CN101621525A - 合法表项的处理方法和设备 - Google Patents
合法表项的处理方法和设备 Download PDFInfo
- Publication number
- CN101621525A CN101621525A CN200910162439A CN200910162439A CN101621525A CN 101621525 A CN101621525 A CN 101621525A CN 200910162439 A CN200910162439 A CN 200910162439A CN 200910162439 A CN200910162439 A CN 200910162439A CN 101621525 A CN101621525 A CN 101621525A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- list item
- address
- interface
- legal entries
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种合法表项的处理方法和设备。该方法包括:根据用户终端上线过程中与网络侧交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址的对应关系的合法表项;根据不同合法表项的获取方式对应的优先级,对通过不同获取方式获取的合法表项进行不同固化程度的处理。通过使用本发明,对通过不同获取方式获取的合法表项进行不同固化程度的处理,得到了更为有效全面的合法表项,提高了基于合法表项进行的防ND协议报文攻击的准确性和有效性。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种合法表项的处理方法和设备。
背景技术
随着IPv6技术的广泛应用,基于ICMPv6(Internet Control MessageProtocol version6,网际控制信息协议本本6)的ND(Neighbor Discovery,邻居发现)协议的攻击不断出现,通过发送伪造ND报文进行仿冒网关、仿冒其他用户、欺骗网关、欺骗其他用户等类型的攻击。以下首先对不同类型的攻击方式进行简要介绍。
(一)仿冒网关
攻击者仿冒网关,欺骗网关下其他同一网段的用户,使得这些用户发往网关的报文被发送到攻击者。以图1所示的网络场景为例,仿冒网关攻击的流程如下:
1、攻击者A通过接入设备向其它用户(例如合法用户B)发送多播NS(Neighbor Solicitation,邻居请求)报文,NS报文中源MAC(Medium AccessControl,媒体接入控制)为攻击者的MAC地址,源IP(Internet Protocol,因特网协议)为网关的IP地址;
2、用户B收到NS报文后,查找ND表项,若没有对应纪录或MAC地址与NS报文中的源MAC地址不一致,则更新ND表项;
3、在用户B向网关发送报文时,需要发送一个单播NS进行邻居不可达检测;
4、由于用户B上学习到的网关MAC为攻击者A的MAC,因此攻击者A收到NS报文后回复NA(Neighbor Advertisement,邻居通告)给用户B;
5、用户B将学习到的网关ND表项更新为reachable状态,以后用户B发往网关的报文都被攻击者A截获。
此攻击利用NS/NA报文进行欺骗。
(二)仿冒其他用户
攻击者仿冒其他合法用户的ND,欺骗网关或者其他同一网段内的用户该用户的MAC地址已更新。使得网关或者其他用户发往该用户的报文都被封装上错误的信息,攻击过程如图2所示:
1、攻击者A通过接入设备向其它用户例如合法用户C发送多播NS报文,NS报文中源MAC为攻击者A的MAC地址,源IP为合法用户B的IP地址;
2、合法用户C收到NS报文后,查找ND表项,若没有对应纪录或MAC地址与NS报文中的源MAC地址不一致,则更新ND表项,;
3、在合法用户C向合法用户B发送报文时,需要发送一个单播NS进行邻居不可达检测;
4、由于合法用户C上学习到的合法用户B的MAC为攻击者A的MAC,因此攻击者A收到NS报文后回复NA给合法用户C;
5、合法用户C将学习到的用户B的ND表项更新为reachable(可达)状态,以后用户C发往用户B的报文都被攻击者A截获。
此攻击利用NS/NA报文进行欺骗。
(三)欺骗网关
攻击者伪造ND报文,欺骗网关相同网段内的某一合法用户的MAC地址已经更新,导致网关将所有报文发往攻击者,攻击过程如图3所示:
1、攻击者A通过接入设备向网关发送RS报文,源IP为合法用户B的IP,MAC为攻击者A的MAC;
2、网关收到RS报文后,更新本起ND表项,源IP为用户B的IP,MAC为攻击者A的MAC,导致网关发往合法用户B的报文被攻击者A截获;
3、同时攻击者A还可伪造RA报文,源IP为网关IP,MAC为攻击者A的MAC,用户B收到RA时更新ND表项,导致用户B发往网关的报文被攻击者A截获。
此攻击利用RS/RA报文进行欺骗。
(四)欺骗用户
ND协议中规定了一种重定向功能,该功能由路由器发送Redirect报文,通知源节点到目的地有一个更好的下一跳地址。攻击者利用发送Redirect报文给合法用户,将合法用户发送的报文重定向到攻击者。攻击过程如图4所示:
1、攻击者A伪装为网关设备向合法用户B发送Redirect报文,告知更好的下一跳地址为攻击者A的IP地址;
2、在合法用户B收到此重定向报文后,后续发往外网某节点X的数据包被攻击者A截获;
3、攻击者A再向网关设备发送一个虚假的RS或RA报文,使网关设备中合法用户B的IP对应的MAC被替换攻击者A的MAC;
4、此后外网某节点X发往合法用户B的报文被攻击者A截获。
此攻击利用Redirect报文进行欺骗。
