法用戶，網(wǎng)絡(luò)設(shè)備可以確定出其非法身份，且不向非法用戶返回第二類報(bào)文，從而達(dá)到維護(hù)網(wǎng)絡(luò)安全的目的，使非法用戶無法獲知網(wǎng)絡(luò)設(shè)備的關(guān)鍵信息，繼而無法對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊。

以下結(jié)合圖2所示的應(yīng)用場景，對(duì)本申請(qǐng)實(shí)施例的上述技術(shù)方案進(jìn)行詳細(xì)說明。本應(yīng)用場景下，源設(shè)備的IP地址為IP地址A，網(wǎng)絡(luò)設(shè)備1的IP地址為IP地址1，網(wǎng)絡(luò)設(shè)備2的IP地址為IP地址2，網(wǎng)絡(luò)設(shè)備3的IP地址為IP地址3，網(wǎng)絡(luò)設(shè)備3為目的設(shè)備。在上述應(yīng)用場景下，跟蹤路由處理方法可以包括：

步驟1、源設(shè)備發(fā)送TTL值為1的UDP報(bào)文1，UDP報(bào)文1的源IP地址為IP地址A，目的IP地址為IP地址3。若合法用戶通過源設(shè)備發(fā)送UDP報(bào)文1，UDP報(bào)文1可以攜帶正確的驗(yàn)證數(shù)據(jù)123456。若非法用戶通過源設(shè)備發(fā)送UDP報(bào)文1，則UDP報(bào)文1不會(huì)攜帶驗(yàn)證數(shù)據(jù)或攜帶錯(cuò)誤的驗(yàn)證數(shù)據(jù)000000。

步驟2、網(wǎng)絡(luò)設(shè)備1收到UDP報(bào)文1后，由于UDP報(bào)文1的目的地址不是本設(shè)備的地址，UDP報(bào)文1攜帶的TTL值是特定標(biāo)識(shí)1，確定發(fā)生超時(shí)事件。

步驟3、假設(shè)UDP報(bào)文1攜帶驗(yàn)證數(shù)據(jù)123456，且UDP報(bào)文1攜帶的驗(yàn)證數(shù)據(jù)123456與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)123456匹配，則網(wǎng)絡(luò)設(shè)備1向源設(shè)備發(fā)送ICMP超時(shí)報(bào)文1，該ICMP超時(shí)報(bào)文1攜帶網(wǎng)絡(luò)設(shè)備1的IP地址1?；蛘?，假設(shè)UDP報(bào)文1未攜帶驗(yàn)證數(shù)據(jù)，或UDP報(bào)文1攜帶驗(yàn)證數(shù)據(jù)000000，且UDP報(bào)文1攜帶的驗(yàn)證數(shù)據(jù)000000與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)123456不匹配，則網(wǎng)絡(luò)設(shè)備1直接丟棄UDP報(bào)文1，不再向源設(shè)備發(fā)送ICMP超時(shí)報(bào)文。

步驟4、源設(shè)備在接收到ICMP超時(shí)報(bào)文1后，從ICMP超時(shí)報(bào)文1解析出網(wǎng)絡(luò)設(shè)備1的IP地址1，并在跟蹤路由的記錄表中記錄IP地址1。

步驟5、源設(shè)備發(fā)送TTL值為2的UDP報(bào)文2，UDP報(bào)文2的源IP地址為IP地址A，目的IP地址為IP地址3。若合法用戶通過源設(shè)備發(fā)送UDP報(bào)文2，UDP報(bào)文2可以攜帶正確的驗(yàn)證數(shù)據(jù)123456。若非法用戶通過源設(shè)備發(fā)送UDP報(bào)文2，則UDP報(bào)文2不會(huì)攜帶驗(yàn)證數(shù)據(jù)或攜帶錯(cuò)誤的驗(yàn)證數(shù)據(jù)000000。

步驟6、網(wǎng)絡(luò)設(shè)備1在收到UDP報(bào)文2后，由于UDP報(bào)文2的目的地址不是本設(shè)備的地址，UDP報(bào)文2攜帶的TTL值不是特定標(biāo)識(shí)1，因此，網(wǎng)絡(luò)設(shè)備1將UDP報(bào)文2的TTL值減1，并將修改后的UDP報(bào)文2發(fā)送給網(wǎng)絡(luò)設(shè)備2。

