CN101931627A - 安全检测方法、装置和网络侧设备 - Google Patents

安全检测方法、装置和网络侧设备 Download PDF

Info

Publication number
CN101931627A
CN101931627A CN2010102644537A CN201010264453A CN101931627A CN 101931627 A CN101931627 A CN 101931627A CN 2010102644537 A CN2010102644537 A CN 2010102644537A CN 201010264453 A CN201010264453 A CN 201010264453A CN 101931627 A CN101931627 A CN 101931627A
Authority
CN
China
Prior art keywords
ipv6
message
address
list item
local network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010102644537A
Other languages
English (en)
Other versions
CN101931627B (zh
Inventor
王肖军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Star Net Communication Co Ltd
Original Assignee
Fujian Star Net Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Star Net Communication Co Ltd filed Critical Fujian Star Net Communication Co Ltd
Priority to CN2010102644537A priority Critical patent/CN101931627B/zh
Publication of CN101931627A publication Critical patent/CN101931627A/zh
Application granted granted Critical
Publication of CN101931627B publication Critical patent/CN101931627B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种安全检测方法、装置和网络侧设备,该安全检测方法包括:在网络侧设备的网关连接口上监听IPv6路由器公告报文;根据监听到的IPv6路由器公告报文配置所述网络侧设备的安全检查口上的IPv6数据表;在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所述表项对所述匹配的报文执行相应的操作。本发明实施例实现了在无状态IPv6地址自动配置场景中,防御DRDOS攻击和网关欺骗攻击,提升了网络的安全性。