现有技术中,为了避免基于ND安全缺陷的网络攻击,首先,需要用户对收到的ND协议相关报文的合法性进行确认,目前已有的方法是:当用户收到ND报文时,当发现缓存中的MAC地址和ND报文中的MAC地址不匹配时,并不立即进行更新,而是对目标节点进行邻居不可达检测,若一段时间后收到2个NA报文,同一IP地址被对应到2个不同的MAC地址,则认为存在恶意攻击,不更新ND表项;若只能收到对应于新MAC地址的一个NA报文,则更新ND表项。现有技术中存在的问题在于:考虑到攻击者同样可以利用邻居不可达检测进行攻击,因此现有技术中的方法只能从一定程度上检测ND协议报文的合法性,不能完全避免ND协议报文的攻击。
为了避免基于ND安全缺陷的网络攻击,现有技术中提供的另一种方法为:接收到待转发的ND协议报文时,获取ND协议报文的特征如接口、源IP地址、源MAC地址等;并将获取到的特征与预先配置的合法报文的特征(包括接口、源IP地址、源MAC地址等)进行匹配;当匹配失败时,判断接收到的ND协议报文为攻击报文。为了实施该方法,该方法存在的问题在于,需要在设备中手工配置合法报文的特征,因此当手工配置的特征不全或者无法准确反映合法报文的特征时,将无法对待转发的ND协议报文是否为攻击报文进行有效的判断。
发明内容
本发明提供一种合法表项的处理方法和设备,用于建立完善的合法表项以用于防止ND协议报文的攻击。
本发明提供了一种合法表项的处理方法,包括:
根据用户终端上线过程中与网络侧交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址的对应关系的合法表项;
根据不同合法表项的获取方式对应的优先级,对通过不同获取方式获取的合法表项进行不同固化程度的处理。
其中,所述根据用户终端上线过程中与网络侧交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址的对应关系的合法表项,包括:
在用户终端的接入认证过程中,根据用户终端在认证过程中上报的报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项;或
在用户终端的地址分配过程中,根据用户终端与网络侧动态主机分配协议DHCP服务器交互的报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项;或
在用户终端的地址重复探测DAD检测过程中,根据用户终端发送的用于DAD探测的邻居请求NS报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项。
其中,所述根据不同合法表项的获取方式对应的优先级,对通过不同获取方式获取的合法表项进行不同固化程度的处理,包括:
根据不同安全表项的获取方式对应的优先级由高到低的顺序,将所述安全表项中的动态绑定关系表项固化为静态绑定关系表项,并对应设置所述静态绑定关系表项的固化时间。
其中,当需要转化的动态绑定关系表项与已经建立的静态绑定表项重复时,无需将其转化为静态表项;当需要转化的动态绑定关系表项与已经建立的静态绑定表项存在冲突时,根据不同安全表项的获取方式对应的优先级,将优先级高的表项设置为静态绑定表项,优先级低的表项内容无需设置为静态表项。
其中,所述固化时间到达时,对所述静态绑定关系表项的有效性进行探测,当探测结果为有效时,重新设置所述静态绑定关系表项的固化时间;否则将所述静态绑定关系表项转化为动态绑定关系表项、或删除所述静态绑定关系表项。
其中,对于通过不同获取方式获取的合法表项,获取方式对应的优先级越高,固化后得到的静态绑定关系表项的固化时间越长。
其中,还包括:
接收到待转发的ND协议报文时,获取接收到所述ND协议报文的接口、以及所述ND协议报文的源IP地址、和/或源MAC地址;
将所述接口、以及所述ND协议报文的源IP地址、和/或源MAC地址与所述获取的接口与IP地址、和/或MAC地址的对应关系的合法表项进行匹配;
所述匹配成功时转发所述ND协议报文。
本发明还提供一种接入设备,包括:
合法表项获取单元,用于根据用户终端上线过程中与网络侧交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址的对应关系的合法表项;
合法表项固化单元,用于根据不同合法表项的获取方式对应的优先级,对所述合法表项获取单元通过不同获取方式获取的合法表项进行不同固化程度的处理。
其中,所述合法表项获取单元具体用于:
在用户终端的接入认证过程中,根据用户终端在认证过程中上报的报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项;或
在用户终端的IP地址分配过程中,根据用户终端与网络侧动态主机分配协议DHCP服务器交互的报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项;或
在用户终端的地址重复探测DAD检测过程中,根据用户终端发送的用于DAD探测的邻居请求NS报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项。
其中,所述合法表项固化单元具体用于:
根据不同安全表项的获取方式对应的优先级由高到低的顺序,将所述安全表项中的动态绑定关系表项固化为静态绑定关系表项,并对应设置所述静态绑定关系表项的固化时间。
其中,所述合法表项固化单元具体用于:
当需要转化的动态绑定关系表项与已经建立的静态绑定表项重复时,无需将其转化为静态表项;当需要转化的动态绑定关系表项与已经建立的静态绑定表项存在冲突时,根据安全表项的获取方式对应的优先级,将优先级高的表项设置为静态绑定表项,优先级低的表项内容无需设置为静态表项。
其中,所述合法表项固化单元具体用于:
所述固化时间到达时,对所述静态绑定关系表项的有效性进行探测,当探测结果为有效时,重新设置所述静态绑定关系表项的固化时间;否则将所述静态绑定关系表项转化为动态绑定关系表项、或删除所述静态绑定关系表项。
其中,所述合法表项固化单元具体用于:
对于通过不同获取方式获取的合法表项,获取方式对应的优先级越高,固化后得到的静态绑定关系表项的固化时间越长。
其中,还包括:
报文特征获取单元,用于接收到待转发的ND协议报文时,获取接收到所述ND协议报文的接口、以及所述ND协议报文的源IP地址、和/或源MAC地址;
报文特征匹配单元,用于将所述报文特征获取单元获取的接口、以及所述ND协议报文的源IP地址、和/或源MAC地址与所述合法表项获取单元获取的合法表项进行匹配;
报文处理单元,用于当所述报文特征匹配单元的匹配结果为匹配成功时,转发所述ND协议报文。
与现有技术相比,本发明具有以下优点:
根据用户终端上线过程中与网络侧交互的报文获取合法表项,对通过不同获取方式获取的合法表项进行不同固化程度的处理,得到了更为有效全面的合法表项,提高了基于合法表项进行的防ND协议报文攻击的准确性和有效性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中通过ND协议报文进行仿冒网关攻击的示意图;
图2是现有技术中通过ND协议报文进行仿冒其他用户攻击的示意图;
图3是现有技术中通过ND协议报文进行欺骗网关攻击的示意图;
图4是现有技术中通过ND协议报文进行欺骗用户攻击的示意图;
图5是本发明中合法表项的处理方法的流程图;
图6是本发明应用场景中合法表项的处理方法应用的网络结构示意图;
图7是本发明应用场景中ND协议报文转发方法的流程图;
图8是本发明中接入设备的结构示意图;
图9是本发明中接入设备的另一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种合法表项的处理方法,如图5所示,包括:
步骤s501、根据用户终端上线过程中与网络侧交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址的对应关系的合法表项;
步骤s502、根据不同合法表项的获取方式对应的优先级,对通过不同获取方式获取的合法表项进行不同固化程度的处理。
本发明提供的合法表项的处理方法所应用的网络环境如图6所示。此组网环境基于Client/Server模型,即用户终端/服务器模型,用户终端发起请求,服务器接收用户终端发送的请求,对请求进行处理后向用户终端返回应答。
本发明中,根据用户终端上线过程中与网络侧交互的报文,接入设备获取用户终端的合法信息,并将提取出的信息存储在合法表项中。合法信息可以包含以下三种中的一种:
(1)用户终端的IP、MAC与接入设备上接口的对应关系,可选的,对应关系中还可以包括接口的VLAN信息;该合法信息适用于在接入设备的一个接口下接入一个或多个用户终端的组网场景;
(2)用户终端的MAC与接入设备上接口的对应关系,可选的,对应关系中还可以包括接口的VLAN信息;该合法信息适用于在接入设备的一个接口下接入一个用户终端的组网场景;
(3)用户终端的IP与接入设备上接口的对应关系,可选的,对应关系中还可以包括接口的VLAN信息;该合法信息适用于在接入设备的一个接口下接入一个用户终端的组网场景。
以上三种用户终端的合法表项是互斥的,即同时只能存在一种,在具体实施时可以根据组网场景选择其中一种使用。
提取出合法用户信息后,在接入设备上建立起合法用户的IP、MAC、接口与VLAN(可选)的对应关系,或MAC、接口与VLAN(可选)的对应关系,或IP、接口与VLAN(可选)的对应关系,并将对应关系存储在合法表项中。具体的,以合法表项中包括用户终端的IP、MAC与接入设备上接口的对应关系为例,合法表项的一个具体实例如表1所示:
表1.合法表项的结构
序号 | IP地址 | MAC地址 | 接口 | VLAN(可选) |
1 | IPA | MACA | Port1 | 100 |
2 | IPB | MACB | Port1 | 100 |
… | … | … | … | … |
N | IPM | MACM | PortQ | 300 |
以下结合不同的应用场景描述本发明中建立合法表项的具体方式,
首先以网络侧在对用户进行认证过程中建立合法表项为例。网络侧对用户终端的认证方式包括802.1x认证、Portal认证(也称为WEB认证)、MAC接入认证等。以认证服务器对用户终端进行802.1x认证为例,802.1x认证方式下,网络侧建立用户终端的合法表项过程具体包括:
用户终端启用802.1x认证时,设置用户终端使用上传IP地址方式,这样用户终端进行802.1x认证时,在向认证服务器发送的认证报文中携带自身IP地址(即该用户终端的合法IP地址)。接入设备解析该认证报文,记录该用户终端的合法IP地址,建立包括用户终端的IP地址、MAC地址、接口之间对应关系的合法表项。在用户终端未使用上传IP地址方式时,在接入设备的一个接口下接入一个用户终端的组网场景下,接入设备可以生成MAC地址与接口之间的对应关系的合法表项。
再以网络侧基于用户终端与网络侧交互的协议报文建立合法表项为例。对于IPv6网络,网络侧可以侦听用户终端与DHCPv6(Dynamic HostConfiguration Protocol version 6,动态主机分配协议版本6)服务器在IP地址分配过程中交互的报文,从中提取所需的信息建立合法表项。现有的IPv6网络中,用户终端上线后从DHCPv6服务器获取IP地址的流程包括:
(1)用户终端广播DHCP Solicit报文;
(2)接收到DHCPv6 Solicit报文的DHCPv6服务器向用户终端发送DHCP Advertise报文;
(3)用户终端向DHCPv6服务器发送DHCP Request报文;
(4)DHCPv6服务器向用户终端发送DHCP Reply报文。
由于上述用户终端与DHCPv6服务器在IP地址分配过程中交互的报文都需要经由接入设备转发,因此接入设备侦听上述报文(例如启用DHCPSnooping功能)。接入设备根据用户终端发送的DHCP Socilit报文或DHCPRequest报文,记录该用户终端的接口、MAC地址以及VLAN(可选),根据DHCPv6服务器向用户终端发送DHCP Reply报文,记录该用户终端的合法IP地址,从而建立关于用户终端的接口、MAC地址、以及IP地址(还可以包括VLAN)之间对应关系的合法表项。
除了上述两种建立合法表项的方法之外,本发明还提供了一种基于DAD检测过程建立合法表项的方法。具体的:
现有技术中的ND协议规定:对于源IP地址为全0的NS报文,只能用于接口下地址的DAD(Duplicate Address Detection,地址重复检测)检测功能。IPv6无状态地址自动配置协议中规定:除了任播类型的地址(IPv6中保留的地址,指定给一个或多个可能属于不同物理节点的网络接口),用户终端在使用配置的其它单播地址前,均须做DAD检测,即发送源IP地址为全0的NS报文。
接口下的单播IPv6地址(可能是手工配置、无状态自动配置和有状态自动配置)有几种状态:
(1)初始状态:发送用于DAD检测的NS报文,等待地址检测结果;
(2)可用状态:发送一定数量的用于DAD检测的NS报文,超时后认为地址可用后的有效状态;
(3)冲突状态:等待地址检测结果过程中,收到其它节点回复的NA报文,表明该地址已被其它节点使用。
用于DAD检测的NS报文具备一定程度的可靠性,接入设备接收到客户终端发送的源IP地址为全0的NS报文时,根据该NS报文获取到用户终端的IP地址、接口、MAC、VLAN(可选)的绑定关系,建立安全表项,用于过滤非法攻击的报文。
从上述描述可以看出,建立合法表项的方式可以有多种,无论是那种方式均通过IP、MAC、接口与VLAN(可选)的对应关系,或MAC、接口与VLAN(可选)的对应关系,或IP、接口与VLAN(可选)的对应关系来建立用户终端的合法表项。对于不同用户终端的合法表项,可以放在接入设备的本地数据库中或接入设备可达的其他网络设备的数据库中。
对于通过不同获取方式建立的安全表项,获取方式对应的优先级不同,对应获取到的安全表项的优先级也不同。例如,根据获取到的合法表项的安全可靠性,将具有高安全可靠性的获取方式设置为高优先级,安全可靠性越低的获取方式,优先级越低。以上述描述的三种获取安全表项的方法为例,不同方法获取的安全表项对应的优先级由高至低排列如下:
(1)基于安全认证方式获取到的动态绑定关系表项,具备安全认证的基础,所以比较可靠,对应的优先级最高;
(2)基于协议交互报文方式获取到的动态绑定关系表项,建立在报文交互的基础上,从攻击成本考虑,有一定的可靠性,对应的优先级居中;
(3)基于协议报文直接获取到的动态绑定关系表项,建立表项的来源相对简单,可靠性较低,对应的优先级最低;
根据不同获取方法对应的优先级,将安全表项中的动态绑定关系表项进行不同固化程度的固化处理,转化为静态绑定关系表项。具体的,可以将每个获取到的动态绑定关系表项自动转为静态绑定关系表项;或批量将所有动态绑定关系表项自动转为静态绑定关系表项。
当有多个表项需要转化时,根据不同获取方式获取的安全表项的优先级由高到低的顺序,将安全表项中的动态绑定关系表项固化为静态绑定关系表项,并设置静态绑定关系表项的固化时间。对于通过不同获取方式获取的合法表项,获取方式对应的优先级越高,固化后得到的静态绑定关系表项的固化时间越长。
例如,对于基于安全认证方式获取到的动态绑定关系表项,可以设置其固化时间为T(T为1小时或其他时间,可以根据需要设置);
对于基于协议交互报文方式获取到的动态绑定关系表项,可以设置其固化时间为A*T(0<A<1);
对于协议报文直接获取到的动态绑定关系表项,可以设置其固化时间为B*T(0<B<A<1);
当固化时间到达时,对静态绑定关系表项的有效性进行探测,当探测结果为有效时,重新设置静态绑定关系表项的固化时间;否则将静态绑定关系表项转化为动态绑定关系表项、或删除静态绑定关系表项。
固化过程中,当需要转化的动态绑定关系表项中的内容与已经建立的静态绑定表项的内容重复时,无需将其转化为静态表项;当需要转化的动态绑定关系表项中的内容与已经建立的静态绑定表项的内容存在冲突时,根据不同安全表项获取方法对应的优先级,将优先级高的表项内容建立为静态绑定表项,优先级低的表项内容无需转化为静态表项。
本发明提供的上述方法中,当有其它方式可以确定合法用户时,只要设定此方式对应的优先级,将合法用户的IP、MAC、接口及VLAN(可选)的绑定关系按优先级存储在数据库中,当需要对接收到的ND报文进行合法性检查时,就从此数据库中取出相关信息进行判断,就可用于实现对非法的ND报文的过滤。
另外,对于用户终端中的动态绑定关系表项,接入设备可以根据一定的方式进行老化。例如,接入设备定时检测已存储的合法表项,根据合法表项中的IP、MAC以及接口信息进行对用户终端是否在线检测,当检测到用户终端已经下线时,将存储的该用户终端的合法表项删除。再例如,接入设备检测到用户终端在下线时向认证服务器发送的相关报文时,可以将存储的该用户终端的动态绑定关系表项和/或静态绑定关系表项删除。对此合法表项的删除方式本发明在此不进行进一步限定。
除了采用上述认证方式下合法表项的建立方法外,当有其他方式可以确定合法用户时,同样可以将合法用户的IP、MAC、接口及VLAN(可选)的绑定关系添加在数据库中用于ND协议报文的检测。
建立了上述合法表项后,本发明中应用于接入设备的ND协议报文的转发方法如图7所示,包括以下步骤:
步骤s701、接收用户终端发送的ND协议报文。
步骤s702、判断接收到ND协议报文的接口是否为信任接口,是则进行步骤s703,否则进行步骤s704。
具体的,ND协议报文攻击产生的主要原因是由于认为接收到的ND协议报文认为都是合法的。而在实际组网中,某些可信任节点发送的ND协议报文是合法的,来自这些可信任节点的ND报文不会是基于ND协议的攻击报文,不需要对些可信任节点发过来的报文进行防范。而对于其他不可信任的节点,需要对其发送的ND协议报文进行检查。为此,本发明中在接入设备上预先对接口类型进行配置,例如将与上游设备如网关连接的接口设置为信任接口,将与服务器连接的接口设置为信任接口;将与下游用户终端连接的接口设置为非信任接口。通过对接口类型进行配置,使得接入设备只对来自非信任接口的报文进行检测,对来自信任接口的报文直接进行转发,这样从一定程度减少了处理大量报文时对接入设备的冲击。
步骤s703、转发该ND协议报文,转发流程结束。
步骤s704、判断接收到ND协议报文是否具有以下特征之一:ND协议报文为重定向Redirect报文;ND协议报文为路由器通告RA报文;ND协议报文的源地址为广播地址;ND协议报文的源地址为组播地址。是则进行步骤s705,否则进行步骤s706。
步骤s705、丢弃该ND协议报文,转发流程结束。
步骤s706、获取该ND协议报文的源IP地址、源MAC地址以及接收到该ND协议报文的接口。
步骤s707、将该源IP地址、源MAC地址以及接口与预先存储的包括IP地址、MAC地址以及接口的对应关系的合法表项进行匹配。
具体的,当接入设备收到ND报文时,将该报文中的源IP、源MAC、报文入接口及VLAN信息(可选)与安全认证过程建立的合法用户终端表项进行比较,如果一致转发报文,不一致则丢弃报文。
例如,接入设备从与用户终端A连接的接口Port1接收到用户终端A向用户终端B发送的仿冒网关的ND协议攻击报文(报文中源MAC为用户终端A的MAC地址MACA,源IP为网关的IP地址IPG)时,由于在如表1所示的合法表项中不存在与(IPG,MACA,Port1)匹配的内容,因此可以判断匹配失败。
步骤s708、判断匹配是否成功,是则进行步骤s709,否则进行步骤s710。
步骤s709、转发该ND协议报文,转发流程结束。
步骤s710、丢弃该ND协议报文,转发流程结束。
通过使用本发明提供的方法,根据用户终端上线过程中与网络侧交互的报文获取合法表项,对通过不同获取方式获取的合法表项进行不同固化程度的处理,得到了更为有效全面的合法表项,提高了基于合法表项进行的防ND协议报文攻击的准确性和有效性。
本发明还提供了一种接入设备,如图8所示,包括:
合法表项获取单元10,用于根据用户终端上线过程中与网络侧交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址的对应关系的合法表项;合法表项获取单元10具体用于:
(1)在用户终端的接入认证过程中,根据用户终端在认证过程中上报的报文,获取用户终端接入的接口、以及用户终端的IP地址、和/或MAC地址,获取包括接口与用户终端的IP地址、和/或MAC地址的对应关系的合法表项;或
(2)在用户终端的IP地址分配过程中,根据用户终端与网络侧动态主机分配协议DHCP服务器交互的报文,获取用户终端接入的接口、以及用户终端的IP地址、和/或MAC地址,获取包括接口与用户终端的IP地址、和/或MAC地址的对应关系的合法表项;或
(3)在用户终端的地址重复探测DAD检测过程中,根据用户终端发送的用于DAD探测的邻居请求NS报文,获取用户终端接入的接口、以及用户终端的IP地址、和/或MAC地址,获取包括接口与用户终端的IP地址、和/或MAC地址的对应关系的合法表项。
对于不同的获取方式,可以设置不同获取方式对应的优先级。例如,根据获取到的合法表项的安全可靠性,将具有高安全可靠性的获取方式设置为高优先级,安全可靠性越低的获取方式,优先级越低。例如,对于上述三种获取方式,基于接入认证的获取方式、基于协议报文交互的获取方式、以及基于单一协议报文的获取方式,安全可靠性依次降低,因此优先级依次降低。
合法表项固化单元20,用于根据合法表项获取单元10获取到的不同合法表项的获取方式对应的优先级,对合法表项获取单元10通过不同获取方式获取的合法表项进行不同固化程度的处理。具体的:
(1)根据不同安全表项的获取方式对应的优先级由高到低的顺序,将安全表项中的动态绑定关系表项固化为静态绑定关系表项,并对应设置静态绑定关系表项的固化时间;对于通过不同获取方式获取的合法表项,获取方式对应的优先级越高,固化后得到的静态绑定关系表项的固化时间越长。
(2)当需要转化的动态绑定关系表项与已经建立的静态绑定表项重复时,无需将其转化为静态表项;当需要转化的动态绑定关系表项与已经建立的静态绑定表项存在冲突时,根据不同安全表项的获取方式对应的优先级,将优先级高的表项设置为静态绑定表项,优先级低的表项内容无需设置为静态表项。
(3)固化时间到达时,对静态绑定关系表项的有效性进行探测,当探测结果为有效时,重新设置静态绑定关系表项的固化时间;否则将静态绑定关系表项转化为动态绑定关系表项、或删除静态绑定关系表项。
该接入设备还包括:
报文特征获取单元30,用于接收到待转发的ND协议报文时,获取接收到ND协议报文的接口、以及ND协议报文的源IP地址、和/或源MAC地址;
报文特征匹配单元40,用于将报文特征获取单元30获取的接口、以及ND协议报文的源IP地址、和/或源MAC地址与合法表项获取单元10获取的合法表项进行匹配;
报文处理单元50,用于当报文特征匹配单元的匹配结果为匹配成功时,转发ND协议报文。
通过使用本发明提供的设备,根据用户终端上线过程中与网络侧交互的报文获取合法表项,对通过不同获取方式获取的合法表项进行不同固化程度的处理,得到了更为有效全面的合法表项,提高了基于合法表项进行的防ND协议报文攻击的准确性和有效性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的单元或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的单元可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的单元可以合并为一个单元,也可以进一步拆分成多个子单元。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
Claims (14)
1、一种合法表项的处理方法,其特征在于,包括:
根据用户终端上线过程中与网络侧交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址的对应关系的合法表项;
根据不同合法表项的获取方式对应的优先级,对通过不同获取方式获取的合法表项进行不同固化程度的处理。
2、如权利要求1所述的方法,其特征在于,所述根据用户终端上线过程中与网络侧交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址的对应关系的合法表项,包括:
在用户终端的接入认证过程中,根据用户终端在认证过程中上报的报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项;或
在用户终端的地址分配过程中,根据用户终端与网络侧动态主机分配协议DHCP服务器交互的报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项;或
在用户终端的地址重复探测DAD检测过程中,根据用户终端发送的用于DAD探测的邻居请求NS报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项。
3、如权利要求1或2所述的方法,其特征在于,所述根据不同合法表项的获取方式对应的优先级,对通过不同获取方式获取的合法表项进行不同固化程度的处理,包括:
根据不同安全表项的获取方式对应的优先级由高到低的顺序,将所述安全表项中的动态绑定关系表项固化为静态绑定关系表项,并对应设置所述静态绑定关系表项的固化时间。
4、如权利要求3所述的方法,其特征在于,当需要转化的动态绑定关系表项与已经建立的静态绑定表项重复时,无需将其转化为静态表项;当需要转化的动态绑定关系表项与已经建立的静态绑定表项存在冲突时,根据不同安全表项的获取方式对应的优先级,将优先级高的表项设置为静态绑定表项,优先级低的表项内容无需设置为静态表项。
5、如权利要求3或所述的方法,其特征在于,所述固化时间到达时,对所述静态绑定关系表项的有效性进行探测,当探测结果为有效时,重新设置所述静态绑定关系表项的固化时间;否则将所述静态绑定关系表项转化为动态绑定关系表项、或删除所述静态绑定关系表项。
6、如权利要求3或所述的方法,其特征在于,对于通过不同获取方式获取的合法表项,获取方式对应的优先级越高,固化后得到的静态绑定关系表项的固化时间越长。
7、如权利要求1或2所述的方法,其特征在于,还包括:
接收到待转发的ND协议报文时,获取接收到所述ND协议报文的接口、以及所述ND协议报文的源IP地址、和/或源MAC地址;
将所述接口、以及所述ND协议报文的源IP地址、和/或源MAC地址与所述获取的接口与IP地址、和/或MAC地址的对应关系的合法表项进行匹配;
所述匹配成功时转发所述ND协议报文。
8、一种接入设备,其特征在于,包括:
合法表项获取单元,用于根据用户终端上线过程中与网络侧交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址的对应关系的合法表项;
合法表项固化单元,用于根据不同合法表项的获取方式对应的优先级,对所述合法表项获取单元通过不同获取方式获取的合法表项进行不同固化程度的处理。
9、如权利要求8所述的设备,其特征在于,所述合法表项获取单元具体用于:
在用户终端的接入认证过程中,根据用户终端在认证过程中上报的报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项;或
在用户终端的IP地址分配过程中,根据用户终端与网络侧动态主机分配协议DHCP服务器交互的报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项;或
在用户终端的地址重复探测DAD检测过程中,根据用户终端发送的用于DAD探测的邻居请求NS报文,获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的合法表项。
10、如权利要求8或9所述的设备,其特征在于,所述合法表项固化单元具体用于:
根据不同安全表项的获取方式对应的优先级由高到低的顺序,将所述安全表项中的动态绑定关系表项固化为静态绑定关系表项,并对应设置所述静态绑定关系表项的固化时间。
11、如权利要求10所述的设备,其特征在于,所述合法表项固化单元具体用于:
当需要转化的动态绑定关系表项与已经建立的静态绑定表项重复时,无需将其转化为静态表项;当需要转化的动态绑定关系表项与已经建立的静态绑定表项存在冲突时,根据安全表项的获取方式对应的优先级,将优先级高的表项设置为静态绑定表项,优先级低的表项内容无需设置为静态表项。
12、如权利要求10所述的设备,其特征在于,所述合法表项固化单元具体用于:
所述固化时间到达时,对所述静态绑定关系表项的有效性进行探测,当探测结果为有效时,重新设置所述静态绑定关系表项的固化时间;否则将所述静态绑定关系表项转化为动态绑定关系表项、或删除所述静态绑定关系表项。
13、如权利要求10所述的设备,其特征在于,所述合法表项固化单元具体用于:
对于通过不同获取方式获取的合法表项,获取方式对应的优先级越高,固化后得到的静态绑定关系表项的固化时间越长。
14、如权利要求8或9所述的设备,其特征在于,还包括:
报文特征获取单元,用于接收到待转发的ND协议报文时,获取接收到所述ND协议报文的接口、以及所述ND协议报文的源IP地址、和/或源MAC地址;
报文特征匹配单元,用于将所述报文特征获取单元获取的接口、以及所述ND协议报文的源IP地址、和/或源MAC地址与所述合法表项获取单元获取的合法表项进行匹配;
报文处理单元,用于当所述报文特征匹配单元的匹配结果为匹配成功时,转发所述ND协议报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910162439A CN101621525B (zh) | 2009-08-05 | 2009-08-05 | 合法表项的处理方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910162439A CN101621525B (zh) | 2009-08-05 | 2009-08-05 | 合法表项的处理方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101621525A true CN101621525A (zh) | 2010-01-06 |
CN101621525B CN101621525B (zh) | 2012-09-05 |
Family
ID=41514566
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910162439A Active CN101621525B (zh) | 2009-08-05 | 2009-08-05 | 合法表项的处理方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101621525B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102136985A (zh) * | 2010-01-22 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种接入方法和接入设备 |
CN102546431A (zh) * | 2012-02-08 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种路由器公告安全接入方法、系统及装置 |
CN102571807A (zh) * | 2012-02-08 | 2012-07-11 | 神州数码网络(北京)有限公司 | 一种确保IPv6重定向消息安全的方法和系统 |
CN103841023A (zh) * | 2012-11-22 | 2014-06-04 | 华为技术有限公司 | 数据转发的方法和设备 |
CN106131177A (zh) * | 2016-06-29 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种报文处理方法及装置 |
CN106170946A (zh) * | 2015-03-13 | 2016-11-30 | 华为技术有限公司 | 网络设备与终端设备通信的方法、网络设备及终端设备 |
CN106231002A (zh) * | 2016-07-22 | 2016-12-14 | 杭州华三通信技术有限公司 | 一种维护arp表的方法及装置 |
CN110677439A (zh) * | 2019-11-18 | 2020-01-10 | 杭州迪普科技股份有限公司 | Nd攻击的防护方法和装置 |
TWI742704B (zh) * | 2020-06-01 | 2021-10-11 | 台眾電腦股份有限公司 | 資訊裝置之網路連線管理系統 |
CN114245400A (zh) * | 2021-11-11 | 2022-03-25 | 新华三大数据技术有限公司 | 云管理平台系统及其动态管理用户的方法 |
CN114374637A (zh) * | 2021-12-23 | 2022-04-19 | 新华三技术有限公司合肥分公司 | 一种路由处理方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100536474C (zh) * | 2006-09-14 | 2009-09-02 | 杭州华三通信技术有限公司 | 防范利用地址解析协议进行网络攻击的方法及设备 |
CN101179566B (zh) * | 2007-11-24 | 2012-08-15 | 华为技术有限公司 | 一种防御arp报文攻击的方法和装置 |
CN101222513B (zh) * | 2008-01-28 | 2012-06-20 | 杭州华三通信技术有限公司 | 一种防止重复地址检测攻击的方法及网络设备 |
-
2009
- 2009-08-05 CN CN200910162439A patent/CN101621525B/zh active Active
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102136985A (zh) * | 2010-01-22 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种接入方法和接入设备 |
CN102546431A (zh) * | 2012-02-08 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种路由器公告安全接入方法、系统及装置 |
CN102571807A (zh) * | 2012-02-08 | 2012-07-11 | 神州数码网络(北京)有限公司 | 一种确保IPv6重定向消息安全的方法和系统 |
CN103841023A (zh) * | 2012-11-22 | 2014-06-04 | 华为技术有限公司 | 数据转发的方法和设备 |
CN103841023B (zh) * | 2012-11-22 | 2017-03-08 | 华为技术有限公司 | 数据转发的方法和设备 |
US10469445B2 (en) | 2015-03-13 | 2019-11-05 | Huawei Technologies Co., Ltd. | Method for communication between network device and terminal device, network device, and terminal device |
CN106170946A (zh) * | 2015-03-13 | 2016-11-30 | 华为技术有限公司 | 网络设备与终端设备通信的方法、网络设备及终端设备 |
CN106170946B (zh) * | 2015-03-13 | 2020-07-24 | 华为技术有限公司 | 网络设备与终端设备通信的方法、网络设备及终端设备 |
CN106131177A (zh) * | 2016-06-29 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种报文处理方法及装置 |
CN106131177B (zh) * | 2016-06-29 | 2020-09-04 | 新华三技术有限公司 | 一种报文处理方法及装置 |
CN106231002A (zh) * | 2016-07-22 | 2016-12-14 | 杭州华三通信技术有限公司 | 一种维护arp表的方法及装置 |
CN110677439A (zh) * | 2019-11-18 | 2020-01-10 | 杭州迪普科技股份有限公司 | Nd攻击的防护方法和装置 |
CN110677439B (zh) * | 2019-11-18 | 2022-03-01 | 杭州迪普科技股份有限公司 | Nd攻击的防护方法和装置 |
TWI742704B (zh) * | 2020-06-01 | 2021-10-11 | 台眾電腦股份有限公司 | 資訊裝置之網路連線管理系統 |
CN114245400A (zh) * | 2021-11-11 | 2022-03-25 | 新华三大数据技术有限公司 | 云管理平台系统及其动态管理用户的方法 |
CN114245400B (zh) * | 2021-11-11 | 2023-11-03 | 新华三大数据技术有限公司 | 云管理平台系统及其动态管理用户的方法 |
CN114374637A (zh) * | 2021-12-23 | 2022-04-19 | 新华三技术有限公司合肥分公司 | 一种路由处理方法及装置 |
CN114374637B (zh) * | 2021-12-23 | 2023-12-26 | 新华三技术有限公司合肥分公司 | 一种路由处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101621525B (zh) | 2012-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101621525B (zh) | 合法表项的处理方法和设备 | |
CN101651696B (zh) | 一种防止nd攻击的方法及装置 | |
CN101635628B (zh) | 一种防止arp攻击的方法及装置 | |
CN101180826B (zh) | 较高级协议认证 | |
CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
CN101820396B (zh) | 一种报文安全性验证的方法和设备 | |
CN101827138B (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
US20060031472A1 (en) | Network data analysis and characterization model for implementation of secure enclaves within large corporate networks | |
CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
US8955125B2 (en) | Snoop echo response extractor | |
Hubballi et al. | A closer look into DHCP starvation attack in wireless networks | |
CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
CN101808097B (zh) | 一种防arp攻击方法和设备 | |
CN101820432A (zh) | 无状态地址配置的安全控制方法及装置 | |
CN102946385B (zh) | 一种防止伪造释放报文进行攻击的方法和设备 | |
CN101931627B (zh) | 安全检测方法、装置和网络侧设备 | |
RU2690749C1 (ru) | Способ защиты вычислительных сетей | |
Data | The defense against arp spoofing attack using semi-static arp cache table | |
US8898737B2 (en) | Authentication method for stateless address allocation in IPv6 networks | |
CN109089263A (zh) | 一种报文处理方法及装置 | |
CN101494562B (zh) | 一种网络设备上终端表项的维护方法和一种网络设备 | |
CN101945053B (zh) | 一种报文的发送方法和装置 | |
CN102594808A (zh) | 一种防止DHCPv6服务器欺骗的系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address |