步驟7、網(wǎng)絡(luò)設(shè)備2收到UDP報(bào)文2后，由于UDP報(bào)文2的目的地址不是本設(shè)備的地址，UDP報(bào)文2攜帶的TTL值是特定標(biāo)識(shí)1，確定發(fā)生超時(shí)事件。

步驟8、假設(shè)UDP報(bào)文2攜帶驗(yàn)證數(shù)據(jù)123456，且UDP報(bào)文2攜帶的驗(yàn)證數(shù)據(jù)123456與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)123456匹配，則網(wǎng)絡(luò)設(shè)備2向源設(shè)備發(fā)送ICMP超時(shí)報(bào)文2，該ICMP超時(shí)報(bào)文2攜帶網(wǎng)絡(luò)設(shè)備2的IP地址2?；蛘?，假設(shè)UDP報(bào)文2未攜帶驗(yàn)證數(shù)據(jù)，或UDP報(bào)文2攜帶驗(yàn)證數(shù)據(jù)000000，且UDP報(bào)文2攜帶的驗(yàn)證數(shù)據(jù)000000與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)123456不匹配，則網(wǎng)絡(luò)設(shè)備2直接丟棄UDP報(bào)文2，不再向源設(shè)備發(fā)送ICMP超時(shí)報(bào)文。

步驟9、源設(shè)備在接收到ICMP超時(shí)報(bào)文2后，從ICMP超時(shí)報(bào)文2解析出網(wǎng)絡(luò)設(shè)備2的IP地址2，并在跟蹤路由的記錄表中記錄IP地址2。

步驟10、源設(shè)備發(fā)送TTL值為3的UDP報(bào)文3，UDP報(bào)文3的源IP地址為IP地址A，目的IP地址為IP地址3。若合法用戶通過源設(shè)備發(fā)送UDP報(bào)文3，則UDP報(bào)文3可以攜帶正確的驗(yàn)證數(shù)據(jù)123456。若非法用戶通過源設(shè)備發(fā)送UDP報(bào)文3，UDP報(bào)文3不會(huì)攜帶驗(yàn)證數(shù)據(jù)或攜帶錯(cuò)誤的驗(yàn)證數(shù)據(jù)000000。

步驟11、網(wǎng)絡(luò)設(shè)備1在收到UDP報(bào)文3后，由于UDP報(bào)文3的目的地址不是本設(shè)備的地址，UDP報(bào)文3攜帶的TTL值不是特定標(biāo)識(shí)1，因此，網(wǎng)絡(luò)設(shè)備1將UDP報(bào)文3的TTL值減1，并將修改后的UDP報(bào)文3發(fā)送給網(wǎng)絡(luò)設(shè)備2。

步驟12、網(wǎng)絡(luò)設(shè)備2在收到UDP報(bào)文3后，由于UDP報(bào)文3的目的地址不是本設(shè)備的地址，UDP報(bào)文3攜帶的TTL值不是特定標(biāo)識(shí)1，因此，網(wǎng)絡(luò)設(shè)備2將UDP報(bào)文3的TTL值減1，并將修改后的UDP報(bào)文3發(fā)送給網(wǎng)絡(luò)設(shè)備3。

步驟13、網(wǎng)絡(luò)設(shè)備3在接收到UDP報(bào)文3后，由于該UDP報(bào)文3的目的地址(即IP地址3)是本設(shè)備的地址，因此，確定發(fā)生端口不可達(dá)事件。

步驟14、假設(shè)UDP報(bào)文3攜帶驗(yàn)證數(shù)據(jù)123456，且UDP報(bào)文3攜帶的驗(yàn)證數(shù)據(jù)123456與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)123456匹配，則網(wǎng)絡(luò)設(shè)備3可以向源設(shè)備發(fā)送ICMP端口不可達(dá)報(bào)文1，該ICMP端口不可達(dá)報(bào)文1可以攜帶網(wǎng)絡(luò)設(shè)備3的IP地址3，也可以不攜帶網(wǎng)絡(luò)設(shè)備3的IP地址3?；蛘?，假設(shè)UDP報(bào)文3未攜帶驗(yàn)證數(shù)據(jù)，或者UDP報(bào)文3攜帶驗(yàn)證數(shù)據(jù)000000，且UDP報(bào)文3攜帶的驗(yàn)證數(shù)據(jù)000000與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)123456不匹配，則網(wǎng)絡(luò)設(shè)備3可以直接丟棄UDP報(bào)文3，而不再向源設(shè)備發(fā)送ICMP端口不可達(dá)報(bào)文。

步驟15、源設(shè)備在接收到ICMP端口不可達(dá)報(bào)文1后，確定已經(jīng)探測到目的設(shè)備，并在跟蹤路由的記錄表中記錄目的設(shè)備的IP地址，即IP地址3。

其中，若ICMP端口不可達(dá)報(bào)文1中攜帶網(wǎng)絡(luò)設(shè)備3的IP地址3，則源設(shè)備可以從ICMP端口不可達(dá)報(bào)文1解析出網(wǎng)絡(luò)設(shè)備3的IP地址3，并將IP地址3記錄到記錄表中。若ICMP端口不可達(dá)報(bào)文1中未攜帶網(wǎng)絡(luò)設(shè)備3的IP地址3，則源設(shè)備還可以將需要探測的目的IP地址(即IP地址3)記錄到記錄表中。

經(jīng)過上述處理，源設(shè)備維護(hù)的記錄表可以包括IP地址1、IP地址2、IP地址3，即針對(duì)源設(shè)備與目的設(shè)備，經(jīng)過的各網(wǎng)絡(luò)設(shè)備的IP地址分別為IP地址1、IP地址2、IP地址3，上述記錄表的維護(hù)過程也就是跟蹤路由的處理過程。

基于與上述方法同樣的申請(qǐng)構(gòu)思，本申請(qǐng)實(shí)施例還提供一種跟蹤路由處理裝置，該跟蹤路由處理裝置應(yīng)用在網(wǎng)絡(luò)設(shè)備。該跟蹤路由處理裝置可以通過軟件實(shí)現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，作為一個(gè)邏輯意義上的裝置，是通過其所在的網(wǎng)絡(luò)設(shè)備的處理器，讀取非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令形成的。從硬件層面而言，如圖3所示，為本申請(qǐng)?zhí)岢龅母櫬酚商幚硌b置所在的網(wǎng)絡(luò)設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖3所示的處理器、非易失性存儲(chǔ)器外，網(wǎng)絡(luò)設(shè)備還可以包括其他硬件，如負(fù)責(zé)處理報(bào)文的轉(zhuǎn)發(fā)芯片、網(wǎng)絡(luò)接口、內(nèi)存等；從硬件結(jié)構(gòu)上來講，該網(wǎng)絡(luò)設(shè)備還可能是分布式設(shè)備，可能包括多個(gè)接口卡，以便在硬件層面進(jìn)行報(bào)文處理的擴(kuò)展。

如圖4所示，為本申請(qǐng)?zhí)岢龅母櫬酚商幚硌b置的結(jié)構(gòu)圖，該裝置包括：

接收模塊11，用于接收第一類報(bào)文；

判斷模塊12，用于根據(jù)所述第一類報(bào)文判斷是否發(fā)生特定事件；

處理模塊13，用于當(dāng)發(fā)生特定事件時(shí)，若所述第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)，且所述第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)匹配，則向源設(shè)備發(fā)送攜帶本設(shè)備的地址的第二類報(bào)文，以使所述源設(shè)備根據(jù)所述第二類報(bào)文進(jìn)行跟蹤路由的處理；當(dāng)發(fā)生特定事件時(shí)，若所述第一類報(bào)文攜帶驗(yàn)證數(shù)據(jù)，且所述第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)不匹配，或者，所述第一類報(bào)文未攜帶驗(yàn)證數(shù)據(jù)，則丟棄所述第一類報(bào)文。

在一個(gè)例子中，所述特定事件具體包括：超時(shí)事件、端口不可達(dá)事件；

所述判斷模塊12，具體用于在根據(jù)所述第一類報(bào)文判斷是否發(fā)生特定事件的過程中，若所述第一類報(bào)文的目的地址是本設(shè)備的地址，則確定發(fā)生端口不可達(dá)事件；或者，若所述第一類報(bào)文的目的地址不是本設(shè)備的地址，且所述第一類報(bào)文攜帶的存活時(shí)間TTL值是特定標(biāo)識(shí)，則確定發(fā)生超時(shí)事件；或者，若所述第一類報(bào)文的目的地址不是本設(shè)備的地址，且所述第一類報(bào)文攜帶的TTL值不是特定標(biāo)識(shí)，則確定未發(fā)生超時(shí)事件和端口不可達(dá)事件。

在一個(gè)例子中，所述接收模塊11接收的所述第一類報(bào)文包括用戶數(shù)據(jù)報(bào)協(xié)議UDP報(bào)文；在發(fā)生超時(shí)事件時(shí)，所述處理模塊13發(fā)送的所述第二類報(bào)文包括Internet控制報(bào)文協(xié)議ICMP超時(shí)報(bào)文；在發(fā)生端口不可達(dá)事件時(shí)，所述處理模塊13發(fā)送的所述第二類報(bào)文包括ICMP端口不可達(dá)報(bào)文。

所述處理模塊13，還用于當(dāng)未發(fā)生特定事件時(shí)，對(duì)第一類報(bào)文攜帶的TTL值減去預(yù)設(shè)數(shù)值；根據(jù)所述第一類報(bào)文的目的地址發(fā)送修改后的第一類報(bào)文。

在一個(gè)例子中，所述處理模塊13，具體用于在比較所述第一類報(bào)文攜帶的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)是否匹配的過程中，若所述第一類報(bào)文攜帶明文類型的驗(yàn)證數(shù)據(jù)，則從所述第一類報(bào)文解析出明文類型的驗(yàn)證數(shù)據(jù)，比較所述明文類型的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)是否匹配；若所述第一類報(bào)文攜帶密文類型的驗(yàn)證數(shù)據(jù)，則從所述第一類報(bào)文解析出密文類型的驗(yàn)證數(shù)據(jù)；利用預(yù)設(shè)算法對(duì)所述密文類型的驗(yàn)證數(shù)據(jù)進(jìn)行解密，得到解密后的驗(yàn)證數(shù)據(jù)，并比較所述解密后的驗(yàn)證數(shù)據(jù)與本設(shè)備存儲(chǔ)的驗(yàn)證數(shù)據(jù)是否匹配。

上述實(shí)施例闡明的系統(tǒng)、裝置、模塊或單元，具體可以由計(jì)算機(jī)芯片或?qū)嶓w實(shí)現(xiàn)，或者由具有某種功能的產(chǎn)品來實(shí)現(xiàn)。一種典型的實(shí)現(xiàn)設(shè)備為計(jì)算機(jī)，計(jì)算機(jī)的具體形式可以是個(gè)人計(jì)算機(jī)、膝上型計(jì)算機(jī)、蜂窩電話、相機(jī)電話、智能電話、個(gè)人數(shù)字助理、媒體播放器、導(dǎo)航設(shè)備、電子郵件收發(fā)設(shè)備、游戲控制臺(tái)、平板計(jì)算機(jī)、可穿戴設(shè)備或者這些設(shè)備中的任意幾種設(shè)備的組合。

為了描述的方便，描述以上裝置時(shí)以功能分為各種單元分別描述。當(dāng)然，在實(shí)施本申請(qǐng)時(shí)可以把各單元的功能在同一個(gè)或多個(gè)軟件和/或硬件中實(shí)現(xiàn)。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本申請(qǐng)的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此，本申請(qǐng)可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本申請(qǐng)實(shí)施例可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。

本申請(qǐng)是參照根據(jù)本申請(qǐng)實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可以由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其它可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過計(jì)算機(jī)或其它可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。

而且，這些計(jì)算機(jī)程序指令也可以存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其它可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或者多個(gè)流程和/或方框圖一個(gè)方框或者多個(gè)方框中指定的功能。

這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其它可編程數(shù)據(jù)處理設(shè)備上，使得在計(jì)算機(jī)或者其它可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其它可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。

本領(lǐng)域技術(shù)人員應(yīng)明白，本申請(qǐng)的實(shí)施例可提供為方法、系統(tǒng)或計(jì)算機(jī)程序產(chǎn)品。因此，本申請(qǐng)可以采用完全硬件實(shí)施例、完全軟件實(shí)施例、或者結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本申請(qǐng)可以采用在一個(gè)或者多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(可以包括但不限于磁盤存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。

以上所述僅為本申請(qǐng)的實(shí)施例而已，并不用于限制本申請(qǐng)。對(duì)于本領(lǐng)域技術(shù)人員來說，本申請(qǐng)可以有各種更改和變化。凡在本申請(qǐng)的精神和原理之內(nèi)所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本申請(qǐng)的權(quán)利要求范圍之內(nèi)。