CN101267312A - 一种网络中防止地址冲突检测欺骗的方法 - Google Patents
一种网络中防止地址冲突检测欺骗的方法 Download PDFInfo
- Publication number
- CN101267312A CN101267312A CNA2008100670544A CN200810067054A CN101267312A CN 101267312 A CN101267312 A CN 101267312A CN A2008100670544 A CNA2008100670544 A CN A2008100670544A CN 200810067054 A CN200810067054 A CN 200810067054A CN 101267312 A CN101267312 A CN 101267312A
- Authority
- CN
- China
- Prior art keywords
- port
- unusual
- address
- address conflict
- steps
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络中防止地址冲突检测欺骗的方法,其包括以下步骤:运行监控子模块用于侦听以太网链路内各个端口,发现端口可能异常时,调用模拟地址冲突检测子模块对该端口进行验证;判定该端口异常时,调用防御子模块,半关闭异常端口直至端口正常。由于采取了半关闭异常端口直至端口正常的防御手段,有效地防止了因恶意节点的地址冲突检测欺骗报文造成的链路瘫痪,弥补了现有技术中没有针对地址冲突检测欺骗报文采取有效措施的漏洞,从而提高了系统运行的安全性和稳定性。
Description
技术领域
本发明涉及计算机网络通信领域,尤其涉及一种IPV6网络中防止地址冲突检测欺骗的方法。
背景技术
随着因特网规模的日趋扩大,IP(Internet Protocol网络之间互连的协议)业务的迅速增长,IP网络上的应用也在不断增加,原有的IP网络越来越力不从心。目前使用的IP协议是IPV4(Internet Protocol Version 4互联网协议第四版),是70年代制定的协议,随着全球IP网络规模的不断扩大和用户数目的迅速增长,IPV4协议已不能适应IP网络发展的需要,IP网络正在向下一代的网络演进,其网络协议也应产生重大变化。
早在90年代初,有关专家就预见到IP协议换代的必然性。因为IPV4地址资源日见紧张,大约只有43亿个地址,估计在2005~2010年间将被分配完毕,已有逐渐耗尽的趋势,针对这一现象,因特网工程任务组(IETF:Internet Engineering Task Force)准备开发一种IPV6协议来取代IPV4协议。IPV6(Internet Protocol Version 6)是1992年提出的,主要起因是由于环球网(Web)的出现导致了IP网的爆炸性发展,IP网用户迅速增加,IP地址空前紧张,由于IPV4协议采用32位二进制数来表示地址,地址空间很狭小,IP网将会因为地址耗尽而无法继续发展,所以IPV6协议首先要解决的问题是扩大地址空间。IPV6协议采用128位地址长度,几乎可以不受限制地提供地址。按保守方法估算,IPV6实际可分配的地址,整个地球的每平方米面积上仍可分配1000多个地址。
当一台安装有IPV6协议的主机第一次连接到链路上时,它能够自动配置自身的接口地址。对于广播型的接口,使用一种称为MAC-to-EUI64的转换法,利用MAC(Macintosh)地址导出接口的ID(Identification),再加上适当的前缀构成完整的IPV6地址。虽然大多数情况下都可以保证,在任何范围内获取一个唯一的地址,但是确保地址的唯一性无疑是明知的。所以不管一台设备是如何获取一个地址的,在使用这个地址之前都必需要进行地址冲突检测(DAD:Duplicate Address Detection)程序。
对已经获取一个新地址的节点,系统会把这个新的地址归类为临时状态的地址。在地址冲突检测操作没有完成并确认该链路上没有其他节点使用这个地址之前,该地址还不能被使用。这个节点会把目标地址字段设置为该地址的邻居请求消息,并发送这个邻居请求消息来验该证地址是否冲突。这个邻居请求消息的源地址是未指定地址,而它的目的地址是被请求节点的多播地址。
如果一个节点收到一个邻居请求消息,并且它的目标地址与该节点所分配的其中一个地址匹配,它就会发送一个目标地址和目的地址都为试探地址的邻居通告消息,发起这个邻居请求消息的节点就会知道这个试探地址是冲突的,并且不能使用。
IPV6的邻居请求消息格式中的目标地址使用的是本地链路地址。使用这类地址的消息只在单条链路上传递,不会被IPV6路由器转发,但会被二层设备例如交换机,在本地链路的所有端口上转发。
上述的地址冲突检测机制很容易造成给恶意主机在IPV6网络中开放漏洞。某个恶意的节点可以伪造数据包对所有地址冲突检测的邻居请求报文给予应答,这将拥塞该条链路上的所有节点无法正常完成地址冲突检测,从而导致本地链路瘫痪。
因此,现有技术存在缺陷,尚有待改进和发展。
发明内容
本发明要解决的问题是,提供一种网络中防止地址冲突检测欺骗的方法,以防止由于恶意节点的地址冲突检测欺骗报文造成的链路瘫痪。
本发明的技术方案如下:
一种网络中防止地址冲突检测欺骗的方法,其包括以下步骤:
A、运行监控子模块用于侦听以太网链路内各个端口,发现端口可能异常时,调用模拟地址冲突检测子模块对该端口进行验证;
B、判定该端口异常时,调用防御子模块,半关闭异常端口直至端口正常。
所述的方法,其中,所述步骤B中半关闭动作包括:允许往异常端口发数据包,禁止异常端口发出的数据包扩散至链路的其他分支。
所述的方法,其中,所述步骤A中所述监控子模块的侦听过程还包括:
A1、监控来自于链路上的邻居通告消息;
A2、统计邻居通告消息的源端口。
所述的方法,其中,所述步骤A中的监控子模块、模拟地址冲突检测子模块和防御子模块中还包含二层设备。
所述的方法,其中,所述步骤A1还包括:
A11、接收来自本链路上的所有数据包;
A12、判断所述数据包类型是否属于邻居通告消息,是则转步骤A2,否则转步骤A11。
所述的方法,其中,所述步骤A2还包括:
A21、将所收到邻居通告消息的源端口相应统计量计数器加1;
A22、判断所述统计量是否超过设定的门限值,是则转步骤A23,否则转步骤A21;
A23、复位所述统计量计数器,返回该端口可能异常。
所述的方法,其中,所述步骤B还包括:
B1、生成一个地址冲突检测报文,并从所述可能异常端口发送出该报文;
B2、等待是否收到相应的邻居通告消息,是则返回端口异常,否则返回端口正常。
所述的方法,其中,所述步骤B1中所述地址冲突检测报文中的目标地址随机且合法。
所述的方法,其中,所述步骤B2中在返回端口异常后还包括:
B3、判断是否还设置有精确判定程序,是则转步骤B4,否则返回端口异常;
B4、重复一次步骤B1和步骤B2的处理,并且所述地址冲突检测报文中的目标地址非法。
所述的方法,其中,所述步骤B之后还包括:
C1、调用模拟地址冲突检测子模块检测该端口是否正常,是则转步骤C3,否则转步骤C2;
C2、等待超过预定时间后转步骤C1;
C3、解除半关闭状态,恢复端口正常。
本发明所提供的一种网络中防止地址冲突检测欺骗的方法,由于采取了半关闭异常端口直至端口正常的防御手段,有效地防止了因恶意节点的地址冲突检测欺骗报文造成的链路瘫痪,弥补了现有技术中没有针对地址冲突检测欺骗报文采取有效措施的漏洞,从而提高了系统运行的安全性和稳定性。
附图说明
图1是本发明的主流程示意图;
图2是本发明的监控子模块流程示意图;
图3是本发明的模拟地址冲突检测子模块流程示意图;
图4是本发明的防御子模块流程示意图。
具体实施方式
以下将结合附图所示,对本发明IPV6网络中防止地址冲突检测欺骗方法的具体实施方式加以详细说明。
本发明IPV6网络中防止地址冲突检测欺骗方法的具体实施方式,主要核心点在于,监控子模块发现端口可能异常并经模拟地址冲突检测子模块(以下简称:模拟DAD子模块)验证端口异常时,通过防御子模块半关闭异常端口直至该端口正常,至于支持组播的以太网链路内主机和二层设备的安装调试以及IPV6协议网络应用过程为现有技术所熟知,在此不再赘述。
本发明IPV6网络中防止地址冲突检测欺骗方法的具体实施方式基于包含IPV6协议二层设备的支持组播的以太网链路。二层设备例如交换机等通过对以太网链路内各个端口的侦听,以发现是否有可能存在恶意节点接入的分支,是则交由模拟DAD子模块对该端口进行验证,如果确认该分支上存在恶意节点,则主动断开该分支的链接,以确保本链路的其他分支能正常工作。
本发明IPV6网络中防止地址冲突检测欺骗方法的具体实施方式中包含以下几个子模块:
1、监控子模块:二层设备随时监控来自于本链路上的所有邻居通告消息,同时统计每个消息来源的源端口。一旦发现某端口的邻居通告消息数量超过所设定的门限值,则发现该端口可能异常,随即调用模拟DAD子模块以验证该端口分支是否存在恶意节点。
2、模拟DAD子模块:针对上述特定的可能异常的端口分支,该子模块可发送模拟的DAD报文,报文中所使用的目标地址为二层设备随机生成(甚至是非法报文)。然后检查该分支是否有返回这些DAD报文相应的邻居通告消息。如果有,则判定该分支上存在恶意节点,随即调用防御子模块进行防御。较好的是,在生成DAD报文时还采用了分级的手段。首先产生一个随机且合法的目标地址DAD报文进行验证。如果失败,再根据系统配置,生成又一个非法的目标地址DAD报文进行验证。
3、防御子模块:针对模拟DAD子模块判定出来的恶意节点所在分支,半关闭二层设备上相对应的端口,以阻止该恶意节点所在分支对本链路其他分支造成的破坏。所谓的半关闭,是指只允许从二层设备往异常端口发数据包,但不允许异常端口发出的数据包扩散到链路的其他分支上去。还可以预定时间周期反复调用DAD子模块对该异常端口进行测试,直至发现该端口上的恶意节点消失后,解除防御状态,重新开放该端口。
如图1所示为本发明的主流程示意图:
步骤S11:系统运行监控子模块,监控来自于链路上的邻居通告消息,统计邻居通告消息的源端口;
步骤S12:系统是否发现某端口存在可能异常,是则转入步骤S13,否则返回步骤S11;
步骤S13:系统针对该可能异常端口调用DAD子模块进行验证;
步骤S14:系统如果判定该端口确实异常,转入步骤S15,否则返回步骤S11;
步骤S15:系统调用防御子模块半关闭已证实的该异常端口,禁止该异常端口发出的数据包扩散到链路的其他分支上去,但允许从二层设备往该异常端口发数据包;
步骤S16:系统调用DAD子模块对该异常端口检测;
步骤S17:系统按最新检测结果检测该端口是否恢复正常,是则转入步骤S18,否则返回步骤S16;
步骤S18:系统解除半关闭防御,恢复该端口正常状态。
2)如图2所示为监控子模块流程示意图:
步骤S21:系统随时接收来自本链路上的所有数据包;
步骤S22:系统判断所述数据包类型是否属于邻居通告消息,是则入转步骤S23,否则转入步骤S21;
步骤S23:系统将收到该数据包的端口相应统计量计数器数目加1;
步骤S24:系统判断该统计量计数器是否超过所设定的门限值,是则转入步骤S25,否则转入步骤S21;
步骤S25:系统复位该统计量计数器,返回该端口可能异常。
3)如图3所示为模拟DAD子模块流程示意图:
步骤S31:系统自动生成一个DAD报文,其中的目标地址随机且合法;
步骤S32:系统从相应的可能异常端口发送该DAD报文;
步骤S33:系统等待接收相应目标地址的邻居通告消息;
步骤S34:系统是否收到所述邻居通告消息,是则转入步骤S35,否则返回端口正常;
步骤S35:系统检查是否还设置了精确判定程序,是则转入步骤S36,否则返回端口异常;
步骤S36:系统自动生成又一个DAD报文,此时其中的目标地址非法;
步骤S37:系统从相应的可能异常端口再次发送该DAD报文;
步骤S38:系统等待接收相应目标地址的邻居通告消息;
步骤S39:系统是否收到所述邻居通告消息,是则返回端口异常,否则返回端口正常。
4)如图4所示为防御子模块流程示意图:
步骤S41:系统半关闭相应端口,包括:允许从二层设备往异常端口发数据包,禁止异常端口发出的数据包扩散至链路的其他分支;
步骤S42:系统调用DAD子模块对该异常端口实施检测;
步骤S43:系统最新检测的结果是否出现端口正常,是则转入步骤S45,否则转入步骤S44;
步骤S44:系统等待超过设定时间后转入步骤S42;
步骤S45:系统解除半关闭防御,恢复端口状态,结束流程。
本发明具体实施方式所描述IPV6网络中防止地址冲突检测欺骗方法,根据实际应用还可以采用现有各种可能的方案,其基本手段为本领域技术人员所熟知,在此不再赘述。
本发明IPV6网络中防止地址冲突检测欺骗方法的具体实施方式中,由于采取了半关闭异常端口直至端口正常的防御手段,有效地防止了因恶意节点的地址冲突检测欺骗报文造成的链路瘫痪,弥补了现有技术中没有针对地址冲突检测欺骗报文采取有效措施的漏洞,从而提高了系统运行的安全性和稳定性。
应当理解的是,对本领域普通技术人员来说,可以根据上述方案的说明加以改进或变换,例如防止欺骗的手段变化等,而所有这些改进和变换都本应属于本发明所附权利要求的保护范围。
Claims (10)
1、一种网络中防止地址冲突检测欺骗的方法,其包括以下步骤:
A、运行监控子模块用于侦听以太网链路内各个端口,发现端口可能异常时,调用模拟地址冲突检测子模块对该端口进行验证;
B、判定该端口异常时,调用防御子模块,半关闭异常端口直至端口正常。
2、根据权利要求1所述的方法,其特征在于,所述步骤B中半关闭动作包括:允许往异常端口发数据包,禁止异常端口发出的数据包扩散至链路的其他分支。
3、根据权利要求2所述的方法,其特征在于,所述步骤A中所述监控子模块的侦听过程还包括:
A1、监控来自于链路上的邻居通告消息;
A2、统计邻居通告消息的源端口。
4、根据权利要求2所述的方法,其特征在于,所述步骤A中的监控子模块、模拟地址冲突检测子模块和防御子模块中还包含二层设备。
5、根据权利要求3所述的方法,其特征在于,所述步骤A1还包括:
A11、接收来自本链路上的所有数据包;
A12、判断所述数据包类型是否属于邻居通告消息,是则转步骤A2,否则转步骤A11。
6、根据权利要求3所述的方法,其特征在于,所述步骤A2还包括:
A21、将所收到邻居通告消息的源端口相应统计量计数器加1;
A22、判断所述统计量是否超过设定的门限值,是则转步骤A23,否则转步骤A21;
A23、复位所述统计量计数器,返回该端口可能异常。
7、根据权利要求2所述的方法,其特征在于,所述步骤B还包括:
B1、生成一个地址冲突检测报文,并从所述可能异常端口发送出该报文;
B2、等待是否收到相应的邻居通告消息,是则返回端口异常,否则返回端口正常。
8、根据权利要求7所述的方法,其特征在于,所述步骤B1中所述地址冲突检测报文中的目标地址随机且合法。
9、根据权利要求8所述的方法,其特征在于,所述步骤B2中在返回端口异常后还包括:
B3、判断是否还设置有精确判定程序,是则转步骤B4,否则返回端口异常;
B4、重复一次步骤B1和步骤B2的处理,并且所述地址冲突检测报文中的目标地址非法。
10、根据权利要求2所述的方法,其特征在于,所述步骤B之后还包括:
C1、调用模拟地址冲突检测子模块检测该端口是否正常,是则转步骤C3,否则转步骤C2;
C2、等待超过预定时间后转步骤C1;
C3、解除半关闭状态,恢复端口正常。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100670544A CN101267312B (zh) | 2008-04-30 | 2008-04-30 | 一种网络中防止地址冲突检测欺骗的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100670544A CN101267312B (zh) | 2008-04-30 | 2008-04-30 | 一种网络中防止地址冲突检测欺骗的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101267312A true CN101267312A (zh) | 2008-09-17 |
| CN101267312B CN101267312B (zh) | 2011-07-13 |
Family
ID=39989465
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100670544A Active CN101267312B (zh) | 2008-04-30 | 2008-04-30 | 一种网络中防止地址冲突检测欺骗的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101267312B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924660A (zh) * | 2009-06-09 | 2010-12-22 | 阿尔卡特朗讯公司 | 检测网络恶意行为的方法和装置 |
| CN101945020A (zh) * | 2010-09-14 | 2011-01-12 | 中兴通讯股份有限公司 | 会话监控处理方法和监控设备 |
| CN102461074A (zh) * | 2009-06-10 | 2012-05-16 | 阿尔卡特朗讯公司 | 用于构建源数据库的方法和侦察代理 |
| CN102668502A (zh) * | 2009-12-24 | 2012-09-12 | 国际商业机器公司 | 逻辑分区媒体访问控制冒名者检测器 |
| CN104394243A (zh) * | 2014-12-15 | 2015-03-04 | 北京搜狐新媒体信息技术有限公司 | 一种重复地址检测方法和装置 |
| CN106936944A (zh) * | 2017-03-31 | 2017-07-07 | 苏州科达科技股份有限公司 | 一种检测及处理网络地址冲突的方法及装置 |
| CN108540461A (zh) * | 2018-03-26 | 2018-09-14 | 河南工程学院 | 一种基于滑动时间窗口的IPv6地址跳变主动防御方法 |
| WO2020019513A1 (zh) * | 2018-07-27 | 2020-01-30 | 平安科技(深圳)有限公司 | 一种端口的漏洞检测方法、终端及计算机可读存储介质 |
| CN111416887A (zh) * | 2020-03-31 | 2020-07-14 | 清华大学 | 地址检测的方法、装置、交换机及存储介质 |
-
2008
- 2008-04-30 CN CN2008100670544A patent/CN101267312B/zh active Active
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924660B (zh) * | 2009-06-09 | 2014-07-02 | 阿尔卡特朗讯公司 | 检测网络恶意行为的方法和装置 |
| CN101924660A (zh) * | 2009-06-09 | 2010-12-22 | 阿尔卡特朗讯公司 | 检测网络恶意行为的方法和装置 |
| CN102461074A (zh) * | 2009-06-10 | 2012-05-16 | 阿尔卡特朗讯公司 | 用于构建源数据库的方法和侦察代理 |
| US9130987B2 (en) | 2009-12-24 | 2015-09-08 | International Business Machines Corporation | Logical partition media access control impostor detector |
| CN102668502A (zh) * | 2009-12-24 | 2012-09-12 | 国际商业机器公司 | 逻辑分区媒体访问控制冒名者检测器 |
| CN102668502B (zh) * | 2009-12-24 | 2015-03-25 | 国际商业机器公司 | 一种用于欺骗检测的方法和系统 |
| US9088609B2 (en) | 2009-12-24 | 2015-07-21 | International Business Machines Corporation | Logical partition media access control impostor detector |
| US9491194B2 (en) | 2009-12-24 | 2016-11-08 | International Business Machines Corporation | Logical partition media access control impostor detector |
| CN101945020A (zh) * | 2010-09-14 | 2011-01-12 | 中兴通讯股份有限公司 | 会话监控处理方法和监控设备 |
| CN104394243A (zh) * | 2014-12-15 | 2015-03-04 | 北京搜狐新媒体信息技术有限公司 | 一种重复地址检测方法和装置 |
| CN104394243B (zh) * | 2014-12-15 | 2018-10-19 | 北京搜狐新媒体信息技术有限公司 | 一种重复地址检测方法和装置 |
| CN106936944A (zh) * | 2017-03-31 | 2017-07-07 | 苏州科达科技股份有限公司 | 一种检测及处理网络地址冲突的方法及装置 |
| CN108540461A (zh) * | 2018-03-26 | 2018-09-14 | 河南工程学院 | 一种基于滑动时间窗口的IPv6地址跳变主动防御方法 |
| CN108540461B (zh) * | 2018-03-26 | 2020-09-11 | 河南工程学院 | 一种基于滑动时间窗口的IPv6地址跳变主动防御方法 |
| WO2020019513A1 (zh) * | 2018-07-27 | 2020-01-30 | 平安科技(深圳)有限公司 | 一种端口的漏洞检测方法、终端及计算机可读存储介质 |
| CN111416887A (zh) * | 2020-03-31 | 2020-07-14 | 清华大学 | 地址检测的方法、装置、交换机及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101267312B (zh) | 2011-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101267312B (zh) | 一种网络中防止地址冲突检测欺骗的方法 | |
| CN101589595B (zh) | 用于潜在被污染端系统的牵制机制 | |
| US7757285B2 (en) | Intrusion detection and prevention system | |
| KR100992968B1 (ko) | 네트워크 스위치 및 그 스위치의 주소충돌방지방법 | |
| CN101340293B (zh) | 一种报文安全检查方法和装置 | |
| CN104883360B (zh) | 一种arp欺骗的细粒度检测方法及系统 | |
| EP1906591A2 (en) | Method, device and system for detecting layer 2 loop | |
| Azzouni et al. | sOFTDP: Secure and efficient topology discovery protocol for SDN | |
| CN101764734A (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
| CN101635713A (zh) | 一种防止局域网arp欺骗攻击的方法及系统 | |
| CN101820432A (zh) | 无状态地址配置的安全控制方法及装置 | |
| CN101605061A (zh) | 一种接入网络中防止拒绝服务攻击的方法及其装置 | |
| CN103634166B (zh) | 一种设备存活检测方法及装置 | |
| Sun et al. | Detecting and mitigating ARP attacks in SDN-based cloud environment | |
| CN102347903B (zh) | 一种数据报文转发方法、装置及系统 | |
| CN105871661A (zh) | 公网服务器探测方法及探测服务器 | |
| CN101841424A (zh) | 基于socks代理连接的ems网管系统和方法 | |
| CN101582815B (zh) | 一种协议安全测试方法和装置 | |
| CN114115068A (zh) | 一种内生安全交换机的异构冗余防御策略下发方法 | |
| JP2003078545A (ja) | 伝送装置およびフレーム転送方法 | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| US6487204B1 (en) | Detectable of intrusions containing overlapping reachabilities | |
| Barbhuiya et al. | An active DES based IDS for ARP spoofing | |
| CN101247287B (zh) | 操作管理维护机制的故障检测方法 | |
| CN113472698A (zh) | 一种交换设备及其转发报文的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180109 Address after: 225600, Gaoyou Town, Jiangsu City, Gaoyou province Yangzhou industrial concentration area Patentee after: Gaoyou Yidu Small and micro businesses Service Management Co. Ltd. Address before: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice Patentee before: ZTE Corporation |
|
| TR01 | Transfer of patent right |