CN101651696A - 一种防止nd攻击的方法及装置 - Google Patents
一种防止nd攻击的方法及装置 Download PDFInfo
- Publication number
- CN101651696A CN101651696A CN200910176490A CN200910176490A CN101651696A CN 101651696 A CN101651696 A CN 101651696A CN 200910176490 A CN200910176490 A CN 200910176490A CN 200910176490 A CN200910176490 A CN 200910176490A CN 101651696 A CN101651696 A CN 101651696A
- Authority
- CN
- China
- Prior art keywords
- terminal
- message
- access switch
- authentication
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种防止ND攻击的方法,包括:接入交换机接收来自终端的ND报文,从所述ND报文中提取所述终端的身份信息;根据所述终端的身份信息判断所述终端是否为通过认证的合法终端;在所述终端为通过认证的合法终端时;更新自身的ND SNOOPING表项。本发明中,通过将认证机制与ND SNOOPING相结合,提高了ND表项学习机制的安全性,防止了常见的ND攻击等。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种防止ND攻击的方法及装置。
背景技术
ND(Neighbor Discovery,邻居发现)协议是IPv6(Internet Protocol Version6,互联网协议)的基本组成部分,该ND协议实现了在IPv4中的ARP(AddressResolution Protocol,地址解析协议)、ICMP(Internet Control Message Protocol,控制报文协议)中的路由器发现部分、重定向协议的所有功能,并且具有邻居不可达检测机制。
但是,由于ND协议是基于可信网络的前提下提出的,将给因特网的体系结构带来内在的隐患;随着IPv6技术的广泛应用,ND协议也成为了主要攻击对象,欺骗网关攻击和针对网关设备ND表项容量的攻击日益严重,其中,目前常见的ND攻击类型包括:(1)洪泛式攻击;攻击者在网络内伪造大量欺骗MAC(Media Access Control,媒体访问控制)报文,并快速填满交换机的MAC表,使得流量在所有端口内广播,导致交换机像共享HUB(多端口转发器)一样工作,攻击者可以利用各种嗅探攻击获取网络信息;此外,在MAC表满了后,流量将以洪泛方式发送到所有接口,造成交换机负载过大,网络缓慢、丢包甚至瘫痪。(2)NS/NA(Neighbor Request/NeighborAdvertisement,邻居请求/邻居公告)欺骗攻击;如图1所示的NS/NA攻击示意图,攻击者通过伪造NS/NA报文,发送给网关或受害主机,从而修改网关或受害主机上的MAC地址,使得受害主机无法接收到正常的数据报文。(3)DAD(Duplicate Address Detection,重复地址检测)攻击;如图2所示的DAD攻击示意图,在受害主机进行DAD检测时,攻击者通过伪造NS报文与受害主机的NS报文产生冲突;或,伪造NA报文应答受害主机的NS报文;使得受害主机无法获取到正确的地址,无法进行正常的网络通信。(4)RA(RouterAdvertisement,路由器通告)攻击;如图3所示的RA攻击示意图,攻击者通过发送伪造的RA报文,可以伪造不存在的前缀,修改受害主机的路由表;或,伪造网关的MAC和lifetime(使用时间),造成受害主机的默认网关改变;或,伪造DHCP(Dynamic Host Configuration Protocol,动态主机分配协议)服务器,造成受害主机使用DHCP服务器所分配的虚假地址。
可以看出,ND虽然提出了灵活的用户接入机制,但同时也存在严重的安全隐患,基于ND的网络攻击使得网络系统可以轻易的被非法用户进行非法入侵和非法访问,导致网络信息的泄漏和访问服务的瘫痪,为了解决上述问题,提高ND协议的安全性,现有技术中所提供的防攻击方案包括:(1)利用ND SNOOPING(监听)和ND DETECTION(检测)相结合的技术来防止ND攻击,其中,该ND SNOOPING用于根据ND报文建立用户信息表;而ND DETECTION用于根据ND SNOOPING建立的用户信息表项进行用户IP、MAC的合法性检查,从而达到防止ND欺骗攻击的目的。(2)利用DHCPV6SNOOPING与ND DETECTION相结合的技术来防止ND攻击,其中,DHCPV6SNOOPING用于根据DHCPV6报文建立用户信息表,通过将用户信息表该与ND DETECTION配合使用,判断ND报文是否为合法用户发送的,从而达到防止ND欺骗攻击的目的。
但是,在使用ND SNOOPING和ND DETECTION来防止ND攻击时,只有当ND SNOOPING建立的用户信息表是可信任的时,才能根据该用户信息表做后续的防攻击处理;而目前ND SNOOPING的实现机制是根据用户的DAD NS报文建立用户信息表,无论用户是否具有合法性,在成功获得IP地址时,均会发送DAD NS报文进行地址冲突检测,可以轻易的根据NDSNOOPING建立用户信息表;因此,ND SNOOPING建立用户信息表的安全性存在很大的漏洞,攻击者可以先建立错误的用户信息表,来导致后续NDDETECTION检测的失效。
在使用DHCPV6 SNOOPING与ND DETECTION来防止ND攻击时,DHCPV6 SNOOPING只记录通过交换机动态获取IP地址成功的用户信息(即经过DHCPV6服务器确认可分配并使用IP地址的用户),虽然用户信息表的安全性提高了,但是只能对动态用户造成的ND攻击进行防止,对静态用户造成的ND攻击无效;而在IPV6实际的组网环境中,大多数用户都是使用静态IP地址的,造成本方案的实用性较小。
发明内容
本发明提供一种防止ND攻击的方法及装置,以通过将认证机制与NDSNOOPING相结合,提高ND表项学习机制的安全性,防止常见的ND攻击。
为了达到上述目的,本发明提出了一种防止ND攻击的方法,应用于包括接入交换机、认证服务器和至少一个终端的系统中,所述认证服务器用于对终端进行认证,并通过所述接入交换机将认证结果发送给所述终端,在所述接入交换机使能认证功能后,如果所述终端的认证结果为认证通过,所述接入交换机存储所述终端的认证信息,所述认证信息用于校验所述终端是否为合法终端;当所述接入交换机使能ND SNOOPING功能时,所述方法包括以下步骤:
所述接入交换机接收来自终端的ND报文,从所述ND报文中提取所述终端的身份信息;
所述接入交换机根据所述终端的身份信息与自身存储的认证信息判断所述终端是否为通过认证的合法终端;