Description

安全检测方法、装置和网络侧设备
技术领域
本发明涉及通信技术领域,尤其涉及一种安全检测方法、装置和网络侧设备。
背景技术
拒绝服务攻击(Denial of Service Attack;以下简称:DOS)是通过耗尽被攻击者(一般是服务器)的网络带宽或处理能力,使其停止服务,达到攻击目的。随着网络带宽的提升和服务器处理能力的提升,一个攻击设备不足以使服务器停止服务,因此出现了分布式拒绝服务攻击(DistributedReflection Denial of Service Attack;以下简称:DDOS),实施DDOS攻击,攻击者必须先通过植入木马等方式控制大量的傀儡机,操作傀儡机同时发起攻击。控制傀儡机对攻击者的技术要求很高,同时随着用户防木马意识的增强,DDOS攻击越来越难以实施,因此出现了分布式反射拒绝服务攻击(Distributed Reflection Denial of Service Attack;以下简称:DRDOS),DRDOS通过伪造被攻击者的因特网协议(Internet Protocol;以下简称:IP)地址,选择特定的反射源,将攻击报文数量层层反射放大,最终大量的报文根据伪造的IP地址反射到被攻击者,使其停止服务。该类攻击不需要很高的技术,也不需要控制傀儡机,还完全隐藏攻击者,使其无法被追踪、隔离,因此DRDOS攻击行为越来越多,而且很难防御。
网关是一个子网的关键节点,承担着跨网段传输数据的职责,是子网与外界通讯的枢纽,因此常常成为被攻击的目标。最常见的攻击是网关地址欺骗攻击:攻击者假冒网关的IP地址发送地址解析报文,在该类报文中用自己的链路层地址替代网关的链路层地址,这样接收者学习到的是网关的IP地址和攻击者的链路层地址的映射关系,发往网关的报文就会被二层转发到攻击者的设备上,攻击者就可以实施各种非法活动。
针对上述问题,因特网协议版本4(Internet Protocol version 4;以下简称:IPv4)网络中有较为成熟的解决方案:将用户的IP地址和端口进行绑定,这样接入设备就无法发出携带非法IP地址的报文,目前因特网协议版本6(Internet Protocol version 6;以下简称:IPv6)也沿用该解决方案,具体如下:
静态IPv6地址分配方案:在二层交换机上静态的将用户IPv6地址绑定到端口,端口只转发源IPv6地址匹配端口IPv6用户列表的IPv6报文。
动态主机设置协议(Dynamic Host Configuration Protocol;以下简称:DHCP)IPv6地址分配方案:二层交换机监听接入设备的DHCP过程,从中动态的获取端口和IPv6地址的对应关系,然后将其绑定到端口;端口只转发源IPv6地址匹配端口IPv6用户列表的IPv6报文。
但是,现有的上述方案存在以下问题:IPv6相比IPv4新增加了一种地址分配方式:无状态IPv6地址自动配置。在这种模式下,用户的IPv6地址的主机部分可以是随机生成的,即同一个用户每次接入的IPv6地址可能是不同的,因此静态IPv6地址分配方案在该配置模式下不适用;另外,在该配置模式下,IPv6地址的分配不需要服务器支持,因此通过监听接入设备与服务器之间的交互过程获取IPv6地址与端口对应关系的DHCP IPv6地址分配方案也不再适用。
因此套用IPv4网络的解决方案无法适用于无状态IPv6地址自动配置场景,而现有技术也没有提供一种能够在无状态IPv6地址自动配置场景中防止DRDOS攻击和网关欺骗攻击的方案。
发明内容
本发明实施例提供一种安全检测方法、装置和网络侧设备,以实现在无状态IPv6地址自动配置场景中,防御DRDOS攻击和网关欺骗攻击。
本发明实施例提供一种安全检测方法,包括:
在网络侧设备的网关连接口上监听IPv6路由器公告报文;
根据监听到的IPv6路由器公告报文配置所述网络侧设备的安全检查口上的IPv6数据表;
在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所述表项对所述匹配的报文执行相应的操作。
本发明实施例还提供一种安全检测装置,包括:
监听模块,用于在所述安全检测装置的网关连接口上监听IPv6路由器公告报文;
配置模块,用于根据所述监听模块监听到的IPv6路由器公告报文配置所述安全检测装置的安全检查口上的IPv6数据表;
操作执行模块,用于在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所述表项对所述匹配的报文执行相应的操作。
本发明实施例还提供一种网络侧设备,包括上述安全检测装置。
通过本发明实施例,网络侧设备根据在该网络侧设备的网关连接口上监听到的IPv6路由器公告报文,配置该网络侧设备的安全检查口上的IPv6数据表,在该安全检查口检测到与IPv6数据表中的表项匹配的报文之后,根据该表项对匹配的报文执行相应的操作;从而实现了在无状态IPv6地址自动配置场景中,防御DRDOS攻击和网关欺骗攻击,提升了网络的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明安全检测方法一个实施例的流程图;
图2为本发明端口属性设置一个实施例的示意图;
图3为本发明安全检测方法另一个实施例的流程图;
图4为本发明安全检测装置一个实施例的结构示意图;
图5为本发明安全检测装置另一个实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明安全检测方法一个实施例的流程图,如图1所示,该安全检测方法可以包括:
步骤101,在网络侧设备的网关连接口上监听IPv6路由器公告报文。
步骤102,根据监听到的IPv6路由器公告报文配置该网络侧设备的安全检查口上的IPv6数据表。
步骤103,在安全检查口检测到与该IPv6数据表中的表项匹配的报文之后,根据上述表项对匹配的报文执行相应的操作。
本实施例中,网络侧设备使用首次命中算法,即遍历上述IPv6数据表,在接收到的报文首次与IPv6数据表中的表项匹配时,就停止遍历操作,根据匹配的表项对该报文执行相应的操作;对没有匹配任何表项的报文,该网络侧设备默认执行通过操作。
具体地,本实施例中,网络侧设备可以在安全检查口的IPv6数据表中添加与IPv6因特网控制报文协议(IPv6 Internet Control Message Protocol;以下简称:IPv6 ICMP)类型对应的表项,并在该IPv6 ICMP类型对应的表项中添加对匹配上述IPv6 ICMP类型对应表项的报文执行的操作;
这时,网络侧设备可以在安全检查口检测到IPv6 ICMP类型为路由器公告的IPv6报文之后,对该IPv6报文执行丢弃操作。
进一步地,在该IPv6 ICMP类型对应的表项中添加对匹配上述IPv6ICMP类型对应表项的报文执行的操作之后,网络侧设备可以解析在该网络侧设备的网关连接口上监听到的IPv6路由器公告报文,获得该IPv6路由器公告报文中携带的网关IPv6地址信息,在IPv6数据表中添加与网关IPv6地址信息对应的表项,并在该网关IPv6地址信息对应的表项中添加对匹配上述网关IPv6地址信息对应表项的报文执行的操作;
这时,网络侧设备可以在安全检查口检测到IPv6源IP地址(IPv6 SourceInternet Protocol;以下简称:IPv6 SIP)为网关IPv6地址的报文之后,对IPv6SIP为网关IPv6地址的报文执行丢弃操作;或者,
网络侧设备可以在安全检查口检测到目标IP地址为网关IPv6地址的IPv6邻居公告报文之后,对该IPv6邻居公告报文执行丢弃操作。
进一步地,在该网关IPv6地址信息对应的表项中添加对匹配上述网关IPv6地址信息对应表项的报文执行的操作之后,网络侧设备可以在IPv6数据表中添加与IPv6本地网段信息对应的表项,并在该IPv6本地网段信息对应的表项中添加对匹配上述IPv6本地网段信息对应表项的报文执行的操作;
这时,网络侧设备可以在安全检查口检测到携带IPv6本地网段地址的IPv6报文之后,对携带IPv6本地网段地址的IPv6报文执行通过操作。
进一步地,在该IPv6本地网段信息对应的表项中添加对匹配上述IPv6本地网段信息对应表项的报文执行的操作之后,网络侧设备可以继续解析在网关连接口上监听到的IPv6路由器公告报文,获得IPv6路由器公告报文中携带的IPv6非本地网段信息,在IPv6数据表中添加与IPv6非本地网段信息对应的表项,并在该IPv6非本地网段信息对应的表项中添加对匹配上述IPv6非本地网段信息对应表项的报文执行的操作;
这时,网络侧设备可以在安全检查口检测到IPv6 SIP属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文之后,对该IPv6 SIP属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行通过操作;本实施例中,IPv6 SIP属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文为合法的IPv6非本地网段地址的IPv6报文;或者,
网络侧设备可以在安全检查口检测到IPv6 SIP不属于IPv6本地网段地址的IPv6报文,或者IPv6 SIP不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文之后,对上述IPv6 SIP不属于IPv6本地网段地址的IPv6报文,或者IPv6 SIP不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行丢弃操作;本实施例中,IPv6 SIP不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文为非法的携带IPv6非本地网段地址的IPv6报文。
另外,在IPv6路由器公告报文中携带的网关IPv6地址信息和IPv6非本地网段信息发生改变之后,网络侧设备还可以将网关IPv6地址信息对应表项中的网关IPv6地址信息更新为发生改变之后的网关IPv6地址,并将IPv6非本地网段信息对应表项中的IPv6非本地网段信息更新为发生改变之后的IPv6非本地网段。
本实施例中的网络侧设备可以为二层交换机,也可以为其他网络侧设备,例如:路由器等,本实施例对此不作限定。
上述实施例中,网络侧设备根据在该网络侧设备的网关连接口上监听到的IPv6路由器公告报文,配置该网络侧设备的安全检查口上的IPv6数据表,在该安全检查口检测到与IPv6数据表中的表项匹配的报文之后,根据该表项对匹配的报文执行相应的操作;从而实现了在无状态IPv6地址自动配置场景中,防御DRDOS攻击和网关欺骗攻击,提升了网络的安全性。
本发明实施例提供的安全检测方法可以在无状态IPv6地址自动配置场景中,防御DRDOS攻击和网关欺骗攻击;可以从源头上过滤主要的网络攻击行为,有效提升了网络的安全性。
无状态IPv6地址自动配置方式是IPv6引入的一种新的地址分配方式,无状态IPv6地址自动配置方式不需要用户手工分配,也不需要服务器参与就可以给接入终端分配IPv6地址,具有即插即用,可移动性等诸多优点。无状态IPv6地址自动配置方式依赖于IPv6邻居发现(IPv6Neighbor Discovery;以下简称:IPv6ND)协议。IPv6ND协议需重点关注4类报文:IPv6邻居请求(IPv6Neighbor Solicitation;以下简称:IPv6NS)报文、IPv6邻居公告(IPv6Neighbor Advertisement;以下简称:IPv6 NA)报文、IPv6路由器请求(IPv6Router Solicitation;以下简称:IPv6RS)报文和IPv6路由器公告(IPv6 RouterAdvertisement;以下简称:IPv6 RA)报文。IPv6NS和IPv6NA报文类似IPv4的地址解析协议(Address Resolution Protocol;以下简称:ARP)报文,用于交互IPv6地址与链路层地址的对应关系。IPv6RS和IPv6RA报文则主要用于交互网络参数配置,例如:子网前缀,网关IPv6地址等。
在无状态IPv6地址自动配置场景下,IPv6地址由子网前缀+接口标识组成。其中子网前缀是网关通过IPv6RA报文公告的,接口标识是接入终端自己生成的,该接口标识可以采用随机方式生成。
本发明实施例预先根据网络拓扑设置网络侧设备的端口属性。该网络侧设备中的端口主要有两种属性:网关连接口和安全检查口。网关连接口用于连接三层网关,从网关连接口上获取的网络控制信息被认为是可信任的;安全检查口用于连接接入的用户终端,例如:个人电脑(Personal Computer;以下简称:PC),对所有通过该端口的IPv6报文都要进行安全检测;无特殊属性的端口用于连接可信任的终端,例如:服务器;三层网关上配置“无状态IPv6地址自动配置”的相关特性;具体如图2所示,图2为本发明端口属性设置一个实施例的示意图,图2所示实施例中以网络侧设备为二层交换机为例进行说明。
在设置网络侧设备的端口属性之后,网络侧设备可以在安全检查口配置IPv6数据表,在安全检查口检测到与IPv6数据表中的表项匹配的报文之后,根据该表项对匹配的报文执行相应的操作。图3为本发明安全检测方法另一个实施例的流程图,本实施例以网络侧设备为二层交换机为例进行说明,本实施例中,二层交换机包括IPv6检查引擎,用于对报文进行检测。如图3所示,该安全检测方法可以包括:
步骤301,二层交换机在网关连接口上监听IPv6RA报文。
具体地,二层交换机可以在该网关连接口的IPv6数据表中添加如下仅在该网关连接口上有效的表项,如表1所示。
表1
Figure BSA00000246350300081
并在网关连接口上启动IPv6检查引擎,在网关连接口上监听到IPv6RA报文之后,IPv6检查引擎会匹配命中表项1,根据表项1中的匹配行为,二层交换机的IPv6检查引擎会将该IPv6RA报文复制一份发送给该二层交换机的CPU。其他类型报文由于无匹配项则执行默认操作,该默认操作为通过,即对其他类型报文默认执行通过操作。
步骤302,二层交换机在IPv6数据表中添加与IPv6ICMP类型对应的表项,并在该IPv6ICMP类型对应的表项添加对匹配上述IPv6ICMP类型对应表项的报文执行的操作。
进行上述操作之后,安全检查口的IPv6数据表可以如表2所示。
表2
  序号   匹配内容   匹配操作
  1   IPv6ICMP类型=RA   丢弃
步骤303,二层交换机解析在网关连接口上监听到的IPv6RA报文,获得该IPv6RA报文携带的网关IPv6地址信息。
本实施例中,二层交换机的CPU接收到IPv6检查引擎发送的IPv6RA报文之后,对该IPv6RA报文进行解析,获得该IPv6RA报文携带的网关IPv6地址信息。
步骤304,二层交换机在该二层交换机的安全检查口的IPv6数据表中添加与网关IPv6地址信息对应的表项,并在网关IPv6地址信息对应的表项中添加对匹配网关IPv6地址信息对应表项的报文执行的操作。
进行上述操作之后,安全检查口的IPv6数据表可以如表3所示。
表3
Figure BSA00000246350300091
步骤305,二层交换机在安全检查口的IPv6数据表中添加与IPv6本地网段信息对应的表项,并在IPv6本地网段信息对应的表项中添加对匹配IPv6本地网段信息对应表项的报文执行的操作。
由于携带IPv6本地网段信息的IPv6报文不会跨网段传输,因此不会形成DDOS攻击,同时携带IPv6本地(IPv6Local)网段信息的IPv6报文是IPv6协议运行的基础,必须要允许这类报文通过,否则整个IPv6网络将无法工作,因此需要在安全检查口的IPv6数据表中添加与IPv6本地网段信息对应的表项,并在IPv6本地网段信息对应的表项中添加对匹配IPv6本地网段信息对应表项的报文执行的操作。
该步骤后,安全检查口的IPv6数据表可以如表4所示。
表4
Figure BSA00000246350300101
步骤306,二层交换机继续解析从网关连接口上监听到的IPv6RA报文,获得IPv6RA报文携带的IPv6非本地网段信息,在安全检查口的IPv6数据表中添加与IPv6非本地网段信息对应的表项,并在IPv6非本地网段信息对应的表项中添加对匹配IPv6非本地网段信息对应表项的报文执行的操作。
该步骤后,安全检查口的IPv6数据表可以如表5所示。
表5
步骤307,二层交换机在安全检查口的IPv6数据表中添加与IPv6SIP不属于IPv6本地网段地址的IPv6报文,或者IPv6SIP不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文对应的表项。
本实施例中,由于不匹配表项4和表项5的所有IPv6报文都被认为是非法的,必须丢弃,由于IPv6检查引擎执行的算法有首次命中特性,因此只需要最后将所有IPv6报文丢弃即可。该步骤后,安全检查口的IPv6数据表可以如表6所示。
表6
Figure BSA00000246350300111
本实施例中,二层交换机会持续不断地在网关连接口上监听IPv6RA报文,若IPv6RA报文中携带的网关IPv6地址信息和IPv6非本地网段信息发生改变,则二层交换机可以将安全检查口的IPv6数据表中网关IPv6地址信息对应表项中的网关IPv6地址信息更新为发生改变之后的网关IPv6地址,并将IPv6非本地网段信息对应表项中的IPv6非本地网段信息更新为发生改变之后的IPv6非本地网段,其他表项和表项之间的顺序保持不表,以保证二层交换机的自适应性。
步骤308,二层交换机在安全检查口检测到与上述IPv6数据表中的表项匹配的报文之后,根据上述表项对匹配的报文执行相应的操作。
本实施例中,二层交换机的IPv6检查引擎使用首次命中算法,即IPv6检查引擎遍历上述IPv6数据表,在IPv6检查引擎接收到的报文首次与IPv6数据表中的表项匹配时,IPv6检查引擎就停止遍历操作,根据匹配的表项对该报文执行相应的操作;对没有匹配任何表项的报文,IPv6检查引擎默认执行通过操作。
具体地,在安全检查口检测到IPv6ICMP类型=RA的IPv6报文之后,IPv6检查引擎会首次匹配命中表项1,根据表项1,IPv6检查引擎对上述IPv6ICMP类型=RA的IPv6报文执行丢弃操作,从而防止非法IPv6RA报文干扰安全控制表项的建立;或者,
在安全检查口检测到IPv6SIP=网关IPv6地址的报文之后,IPv6检查引擎会首次匹配命中表项2,根据表项2,IPv6检查引擎对该IPv6SIP=网关IPv6地址的报文执行丢弃操作,从而防止假冒网关的非法的IPv6ND协议报文通过,防止使用非法的IPv6ND协议报文进行网关欺骗攻击;或者,
在安全检查口检测到目标IP地址=网关IPv6地址的IPv6NA报文之后,IPv6检查引擎会首次匹配命中表项3,根据表项3,IPv6检查引擎对该IPv6NA报文执行丢弃操作,从而防止假冒网关的IPv6NA报文通过,防止使用IPv6NA报文进行网关欺骗攻击;或者,
在安全检查口检测到携带IPv6本地网段地址的IPv6报文时,IPv6检查引擎会首次匹配命中表项4,根据表项4,IPv6检查引擎对携带IPv6本地网段地址的IPv6报文执行通过操作,从而保证整个IPv6网络运行正常;需要说明的是,网关IPv6地址也可以使用IPv6本地网段地址,但是携带网关IPv6地址的IPv6报文会优先匹配表项2或表项3而被丢弃,因此不会因表项4而被误放过;或者,
在安全检查口检测到IPv6SIP属于IPv6RA报文公告的IPv6非本地网段地址的IPv6报文之后,IPv6检查引擎会首次匹配命中表项5,根据表项5,IPv6检查引擎对该IPv6SIP属于IPv6RA报文公告的IPv6非本地网段地址的IPv6报文执行通过操作,从而保证合法的IPv6报文能够被传输;本实施例中,IPv6SIP属于IPv6RA报文公告的IPv6非本地网段地址的IPv6报文为合法的携带IPv6非本地网段地址的IPv6报文;或者,
在安全检查口检测到IPv6SIP不属于IPv6RA报文公告的IPv6非本地网段地址的IPv6报文之后,IPv6检查引擎会首次匹配命中表项6,根据表项6,IPv6检查引擎对该IPv6SIP不属于IPv6RA报文公告的IPv6非本地网段地址的IPv6报文执行丢弃操作,从而过滤非法IPv6报文,从源头上避免了DDOS攻击;本实施例中,IPv6SIP不属于IPv6RA报文公告的IPv6非本地网段地址的IPv6报文为非法的携带IPv6非本地网段地址的IPv6报文。
上述实施例中,二层交换机配置该二层交换机的安全检查口上的IPv6数据表,在该安全检查口检测到与IPv6数据表中的表项匹配的报文之后,根据该表项对匹配的报文执行相应的操作;从而实现了在无状态IPv6地址自动配置场景中,防御DRDOS攻击和网关欺骗攻击,提升了网络的安全性;另外,本发明实施例中资源的消耗与用户的接入规模无关,从而可以支持大规模的网络;并且本发明实施例提供的安全检测方法不需要改变网络中其他节点的配置和行为,例如:不需要额外添加服务器,不需要接入终端上安装各类安全软件,以及不需要改变路由器的配置。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图4为本发明安全检测装置一个实施例的结构示意图,本实施例中的安全检测装置可以作为网络侧设备,或网络侧设备的一部分,实现本发明图1所示实施例的流程。
如图4所示,该安全检测装置可以包括:监听模块41、配置模块42和操作执行模块43;
其中,监听模块41,用于在该安全检测装置的网关连接口上监听IPv6路由器公告报文;
配置模块42,用于根据监听模块41监听到的IPv6路由器公告报文配置该安全检测装置的安全检查口上的IPv6数据表;
操作执行模块43,用于在安全检查口检测到与IPv6数据表中的表项匹配的报文之后,根据上述表项对匹配的报文执行相应的操作。
本实施例中的网络侧设备可以为二层交换机,也可以为其他网络侧设备,例如:路由器等,本实施例对此不作限定。
上述实施例中,配置模块42根据监听模块41在安全检测装置的网关连接口上监听到的IPv6路由器公告报文,配置该安全检测装置的安全检查口上的IPv6数据表,在该安全检查口检测到与IPv6数据表中的表项匹配的报文之后,操作执行模块43根据该表项对匹配的报文执行相应的操作;从而实现了在无状态IPv6地址自动配置场景中,防御DRDOS攻击和网关欺骗攻击,提升了网络的安全性。
图5为本发明安全检测装置另一个实施例的结构示意图,与图4所示的安全检测装置相比,不同之处在于,图5所示安全检测装置的一种实现方式中,配置模块42可以包括:
第一添加子模块421,用于在IPv6数据表中添加与IPv6ICMP类型对应的表项,并在该IPv6ICMP类型对应的表项中添加对匹配上述IPv6ICMP类型对应表项的报文执行的操作;
对应地,操作执行模块43可以包括:
第一丢弃子模块431,用于在安全检查口检测到IPv6ICMP类型为路由器公告的IPv6报文之后,对该IPv6报文执行丢弃操作。
在本实施例的另一种实现方式中,配置模块42还可以包括:
第一解析子模块422,用于解析监听到的IPv6路由器公告报文,获得IPv6路由器公告报文中携带的网关IPv6地址信息;
第二添加子模块423,用于在IPv6数据表中添加与第一解析子模块422获得的网关IPv6地址信息对应的表项,并在网关IPv6地址信息对应的表项中添加对匹配上述网关IPv6地址信息对应表项的报文执行的操作;
对应地,操作执行模块43还可以包括:
第二丢弃子模块432,用于在安全检查口检测到IPv6SIP地址为网关IPv6地址的报文之后,对IPv6SIP地址为网关IPv6地址的报文执行丢弃操作;或者,在安全检查口检测到目标IP地址为网关IPv6地址的IPv6邻居公告报文之后,对该IPv6邻居公告报文执行丢弃操作。
在本实施例的再一种实现方式中,配置模块42还可以包括:
第三添加子模块424,用于在IPv6数据表中添加与IPv6本地网段信息对应的表项,并在该IPv6本地网段信息对应的表项中添加对匹配上述IPv6本地网段信息对应表项的报文执行的操作;
对应地,操作执行模块43还可以包括:
第一通过子模块433,用于在安全检查口检测到携带IPv6本地网段地址的IPv6报文之后,对携带IPv6本地网段地址的IPv6报文执行通过操作。
在本实施例的再一种实现方式中,配置模块42还可以包括:
第二解析子模块425,用于解析监听到的IPv6路由器公告报文,获得IPv6路由器公告报文中携带的IPv6非本地网段信息;
第四添加子模块426,用于在IPv6数据表中添加与第二解析子模块425获得的IPv6非本地网段信息对应的表项,并在该IPv6非本地网段信息对应的表项中添加对匹配上述IPv6非本地网段信息对应表项的报文执行的操作;
对应地,操作执行模块43还可以包括:
第二通过子模块434,用于在安全检查口检测到IPv6SIP地址属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文之后,对IPv6源IP地址属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行通过操作;
第三丢弃子模块435,用于在安全检查口检测到IPv6SIP地址不属于IPv6本地网段地址的IPv6报文,或者IPv6SIP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文之后,对上述IPv6SIP地址不属于IPv6本地网段地址的IPv6报文,或者IPv6SIP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行丢弃操作。
另外,本实施例中的配置模块42还可以包括:更新子模块427,用于在IPv6路由器公告报文中携带的网关IPv6地址信息和IPv6非本地网段信息发生改变之后,将网关IPv6地址信息对应表项中的网关IPv6地址信息更新为发生改变之后的网关IPv6地址,并将IPv6非本地网段信息对应表项中的IPv6非本地网段信息更新为发生改变之后的IPv6非本地网段。
本实施例中的配置模块42可以只包括第一添加子模块421,对应地,操作执行模块43可以只包括第一丢弃子模块431;或者,配置模块42可以包括第一添加子模块421、第一解析子模块422、第二添加子模块423和更新子模块427,对应地,操作执行模块43可以包括第一丢弃子模块431和第二丢弃子模块432;或者,配置模块42可以包括第一添加子模块421、第一解析子模块422、第二添加子模块423、第三添加子模块424和更新子模块427,对应地,操作执行模块43可以包括第一丢弃子模块431、第二丢弃子模块432和第一通过子模块433;或者,配置模块42可以包括第一添加子模块421、第一解析子模块422、第二添加子模块423、第三添加子模块424、第二解析子模块425、第四添加子模块426和更新子模块427,对应地,操作执行模块43可以包括第一丢弃子模块431、第二丢弃子模块432、第一通过子模块433、第二通过子模块434和第三丢弃子模块435。
图5示出的是配置模块42包括第一添加子模块421、第一解析子模块422、第二添加子模块423、第三添加子模块424、第二解析子模块425、第四添加子模块426和更新子模块427,对应地,操作执行模块43包括第一丢弃子模块431、第二丢弃子模块432、第一通过子模块433、第二通过子模块434和第三丢弃子模块435的这种实现方式。
上述实施例中的网络侧设备实现了在无状态IPv6地址自动配置场景中,防御DRDOS攻击和网关欺骗攻击,提升了网络的安全性;另外,上述网络侧设备可以安放在网络接入层的任何位置,例如:不需要和接入终端直连。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (13)

1.一种安全检测方法,其特征在于,包括:
在网络侧设备的网关连接口上监听IPv6路由器公告报文;
根据监听到的IPv6路由器公告报文配置所述网络侧设备的安全检查口上的IPv6数据表;
在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所述表项对所述匹配的报文执行相应的操作。
2.根据权利要求1所述的方法,其特征在于,所述根据监听到的IPv6路由器公告报文配置所述网络侧设备的安全检查口上的IPv6数据表包括:
在所述IPv6数据表中添加与IPv6因特网控制报文协议类型对应的表项,并在所述IPv6因特网控制报文协议类型对应的表项中添加对匹配所述IPv6因特网控制报文协议类型对应表项的报文执行的操作;
所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所述表项对所述匹配的报文执行相应的操作包括:
在所述安全检查口检测到IPv6因特网控制报文协议类型为路由器公告的IPv6报文之后,对所述IPv6报文执行丢弃操作。
3.根据权利要求2所述的方法,其特征在于,所述在所述IPv6因特网控制报文协议类型对应的表项中添加对匹配所述IPv6因特网控制报文协议类型对应表项的报文执行的操作之后,还包括:
解析监听到的IPv6路由器公告报文,获得所述IPv6路由器公告报文中携带的网关IPv6地址信息,在所述IPv6数据表中添加与所述网关IPv6地址信息对应的表项,并在所述网关IPv6地址信息对应的表项中添加对匹配所述网关IPv6地址信息对应表项的报文执行的操作;
所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所述表项对所述匹配的报文执行相应的操作包括:
在所述安全检查口检测到IPv6源IP地址为网关IPv6地址的报文之后,对所述IPv6源IP地址为网关IPv6地址的报文执行丢弃操作;或者,
在所述安全检查口检测到目标IP地址为网关IPv6地址的IPv6邻居公告报文之后,对所述IPv6邻居公告报文执行丢弃操作。
4.根据权利要求3所述的方法,其特征在于,所述在所述网关IPv6地址信息对应的表项中添加对匹配所述网关IPv6地址信息对应表项的报文执行的操作之后,还包括:
在所述IPv6数据表中添加与IPv6本地网段信息对应的表项,并在所述IPv6本地网段信息对应的表项中添加对匹配所述IPv6本地网段信息对应表项的报文执行的操作;
所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所述表项对所述匹配的报文执行相应的操作包括:
在所述安全检查口检测到携带IPv6本地网段地址的IPv6报文之后,对所述携带IPv6本地网段地址的IPv6报文执行通过操作。
5.根据权利要求4所述的方法,其特征在于,所述在所述IPv6本地网段信息对应的表项中添加对匹配所述IPv6本地网段信息对应表项的报文执行的操作之后,还包括:
解析监听到的IPv6路由器公告报文,获得所述IPv6路由器公告报文中携带的IPv6非本地网段信息,在所述IPv6数据表中添加与所述IPv6非本地网段信息对应的表项,并在所述IPv6非本地网段信息对应的表项中添加对匹配所述IPv6非本地网段信息对应表项的报文执行的操作;
所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所述表项对所述匹配的报文执行相应的操作包括:
在所述安全检查口检测到IPv6源IP地址属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文之后,对所述IPv6源IP地址属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行通过操作;或者,
在所述安全检查口检测到IPv6源IP地址不属于IPv6本地网段地址的IPv6报文,或者所述IPv6源IP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文之后,对所述IPv6源IP地址不属于IPv6本地网段地址的IPv6报文,或者所述IPv6源IP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行丢弃操作。
6.根据权利要求3-5任意一项所述的方法,其特征在于,还包括:
在所述IPv6路由器公告报文中携带的网关IPv6地址信息和IPv6非本地网段信息发生改变之后,将所述网关IPv6地址信息对应表项中的网关IPv6地址信息更新为发生改变之后的网关IPv6地址,并将所述IPv6非本地网段信息对应表项中的IPv6非本地网段信息更新为发生改变之后的IPv6非本地网段。
7.一种安全检测装置,其特征在于,包括:
监听模块,用于在所述安全检测装置的网关连接口上监听IPv6路由器公告报文;
配置模块,用于根据所述监听模块监听到的IPv6路由器公告报文配置所述安全检测装置的安全检查口上的IPv6数据表;
操作执行模块,用于在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所述表项对所述匹配的报文执行相应的操作。
8.根据权利要求7所述的装置,其特征在于,所述配置模块包括:
第一添加子模块,用于在所述IPv6数据表中添加与IPv6因特网控制报文协议类型对应的表项,并在所述IPv6因特网控制报文协议类型对应的表项中添加对匹配所述IPv6因特网控制报文协议类型对应表项的报文执行的操作;
所述操作执行模块包括:
第一丢弃子模块,用于在所述安全检查口检测到IPv6因特网控制报文协议类型为路由器公告的IPv6报文之后,对所述IPv6报文执行丢弃操作。
9.根据权利要求8所述的装置,其特征在于,所述配置模块还包括:
第一解析子模块,用于解析监听到的IPv6路由器公告报文,获得所述IPv6路由器公告报文中携带的网关IPv6地址信息;
第二添加子模块,用于在所述IPv6数据表中添加与所述第一解析子模块获得的网关IPv6地址信息对应的表项,并在所述网关IPv6地址信息对应的表项中添加对匹配所述网关IPv6地址信息对应表项的报文执行的操作;
所述操作执行模块还包括:
第二丢弃子模块,用于在所述安全检查口检测到IPv6源IP地址为网关IPv6地址的报文之后,对所述IPv6源IP地址为网关IPv6地址的报文执行丢弃操作;或者,在所述安全检查口检测到目标IP地址为网关IPv6地址的IPv6邻居公告报文之后,对所述IPv6邻居公告报文执行丢弃操作。
10.根据权利要求9所述的装置,其特征在于,所述配置模块还包括:
第三添加子模块,用于在所述IPv6数据表中添加与IPv6本地网段信息对应的表项,并在所述IPv6本地网段信息对应的表项中添加对匹配所述IPv6本地网段信息对应表项的报文执行的操作;
所述操作执行模块还包括:
第一通过子模块,用于在所述安全检查口检测到携带IPv6本地网段地址的IPv6报文之后,对所述携带IPv6本地网段地址的IPv6报文执行通过操作。
11.根据权利要求10所述的装置,其特征在于,所述配置模块还包括:
第二解析子模块,用于解析监听到的IPv6路由器公告报文,获得所述IPv6路由器公告报文中携带的IPv6非本地网段信息;
第四添加子模块,用于在所述IPv6数据表中添加与所述第二解析子模块获得的IPv6非本地网段信息对应的表项,并在所述IPv6非本地网段信息对应的表项中添加对匹配所述IPv6非本地网段信息对应表项的报文执行的操作;
所述操作执行模块还包括:
第二通过子模块,用于在所述安全检查口检测到IPv6源IP地址属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文之后,对所述IPv6源IP地址属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行通过操作;
第三丢弃子模块,用于在所述安全检查口检测到IPv6源IP地址不属于IPv6本地网段地址的IPv6报文,或者所述IPv6源IP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文之后,对所述IPv6源IP地址不属于IPv6本地网段地址的IPv6报文,或者所述IPv6源IP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行丢弃操作。
12.根据权利要求9-11任意一项所述的装置,其特征在于,所述配置模块还包括:
更新子模块,用于在所述IPv6路由器公告报文中携带的网关IPv6地址信息和IPv6非本地网段信息发生改变之后,将所述网关IPv6地址信息对应表项中的网关IPv6地址信息更新为发生改变之后的网关IPv6地址,并将所述IPv6非本地网段信息对应表项中的IPv6非本地网段信息更新为发生改变之后的IPv6非本地网段。
13.一种网络侧设备,其特征在于,包括根据权利要求7-12任意一项所述的安全检测装置。
CN2010102644537A 2010-08-26 2010-08-26 安全检测方法、装置和网络侧设备 Active CN101931627B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010102644537A CN101931627B (zh) 2010-08-26 2010-08-26 安全检测方法、装置和网络侧设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010102644537A CN101931627B (zh) 2010-08-26 2010-08-26 安全检测方法、装置和网络侧设备

Publications (2)

Publication Number Publication Date
CN101931627A true CN101931627A (zh) 2010-12-29
CN101931627B CN101931627B (zh) 2013-09-18

Family

ID=43370553

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010102644537A Active CN101931627B (zh) 2010-08-26 2010-08-26 安全检测方法、装置和网络侧设备

Country Status (1)

Country Link
CN (1) CN101931627B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932493A (zh) * 2011-09-12 2013-02-13 微软公司 记录无状态的ip地址
CN104753926A (zh) * 2015-03-11 2015-07-01 华中科技大学 一种网关准入控制方法
WO2018040793A1 (zh) * 2016-08-30 2018-03-08 中兴通讯股份有限公司 防御分布式反射拒绝服务攻击的方法、装置及交换机
CN107864677A (zh) * 2015-07-22 2018-03-30 爱维士软件私人有限公司 内容访问验证系统和方法
CN108540461A (zh) * 2018-03-26 2018-09-14 河南工程学院 一种基于滑动时间窗口的IPv6地址跳变主动防御方法
CN109344620A (zh) * 2018-09-07 2019-02-15 国网福建省电力有限公司 一种基于对hadoop安全配置的检测方法
CN112565174A (zh) * 2019-09-10 2021-03-26 阿自倍尔株式会社 地址监视装置和地址监视方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200727649A (en) * 2006-01-12 2007-07-16 Advance Multimedia Internet Technology Inc IPv6 address-generating and translating method of IPv6 stateless automatic address-setting protocol
CN101378395A (zh) * 2008-10-10 2009-03-04 福建星网锐捷网络有限公司 一种防止拒绝访问攻击的方法及装置
CN101651696A (zh) * 2009-09-17 2010-02-17 杭州华三通信技术有限公司 一种防止nd攻击的方法及装置
CN101662423A (zh) * 2008-08-29 2010-03-03 中兴通讯股份有限公司 单一地址反向传输路径转发的实现方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200727649A (en) * 2006-01-12 2007-07-16 Advance Multimedia Internet Technology Inc IPv6 address-generating and translating method of IPv6 stateless automatic address-setting protocol
CN101662423A (zh) * 2008-08-29 2010-03-03 中兴通讯股份有限公司 单一地址反向传输路径转发的实现方法及装置
CN101378395A (zh) * 2008-10-10 2009-03-04 福建星网锐捷网络有限公司 一种防止拒绝访问攻击的方法及装置
CN101651696A (zh) * 2009-09-17 2010-02-17 杭州华三通信技术有限公司 一种防止nd攻击的方法及装置

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932493A (zh) * 2011-09-12 2013-02-13 微软公司 记录无状态的ip地址
CN104753926A (zh) * 2015-03-11 2015-07-01 华中科技大学 一种网关准入控制方法
CN104753926B (zh) * 2015-03-11 2019-04-12 华中科技大学 一种网关准入控制方法
CN107864677A (zh) * 2015-07-22 2018-03-30 爱维士软件私人有限公司 内容访问验证系统和方法
CN107864677B (zh) * 2015-07-22 2022-05-27 爱维士软件有限责任公司 内容访问验证系统和方法
WO2018040793A1 (zh) * 2016-08-30 2018-03-08 中兴通讯股份有限公司 防御分布式反射拒绝服务攻击的方法、装置及交换机
CN108540461A (zh) * 2018-03-26 2018-09-14 河南工程学院 一种基于滑动时间窗口的IPv6地址跳变主动防御方法
CN108540461B (zh) * 2018-03-26 2020-09-11 河南工程学院 一种基于滑动时间窗口的IPv6地址跳变主动防御方法
CN109344620A (zh) * 2018-09-07 2019-02-15 国网福建省电力有限公司 一种基于对hadoop安全配置的检测方法
CN109344620B (zh) * 2018-09-07 2021-08-31 国网福建省电力有限公司 一种基于对hadoop安全配置的检测方法
CN112565174A (zh) * 2019-09-10 2021-03-26 阿自倍尔株式会社 地址监视装置和地址监视方法
CN112565174B (zh) * 2019-09-10 2023-04-18 阿自倍尔株式会社 地址监视装置和地址监视方法

Also Published As

Publication number Publication date
CN101931627B (zh) 2013-09-18

Similar Documents

Publication Publication Date Title
CN101931627B (zh) 安全检测方法、装置和网络侧设备
US8495738B2 (en) Stealth network node
Choi et al. Botnet detection by monitoring group activities in DNS traffic
CN101651696B (zh) 一种防止nd攻击的方法及装置
US10601766B2 (en) Determine anomalous behavior based on dynamic device configuration address range
Ullrich et al. {IPv6} Security: Attacks and Countermeasures in a Nutshell
CN106411910A (zh) 一种分布式拒绝服务攻击的防御方法与系统
CN102025734B (zh) 一种防止mac地址欺骗的方法、系统及交换机
CN101621525B (zh) 合法表项的处理方法和设备
CN101764734A (zh) IPv6环境下提高邻居发现安全性的方法及宽带接入设备
CN101459653B (zh) 基于Snooping技术的防止DHCP报文攻击的方法
CN104883410A (zh) 一种网络传输方法和网络传输装置
CN104780139B (zh) 一种基于mac地址攻击的防御方法和系统
CN101626375B (zh) 域名防护系统及方法
CN105939332A (zh) 防御arp攻击报文的方法及装置
CN101820432A (zh) 无状态地址配置的安全控制方法及装置
CN113315814B (zh) 一种IPv6网络边界设备快速发现方法及系统
CN112688900A (zh) 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法
Rohatgi et al. A detailed survey for detection and mitigation techniques against ARP spoofing
CN101562542A (zh) 免费arp请求的响应方法和网关设备
Heinrich et al. New kids on the DRDoS block: Characterizing multiprotocol and carpet bombing attacks
Rehman et al. Rule-based mechanism to detect Denial of Service (DoS) attacks on Duplicate Address Detection process in IPv6 link local communication
CN102752266B (zh) 访问控制方法及其设备
CN103095858B (zh) 地址解析协议arp报文处理的方法、网络设备及系统
Kishimoto et al. An adaptive honeypot system to capture ipv6 address scans

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant