專利名稱:一種防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機數(shù)據(jù)通信領(lǐng)域,尤其涉及一種防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的方法及系統(tǒng)�。
背景技術(shù):
在IPv4網(wǎng)絡(luò)中,通過地址解析協(xié)議(Address Resolution Protocol,ARP)進行網(wǎng)關(guān)欺騙是一種常見的攻擊手段�。攻擊主機通過發(fā)送ARP回應(yīng),在ARP回應(yīng)中將網(wǎng)關(guān)的鏈路層地址替換成攻擊主機的鏈路層地址�����,從而欺騙合法主機的網(wǎng)關(guān)ARP緩存表項��,合法主機到達網(wǎng)關(guān)的流量會被引導至攻擊主機�����,導致網(wǎng)絡(luò)通訊異常�����,攻擊主機也能夠?qū)嵤┢渌垓_行為�����。
在IPv6網(wǎng)絡(luò)中��,類似于通過ARP進行網(wǎng)關(guān)欺騙的行為也存在�。在IPv6網(wǎng)絡(luò)中, 地址解析由鄰居發(fā)現(xiàn)協(xié)議(Neighbor Discovery Protocol, NDP)完成�����。鄰居發(fā)現(xiàn)協(xié)議是 IPv6協(xié)議的一個基本組成部分����,實現(xiàn)了在IPv4中的ARP、ICMP (Internet Control Message Protocol�����,控制報文協(xié)議)中的路由器發(fā)現(xiàn)部分����、重定向協(xié)議的所有功能,具有鄰居不可達檢測機制��。
隨著IPv6技術(shù)的廣泛應(yīng)用��,鄰居發(fā)現(xiàn)(ND)協(xié)議也成為了主要攻擊對象�����,欺騙網(wǎng)關(guān)攻擊現(xiàn)象日益嚴重。欺騙網(wǎng)關(guān)的攻擊具體為攻擊者通過偽造鄰居發(fā)現(xiàn)(ND)報文��,欺騙網(wǎng)關(guān)相同網(wǎng)段內(nèi)的某一合法用戶的MAC (Media Access Control,介質(zhì)訪問控制層)地址,導致網(wǎng)關(guān)將所有報文發(fā)往攻擊者��。以攻擊者A和合法用戶B為例����,對欺騙網(wǎng)關(guān)具體過程進行說明1)攻擊者A通過接入設(shè)備向網(wǎng)關(guān)發(fā)送NS (Neighbor Solicitation,鄰居請求報文)報文,該NS報文中攜帶了源IP為合法用戶B的IP地址�����,該NS報文中攜帶的MAC地址為攻擊者A的MAC地址�;2)網(wǎng)關(guān)接收到該NS報文后,更新該網(wǎng)關(guān)的ND表項(ND表項包括了客戶端合法MAC地址和合法IP及其之間的對應(yīng)關(guān)系)��,即將NS報文所對應(yīng)的ND表項更新為源 IP為合法用戶B的IP地址���,MAC地址為攻擊者A的MAC地址���;當網(wǎng)關(guān)需要向合法用戶B發(fā)送報文時,該報文被攻擊者A截獲�,導致網(wǎng)絡(luò)訪問異常�����,攻擊者A機也能夠?qū)嵤┢渌垓_行為��,對于網(wǎng)絡(luò)安全構(gòu)成威脅。
現(xiàn)有技術(shù)中��,為了避免ND表項被攻擊����,需要網(wǎng)關(guān)設(shè)備對接收到的ND協(xié)議相關(guān)報文的合法性進行確認,當網(wǎng)關(guān)接收到NS報文時��,判斷NS報文中攜帶的MAC地址和ND表項中的MAC地址是否相同���,當不同時��,并不立即更新ND表項�����;而是通過組播報文進行鄰居不可達檢測�,若網(wǎng)關(guān)設(shè)備在預設(shè)的時間內(nèi)收到2個NA (Neighbor Advertisement,鄰居公告報文) 報文�����,即同一 IP對應(yīng)了 2個不同的MAC地址,則認為存在惡意攻擊��,不需要更新ND表項��,若只能接收到對應(yīng)于新MAC地址的一個NA報文���,則更新ND表項�����,將該新MAC地址信息存儲到 ND表項中�。采用上述通過組播報文進行鄰居不可達檢測防止ND表項被攻擊時�,攻擊者可利用鄰居不可達檢測進攻攻擊,例如����,當攻擊者接收到組播報文后,可以向網(wǎng)關(guān)設(shè)備發(fā)送不同源MAC地址的NA報文���,網(wǎng)關(guān)設(shè)備需要對每個源MAC地址的NA報文發(fā)送組播報文�,造成資源浪費��。發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)的缺陷和不足,本發(fā)明提出一種能夠更有效的攔截和阻止網(wǎng)關(guān)鄰居欺騙攻擊的方法和系統(tǒng)���。
本發(fā)明公開一種防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的方法���,該方法應(yīng)用于由IPv6主機、 接入交換機和匯聚交換機組成的系統(tǒng)�,包括如下步驟
SI :在配置為IPv6網(wǎng)關(guān)的匯聚交換機上配置每一個三層接口下聯(lián)的接入交換機的IP地址;
S2 :所述匯聚交換機將所述三層接口的合法IPv6地址和合法鏈路層地址封裝成自定義的映射報文��,并將所述映射報文通過下聯(lián)的接入交換機的IP地址發(fā)送給接入交換機���;
S3 :接入交換機接收映射報文,并將映射報文中攜帶的IPv6地址和鏈路層地址保存到本地網(wǎng)關(guān)IP和鏈路層地址的映射表項中���;
S4:接入交換機監(jiān)聽接收到的所有鄰居請求報文或鄰居公告報文����,并通過重定向模塊將所述報文重定向至接入交換機的判斷模塊����;
S5 :判斷模塊對接收到的報文的合法性進行判斷接入交換機接收鄰居請求報文,當鄰居請求報文的源IP地址為單播地址����,且源鏈路層地址選項存在時�����,如源IP地址與映射表項中的網(wǎng)關(guān)IP—致�����,但源鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致����,則判斷該鄰居請求報文為非法報文�����,丟棄該報文���;如源IP地址與映射表項中的網(wǎng)關(guān)IP不一致���,則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文; 或者����,接入交換機接收鄰居公告報文����,當鄰居公告報文的目標地址選項存在��,且目標鏈路層地址選項也存在時,如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān)IP—致,但目標鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致����,則判斷該鄰居公告報文為非法報文,丟棄該報文����;如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān)IP不一致,則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文�。
進一步地����,所述步驟SI中匯聚交換機上配置的三層接口 IP地址包括IPv6網(wǎng)絡(luò)中接入交換機的IPv6地址;或者�,IPv4和IPv6網(wǎng)絡(luò)共存的網(wǎng)絡(luò)中的接入交換機的IPv4和 IPv6地址中的一種。
進一步地��,所述步驟S2中匯聚交換機對封裝的映射報文進行加密和散列處理后���, 將加密后的映射報文根據(jù)三層接口配置的IP地址發(fā)送給接入交換機����。
進一步地,所述步驟S3中接入交換機對接收到的加密的映射報文進行解密�����,從報文中還原得到三層接口的IP地址和鏈路層地址的映射關(guān)系并保存到本地網(wǎng)關(guān)IP和鏈路層地址的映射表項中��。
本發(fā)明還公開一種防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的系統(tǒng)����,包括IPv6主機、接入交換機和匯聚交換機���,IPv6主機通過接入交換機與匯聚交換機連接�,匯聚交換機為三層交換設(shè)備;
所述IPv6主機用于發(fā)送鄰居請求報文或鄰居公告報文給接入交換機��;
所述匯聚交換機配置為IPv6網(wǎng)關(guān)��,用于將所述三層接口的合法IPv6地址和合法鏈路層地址封裝成自定義的映射報文����,并將所述映射報文通過預先配置在每一個三層接口下聯(lián)的接入交換機的IP地址發(fā)送給接入交換機����;
所述接入交換機用于監(jiān)聽接收到的所有鄰居請求報文或鄰居公告報文���,根據(jù)鄰居請求報文中源IP地址和源鏈路層地址選項中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致�����,判斷該鄰居請求報文的合法性�����;或者����,根據(jù)鄰居公告報文中目標地址選項中的IP地址和目標鏈路層地址選項中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致����,判斷該鄰居公告報文的合法性����;其中���,本地映射表項信息包括自定義的映射報文中合法IPv6地址和合法鏈路層地址�����。
進一步地�����,所述匯聚交換機上配置的三層接口 IP地址包括IPv6網(wǎng)絡(luò)中接入交換機的IPv6地址����;或者��,IPv4和IPv6網(wǎng)絡(luò)共存的網(wǎng)絡(luò)中的接入交換機的IPv4和IPv6地址中的一種��。
進一步地��,所述匯聚交換機包括配置模塊��、收發(fā)模塊和映射報文生成模塊���;
所述配置模塊用于在匯聚交換機上配置每一個三層接口下聯(lián)的接入交換機的IP 地址��;
映射報文生成模塊將所述三層接口的合法IPv6地址和合法鏈路層地址封裝成自定義的映射報文�����,對映射報文進行加密后發(fā)送給接入交換機����;
收發(fā)模塊用于接收和發(fā)送鄰居請求報文或鄰居公告報文。
進一步地��,所述接入交換機包括收發(fā)模塊����、重定向模塊、映射報文處理模塊和判斷模塊����;
所述收發(fā)模塊用于接收和轉(zhuǎn)發(fā)鄰居請求報文或鄰居公告報文;
重定向模塊用于匹配接入交換機下發(fā)的將所述鄰居請求報文或鄰居公告報文重定向至判斷模塊的規(guī)則����,將所述鄰居請求報文或鄰居公告報文重定向至判斷模塊;
映射報文處理模塊用于對匯聚交換機發(fā)送的映射報文解密��,得到自定義映射報文的合法IPv6地址和合法鏈路層地址�����,并將自定義映射報文的合法IPv6地址和合法鏈路層地址存儲到本地映射表項中�;
判斷模塊用于根據(jù)鄰居請求報文中源IP地址和源鏈路層地址選項中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致,判斷該鄰居請求報文的合法性�����;或者�����,根據(jù)鄰居公告報文中目標地址選項中的IP地址和目標鏈路層地址選項中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致����,判斷該鄰居公告報文的合法性。
進一步地����,接入交換機接收鄰居請求報文,當鄰居請求報文的源IP地址為單播地址��,且源鏈路層地址選項存在時���,如源IP地址與映射表項中的網(wǎng)關(guān)IP—致�����,但源鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致���,則判斷該鄰居請求報文為非法報文���,丟棄該報文;如源IP地址與映射表項中的網(wǎng)關(guān)IP不一致�,則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文。
進一步地�,接入交換機接收鄰居公告報文,當鄰居公告報文的目標地址選項存在�, 且目標鏈路層地址選項也存在時,如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān)IP — 致��,但目標鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致����,則判斷該鄰居公告報文為非法報文,丟棄該報文����;如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān) IP不一致,則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文���。
本發(fā)明有效的防止了惡意節(jié)點偽造網(wǎng)關(guān)發(fā)送鄰居請求報文或鄰居公告報文�,將合法主機流量導向非法節(jié)點,同時�����,通過采用分布式處理方式���,由接入交換機來進行鄰居發(fā)現(xiàn)監(jiān)聽功能,極大緩解了匯聚交換機CPU的壓力����,能夠更有效的攔截和阻止網(wǎng)關(guān)鄰居欺騙攻擊。
圖I為本發(fā)明實施例的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的系統(tǒng)框圖2為本發(fā)明實施例的匯聚交換機的結(jié)構(gòu)框圖3為本發(fā)明實施例的接入交換機的結(jié)構(gòu)框圖4為本發(fā)明實施例的映射報文格式���;
圖5為本發(fā)明實施例的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的方法流程圖�����。
具體實施方式
為詳細說明本發(fā)明的技術(shù)內(nèi)容��、所實現(xiàn)目的及效果�,以下結(jié)合實施方式并配合附圖予以詳細說明��。
圖I為本發(fā)明實施例的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的系統(tǒng)框圖���。該系統(tǒng)包括IPv6 主機�����、接入交換機和匯聚交換機�,IPv6主機節(jié)點通過接入交換機與匯聚交換機連接,匯聚交換機為三層交換設(shè)備��,連接多個IPv6網(wǎng)段�����,匯聚交換機下聯(lián)多個接入交換機����,各個三層接口的IPv6地址為其所在鏈路上IPv6主機的網(wǎng)關(guān);所述IPv6主機用于發(fā)送鄰居請求報文或鄰居公告報文給接入交換機�;所述匯聚交換機配置為IPv6網(wǎng)關(guān),用于將三層接口的合法IPv6地址和合法鏈路層地址封裝成自定義的映射報文�����,并將所述映射報文通過匯聚交換機上配置的每一個三層接口下聯(lián)的接入交換機的IP地址發(fā)送給接入交換機��;接入交換機用于監(jiān)聽接收到的所有鄰居請求報文或鄰居公告報文��,根據(jù)鄰居請求報文中源IP地址和源鏈路層地址選項(Source Link-Layer Address Option)中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致,判斷該鄰居請求報文的合法性����;或者,根據(jù)鄰居公告報文中目標地址選項(Target Address option)中的IP地址和目標鏈路層地址選項 (Target Link-Layer Address option)中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致�,判斷該鄰居公告報文的合法性;其中��,本地映射表項信息包括自定義的映射報文中合法IPv6地址和合法鏈路層地址���。
其中,如果是純IPv6網(wǎng)絡(luò)�����,匯聚交換機上配置的每一個三層接口下聯(lián)的接入交換機的IP地址可以使用接入交換機的IPv6地址�;如果是IPv4和IPv6共存網(wǎng)絡(luò),匯聚交換機上配置的每一個三層接口下聯(lián)的接入交換機的IP地址可選擇接入交換機的IPv4地址或者 IPv6地址�。
圖2為本發(fā)明實施例的匯聚交換機的結(jié)構(gòu)框圖。如圖2所示�����,所述匯聚交換機為三層交換設(shè)備��,連接多個IPv6網(wǎng)段,匯聚交換機三層接口的IPv6地址為其所在鏈路上IPv6 主機的網(wǎng)關(guān)���。匯聚交換機包括配置模塊�、收發(fā)模塊和映射報文生成模塊�;所述配置模塊用于在匯聚交換機上配置每一個三層接口下聯(lián)的接入交換機的IP地址;映射報文生成模塊將三層接口的合法IPv6地址和合法鏈路層地址封裝成自定義的映射報文�����,對映射報文進行加密后發(fā)送給接入交換機����;收發(fā)模塊用于接收和發(fā)送鄰居請求報文或鄰居公告報文。
圖3為本發(fā)明實施例的接入交換機的結(jié)構(gòu)框圖���。接入交換機上聯(lián)匯聚交換機��,匯聚交換機將映射報文通過配置的每一個三層接口下聯(lián)的接入交換機的IP地址發(fā)送給接入交換機�����。接入交換機包括收發(fā)模塊��、重定向模塊�����、映射報文處理模塊和判斷模塊��;所述收發(fā)模塊用于接收和轉(zhuǎn)發(fā)鄰居請求報文或鄰居公告報文����;重定向模塊用于匹配接入交換機下發(fā)的將所述鄰居請求報文或鄰居公告報文重定向至判斷模塊的規(guī)則,將所述鄰居請求報文或鄰居公告報文重定向至判斷模塊�;映射報文處理模塊用于對匯聚交換機發(fā)送的映射報文解密,得到自定義映射報文的合法IPv6地址和合法鏈路層地址����,并將自定義映射報文的合法 IPv6地址和合法鏈路層地址存儲到本地網(wǎng)關(guān)IP和鏈路層地址的映射表項中���;判斷模塊用于根據(jù)鄰居請求報文中源IP地址和源鏈路層地址選項中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致��,判斷該鄰居請求報文的合法性���;或者,根據(jù)鄰居公告報文中目標地址選項中的IP地址和目標鏈路層地址選項中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致�����,判斷該鄰居公告報文的合法性。
接入交換機接收鄰居請求報文���,當鄰居請求報文的源IP地址為單播地址��,且源鏈路層地址選項存在時���,如源IP地址與映射表項中的網(wǎng)關(guān)IP—致,但源鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致���,則判斷該鄰居請求報文為非法報文�,丟棄該報文����;如源IP地址與映射表項中的網(wǎng)關(guān)IP不一致,則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文�。
接入交換機接收鄰居公告報文,當鄰居公告報文的目標地址選項存在����,且目標鏈路層地址選項也存在時,如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān)IP—致,但目標鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致,則判斷該鄰居公告報文為非法報文��,丟棄該報文����;如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān)IP不一致, 則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文�。
其中��,匯聚交換機和接入交換機之間的映射報文格式如圖4所示����。該報文使用UDP 連接通過網(wǎng)絡(luò)發(fā)送,為了保證安全性和防篡改��,對該映射報文進行加密和散列處理�,本發(fā)明中加密采用共享密鑰的DES方式,散列采用MD5方式�����。如圖4所示�����,映射報文承載于UDP中����, 其報文格式各字段解釋如下
Version :版本號���,目前為I
Type :類型���,目前為1�,表示包含映射信息
SeqNo :序列號,每發(fā)送一個報文,加I
SecretLen :被加密報文的長度
Signature :映射報文所有字段的MD5散列結(jié)果
SwitchIPAddr :匯聚交換機的IP地址
SwitchID :匯聚交換機ID����,取交換機CPU MAC
Count :綁定數(shù)量
GatewayMAC :網(wǎng)關(guān)的鏈路層地址
GatewayVlanId :網(wǎng)關(guān)三層接口對應(yīng)的虛擬局域網(wǎng)標識號(Vlan Id)
GatewayIP :網(wǎng)關(guān)三層接口 IPv6地址
為了防止用戶信息泄露以及傳輸過程中被惡意篡改,需要對報文進行DES加密和MD5散列處理��,DES密鑰由用戶配置�,接入交換機與匯聚交換機的密鑰必須確保一致。
發(fā)送報文前���,先進行加密����,后進行散列處理�,具體過程如下
自SwitchIPAddr字段開始,一直到結(jié)尾的報文內(nèi)容進行DES加密��,密文與明文等長��,密文放入映射報文中SwitchIPAddr字段開始的報文區(qū)域����,密文長度置于映射報文的SecretLen字段�����,然后交給散列處理模塊���。對于交換機DES加密后的映射報文,計算MD5 散列時Signature字段先清零�����,然后對整個報文作散列運算����,散列操作完成后散列值填入 Signature字段,這時報文可以發(fā)出交換機。
接入交換機收到報文后��,先進行散列計算���,再解密,具體過程如下
計算時先備份signature字段的值,然后signature字段清零,再計算整個報文的 MD5散列值,如果散列值與備份的signature字段的值一樣,則散列驗證成功�����,繼續(xù)對映射報文作DES解密處理。如果散列驗證失敗�,丟棄該映射報文。對于接收到的MD5散列驗證成功的報文�����,交換機對從Signature字段之后位置開始,長度由SecretLen字段指定的報文內(nèi)容進行DES解密處理�,還原出自SwitchIPAddr字段開始的映射報文內(nèi)容。
圖5為本發(fā)明實施例的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的方法流程圖����。如圖5所示, 所述方法包括如下步驟
SI :在配置為IPv6網(wǎng)關(guān)的匯聚交換機上配置每一個三層接口下聯(lián)的接入交換機的IP地址���。
匯聚交換機作為網(wǎng)關(guān)�����,其每一個三層接口的IPv6地址是其接口所在的鏈路上所有IPv6主機節(jié)點的網(wǎng)關(guān)地址�����。在匯聚交換機上配置每一個三層接口下聯(lián)的接入交換機的 IP地址���,如果是純IPv6網(wǎng)絡(luò)���,所述IP地址可以使用接入交換機的IPv6地址;如果是IPv4 和IPv6共存網(wǎng)絡(luò)����,所述IP地址可選擇接入交換機的IPv4地址或者IPv6地址。匯聚交換機根據(jù)所述IP地址向相應(yīng)接入交換機發(fā)送報文等信息����。
S2 :所述匯聚交換機將所述三層接口的合法IPv6地址和合法鏈路層地址封裝成自定義的映射報文,并將所述映射報文通過下聯(lián)的接入交換機的IP地址發(fā)送給接入交換機���。
匯聚交換機將三層接口的IPv6地址和鏈路層地址映射信息加入到自定義的映射報文中�����,通過配置的下聯(lián)的接入交換機的IP地址轉(zhuǎn)發(fā)給接入交換機���。匯聚交換機和接入交換機之間的映射報文使用UDP連接在網(wǎng)絡(luò)上傳播,為了保證安全性和防篡改��,對映射報文進行加密和散列處理���,本發(fā)明實施例中加密采用共享密鑰的DES方式��,散列采用MD5方式����, DES密鑰由用戶配置����,接入交換機與匯聚交換機的密鑰必須確保一致。具體加密過程如圖4 部分對加密的詳細描述��。
S3 :接入交換機接收映射報文����,并將映射報文中攜帶的IPv6地址和鏈路層地址保存到本地網(wǎng)關(guān)IP和鏈路層地址的映射表項中。
接入交換機收到加密的映射報文后�����,先進行散列計算����,再進行解密,從報文中還原出上聯(lián)的匯聚交換機三層接口的IPv6地址和鏈路層地址映射關(guān)系�,并存在本地網(wǎng)關(guān)IP和鏈路層地址的映射表中。具體解密過程如圖4部分對解密的詳細描述。
S4 :接入交換機監(jiān)聽接收到的所有鄰居請求報文或鄰居公告報文�,并通過重定向模塊將所述報文重定向至接入交換機的判斷模塊。
接入交換機上使能鄰居發(fā)現(xiàn)監(jiān)聽功能�����,接入交換機將下發(fā)鄰居請求報文或鄰居公告報文重定向至判斷模塊的規(guī)則��,接入交換機接收端口收到鄰居請求報文或鄰居公告報文后��,不執(zhí)行硬件轉(zhuǎn)發(fā)行為���,而是由重定向模塊將報文重定向至交換機的判斷模塊���,由判斷模CN 102546661 A塊進行軟件的解析。
S5 :判斷模塊對接收到的報文的合法性進行判斷接入交換機接收鄰居請求報文�����,當鄰居請求報文的源IP地址為單播地址�����,且源鏈路層地址選項存在時����,如源IP地址與映射表項中的網(wǎng)關(guān)IP—致���,但源鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致�����,則判斷該鄰居請求報文為非法報文�����,丟棄該報文����;如源IP地址與映射表項中的網(wǎng)關(guān)IP不一致,則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文���; 或者�����,接入交換機接收鄰居公告報文��,當鄰居公告報文的目標地址選項存在��,且目標鏈路層地址選項也存在時,如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān)IP—致,但目標鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致�����,則判斷該鄰居公告報文為非法報文�����,丟棄該報文���;如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān)IP不一致�,則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文���。
本發(fā)明有效的防止了惡意節(jié)點偽造網(wǎng)關(guān)發(fā)送鄰居請求報文或鄰居公告報文���,將合法主機流量導向非法節(jié)點,同時��,通過采用分布式處理方式����,由接入交換機來進行鄰居發(fā)現(xiàn)監(jiān)聽功能,極大緩解了匯聚交換機CPU的壓力��,能夠更有效的攔截和阻止網(wǎng)關(guān)鄰居欺騙攻擊。
上述僅為本發(fā)明的較佳實施例及所運用技術(shù)原理���,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護范圍內(nèi)����。
權(quán)利要求
1.一種防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的方法�����,該方法應(yīng)用于由IPv6主機���、接入交換機和匯聚交換機組成的系統(tǒng)�,包括如下步驟51:在配置為IPv6網(wǎng)關(guān)的匯聚交換機上配置每一個三層接口下聯(lián)的接入交換機的IP 地址��;52:所述匯聚交換機將所述三層接口的合法IPv6地址和合法鏈路層地址封裝成自定義的映射報文��,并將所述映射報文通過下聯(lián)的接入交換機的IP地址發(fā)送給接入交換機����;53:接入交換機接收映射報文���,并將映射報文中攜帶的IPv6地址和鏈路層地址保存到本地網(wǎng)關(guān)IP和鏈路層地址的映射表項中;54:接入交換機監(jiān)聽接收到的所有鄰居請求報文或鄰居公告報文���,并通過重定向模塊將所述報文重定向至接入交換機的判斷模塊����;55:判斷模塊對接收到的報文的合法性進行判斷接入交換機接收鄰居請求報文�,當鄰居請求報文的源IP地址為單播地址,且源鏈路層地址選項存在時��,如源IP地址與映射表項中的網(wǎng)關(guān)IP —致���,但源鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致���,則判斷該鄰居請求報文為非法報文,丟棄該報文����;如源IP地址與映射表項中的網(wǎng)關(guān) IP不一致,則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文����;或者�, 接入交換機接收鄰居公告報文����,當鄰居公告報文的目標地址選項存在,且目標鏈路層地址選項也存在時�,如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān)IP—致,但目標鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致,則判斷該鄰居公告報文為非法報文��,丟棄該報文����;如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān)IP不一致,則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文����。
2.根據(jù)權(quán)利要求I所述的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的方法,其特征在于�����,所述步驟 SI中匯聚交換機上配置的三層接口 IP地址包括IPv6網(wǎng)絡(luò)中接入交換機的IPv6地址���;或者��,IPv4和IPv6網(wǎng)絡(luò)共存的網(wǎng)絡(luò)中的接入交換機的IPv4和IPv6地址中的一種�。
3.根據(jù)權(quán)利要求I所述的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的方法,其特征在于�����,所述步驟 S2中匯聚交換機對封裝的映射報文進行加密和散列處理后�����,將加密后的映射報文根據(jù)三層接口配置的IP地址發(fā)送給接入交換機����。
4.根據(jù)權(quán)利要求3所述的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的方法,其特征在于��,所述步驟 S3中接入交換機對接收到的加密的映射報文進行解密����,從報文中還原得到三層接口的 IP 地址和鏈路層地址的映射關(guān)系并保存到本地網(wǎng)關(guān)IP和鏈路層地址的映射表項中。
5.一種防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的系統(tǒng)��,包括IPv6主機�����、接入交換機和匯聚交換機,IPv6主機通過接入交換機與匯聚交換機連接�����,匯聚交換機為三層交換設(shè)備���,其特征在于���,所述IPv6主機用于發(fā)送鄰居請求報文或鄰居公告報文給接入交換機;所述匯聚交換機配置為IPv6網(wǎng)關(guān)��,用于將所述三層接口的合法IPv6地址和合法鏈路層地址封裝成自定義的映射報文����,并將所述映射報文通過預先配置在每一個三層接口下聯(lián)的接入交換機的IP地址發(fā)送給接入交換機;所述接入交換機用于監(jiān)聽接收到的所有鄰居請求報文或鄰居公告報文����,根據(jù)鄰居請求報文中源IP地址和源鏈路層地址選項中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致�����,判斷該鄰居請求報文的合法性;或者��,根據(jù)鄰居公告報文中目標地址選項中的IP地址和目標鏈路層地址選項中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致,判斷該鄰居公告報文的合法性;其中,本地映射表項信息包括自定義的映射報文中合法IPv6地址和合法鏈路層地址。
6.根據(jù)權(quán)利要求5所述的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的系統(tǒng)�����,其特征在于,所述匯聚交換機上配置的三層接口 IP地址包括IPv6網(wǎng)絡(luò)中接入交換機的IPv6地址;或者,IPv4和 IPv6網(wǎng)絡(luò)共存的網(wǎng)絡(luò)中的接入交換機的IPv4和IPv6地址中的一種����。
7.根據(jù)權(quán)利要求5所述的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的系統(tǒng)�����,其特征在于���,所述匯聚交換機包括配置模塊、收發(fā)模塊和映射報文生成模塊;所述配置模塊用于在匯聚交換機上配置每一個三層接口下聯(lián)的接入交換機的IP地址�����;映射報文生成模塊將所述三層接口的合法IPv6地址和合法鏈路層地址封裝成自定義的映射報文�,對映射報文進行加密后發(fā)送給接入交換機;收發(fā)模塊用于接收和發(fā)送鄰居請求報文或鄰居公告報文����。
8.根據(jù)權(quán)利要求5所述的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的系統(tǒng)���,其特征在于���,所述接入交換機包括收發(fā)模塊、重定向模塊�、映射報文處理模塊和判斷模塊�;所述收發(fā)模塊用于接收和轉(zhuǎn)發(fā)鄰居請求報文或鄰居公告報文���;重定向模塊用于匹配接入交換機下發(fā)的將所述鄰居請求報文或鄰居公告報文重定向至判斷模塊的規(guī)則����,將所述鄰居請求報文或鄰居公告報文重定向至判斷模塊��;映射報文處理模塊用于對匯聚交換機發(fā)送的映射報文解密���,得到自定義映射報文的合法IPv6地址和合法鏈路層地址,并將自定義映射報文的合法IPv6地址和合法鏈路層地址存儲到本地映射表項中����;判斷模塊用于根據(jù)鄰居請求報文中源IP地址和源鏈路層地址選項中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致,判斷該鄰居請求報文的合法性����;或者, 根據(jù)鄰居公告報文中目標地址選項中的IP地址和目標鏈路層地址選項中的鏈路層地址與本地映射表項中的網(wǎng)關(guān)IP和鏈路層地址是否一致����,判斷該鄰居公告報文的合法性。
9.根據(jù)權(quán)利要求5所述的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的系統(tǒng)��,其特征在于�����,接入交換機接收鄰居請求報文,當鄰居請求報文的源IP地址為單播地址���,且源鏈路層地址選項存在時��,如源IP地址與映射表項中的網(wǎng)關(guān)IP —致�����,但源鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致����,則判斷該鄰居請求報文為非法報文����,丟棄該報文�;如源IP地址與映射表項中的網(wǎng)關(guān)IP不一致���,則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文�����。
10.根據(jù)權(quán)利要求5所述的防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的系統(tǒng)�����,其特征在于,接入交換機接收鄰居公告報文��,當鄰居公告報文的目標地址選項存在���,且目標鏈路層地址選項也存在時�,如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān)IP—致,但目標鏈路層地址選項中的鏈路層地址與映射表項中的鏈路層地址不一致�,則判斷該鄰居公告報文為非法報文�����,丟棄該報文;如目標地址選項中的IP地址與映射表項中的網(wǎng)關(guān)IP不一致�,則接入交換機根據(jù)報文的目標鏈路層地址在虛擬局域網(wǎng)中轉(zhuǎn)發(fā)該報文。
全文摘要
本發(fā)明公開了一種防止IPv6網(wǎng)關(guān)鄰居欺騙攻擊的方法及系統(tǒng)�,該方法包括在配置為IPv6網(wǎng)關(guān)的匯聚交換機上配置每一個三層接口下聯(lián)的接入交換機的IP地址;匯聚交換機將所述三層接口的合法IPv6地址和合法鏈路層地址封裝成自定義的映射報文,通過配置的IP地址發(fā)送給接入交換機���;接入交換機接收映射報文�,將映射報文中攜帶的IPv6地址和鏈路層地址映射關(guān)系保存到本地映射表項中����;接入交換機監(jiān)聽鄰居請求報文或鄰居公告報文,分別根據(jù)鄰居請求報文或鄰居公告報文中源地址或目標地址與本地網(wǎng)關(guān)IP地址是否一致�,且源鏈路層地址或目標鏈路層地址與映射表中鏈路層地址是否一致��,判斷鄰居請求報文和鄰居公告報文的合法性�����。
文檔編號H04L29/06GK102546661SQ201210041518
公開日2012年7月4日 申請日期2012年2月21日 優(yōu)先權(quán)日2012年2月21日
發(fā)明者梁小冰 申請人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司