当所述终端的身份信息在所述认证信息中有对应的记录时,所述接入交换机判断所述终端为通过认证的合法终端;并更新自身的ND SNOOPING表项。
所述对终端进行认证具体包括:
所述认证服务器对终端进行802.1X认证;或,
所述认证服务器对终端进行PPPoE认证;或,
所述认证服务器对终端进行PORTAL认证。
所述认证服务器根据所述终端的级别和权限为所述终端绑定能够使用的IP地址数目;并通过扩展RADIUS属性,将所述终端能够使用的IP地址数目发送给所述接入交换机,由所述接入交换机存储所述终端能够使用的IP地址数目。
所述更新自身的ND SNOOPING表项之前,还包括:
所述接入交换机判断所述终端对应的ND SNOOPING表项数目是否超过预设的最大数值;所述最大数值为所述终端能够使用的IP地址数目;
当判断结果为否时,执行更新自身的ND SNOOPING表项的步骤。
所述更新自身的ND SNOOPING表项之后,还包括:
所述接入交换机获取所述ND报文的目的地址;并判断所述目的地址是否为自身的地址;
当所述ND报文的目的地址为所述接入交换机的地址时,所述接入交换机更新自身的ND表项,并向所述终端回应ND NA报文;
否则,所述接入交换机根据所述ND报文的目的地址对所述ND报文进行转发。
当所述接入交换机的端口完全可信任时,所述方法还包括:
所述接入交换机将所述端口配置为ND SNOOPING TRUST端口;
当从该端口接收到ND报文时,所述接入交换机确定该ND报文为可信任的报文;并更新自身的ND SNOOPING表项。
一种防止ND攻击的装置,应用于包括接入交换机、认证服务器和至少一个终端的系统中,所述认证服务器用于对终端进行认证,并通过所述接入交换机将认证结果发送给所述终端,在所述接入交换机使能认证功能后,如果所述终端的认证结果为认证通过,所述接入交换机存储所述终端的认证信息,所述认证信息用于校验所述终端是否为合法终端;当所述接入交换机使能ND SNOOPING功能时,所述装置包括:
收发模块,用于接收来自终端的ND报文;
获取模块,与所述收发模块电性连接,用于从所述收发模块接收的ND报文中提取所述终端的身份信息;
判断模块,与所述获取模块电性连接,用于根据所述获取模块获取的终端的身份信息与自身存储的认证信息判断所述终端是否为通过认证的合法终端;
处理模块,与所述判断模块电性连接,用于当所述终端的身份信息在所述认证信息中有对应的记录时,判断所述终端为通过认证的合法终端;并更新自身的ND SNOOPING表项。
所述收发模块还用于,接收来自所述认证服务器通过扩展RADIUS属性所携带的所述终端能够使用的IP地址数目,并存储所述终端能够使用的IP地址数目;其中,所述终端能够使用的IP地址数目为所述认证服务器根据所述终端的级别和权限,为所述终端绑定的IP地址数目。
所述判断模块还用于:判断所述终端对应的ND SNOOPING表项数目是否超过预设的最大数值;所述最大数值为所述终端能够使用的IP地址数目。
所述处理模块具体用于,获取所述ND报文的目的地址;并判断所述目的地址是否为自身的地址;当所述ND报文的目的地址为所述接入交换机的地址时,更新自身的ND表项,并向所述终端回应ND NA报文;否则,根据所述ND报文的目的地址对所述ND报文进行转发。
当所述接入交换机的端口完全可信任时,所述处理模块还用于:
将所述端口配置为ND SNOOPING TRUST端口;当从该端口接收到ND报文时,确定该ND报文为可信任的报文;并更新自身的ND SNOOPING表项。
一种防止ND攻击的装置,其特征在于,应用于包括接入交换机、认证服务器和至少一个终端的系统中;所述装置包括:
认证模块,用于对终端进行认证;
收发模块,与所述认证模块电性连接,用于将所述认证模块的认证结果发送给所述接入交换机,由所述接入交换机根据所述终端的认证信息判断所述终端是否为通过认证的合法终端。
所述认证模块具体用于,对终端进行802.1X认证;或,对终端进行PPPoE认证;或,对终端进行PORTAL认证。
所述装置还包括:
分配模块,用于根据终端的级别和权限为所述终端绑定能够使用的IP地址数目;
收发模块还用于,通过扩展RADIUS属性,将所述终端能够使用的IP地址数目发送给所述接入交换机,由所述接入交换机根据所述终端能够使用的IP地址数目判断所述终端是否更新自身的ND SNOOPING表项。
与现有技术相比,本发明具有以下优点:在接收到ND报文时,通过判断该ND报文所对应的终端是否为通过认证的合法终端,只有当该终端为合法终端时,才对该ND报文进行处理,否则,丢弃该ND报文,从而通过将认证机制与ND SNOOPING相结合,提高了ND表项学习机制的安全性,防止了常见的ND攻击,即可以有效防止洪泛式攻击;有效防止ND NS/NA攻击;有效防止ND DAD攻击;有效防止ND RA攻击;有效防止合法用户多IP攻击等。
附图说明
图1为现有技术中的NS/NA攻击示意图;
图2为现有技术中的DAD攻击示意图;
图3为现有技术中的RA攻击示意图;
图4为本发明提出的一种防止ND攻击的方法流程图;
图5为本发明提出的具体应用场景示意图;
图6为本发明具体应用场景下提出的防止ND攻击的方法流程图;
图7为本发明具体应用场景下接入交换机对ND报文的详细处理流程图;
图8为本发明具体应用场景下扩展属性封装内容示意图;
图9为本发明提出的一种防止ND攻击的装置结构图;
图10为本发明提出的另一种防止ND攻击的装置结构图。
具体实施方式
本发明的基本思想是在终端进行认证的过程中,接入交换机获取并存储终端的认证信息,即在接入交换机中存储通过认证的终端身份信息。在接收到ND报文时,获取该ND报文中的终端身份信息,将该终端身份信息与通过认证的终端身份信息进行比较,从而判断出该ND报文是否为合法终端(通过认证的终端)发送的ND报文,当是合法终端发送的时,才对该ND报文进行处理,否则,丢弃该ND报文,从而通过将认证机制(例如,802.1X认证机制、PPPoE认证机制、PORTAL认证机制等)与ND SNOOPING相结合,提高了ND表项学习机制的安全性,防止了常见的ND攻击。
如图4所示,本发明提出的一种防止ND攻击的方法,应用于包括接入交换机、认证服务器和至少一个终端的系统中,所述认证服务器用于对终端进行认证,并通过所述接入交换机将认证结果发送给所述终端,在所述接入交换机使能认证功能后,如果所述终端的认证结果为认证通过,所述接入交换机存储所述终端的认证信息,所述认证信息用于校验所述终端是否为合法终端;当所述接入交换机使能ND SNOOPING功能时,所述方法包括以下步骤:
步骤401,所述接入交换机接收来自终端的ND报文,从所述ND报文中提取所述终端的身份信息。
步骤402,所述接入交换机根据所述终端的身份信息与自身存储的认证信息判断所述终端是否为通过认证的合法终端。
步骤403,当所述终端的身份信息在所述认证信息中有对应的记录时,所述接入交换机判断所述终端为通过认证的合法终端;并更新自身的NDSNOOPING表项。
为了更加理解本发明,以下结合具体应用场景对本发明提出的防止ND攻击的方法进详细描述。本应用场景的组网示意图如图5所示,终端A、终端B和终端C通过接入交换机接入到网关设备上,继而连接到RADIUS(Remote Authentication Dial In User Service,远程用户拨入认证服务)服务器和DHCPv6服务器上,此外,该终端A、终端B和终端C还可以通过该接入交换机连接到网络中,在此不再赘述。该RADIUS服务器用于为各终端进行认证授权,该DHCPv6服务器用于为各终端提供IP地址。该终端A通过端口e1/0/1与接入交换机连接,该终端B通过端口e1/0/2与接入交换机连接,该终端C通过端口e1/0/3与接入交换机连接,该接入交换机通过端口e1/0/4与网关设备连接。
如图6所示,该防止ND攻击的方法包括以下步骤:
步骤601,终端通过接入交换机向RADIUS服务器发起802.1X认证过程。其中,该802.1X是基于端口的访问控制协议,可以限制未经授权的终端通过接入端口访问网络(例如,终端A未通过认证时,不能通过端口e1/0/1接入到网络中)。此外,需要说明的是,本发明中并不局限于向RADIUS服务器发起802.1X认证过程;终端还可以通过接入交换机向RADIUS服务器发起PPPoE(Point to Point Protocol over Ethernet,以太网上的PPP技术)认证过程,或PORTAL(门户)认证过程;其中,发起PPPoE认证过程,或PORTAL认证过程的后续处理方式与发起802.1X认证过程的后续处理方式相同,本发明中以发起802.1X认证过程为例进行说明。
具体的,PORTAL认证和PPPoE认证分别使用PORTAL协议和PPPoE协议作为接入访问控制协议,与802.1X认证过程类似;可以看出,本发明中也并不局限于上述的三种认证过程,对于其他的认证过程,本发明中不再赘述,以进行802.1X认证为例进行说明。
步骤602,RADIUS服务器通过接入交换机向终端发送认证结果。其中,在RADIUS服务器上存储了终端的认证授权信息,该RADIUS服务器可以根据该认证授权信息对终端进行认证,该认证授权的详细过程本发明中不再赘述。
在本发明中,终端A、终端B和终端C均会通过接入交换机向RADIUS服务器发起认证授权过程,以终端A和终端B通过802.1X认证,而终端C没有通过802.1X认证为例进行说明(或终端C根本没有进行认证)。本步骤中,RADIUS服务器将通过接入交换机向终端A和终端B发送通过认证的信息,而通过接入交换机向终端C发送没有通过认证的信息(或不向终端C发送认证结果)。
步骤603,接入交换机存储终端的认证信息。其中,当接入交换机接收到来自RADIUS服务器的认证结果时,将存储各终端所对应的认证信息(从认证结果中获得),并将该认证结果发送给对应的终端;该认证信息将作为校验终端是否为合法终端的依据。在本发明中,各终端的认证信息分别为终端A和终端B通过认证,即终端A和终端B为合法终端,而终端C没有通过认证,即终端C为攻击终端。
本步骤中,该接入交换机可以通过认证信息表的方式存储终端的认证信息,如表1所示的一种认证信息表。
表1
| 终端名 | 认证信息 | 合法信息 |
| 终端A | 通过认证 | 合法终端 |
| 终端B | 通过认证 | 合法终端 |
| 终端C | 未通过认证 | 攻击终端 |
进一步的,在该认证信息表中还可以只存储通过认证终端所对应的认证信息,即在该表1中只有终端A和终端B,对于该认证信息表中没有记录的终端,则为攻击终端。需要说明的是,对于没有进行认证的终端,该认证信息表中不会有对应的记录,该没有进行认证的终端为攻击终端,在此不再赘述。
此外,在该接入交换机的认证信息表中,还可以存储终端的身份信息,即存储该终端所对应的MAC信息;端口信息和VLAN(Virtual Local AreaNetwork,虚拟局域网)信息等,如表2所示,为一种只存储通过认证终端所对应的认证信息的认证信息表,由于该认证信息表中记录的都是通过认证的合法终端,即可以没有认证信息和合法信息的对应记录。
表2
| 终端名 | MAC信息 | 端口信息 | VLAN信息 |
| 终端A | MAC 1 | 端口1 | VLAN 1 |
| 终端B | MAC 2 | 端口2 | VLAN 1 |
综上可以看出,接入交换机存储终端认证信息的方式可以根据实际的需要进行选取,只要通过使用该认证信息可以查询到终端是否为通过认证的合法终端即可,在此不再赘述。
步骤604,终端获取IP地址。其中,在本发明中,以终端A和终端C静态配置IP地址,终端B动态获取IP地址(即终端B通过DHCPV6动态获取到IP地址)为例进行说明。
需要说明的是,在静态配置IP地址时,还需要从ROUTER(路由器)获得路由前缀,其中,该终端A和终端C可以主动发送请求消息,并通过该请求消息获得该路由前缀,也可以有ROUTER下发路由前缀,当终端A和终端C接收到该路由前缀时,可以使用该路由前缀,本发明中不再详加描述。
具体的,对于终端B通过DHCPV6动态获取到IP地址的过程,包括:(1)终端B通过接入交换机向DHCPv6服务器发送DHCPV6Solicit报文。(2)DHCPv6服务器通过接入交换机向客户端发送DHCPv6 Advertise消息,并在该Advertise消息中携带了该DHCPv6服务器的ID和优先权信息。(3)终端B将根据DHCPv6服务器的优先权等信息选择DHCPv6服务器,并通过接入交换机向该DHCPv6服务器发送DHCPv6 Request报文。(4)DHCPv6服务器为该终端B配置IP信息,并通过DHCPv6 Reply消息发送给终端B;其中,该IP信息包括但不限于IP地址、网关、DNS、以及其他网络配置参数等信息。
步骤605,在IP地址获取完成后,终端发送DAD报文,以检测IP地址是否冲突。
具体的,终端在获取到IP地址后,需要进行IP地址的冲突检测,即通过发送DAD NS报文探测网络内是否有相同的IP地址存在,如果有,则不能正常使用该IP地址,如果没有,则可以正常使用。本发明中以IP地址没有发生冲突为例进行说明。
步骤606,接入交换机在接收到该DAD报文时,判断是否为通过认证的终端所发送的DAD报文,当是通过认证的终端所发送的DAD报文时,根据该DAD报文在该接入交换机中建立ND SNOOPING表项,否则,认为该DAD报文为攻击终端所发送的,丢弃该DAD报文。
本步骤中,当接入交换机接收到DAD报文时,获取该DAD报文中携带的终端身份信息(即上述的MAC信息;端口信息和VLAN信息),并将该终端身份信息与上述步骤603中存储的认证信息表进行比较,从而判断出该DAD报文是否为通过认证的终端所发送的。
具体的,当该终端身份信息在认证信息表中有对应的记录时(即终端的MAC信息、端口信息、VLAN信息在认证信息表可以完全匹配;例如,当该DAD报文为终端A发送的,则从该DAD报文中提取的终端身份信息可以在表2所示认证信息表中有匹配记录,在此不再赘述),该接入交换机判断该DAD报文是通过认证的终端所发送的;否则,接入交换机判断该DAD报文是攻击终端所发送的,该接入交换机将丢弃该DAD报文。
进一步的,当终端是合法终端时,接入交换机将根据该DAD报文建立ND SNOOPING表项,该ND SNOOPING表项中携带了终端的身份信息,即该ND SNOOPING表项中包含终端的MAC信息、端口信息、VLAN信息。本发明中,还可以将合法终端所对应的ND SNOOPING表项与其他安全机制(例如,ND DETECTION机制)综合使用,从而有效防止常见的ND攻击,在此不再赘述。
在本步骤中,当接收到合法终端所发送的DAD报文时,该接入交换机还需要根据该DAD报文建立终端的ND表项,该ND表项中存储了设备之间通信的信息,例如,当终端A向接入交换机发送了DAD报文时,该接入交换机将根据该DAD报文建立终端A与接入交换机之间的ND表项,使二者可以正常通信,在此不再赘述。
步骤607,接入交换机接收来自终端的ND报文,并根据该ND报文判断该终端是否为通过认证的合法终端;当是合法终端时,更新上述的NDSNOOPING表项,并根据ND报文进行相应的处理;否则,确定该ND报文为攻击报文,丢弃ND报文,以防止ND攻击。在本发明中,对于802.1X自身的安全防护问题,由802.1X自身的防攻击方案来保证,本发明中不再赘述。
具体的,通过上述步骤601-步骤606的过程,在接入交换机中存储了合法终端的认证信息表、合法终端的ND SNOOPING表项、以及合法终端的ND表项;本步骤中将根据该存储的各个表项对终端的ND报文进行处理,其中,该ND报文为ND协议中的各种报文,例如,NS报文、NA报文、DAD报文、RA报文等,即可以防止各种ND报文的攻击。
为了更加清楚的说明本步骤中接入交换机接收来自终端的ND报文,根据该ND报文判断终端是否为通过认证的合法终端及后续处理过程,参见图7所示的详细流程,包括以下步骤:
步骤701,接入交换机接收来自终端的ND报文。
步骤702,接入交换机从该ND报文中提取该终端的身份信息,即提取该终端的MAC信息;端口信息;VLAN信息等。
步骤703,接入交换机根据该终端的身份信息判断该终端是否为通过802.1X认证的合法终端。当判断结果为是时,转到步骤705,否则,转到步骤704。其中,在该接入交换机中存储了认证信息表,且该认证信息表中记录了通过802.1X认证的终端的身份信息;即当该ND报文所对应的终端身份信息在认证信息表中有对应的记录时,该ND报文是通过802.1X认证的终端所发送的;否则,该ND报文是攻击终端所发送的。
步骤704,接入交换机丢弃该ND报文。
步骤705,接入交换机判断该终端对应的ND SNOOPING表项数目是否超过预设的最大数值;当判断结果为是时,确定该ND报文为攻击报文,转到步骤704,否则,转到步骤706,其中,该最大数值为终端能够使用的IP地址数目。
需要说明的是,在实际应用中,即使一个终端是通过802.1X认证的合法终端,该终端也可能是攻击终端,为了保证网络的安全性,减小合法终端进行ND攻击的可能性,需要为每个通过802.1X认证的终端下发能够使用的IP地址数目,从而使得该合法终端只能建立该IP地址数目所对应的NDSNOOPING表项。
具体的,该终端能够使用的IP地址数目为RADIUS服务器根据该终端的级别和权限,为该终端绑定的IP地址数目;当终端的IP地址数目确定后,该RADIUS服务器通过下发扩展RADIUS属性(即RD_NDSnooping_Option),将终端绑定的IP地址数目发送给接入交换机,由该接入交换机存储该终端所绑定的IP地址数目。如表3所示的扩展RADIUS属性的示意情况。
表3
| 名称 | Type | Value类型 | 说明 |
| RD_NDSnooping_Option | 253 | Text | 携带IPV6地址数目,通过TVL方式携带属性内容,属性内容为一个数字,占用4字节 |
例如,当终端的IPV6地址数目为2时,属性中的内容为0x00000002,扩展属性封装内容如图8所示。
步骤706,接入交换机更新自身的ND SNOOPING表项。其中,当ND报文为合法报文时,接入交换机将更新自身ND SNOOPING表项,例如,ND报文中携带的身份信息与ND SNOOPING表项中完全相同时,则使用该ND报文中的身份信息刷新ND SNOOPING表项,当ND报文中携带的身份信息与ND SNOOPING表项中不完全相同时,则新建一个ND SNOOPING表项。
需要说明的是,在本步骤之前,还需要通过使用ND DETECTION判断该ND报文是否为攻击报文,如果收到的ND报文的源MAC、接收报文的PORT以及PORT所属VLAN与ND SNOOPING表项不完全一致,则认为是攻击报文,不进行后续的学习和转发处理,直接丢弃该报文,从而保证只有合法用户才能建立邻居关系,其它的ND攻击报文都将被丢弃。
步骤707,接入交换机获取该ND报文的目的地址;并判断该目的地址是否为自身的地址。当判断结果为是时,转到步骤708,否则,转到步骤709。
步骤708,接入交换机更新自身的ND表项,并向该终端回应ND NA报文,其中,当该ND报文的目的地址为该接入交换机时,则说明该接入交换机需要与该终端进行通信,而通信地址将在该ND报文中携带,此时,该接入交换机需要使用该ND报文中的地址信息更新自身的ND表项,在此不再赘述。
步骤709,接入交换机根据该ND报文的目的地址将该ND报文转发给对应的设备,由该对应的设备根据该ND报文进行相应的处理,在此不再赘述。
为了更加清楚的说明本发明提出的防止ND攻击的方法,以一个具体的例子为了进行说明,继续以图5所示的组网为例,其中,合法终端A(通过802.1X认证)通过DAD NS报文来进行地址的冲突检测,如果没有收到应答消息,则可以正常使用对应的地址。当接入交换机接收到终端A的DAD NS报文时,对该报文进行合法性检查,即提取该报文的身份信息,并查询认证信息表,当身份信息与认证信息表相符合,则进行后续处理,否则丢弃该报文。而本发明中,由于一个终端可以拥有多个IPV6地址,而MAC地址相同但IP地址不同时将对应不同的ND表项,即需要对终端ND表项的添加数目进行限制,从而防止合法终端的ND攻击。在添加ND表项,和/或NDSNOOPING表项时,需要从认证信息表中获取该终端允许添加的NDSNOOPING表项数目(上述步骤中,接入交换机在接收到终端能够使用的IP地址数目,即终端所允许添加的ND SNOOPING表项数目时,可以将该NDSNOOPING表项数目信息存储到认证信息表中,当然,根据实际的需要,也可以将ND SNOOPING表项数目信息存储到其他位置,只要该接入交换机可以获取到该信息即可),如果该终端对应的ND SNOOPING表项已经达到最大允许的数目,则后续同一MAC不同IP的报文将不再进行ND相关表项的学习过程。如图5所示,终端A通过802.1X认证,对应的允许添加的NDSNOOPING表项数目为2,终端在通过认证后,依次获取到了1::1;1::2;1::3三个IP,前两个IP对应的ND SNOOPING表项能够正常添加,当添加到第三个ND SNOOPING表项时,由于已经达到限制数2,无法添加NDSNOOPING相关表项。而终端B也通过802.1X认证,对应的允许添加的NDSNOOPING表项数目为2,终端在通过认证后,获取到了一个IP地址为1::4,由于未达到限制数2,可以正常添加ND相关表项。此外,终端C不是802.1X认证合法终端,当交换机接收到终端C发送的ND报文后,查不到终端的认证记录,认为是非法终端,将直接丢弃该终端C的ND报文。
需要说明的是,在接入交换机中,对于完全可信任的端口(例如,连接网关设备或服务器的端口,如图5所示的端口e1/0/4),接入交换机可以直接将该完全可信任的端口配置为ND SNOOPING TRUST端口,对于TRUST端口接收到的ND报文,不需要进行校验,即TRUST端口收到的ND报文均认为是可信任的报文,直接对该报文进行后续处理,从而保证上游设备在交换机上均可以正常建立相关ND表项。
可见,通过使用本发明提出的方案,在接入交换机上将802.1X认证与IPV6ND SNOOPING结合起来,有效的防止了各类常见的ND攻击,充分弥补了现有的防攻击漏洞。即通过使用本发明,(1)可以有效防止洪泛式攻击;其中,只有通过802.1X认证的合法终端MAC才添加到端口上,对于未通过认证的非法终端MAC将不被添加,二层流量无法被转发,从而防止洪泛式攻击。(2)可以有效防止ND NS/NA攻击;其中,通过增强ND和ND SNOOPING表项学习的安全性,保证只有通过认证的合法终端才能添加表项,而其他非法终端的报文都会被丢弃,防止了基于NS/NA的多种攻击(例如,中间人攻击、网关欺骗、IP/MAC欺骗等)。(3)可以有效防止ND DAD攻击;其中,可以保证合法终端正常使用所获得的IP地址,有效防止了攻击者恶意制造IP冲突,伪造虚假IP租约或其他选项信息的攻击形式。(4)可以有效防止ND RA攻击;其中,终端伪造携带网关IP的ND报文记录不在认证信息表内,直接丢弃该报文,防止攻击者针对网关的恶意攻击。(5)可以有效的防止合法终端的多IP攻击;其中,通过RADIUS扩展属性下发终端允许ND表项学习数目后,可以对同一合法终端学习ND的表项数目进行限制,达到限制ND学习数目后,就不能进行ND表项的学习了,防止了合法终端的ND表项攻击。
本发明提出的一种防止ND攻击的装置,应用于包括接入交换机、认证服务器和至少一个终端的系统中,所述认证服务器用于对终端进行认证,并通过所述接入交换机将认证结果发送给所述终端,在所述接入交换机使能认证功能后,如果所述终端的认证结果为认证通过,所述接入交换机存储所述终端的认证信息,所述认证信息用于校验所述终端是否为合法终端;当所述接入交换机使能ND SNOOPING功能时,如图9所示,所述装置包括:
收发模块91,用于接收来自终端的ND报文。
具体的,在实际应用中,即使一个终端是通过802.1X认证的合法终端,该终端也可能进行多IP攻击,而为了保证网络的安全性,减小合法终端进行ND攻击的可能性,需要为每个通过802.1X认证的终端下发能够使用的IP地址数目,从而使得该合法终端只能建立对应IP地址数目的ND SNOOPING表项。
该终端能够使用的IP地址数目为RADIUS服务器根据该终端的级别和权限,为该终端绑定的IP地址数目;当终端的IP地址数目确定后,该RADIUS服务器通过下发扩展RADIUS属性,将终端绑定的IP地址数目发送给接入交换机,由该接入交换机存储该终端所绑定的IP地址数目。即所述收发模块91还用于,接收来自所述认证服务器通过扩展RADIUS属性所携带的所述终端能够使用的IP地址数目,并存储所述终端能够使用的IP地址数目;其中,所述终端能够使用的IP地址数目为所述认证服务器根据所述终端的级别和权限,为所述终端绑定的IP地址数目。
获取模块92,与所述收发模块91电性连接,用于从所述收发模块91接收的ND报文中提取所述终端的身份信息。其中,所述终端的身份信息包括以下内容中的一种或几种;MAC信息;端口信息;VLAN信息。
判断模块93,与所述获取模块92电性连接,用于根据所述获取模块获取的终端的身份信息与自身存储的认证信息判断所述终端是否为通过认证的合法终端。
其中,所述判断模块93具体用于根据所述终端的身份信息查询认证信息表中存储的合法终端;所述认证信息表中存储了通过认证服务器认证的合法终端的身份信息;当所述终端的身份信息在所述认证信息表中有对应的记录时,判断所述终端为通过认证的合法终端;否则,判断所述终端为没有通过认证的终端。
进一步的,所述判断模块93还用于判断所述终端对应的ND SNOOPING表项数目是否超过预设的最大数值;所述最大数值为所述终端能够使用的IP地址数目。
处理模块94,与所述判断模块93电性连接,用于当所述终端的身份信息在所述认证信息中有对应的记录时,判断所述终端为通过认证的合法终端;并更新自身的ND SNOOPING表项。
此外,当所述判断模块93用于判断所述终端对应的ND表项数目是否超过预设的最大数值时;所述最大数值为所述终端能够使用的IP地址数目;所述处理模块94还用于:当判断结果为是时,确定所述ND报文为攻击报文,并丢弃所述ND报文,以防止ND攻击;当判断结果为否时,执行更新自身的ND SNOOPING表项的步骤。
在本发明中,所述处理模块91用于获取所述ND报文的目的地址;并判断所述目的地址是否为自身的地址;当所述ND报文的目的地址为所述接入交换机的地址时,更新自身的ND表项,并向所述终端回应ND NA报文;否则,根据所述ND报文的目的地址对所述ND报文进行转发。其中,当ND报文为合法报文时,接入交换机将更新自身ND SNOOPING表项,例如,ND报文中携带的身份信息与ND SNOOPING表项中完全相同时,则使用该ND报文中的身份信息刷新ND SNOOPING表项,当ND报文中携带的身份信息与ND SNOOPING表项中不完全相同时,则新建一个ND SNOOPING表项。
进一步的,当所述接入交换机的端口完全可信任时,所述处理模块94还用于:将所述端口配置为ND SNOOPING TRUST端口;当从该端口接收到ND报文时,确定该ND报文为可信任的报文;并更新自身的ND SNOOPING表项,根据所述ND报文进行处理。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
本发明提出的一种防止ND攻击的装置,应用于包括接入交换机、认证服务器和至少一个终端的系统中;如图10所示,所述装置包括:
认证模块1001,用于对终端进行认证;其中,所述认证模块1001具体用于对终端进行802.1X认证;或,对终端进行PPPoE认证;或,对终端进行PORTAL认证。
收发模块1002,与所述认证模块1001电性连接,用于将所述认证模块1001的认证结果发送给所述接入交换机,由所述接入交换机根据所述终端的认证信息判断所述终端是否为通过认证的合法终端。
分配模块1003,用于根据终端的级别和权限为所述终端绑定能够使用的IP地址数目;此时,收发模块1001还用于,通过扩展RADIUS属性,将所述终端能够使用的IP地址数目发送给所述接入交换机,由所述接入交换机根据所述终端能够使用的IP地址数目判断所述终端是否更新自身的NDSNOOPING表项。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (14)
1、一种防止ND攻击的方法,其特征在于,应用于包括接入交换机、认证服务器和至少一个终端的系统中,所述认证服务器用于对终端进行认证,并通过所述接入交换机将认证结果发送给所述终端,在所述接入交换机使能认证功能后,如果所述终端的认证结果为认证通过,所述接入交换机存储所述终端的认证信息,所述认证信息用于校验所述终端是否为合法终端;当所述接入交换机使能ND SNOOPING功能时,所述方法包括以下步骤:
所述接入交换机接收来自终端的ND报文,从所述ND报文中提取所述终端的身份信息;
所述接入交换机根据所述终端的身份信息与自身存储的认证信息判断所述终端是否为通过认证的合法终端;
当所述终端的身份信息在所述认证信息中有对应的记录时,所述接入交换机判断所述终端为通过认证的合法终端;并更新自身的ND SNOOPING表项。
2、如权利要求1所述的方法,其特征在于,所述对终端进行认证具体包括:
所述认证服务器对终端进行802.1X认证;或,
所述认证服务器对终端进行PPPoE认证;或,
所述认证服务器对终端进行PORTAL认证。
3、如权利要求1所述的方法,其特征在于,所述方法还包括:
所述认证服务器根据所述终端的级别和权限为所述终端绑定能够使用的IP地址数目;并通过扩展RADIUS属性,将所述终端能够使用的IP地址数目发送给所述接入交换机,由所述接入交换机存储所述终端能够使用的IP地址数目。
4、如权利要求3所述的方法,其特征在于,所述更新自身的NDSNOOPING表项之前,还包括:
所述接入交换机判断所述终端对应的ND SNOOPING表项数目是否超过预设的最大数值;所述最大数值为所述终端能够使用的IP地址数目;
当判断结果为否时,执行更新自身的ND SNOOPING表项的步骤。
5、如权利要求1所述的方法,其特征在于,所述更新自身的NDSNOOPING表项之后,还包括:
所述接入交换机获取所述ND报文的目的地址;并判断所述目的地址是否为自身的地址;
当所述ND报文的目的地址为所述接入交换机的地址时,所述接入交换机更新自身的ND表项,并向所述终端回应ND NA报文;
否则,所述接入交换机根据所述ND报文的目的地址对所述ND报文进行转发。
6、如权利要求1所述的方法,其特征在于,当所述接入交换机的端口完全可信任时,所述方法还包括:
所述接入交换机将所述端口配置为ND SNOOPING TRUST端口;
当从该端口接收到ND报文时,所述接入交换机确定该ND报文为可信任的报文;并更新自身的ND SNOOPING表项。
7、一种防止ND攻击的装置,其特征在于,应用于包括接入交换机、认证服务器和至少一个终端的系统中,所述认证服务器用于对终端进行认证,并通过所述接入交换机将认证结果发送给所述终端,在所述接入交换机使能认证功能后,如果所述终端的认证结果为认证通过,所述接入交换机存储所述终端的认证信息,所述认证信息用于校验所述终端是否为合法终端;当所述接入交换机使能ND SNOOPING功能时,所述装置包括:
收发模块,用于接收来自终端的ND报文;
获取模块,与所述收发模块电性连接,用于从所述收发模块接收的ND报文中提取所述终端的身份信息;
判断模块,与所述获取模块电性连接,用于根据所述获取模块获取的终端的身份信息与自身存储的认证信息判断所述终端是否为通过认证的合法终端;
处理模块,与所述判断模块电性连接,用于当所述终端的身份信息在所述认证信息中有对应的记录时,判断所述终端为通过认证的合法终端;并更新自身的ND SNOOPING表项。
8、如权利要求7所述的装置,其特征在于,
所述收发模块还用于,接收来自所述认证服务器通过扩展RADIUS属性所携带的所述终端能够使用的IP地址数目,并存储所述终端能够使用的IP地址数目;其中,所述终端能够使用的IP地址数目为所述认证服务器根据所述终端的级别和权限,为所述终端绑定的IP地址数目。
9、如权利要求8所述的装置,其特征在于,
所述判断模块还用于:判断所述终端对应的ND SNOOPING表项数目是否超过预设的最大数值;所述最大数值为所述终端能够使用的IP地址数目。
10、如权利要求7所述的装置,其特征在于,
所述处理模块具体用于,获取所述ND报文的目的地址;并判断所述目的地址是否为自身的地址;当所述ND报文的目的地址为所述接入交换机的地址时,更新自身的ND表项,并向所述终端回应ND NA报文;否则,根据所述ND报文的目的地址对所述ND报文进行转发。
11、如权利要求7所述的装置,其特征在于,当所述接入交换机的端口完全可信任时,所述处理模块还用于:
将所述端口配置为ND SNOOPING TRUST端口;当从该端口接收到ND报文时,确定该ND报文为可信任的报文;并更新自身的ND SNOOPING表项。
12、一种防止ND攻击的装置,其特征在于,应用于包括接入交换机、认证服务器和至少一个终端的系统中;所述装置包括:
认证模块,用于对终端进行认证;
收发模块,与所述认证模块电性连接,用于将所述认证模块的认证结果发送给所述接入交换机,由所述接入交换机根据所述终端的认证信息判断所述终端是否为通过认证的合法终端。
13、如权利要求12所述的装置,其特征在于,
所述认证模块具体用于,对终端进行802.1X认证;或,对终端进行PPPoE认证;或,对终端进行PORTAL认证。
14、如权利要求12所述的装置,其特征在于,所述装置还包括:
分配模块,用于根据终端的级别和权限为所述终端绑定能够使用的IP地址数目;
收发模块还用于,通过扩展RADIUS属性,将所述终端能够使用的IP地址数目发送给所述接入交换机,由所述接入交换机根据所述终端能够使用的IP地址数目判断所述终端是否更新自身的ND SNOOPING表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910176490A CN101651696B (zh) | 2009-09-17 | 2009-09-17 | 一种防止nd攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910176490A CN101651696B (zh) | 2009-09-17 | 2009-09-17 | 一种防止nd攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101651696A true CN101651696A (zh) | 2010-02-17 |
| CN101651696B CN101651696B (zh) | 2012-09-19 |
Family
ID=41673803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910176490A Active CN101651696B (zh) | 2009-09-17 | 2009-09-17 | 一种防止nd攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101651696B (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841813A (zh) * | 2010-04-07 | 2010-09-22 | 北京傲天动联技术有限公司 | 防攻击的无线控制系统 |
| CN101917444A (zh) * | 2010-08-25 | 2010-12-15 | 福建星网锐捷网络有限公司 | 一种ip源地址绑定表项的创建方法、装置及交换机 |
| CN101931627A (zh) * | 2010-08-26 | 2010-12-29 | 福建星网锐捷网络有限公司 | 安全检测方法、装置和网络侧设备 |
| CN101938428A (zh) * | 2010-09-28 | 2011-01-05 | 杭州华三通信技术有限公司 | 一种报文的传输方法和设备 |
| CN101938411A (zh) * | 2010-08-03 | 2011-01-05 | 杭州华三通信技术有限公司 | 一种nd探听表项的处理方法和设备 |
| CN102130905A (zh) * | 2011-01-27 | 2011-07-20 | 中兴通讯股份有限公司 | 一种提高邻居发现监听安全性的方法及装置 |
| CN102158394A (zh) * | 2011-01-30 | 2011-08-17 | 福建星网锐捷网络有限公司 | 虚拟路由冗余协议路由器防攻击的方法和接入设备 |
| CN102571806A (zh) * | 2012-02-08 | 2012-07-11 | 神州数码网络(北京)有限公司 | 一种主动防止路由器公告报文欺骗的装置和方法 |
| WO2014173343A1 (zh) * | 2013-08-20 | 2014-10-30 | 中兴通讯股份有限公司 | 路由器通告攻击防范方法、装置、设备及计算机存储介质 |
| CN107197461A (zh) * | 2017-06-09 | 2017-09-22 | 上海寰创通信科技股份有限公司 | 一种基于Linux系统的ipv6报文重定向方法 |
| CN107920068A (zh) * | 2017-11-14 | 2018-04-17 | 北京思特奇信息技术股份有限公司 | 一种认证方法和系统 |
| CN109327558A (zh) * | 2018-10-30 | 2019-02-12 | 新华三技术有限公司合肥分公司 | 地址管理方法及装置 |
| WO2019201080A1 (zh) * | 2018-04-19 | 2019-10-24 | 深圳市联软科技股份有限公司 | 一种识别网络中用户身份的系统 |
| CN110557355A (zh) * | 2018-05-31 | 2019-12-10 | 上海连尚网络科技有限公司 | 一种用于通过用户设备检测中间人攻击的方法与设备 |
| CN110611678A (zh) * | 2019-09-24 | 2019-12-24 | 锐捷网络股份有限公司 | 一种识别报文的方法及接入网设备 |
| CN110677439A (zh) * | 2019-11-18 | 2020-01-10 | 杭州迪普科技股份有限公司 | Nd攻击的防护方法和装置 |
| CN112714133A (zh) * | 2021-01-04 | 2021-04-27 | 烽火通信科技股份有限公司 | 一种适用于DHCPv6服务端的防ND攻击方法与装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102188B (zh) * | 2006-07-07 | 2010-08-04 | 华为技术有限公司 | 一种移动接入虚拟局域网的方法与系统 |
-
2009
- 2009-09-17 CN CN200910176490A patent/CN101651696B/zh active Active
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841813A (zh) * | 2010-04-07 | 2010-09-22 | 北京傲天动联技术有限公司 | 防攻击的无线控制系统 |
| CN101841813B (zh) * | 2010-04-07 | 2013-08-21 | 北京傲天动联技术股份有限公司 | 防攻击的无线控制系统 |
| CN101938411B (zh) * | 2010-08-03 | 2012-04-18 | 杭州华三通信技术有限公司 | 一种nd探听表项的处理方法和设备 |
| CN101938411A (zh) * | 2010-08-03 | 2011-01-05 | 杭州华三通信技术有限公司 | 一种nd探听表项的处理方法和设备 |
| CN101917444A (zh) * | 2010-08-25 | 2010-12-15 | 福建星网锐捷网络有限公司 | 一种ip源地址绑定表项的创建方法、装置及交换机 |
| CN101931627A (zh) * | 2010-08-26 | 2010-12-29 | 福建星网锐捷网络有限公司 | 安全检测方法、装置和网络侧设备 |
| CN101931627B (zh) * | 2010-08-26 | 2013-09-18 | 福建星网锐捷网络有限公司 | 安全检测方法、装置和网络侧设备 |
| CN101938428B (zh) * | 2010-09-28 | 2013-06-05 | 杭州华三通信技术有限公司 | 一种报文的传输方法和设备 |
| CN101938428A (zh) * | 2010-09-28 | 2011-01-05 | 杭州华三通信技术有限公司 | 一种报文的传输方法和设备 |
| CN102130905B (zh) * | 2011-01-27 | 2015-09-16 | 中兴通讯股份有限公司 | 一种提高邻居发现监听安全性的方法及装置 |
| CN102130905A (zh) * | 2011-01-27 | 2011-07-20 | 中兴通讯股份有限公司 | 一种提高邻居发现监听安全性的方法及装置 |
| CN102158394A (zh) * | 2011-01-30 | 2011-08-17 | 福建星网锐捷网络有限公司 | 虚拟路由冗余协议路由器防攻击的方法和接入设备 |
| CN102158394B (zh) * | 2011-01-30 | 2013-11-20 | 福建星网锐捷网络有限公司 | 虚拟路由冗余协议路由器防攻击的方法和接入设备 |
| CN102571806A (zh) * | 2012-02-08 | 2012-07-11 | 神州数码网络(北京)有限公司 | 一种主动防止路由器公告报文欺骗的装置和方法 |
| CN102571806B (zh) * | 2012-02-08 | 2016-12-07 | 神州数码网络(北京)有限公司 | 一种主动防止路由器公告报文欺骗的装置和方法 |
| CN104426839A (zh) * | 2013-08-20 | 2015-03-18 | 中兴通讯股份有限公司 | 路由器通告攻击防范方法、装置及设备 |
| WO2014173343A1 (zh) * | 2013-08-20 | 2014-10-30 | 中兴通讯股份有限公司 | 路由器通告攻击防范方法、装置、设备及计算机存储介质 |
| CN107197461B (zh) * | 2017-06-09 | 2020-06-12 | 上海寰创通信科技股份有限公司 | 一种基于Linux系统的ipv6报文重定向方法 |
| CN107197461A (zh) * | 2017-06-09 | 2017-09-22 | 上海寰创通信科技股份有限公司 | 一种基于Linux系统的ipv6报文重定向方法 |
| CN107920068A (zh) * | 2017-11-14 | 2018-04-17 | 北京思特奇信息技术股份有限公司 | 一种认证方法和系统 |
| WO2019201080A1 (zh) * | 2018-04-19 | 2019-10-24 | 深圳市联软科技股份有限公司 | 一种识别网络中用户身份的系统 |
| CN110557355A (zh) * | 2018-05-31 | 2019-12-10 | 上海连尚网络科技有限公司 | 一种用于通过用户设备检测中间人攻击的方法与设备 |
| CN110557355B (zh) * | 2018-05-31 | 2021-07-27 | 上海连尚网络科技有限公司 | 一种用于通过用户设备检测中间人攻击的方法与设备 |
| CN109327558A (zh) * | 2018-10-30 | 2019-02-12 | 新华三技术有限公司合肥分公司 | 地址管理方法及装置 |
| CN110611678A (zh) * | 2019-09-24 | 2019-12-24 | 锐捷网络股份有限公司 | 一种识别报文的方法及接入网设备 |
| CN110611678B (zh) * | 2019-09-24 | 2022-05-20 | 锐捷网络股份有限公司 | 一种识别报文的方法及接入网设备 |
| CN110677439A (zh) * | 2019-11-18 | 2020-01-10 | 杭州迪普科技股份有限公司 | Nd攻击的防护方法和装置 |
| CN110677439B (zh) * | 2019-11-18 | 2022-03-01 | 杭州迪普科技股份有限公司 | Nd攻击的防护方法和装置 |
| CN112714133A (zh) * | 2021-01-04 | 2021-04-27 | 烽火通信科技股份有限公司 | 一种适用于DHCPv6服务端的防ND攻击方法与装置 |
| CN112714133B (zh) * | 2021-01-04 | 2022-04-19 | 烽火通信科技股份有限公司 | 一种适用于DHCPv6服务端的防ND攻击方法与装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101651696B (zh) | 2012-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101651696B (zh) | 一种防止nd攻击的方法及装置 | |
| US8239549B2 (en) | Dynamic host configuration protocol | |
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
| CN100384150C (zh) | 防止多个主机的异步arp高速缓存中毒的方法和系统 | |
| CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
| US8806565B2 (en) | Secure network location awareness | |
| CN101217575B (zh) | 一种在用户终端认证过程中分配ip地址的方法及装置 | |
| CN101621525B (zh) | 合法表项的处理方法和设备 | |
| CN101827138B (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
| Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
| CN101888329B (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
| CN101599967B (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| CN101635628A (zh) | 一种防止arp攻击的方法及装置 | |
| CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| CN101820432A (zh) | 无状态地址配置的安全控制方法及装置 | |
| Parthasarathy | Protocol for carrying authentication and network access (PANA) threat analysis and security requirements | |
| CN101808097B (zh) | 一种防arp攻击方法和设备 | |
| CN104468619A (zh) | 一种实现双栈web认证的方法和认证网关 | |
| Glăvan et al. | Sniffing attacks on computer networks | |
| Rehman et al. | Rule-based mechanism to detect Denial of Service (DoS) attacks on Duplicate Address Detection process in IPv6 link local communication | |
| CN101945053B (zh) | 一种报文的发送方法和装置 | |
| Rehman et al. | Novel mechanism to prevent denial of service (DoS) attacks in IPv6 duplicate address detection process | |
| KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
| Guangjia et al. | Using multi‐address generation and duplicate address detection to prevent DoS in IPv6 | |
| Naaz et al. | Investigating DHCP and DNS Protocols Using Wireshark |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |