CN101552724B - 一种邻居表项的生成方法和装置 - Google Patents
一种邻居表项的生成方法和装置 Download PDFInfo
- Publication number
- CN101552724B CN101552724B CN200910083787A CN200910083787A CN101552724B CN 101552724 B CN101552724 B CN 101552724B CN 200910083787 A CN200910083787 A CN 200910083787A CN 200910083787 A CN200910083787 A CN 200910083787A CN 101552724 B CN101552724 B CN 101552724B
- Authority
- CN
- China
- Prior art keywords
- address
- message
- affirmation
- list item
- switching equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种邻居表项的生成方法和装置,交换设备接收到确认IP地址是否有效的报文后,判断在设定时间内是否接收到指示该报文所请求确认的IP地址已被使用的回复报文,如果否,则将该报文的源媒体接入控制(MAC)地址、入端口信息和请求确认的IP地址存储为静态邻居表项。本发明能够在保证请求的IP地址有效的同时,防止该IP地址被仿冒和篡改,有效地防止安全攻击。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种邻居表项的生成方法和装置。
背景技术
IPv6是IPv4的下一代网络协议,解决了IPv4地址匮乏的问题,与IPv4相比,具有固定长度的简洁报文头和内置的安全性,提供更好的服务质量(QoS)支持和移动性支持。邻居发现(ND)协议作为IPv6的基础协议,提供了地址解析、路由器发现、邻居不可达检测、重复地址检测等功能。
但是ND协议报文容易称为攻击者伪造的对象,被用于进行网络攻击。如图1所示的网络架构中,交换机可以接收到与其直连的所有主机发送的ND协议报文,当主机需要使用一个IP地址时,将该IP地址携带在ND协议报文中发送给交换机,交换机将该主机的IP地址、MAC地址和端口信息存储为邻居表项用于后续对该主机的报文转发。如果主机B作为攻击者,其可以通过发送ND协议报文来仿冒其它主机,篡改交换机上保存的邻居表项进行攻击。例如,主机B仿冒主机A向交换机发送携带主机A的IP地址的ND协议报文,交换机接收到该ND协议报文后,将该ND协议报文中包含的IP地址、MAC地址和端口信息作为新的邻居表项替换原有包含该IP地址的表项,但该表项中的MAC地址却是主机B,这样原来发送给主机A的报文将会转发给主机B,造成安全泄漏问题。
针对上述安全攻击,现有技术中提供了一种对ND协议报文进行加密的方式,需要通信的网络节点之间实现加密和解密的处理。这就需要在组网时对各网络节点进行加密解密的相关配置,使用复杂度较高。
发明内容
有鉴于此,本发明提供了一种邻居表项的生成方法和装置,以便于更加简单地防止通过仿冒IP地址进行的安全攻击。
一种邻居表项的生成方法,该方法包括:
交换设备接收到确认IP地址是否有效的报文,所述确认IP地址是否有效的报文是主机进行重复地址检测时发送的;交换设备判断在设定时间内是否接收到指示该报文所请求确认的IP地址已被使用的回复报文,所述回复报文是使用所请求确认的IP地址的其它主机发送的,如果否,则将该报文的源媒体接入控制MAC地址、入端口信息和请求确认的IP地址存储为静态邻居表项,所述静态邻居表项用于交换设备的报文转发。
一种邻居表项的生成装置,该装置包括:报文接收单元、信息获取单元、第一判断单元和表项生成单元;
所述报文接收单元,用于接收确认IP地址是否有效的报文,接收指示该报文所请求确认的IP地址已被使用的回复报文;所述确认IP地址是否有效的报文是主机进行重复地址检测时发送的;所述回复报文是使用所请求确认的IP地址的其它主机发送的;
所述信息获取单元,用于获取所述确认IP地址是否有效的报文的源MAC地址、入端口信息和请求确认的IP地址;
所述第一判断单元,用于判断所述报文接收单元在接收到所述确认IP地址是否有效的报文后的设定时间内,是否接收到所述回复报文;
所述表项生成单元,用于在所述第一判断单元的判断结果为否时,将所述信息获取单元获取的源MAC地址、入端口信息和请求确认的IP地址存储为该装置所在交换设备的静态邻居表项,所述静态邻居表项用于交换设备的报文转发。
由以上技术方案可以看出,本发明所提供的方法和装置中,交换设备利用对确认IP地址是否有效的报文进行重复地址检测的结果,来作为生成邻居表项的依据,并且将通过重复地址检测的报文的源MAC地址、入端口信息和请求确认的IP地址信息固化为静态邻居表项,从而在保证请求确认的IP地址有效的同时,防止该IP地址被仿冒和篡改,有效地防止安全攻击。并且,本发明所提供的方法配置简单,仅需要在交换设备上进行简单的功能特性设置。
附图说明
图1为攻击者利用ND进行网络攻击的示意图;
图2为本发明实施例提供的详细方法流程图;
图3为本发明实施例提供的装置结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明所提供的方法主要包括:交换设备接收到确认IP地址是否有效的报文后,如果在设定时间内没有接收到该报文所请求确认的IP地址已被使用的回复报文,则将该报文的源MAC地址、入端口信息和请求确认的IP地址存储为静态邻居表项。
其中,上述交换设备可以是交换机、路由器等三层转发设备。
上述确认IP地址是否有效的报文可以是ND地址检测报文、动态主机配置协议探测协议版本6(DHCPv6)报文等。
下面结合具体实施例对上述方法进行详细描述。图2为本发明实施例提供的详细方法流程图,如图2所示,该方法可以包括以下步骤:
步骤201:交换机确定接收的报文为确认IP地址是否有效的报文。
由于网络中对于确认IP地址是否有效的报文都会进行重复地址检测,从而检测出该报文所请求确认的IP地址,是否已被其它主机使用。
在ND协议中,确认IP地址是否有效的报文可以是主机发送的ND地址检测报文;当接收到源地址为未指定地址(即全0的地址)的ND协议报文时,确定该报文为ND地址检测报文。当主机需要使用一个IP地址时,需要将携带该IP地址的ND地址检测报文在网络中广播,并进行重复地址检测,主机请求的IP地址携带在ND地址检测报文中。
另外,确认IP地址是否有效的报文可以是DHCPv6报文,该DHCPv6报文通常用于IP地址的分配和协商,出于安全性考虑,对于该类型的报文 携带的IP地址也会进行重复地址检测。
步骤202:交换机获取确认IP地址是否有效的报文所请求确认的IP地址、该报文的源MAC地址和报文入端口信息。
交换机将获取的上述内容进行绑定,可以生成绑定关系表项用于后续生成邻居表项使用。
步骤203:交换机判断是否已经存储包含请求确认的IP地址的静态邻居表项,如果是,结束流程;否则,执行步骤204。
本步骤是检测请求确认的IP地址是否与已经存储的静态邻居表项冲突,由于静态邻居表项是固化的、不可更新的,除非进行手工删除和更新,因此,一旦请求确认的IP地址已经与存储的静态邻居表项冲突,则同样认为该IP地址不可用。
步骤204:交换机判断在设定时间内是否接收到指示该请求确认的IP地址已被使用的回复报文,如果是,结束流程;否则,执行步骤205。
网络中的主机接收到ND地址检测报文或DHCPv6报文后,如果自身已经使用该请求确认的IP地址,则会在网络中广播指示该IP地址已被使用的回复报文。
交换机如果在设定时间内接收到指示该IP地址已被使用的回复报文,则说明该IP地址已经被其它主机使用,是无效的,有可能是攻击者伪造的报文,则交换机不对该IP地址进行处理,结束流程。
相应地,由于发送确认该IP地址是否有效的报文的主机在设定时间内没有接收到该回复报文,则认为该IP地址可用,将会使用该IP地址,所以交换机如果在设定时间内没有接收到指示该IP地址已被使用的回复报文,则说明该IP地址没有被其它主机使用,是有效的。将报文中携带的IP地址、源MAC地址和报文入端口信息存储为静态邻居表项,即执行步骤205。
步骤205:交换机将步骤202中获取的IP地址、源MAC地址和报文入端口信息存储为静态邻居表项。
当请求确认的IP地址通过重复地址检测且静态邻居表项中尚没有包含 该IP地址的表项,交换机认为该ND地址检测报文具备一定程度的可靠性,可以将获取的IP地址、源MAC地址和报文入端口信息作为安全的表项,并固化为静态邻居表项。
另外,报文入端口可以是虚拟局域网(VLAN)接口与二层物理端口的结合;也可以是三层以太网接口。
该静态邻居表项不会因为其它主机发送的确认相同IP地址是否有效的报文而进行更新,除非进行手工配置、删除和更新。
步骤206:交换机按照静态邻居表项进行报文的转发。
通常单播IPv6地址具备三种状态:初始状态、可用状态和冲突状态。当一个地址作为请求的地址,等待地址检测结果时处于初始状态,在上述流程的步骤201至204时请求确认的IP地址处于初始状态。当在设定时间内没有接收到指示该IP地址已被使用的回复报文,则说明该IP地址有效,该IP地址就处于可用状态,在步骤205以后请求的IP地址处于可用状态。当在设定时间内收到指示该IP地址已被使用的回复报文,则说明该IP地址已被使用,该IP地址处于冲突状态,如果步骤204中判断结果为是,则请求确认的IP地址处于冲突状态。
仍以图1所示的场景为例,主机B仿冒主机A发送携带主机A的IP地址的ND地址检测报文,该ND地址检测报文的源IP地址为未指定地址,源MAC地址为MAC_B、入端口为Port_B,且其中携带请求确认的IP地址;则交换机接收到该ND地址检测报文后,判断该IP_A地址是否已经被固化为静态邻居表项,并进一步判断IP_A地址是否已经被其它主机使用。由于主机A已经使用该IP_A地址,则主机A会回复该IP_A地址已被使用的回复报文,交换机A则不会将IP_A、MAC_B和Port_B作为静态邻居表项,且目的地址为IP_A的报文仍会转发给主机A而不是主机B,从而保证主机B的仿冒攻击不成功。
以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的装置进行详细描述。图3为本发明实施例提供的装置结构图,该装置可以设置在 交换设备中,如图3所示,该装置可以包括:报文接收单元301、信息获取单元302、第一判断单元303和表项生成单元304。
报文接收单元301,用于接收确认IP地址是否有效的报文,接收指示该报文所请求确认的IP地址已被使用的回复报文。
信息获取单元302,用于获取确认IP地址是否有效的报文的源MAC地址、入端口信息和请求确认的IP地址。
第一判断单元303,用于判断报文接收单元301在接收到确认IP地址是否有效的报文后的设定时间内,是否接收到上述回复报文。
表项生成单元304,用于在第一判断单元303的判断结果为否时,将信息获取单元302获取的源MAC地址、入端口信息和请求确认的IP地址存储为静态邻居表项。
如果第一判断单元303的判断结果为是,则不执行任何操作。
上述确认IP地址是否有效的报文可以为ND地址检测报文或者DHCPv6文等。
更进一步地,该装置还可以包括:第二判断单元305,用于在报文接收单元301接收到确认IP地址是否有效的报文时,判断所述表项生成单元304是否已经存储包含请求确认的IP地址的静态邻居表项,如果是,通知第一判断单元303不再执行判断在设定时间内是否接收到回复报文的操作。
具体地,报文接收单元301如果接收到源地址为未指定地址的ND协议报文,则确定该ND协议报文为ND地址检测报文。
此时,信息获取单元302从ND地址检测报文中获取请求确认的IP地址。
另外,该装置还可以包括:报文转发单元306,用于按照所述表项生成单元304存储的静态邻居表项进行报文的转发。
由以上描述可以看出,本发明所提供的方法和装置中,交换设备利用对确认IP地址是否有效的报文进行重复地址检测的结果,来作为生成邻居表项的依据,并且将通过重复地址检测的报文的源MAC地址、入端口信息和请求确认的IP地址信息固化为静态邻居表项,从而在保证请求确认的IP地 址有效的同时,防止该IP地址被仿冒和篡改,有效地防止安全攻击。并且,本发明所提供的方法配置简单,仅需要在交换设备上进行简单的功能特性设置。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种邻居表项的生成方法,其特征在于,该方法包括:
交换设备接收到确认IP地址是否有效的报文,所述确认IP地址是否有效的报文是主机进行重复地址检测时发送的;交换设备判断在设定时间内是否接收到指示该报文所请求确认的IP地址已被使用的回复报文,所述回复报文是使用所请求确认的IP地址的其它主机发送的,如果否,则将该报文的源媒体接入控制MAC地址、入端口信息和请求确认的IP地址存储为静态邻居表项,所述静态邻居表项用于交换设备的报文转发。
2.根据权利要求1所述的方法,其特征在于,所述确认IP地址是否有效的报文为:邻居发现ND地址检测报文或者动态主机配置协议版本6DHCPv6的报文。
3.根据权利要求1或2所述的方法,其特征在于,在所述判断在设定时间内是否接收到指示该报文所请求确认的IP地址已被使用的回复报文之前,还包括:判断所述交换机是否已经存储包含所述IP地址的静态邻居表项,如果是,结束流程;否则执行所述判断在设定时间内是否接收到指示该报文所请求确认的IP地址已被使用的回复报文。
4.根据权利要求2所述的方法,其特征在于,该方法还包括:所述交换设备如果接收到源地址为未指定地址的ND协议报文,则确定该ND协议报文为ND地址检测报文;所述请求确认的IP地址携带在该ND地址检测报文中。
5.根据权利要求1、2或4所述的方法,其特征在于,该方法还包括:所述交换设备按照存储的静态邻居表项进行报文的转发。
6.一种邻居表项的生成装置,其特征在于,该装置包括:报文接收单元、信息获取单元、第一判断单元和表项生成单元;
所述报文接收单元,用于接收确认IP地址是否有效的报文,接收指示该报文所请求确认的IP地址已被使用的回复报文;所述确认IP地址是否有效的报文是主机进行重复地址检测时发送的;所述回复报文是使用所请求确认的IP地址的其它主机发送的;
所述信息获取单元,用于获取所述确认IP地址是否有效的报文的源MAC地址、入端口信息和请求确认的IP地址;
所述第一判断单元,用于判断所述报文接收单元在接收到所述确认IP地址是否有效的报文后的设定时间内,是否接收到所述回复报文;
所述表项生成单元,用于在所述第一判断单元的判断结果为否时,将所述信息获取单元获取的源MAC地址、入端口信息和请求确认的IP地址存储为该装置所在交换设备的静态邻居表项,所述静态邻居表项用于交换设备的报文转发。
7.根据权利要求6所述的装置,其特征在于,所述确认IP地址是否有效的报文为:ND地址检测报文或者DHCP v6报文。
8.根据权利要求6或7所述的装置,其特征在于,该装置还包括:第二判断单元,用于在所述报文接收单元接收到确认IP地址是否有效的报文时,判断该装置所在的交换设备是否已经存储包含所述请求确认的IP地址的静态邻居表项,如果是,通知所述第一判断单元不再执行判断在设定时间内是否接收到所述回复报文的操作。
9.根据权利要求7所述的装置,其特征在于,所述报文接收单元如果接收到源地址为未指定地址的ND协议报文,则确定该ND协议报文为ND地址检测报文;
所述信息获取单元从所述ND地址检测报文中获取所述请求确认的IP地址。
10.根据权利要求6、7或9所述的装置,其特征在于,该装置还包括:报文转发单元,用于按照该装置所在交换设备存储的静态邻居表项进行报文的转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910083787A CN101552724B (zh) | 2009-05-11 | 2009-05-11 | 一种邻居表项的生成方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910083787A CN101552724B (zh) | 2009-05-11 | 2009-05-11 | 一种邻居表项的生成方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101552724A CN101552724A (zh) | 2009-10-07 |
| CN101552724B true CN101552724B (zh) | 2012-09-05 |
Family
ID=41156726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910083787A Active CN101552724B (zh) | 2009-05-11 | 2009-05-11 | 一种邻居表项的生成方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101552724B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368844B (zh) * | 2013-07-10 | 2017-03-15 | 杭州华三通信技术有限公司 | Mpls网络中的报文处理方法及标签交换路由器 |
| CN106612341B (zh) * | 2016-11-24 | 2020-05-22 | 上海易杵行智能科技有限公司 | 一种智能配置邻居交换机网络管理地址的方法 |
| CN106789288B (zh) * | 2016-12-29 | 2021-04-02 | 上海易杵行智能科技有限公司 | 一种为交换机智能配置不冲突静态网络管理地址的方法 |
| CN112422481B (zh) * | 2019-08-22 | 2021-10-26 | 华为技术有限公司 | 网络威胁的诱捕方法、系统和转发设备 |
| CN111083049B (zh) * | 2019-12-13 | 2024-02-27 | 迈普通信技术股份有限公司 | 一种用户表项恢复方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466341A (zh) * | 2002-06-22 | 2004-01-07 | ��Ϊ��������˾ | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN1588905A (zh) * | 2004-10-18 | 2005-03-02 | 中国科学院计算技术研究所 | 一种移动自组网中的地址自动配置方法 |
| CN101426002A (zh) * | 2007-10-29 | 2009-05-06 | 华为技术有限公司 | 一种IPv6网络中的移动节点注册方法、系统及装置 |
-
2009
- 2009-05-11 CN CN200910083787A patent/CN101552724B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466341A (zh) * | 2002-06-22 | 2004-01-07 | ��Ϊ��������˾ | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN1588905A (zh) * | 2004-10-18 | 2005-03-02 | 中国科学院计算技术研究所 | 一种移动自组网中的地址自动配置方法 |
| CN101426002A (zh) * | 2007-10-29 | 2009-05-06 | 华为技术有限公司 | 一种IPv6网络中的移动节点注册方法、系统及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101552724A (zh) | 2009-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7774837B2 (en) | Securing network traffic by distributing policies in a hierarchy over secure tunnels | |
| EP1804462B1 (en) | Method and apparatus for transmitting message to wireless devices that are classified into groups | |
| CN101453495B (zh) | 防止授权地址解析协议信息丢失的方法、系统和设备 | |
| US5351295A (en) | Secure method of neighbor discovery over a multiaccess medium | |
| US8369346B2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network | |
| US9686279B2 (en) | Method and system for providing GPS location embedded in an IPv6 address using neighbor discovery | |
| CN101552724B (zh) | 一种邻居表项的生成方法和装置 | |
| JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
| US8489875B2 (en) | Method, system and apparatus for transmitting DHCP messages | |
| CN102546661B (zh) | 一种防止IPv6网关邻居欺骗攻击的方法及系统 | |
| JP2007036374A (ja) | パケット転送装置、通信網及びパケット転送方法 | |
| WO2012109914A1 (zh) | 一种防止IPv6地址重复检测攻击的方法及系统 | |
| CN101827138A (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
| CN101291350B (zh) | 媒体访问控制地址冲突的处理方法和装置 | |
| US8438390B2 (en) | Method and system for using neighbor discovery unspecified solicitation to obtain link local address | |
| CN102546308B (zh) | 基于重复地址检测实现邻居发现代理的方法和系统 | |
| CN101552677B (zh) | 一种地址检测报文的处理方法和交换设备 | |
| CN102546663A (zh) | 一种防止重复地址检测攻击的方法和装置 | |
| JP4305087B2 (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
| CN102546307B (zh) | 基于dhcp侦听实现代理arp功能的方法和系统 | |
| JP4138819B2 (ja) | 暗号化通信方法 | |
| JP6213292B2 (ja) | 情報処理装置及び情報処理プログラム | |
| CN101567886A (zh) | 表项安全管理方法及设备 | |
| CN113992583B (zh) | 一种表项维护方法及装置 | |
| JP2019009637A (ja) | ネットワーク監視装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |