CN100525311C - 一种防止nat-pt设备受到攻击的方法 - Google Patents
一种防止nat-pt设备受到攻击的方法 Download PDFInfo
- Publication number
- CN100525311C CN100525311C CNB2006100573738A CN200610057373A CN100525311C CN 100525311 C CN100525311 C CN 100525311C CN B2006100573738 A CNB2006100573738 A CN B2006100573738A CN 200610057373 A CN200610057373 A CN 200610057373A CN 100525311 C CN100525311 C CN 100525311C
- Authority
- CN
- China
- Prior art keywords
- nat
- address
- equipment
- napt
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止IPv4和IPv6网络地址转换和协议翻译设备受到攻击的方法。包括如下步骤:设置NAPT表和限制表的内容字段,并且初始化;设置NAT-PT设备允许某个主机建立链接条目的最大值为Max;设置NAT-PT设备允许某个主机建立链接条目的最小值为Min;对NAPT表中的条目进行统计,统计某个主机的链接数目,根据统计结果决定是否将此主机放入到限制表中;数据包的处理流程依据限制表中的链接总数来确定;定时调用NAPT表和限制表的刷新操作,更新链接总数。本发明可以对发起攻击的主机进行识别,防止用户建立大量的NAPT无用链接,保证了正常数据包的通过,提高了网络的安全性。
Description
技术领域
本发明涉及计算机网络安全的技术领域,特别是一种防止IPv4和IPv6网络地址转换和协议翻译(NAT-PT)设备受到攻击的方法。
背景技术
IPv6(Internet Protocol Version 6)协议是替代IPv4(Internet ProtocolVersion4)协议的下一代互联网协议,它具有许多新的特性与功能。网络过渡时期中IPv4和IPv6技术将保持长时间共存,并最终过渡到IPv6。目前,如何实现IPv4协议向IPv6协议平滑过渡是人们面临的问题。IETF工作组提出了几种实现IPv4和IPv6互通的机制,如双协议栈(RFC2893中说明),隧道技术(RFC2893中说明),NAT-PT(Network Address Translation-Protocol Translation,网络地址转换和协议翻译机制,RFC2766中说明)等。NAT-PT是一种协议转换技术,用来解决纯IPv6网络和纯IPv4网络互通的问题。其主要思想是在IPv6节点与IPv4节点的通信时,借助于中间的NAT-PT系统,把网络层协议进行IPv6/IPv4间的转换,以适应对端的协议类型。
由于NAT-PT这种过渡方式,只需要在中间设置转换系统即可完成IPv6网络和IPv4网络的互通,应用较为简便,适用于常用的网络互通需求。但是在NAT-PT设备中,需要使用一张NAPT(Network Address Port Translation)表来记录NAT-PT包的转换信息,这张表包含了主机的IPv4地址、IPv6地址、IPv4端口、IPv6端口、协议类型等字段;由于NAT-PT设备中,使用的用于协议转换的IPv4地址和端口都是有限的,而且设备中用于存放NAPT表的内存大小也是有限度的;因此存在这样一种情况:当网络中一台或多台主机感染病毒,发出大量的拒绝攻击和端口扫描的数据包,这时会导致NAPT表中充满了大量的垃圾条目,而正常的网络访问却不能通过NAT-PT设备,导致了NAT-PT设备功能失常。目前,在NAT设备中存在相似的被攻击问题,解决技术的实现如下:统计网络内IPv4主机链接信息,形成统计表,然后根据统计表中的内容,决定该IPv4主机产生的链接是否能通过NAT设备。但是此解决技术只是应用于IPv4的NAT网络环境中,不能防止IPv4/IPv6网络环境中的NAT-PT设备受到攻击。
因此,人们希望一种防止NAT-PT设备受到攻击的方法。
发明内容
本发明的目的是克服现有技术的不足,解决主机受到病毒攻击,大量占用NAPT表的条目,而导致其他主机不能正常通过NAT-PT设备转发包的问题,提供一种用于防止NAT-PT设备受到攻击的方法。
本发明的目的是这样实现的:
一种防止IPv4和IPv6网络地址转换和协议翻译(NAT-PT)设备受到攻击的方法,包括如下步骤:
(1)设置NAPT表和限制表的内容字段,并且初始化;
(2)设置NAT-PT设备允许某个主机建立链接条目的最大值为Max;
(3)设置NAT-PT设备允许所述主机建立链接条目的最小值为Min:
(4)对NAPT表中的条目进行统计,统计所述主机的链接数目,根据统计结果决定是否将此主机放入到限制表中:
(5)数据包的处理流程依据限制表中的链接总数来确定;
(6)定时调用NAPT表和限制表的刷新操作,更新链接总数。
在上述技术方案中,步骤(1)中所述设置NAPT表和限制表的内容字段,包括:
(21)NAPT表的内容字段包括:IPv4地址、IPv6地址、IPv4端口、IPv6端口、协议类型;
(22)限制表的内容字段包括:IPv6地址、链接数目和时间标记。
在上述技术方案中,所述的链接条目的最大值Max和最小值Min的设置要根据具体的网络流量的大小、网络的带宽、NAT-PT设备的处理能力以及NAPT表的大小等具体情况来确定。
在上述技术方案中,所述的步骤(4)对NAPT表中的条目进行统计,统计某个主机的链接数目,根据统计结果决定是否将此主机放入到限制表中,具体包括:
(51)采用HASH算法,通过源IP地址查询NAPT表,统计此IP地址的当前的链接数目Cur;
(52)如果Cur的值大于等于Min的值,则此IP地址的主机为受限制的用户,将此IP地址放入到限制表中;
在上述技术方案中,所述的步骤(5),数据包的处理流程依据限制表中的链接数目来确定,具体包括:
(61)数据包到达NAT-PT设备,系统采用HASH算法,通过源IP地址查询限制表,如果能够查询到,取出此IP地址的当前链接Cur值;
(62)如果Cur值大于Max值,对此数据包不做处理,直接丢弃该数据包;
(63)如果Cur值大于Min,而小于Max值,对该IP地址过来的数据包以Pa的概率丢包,以(1-Pa)的概率建立链接,其中Pa=(Cur-Min)/(Max-Min);
(64)如果步骤(61)中的HASH查询没有查询到,说明此IP地址不在限制表中,不是受限制的用户,则正常处理此数据包,进行此数据包的地址转换和协议翻译处理。
在上述技术方案中,所述步骤(6),定时调用NAPT表和限制表的刷新操作,更新链接条目,具体包括:
(71)NAPT表刷新操作后,由标记字段决定NAPT的条目是否被删除;
(72)由于NAPT链接条目发生了变化,此时要重新统计主机IP地址的链接数目,形成新的限制表。
在上述技术方案中,所述步骤(6)中,定时刷新时间不大于5分钟。
与现有技术相比,本发明的有益效是:
利用本发明,NAT-PT设备可以对发起攻击的主机进行识别,防止用户建立大量的NAPT无用链接,保证了正常数据包的通过,提高了网络的安全性。
附图说明
图1表示本发明中NAPT表的字段内容及结构;
图2表示本发明中限制表的字段内容及结构;
图3表示本发明中形成用户限制表的流程图;防止NAT-PT设备受到攻击的实现方法的数据包处理流程中的对NAPT表中的条目进行统计,统计某个主机IP地址的链接数目,根据链接数目形成用户限制表的流程。
图4表示本发明中防止NAT-PT设备受到攻击的实现方法的数据包处理流程图;
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细描述:
首先定义以下一些参数:
Cur:某个主机Host A的当前链接总数;
Min:某个主机Host A链接总数受到限制的最小阀值;
Max:某个主机Host A链接总数受到限制的最大阀值;
Pa:某个主机Host A的数据包被丢弃的概率。
防止IPv4和IPv6网络地址转换和协议翻译(NAT-PT)设备受到攻击的方法,具体包括如下内容:
步骤(1),设置NAPT表和限制表的内容字段,并且初始化;
参照图1,详细描述了本发明的实施例中所述的NAPT表的字段内容及结构:
第一个字段IPv6地址11:表示IPv6主机Host A的IP地址;
第二个字段IPv4地址12:表示IPv6主机Host A建立的链接对应的IPv4地址;
第三个字段IPv6端口13:表示IPv6主机Host A的端口;
第四个字段IPv4端口14:表示IPv6主机Host A建立的链接对应的端口;
第五个字段协议类型15:表示IPv6主机Host A发出的数据包的类型。
第六个字段标记16:表示NAPT表刷新时,删除NAPT条目所使用的标记字段。
本领域技术人员应该知道,所述NAPT表的字段内容和结构不只限于上述形式,几个字段的顺序和多少不是固定的。
参照图2,详细描述了本发明的实施例中所述的限制表的字段内容及结构:
第一个字段IPv6地址21:表示IPv6主机Host A的IP地址;
第二个字段链接数目22:表示IPv6主机Host A建立的链接总数Cur;
本领域技术人员应该知道,所述限制表的字段内容和结构不只限于上述形式,几个字段顺序和多少是不固定的。限制表中下面的三个条目为限制表中主机用户的信息。
步骤(2),设置NAT-PT设备允许某个主机建立链接条目的最大值为Max;
步骤(3),设置NAT-PT设备允许某个主机建立链接条目的最小值为Min;
根据具体的网络流量的大小、网络的带宽、NAT-PT设备的处理能力以及NAPT表的大小等具体情况来确定以下参数的数值:
Min:某个主机Host A链接总数受到限制的最小阀值:
Max:某个主机Host A链接总数受到限制的最大阀值;
步骤(4),对NAPT表中的条目进行统计,统计某个主机的链接数目,根据统计结果决定是否将此主机放入到限制表中:参照图3,详细描述了本实施例中,形成用户限制表的处理流程:
采用HASH算法,通过IPv6地址查找NAPT表中此IPv6地址总的链接数目Cur(步骤31),判断Cur>=Min是否成立(步骤32),如果成立,则此IP的主机为受限制的用户,将此IP放入到限制表中(步骤33)。
步骤(5),数据包的处理流程依据限制表中的链接总数来确定:参照图4,详细描述了本实施例中,防止NAT-PT设备受到攻击的数据包处理流程:
首先NAT-PT设备收到IP数据包(步骤41),判断数据包的类型(步骤42),如果类型为IPv6数据包,做如下处理:
采用HASH算法,根据源IP地址查找限制表(步骤43),判断是否有条目存在(步骤44),如果有条目存在,则比较链接数目字段值是否大于Max(步骤45),如果大于,则丢弃该数据包,否则,进行流量控制,计算Pa,以Pa的概率丢弃该主机IP发过来的数据包(步骤47),没有丢弃的数据包进行网络地址翻译与协议转换处理(步骤414)。
参照图4,判断是否有条目存在(步骤44),如果没有条目存在,则说明该主机IP地址不是受限制的主机,进行正常处理该数据包,查NAPT表(步骤48),判断是否存在条目(步骤49),如果不存在,则建立NAPT条目,然后进行网络地址翻译与协议转换处理(步骤414),如果条目存在,则直接进行网络地址翻译与协议转换处理(步骤414)。
再参照图4,NAT-PT设备收到IP数据包(步骤41),判断数据包的类型(步骤42),如果类型为IPv4数据包,做如下处理:
查NAPT表(步骤411),判断是否存在条目(步骤412),如果不存在,则丢弃该数据包(步骤413),如果存在条目,则进行网络地址翻译与协议转换处理(步骤414)。
步骤(6),定时调用NAPT表和限制表的刷新操作,更新链接总数:具体做如下处理:
设置定时刷新时间为3分钟;执行NAPT表刷新操作,标记字段值为0时,删除该NAPT条目,当标记字段值为1时,更改标记字段值为0。由于NAPT链接条目发生了变化,此时要重新统计主机IP地址链接数目,形成新的用户限制表。
下面结合具体的数据,以几个应用例子来说明本发明的方法:
例1:
设定:Min=200,Max=500,当主机地址为2001:250:f007:1::10a的数据包进入NAT-PT设备,查询限制表(图2),存在此IP地址的条目,说明此主机是受限制的,当前链接数目为255,则执行以下步骤:
因为Max>255>Min,Pa=(Cur-Min)/(Max-Min)=(255-200)/(500-200)=0.183所以,NAT-PT设备对第255个链接以概率0.183丢弃该数据包;也就是,以概率1-0.183允许该数据包建立链接。
例2:
设定:Min=200,Max=500,当主机地址为2001:250:f007:1::10b的数据包进入NAT-PT设备,查询限制表(图2),存在此IP地址的条目,说明此主机是受限制的,当前链接数目为400,则执行以下步骤:
因为Max>400>Min,Pa=(Cur-Min)/(Max-Min)=(400-200)/(500-200)=0.667所以,NAT-PT设备对第400个链接以概率0.667丢弃该数据包;也就是,以概率1-0.667允许该数据包建立链接。
例3:
设定:Min=200,Max=500,当主机地址为2001:250:f007:1::10c的数据包进入NAT-PT设备,查询限制表(图2),存在此IP地址的条目,说明此主机是受限制的,当前链接数目为501,则执行以下步骤:
因为501>Max,所以,NAT-PT设备对第501个链接直接丢弃该数据包,不建立该数据包的链接。
从上面的实例可见:如果当前链接总数处于Min和Max之间,那么来自该主机的数据包被NAT-PT设备处理的行为处于一个概率之间,这个概率值由Pa决定。当前链接总数离Min越近,被NAT-PT处理的概率越高,离Max越近,被NAT-PT处理的概率越低。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (5)
1、一种防止NAT-PT设备受到攻击的方法,包括如下步骤:
(1)设置NAPT表和限制表的内容字段,并且初始化;
(2)设置NAT-PT设备允许某个主机建立链接条目的最大值为Max;
(3)设置NAT-PT设备允许所述主机建立链接条目的最小值为Min;
(4)对NAPT表中的条目进行统计,统计所述主机的链接数目,根据统计结果决定是否将此主机放入到限制表中;具体步骤如下:
(51)采用HASH算法,通过源IP地址查询NAPT表,统计此IP地址的当前的链接数目Cur;
(52)如果Cur的值大于等于Min的值,则此IP地址的主机为受限制的用户,将此IP地址放入到限制表中;
(5)数据包的处理流程依据限制表中的链接总数来确定;具体步骤如下:
(61)数据包到达NAT-PT设备,系统采用HASH算法,通过源IP地址查询限制表,如果能够查询到,取出此IP地址的当前链接Cur值;
(62)如果Cur值大于Max值,对此数据包不做处理,直接丢弃该数据包;
(63)如果Cur值大于Min,而小于Max值,对该IP过来的数据包以Pa的概率丢包,以(1-Pa)的概率建立链接,其中Pa=(Cur-Min)/(Max-Min);
(64)如果步骤(61)中的HASH查询没有查询到,说明此IP地址不在限制表中,不是受限制的用户,则正常处理此数据包,进行此数据包的地址转换和协议翻译处理;
(6)定时调用NAPT表和限制表的刷新操作,更新链接总数。
2、根据权利要求1所述防止NAT-PT设备受到攻击的方法,其特征在于,所述步骤(1)中所述NAPT表的内容字段包括:IPv4地址、IPv6地址、IPv4端口、IPv6端口、协议类型;所述限制表的内容字段包括:IPv6地址、链接数目和时间标记。
3、根据权利要求1所述防止NAT-PT设备受到攻击的方法,其特征在于,所述步骤(2)和步骤(3)中所述的链接条目的最大值Max和最小值Min的设置是根据具体的网络流量的大小、网络的带宽、NAT-PT设备的处理能力以及NAPT表的大小来确定。
4、根据权利要求1所述防止NAT-PT设备受到攻击的方法,其特征在于,所述步骤(6)具体步骤包括:
(71)NAPT表刷新操作后,由标记字段决定NAPT的条目是否被删除;
(72)NAPT链接条目发生变化,重新统计主机IP链接数目,形成新的限制表。
5、根据权利要求1所述防止NAT-PT设备受到攻击的方法,其特征在于,所述步骤(6)中,定时刷新的时间不大于5分钟。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100573738A CN100525311C (zh) | 2006-03-10 | 2006-03-10 | 一种防止nat-pt设备受到攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100573738A CN100525311C (zh) | 2006-03-10 | 2006-03-10 | 一种防止nat-pt设备受到攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1812420A CN1812420A (zh) | 2006-08-02 |
| CN100525311C true CN100525311C (zh) | 2009-08-05 |
Family
ID=36845099
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100573738A Expired - Fee Related CN100525311C (zh) | 2006-03-10 | 2006-03-10 | 一种防止nat-pt设备受到攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100525311C (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428229A (zh) * | 2012-05-14 | 2013-12-04 | 百度在线网络技术(北京)有限公司 | 数据中心系统、装置及提供服务的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1543115A (zh) * | 2003-04-30 | 2004-11-03 | ��Ϊ��������˾ | 一种防止网络用户对网络地址转换(nat)设备攻击的方法 |
| CN1674565A (zh) * | 2005-05-10 | 2005-09-28 | 中国科学院计算技术研究所 | 一种用于网络地址转换和协议翻译中的应用层网关的方法 |
| CN1716954A (zh) * | 2005-05-27 | 2006-01-04 | 清华大学 | 基于过渡机制的IPv6网和IPv4网间互通的方法 |
-
2006
- 2006-03-10 CN CNB2006100573738A patent/CN100525311C/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1543115A (zh) * | 2003-04-30 | 2004-11-03 | ��Ϊ��������˾ | 一种防止网络用户对网络地址转换(nat)设备攻击的方法 |
| CN1674565A (zh) * | 2005-05-10 | 2005-09-28 | 中国科学院计算技术研究所 | 一种用于网络地址转换和协议翻译中的应用层网关的方法 |
| CN1716954A (zh) * | 2005-05-27 | 2006-01-04 | 清华大学 | 基于过渡机制的IPv6网和IPv4网间互通的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1812420A (zh) | 2006-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8121043B2 (en) | Approach for managing the consumption of resources using adaptive random sampling | |
| US7969976B2 (en) | Gateway apparatus, packet forwarding method, and program | |
| CN101009660B (zh) | 处理分段报文模式匹配的通用方法及装置 | |
| CN101409677B (zh) | 一种接入控制方法及装置 | |
| CN101552803A (zh) | 网络地址转换地址映射表维护方法、媒体网关及其控制器 | |
| CN101026576B (zh) | 兼顾匹配策略的处理分段报文串模式匹配的方法及装置 | |
| CN1972240A (zh) | 快速包过滤处理方法及其装置 | |
| CN102025483A (zh) | 无线路由器及利用该无线路由器预防恶意扫描的方法 | |
| CN101741855A (zh) | 地址解析协议缓存表维护方法和网络设备 | |
| CN102468987A (zh) | 网络流特征向量提取方法 | |
| CN105207950A (zh) | 一种基于sdn技术的通信数据保护方法 | |
| CN101217574B (zh) | 动态调整网络地址转换策略的方法及系统 | |
| CN101895552A (zh) | 一种安全网关及其检测代理上网的方法 | |
| CN100525311C (zh) | 一种防止nat-pt设备受到攻击的方法 | |
| CN102196058B (zh) | 一种6LoWPAN协议中地址压缩控制表的维护方法 | |
| CN101795273B (zh) | 一种垃圾邮件过滤方法及装置 | |
| CN108924061A (zh) | 一种应用识别及管理方法、系统及相关装置 | |
| US7809008B2 (en) | Methods and apparatus for routing packets | |
| CN103036773B (zh) | 网络即时通信工具流量识别系统及识别方法 | |
| CN114553559B (zh) | 一种路由器中协议数据的修改方法、装置及可读存储介质 | |
| CN102202106B (zh) | 一种6LoWPAN协议中地址压缩控制表的维护方法 | |
| CN1571396A (zh) | 一种实现园区网接入IPv6网的方法 | |
| CN101155034A (zh) | 一种在网络设备上防止用户特定包攻击的方法 | |
| CN108989271B (zh) | 一种家庭网关端口防攻击的方法和装置 | |
| Chen | Research on ARP attack principle and defense measures in LAN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090805 Termination date: 20190310 |