CN102347903B - 一种数据报文转发方法、装置及系统 - Google Patents
一种数据报文转发方法、装置及系统 Download PDFInfo
- Publication number
- CN102347903B CN102347903B CN201110310340.0A CN201110310340A CN102347903B CN 102347903 B CN102347903 B CN 102347903B CN 201110310340 A CN201110310340 A CN 201110310340A CN 102347903 B CN102347903 B CN 102347903B
- Authority
- CN
- China
- Prior art keywords
- node
- message
- data message
- address
- ipv6 data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供一种数据报文转发方法、装置及系统,包括:修改ND协议,发送特定的NS报文,并接收本地链路节点返回的NA报文,从而可以根据接收到的NA报文更新本地链路节点的MAC地址信息,在确定接收到的IPv6数据报文目的地址是本地邻居列表中的节点地址时,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文。从而可以在攻击报文的目的IPv6地址不存在时,避免造成CPU高负荷的问题,并且,也可以解决为了防止DoS攻击,丢弃目的IPv6地址存在的非攻击报文的问题。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种数据报文转发方法、装置及系统。
背景技术
互联网协议版本6(IPv6,Internet Protocol Version6)在请求评论文档(RFC,Request For Comments)2460中定义,是下一代互联网设备互联的重要标准之一。目前大部分网络设备(包括交换机,路由器等)都支持IPv6协议。
相比IPv4,IPv6将地址长度由原先的32位增加到了128位,IPv6的地址总数大约有3.4*10E38个,以支持大规模数量的网络节点。平均到地球表面上,每平方米将获得6.5*10E23个地址。IPv6支持更多级别的地址层次,IPv6的设计者把IPv6的地址空间按照不同的地址前缀来划分,并采用了层次化的地址结构,以利于骨干网路由器对数据包的快速转发。
目前有一种利用IPv6数据报文对网络设备发起的拒绝服务(DoS,Denialof Service)攻击,攻击的方法和报文的主要特征如下:
(1)攻击者朝目标网络设备的某个IPv6接口持续发送大量的IPv6数据报文(攻击报文)。攻击报文的报文发送速率是随机调整的;
(2)攻击报文的源IPv6地址是随意的,目的IPv6地址在变化,且与目标网络设备的某一个接口地址(这个接口地址作为攻击报文目的IPv6地址的网关)在同一网段。
(3)目的IPv6地址所对应的主机可能存在,也可能不存在。
DoS攻击主要是针对目标网络设备CPU的负担来设计。对网络设备来说,如果目的IPv6地址存在,则IPv6数据报文会被网络设备直接转发,不会占用网络设备CPU的资源,而如果目的IPv6地址不存在,IPv6数据报文会送到网络设备CPU,由CPU通过邻居发现(ND,Neighbor Discovery)协议,发送邻居请求(NS,Neighbor Solicitation)报文,请求询问目的IPv6地址对应的介质访问控制(MAC,Media Access Control)地址,如果送到CPU的IPv6数据报文数量较多,网络设备会持续发送NS报文,消耗CPU资源。在IPv6数据报文的发送速率较大的情况下,网络设备的CPU忙于发送NS报文,使其他正常业务无法得到及时处理,造成网络转发不通,网络路由协议震荡等故障。
ND协议是IPv6中的一个关键协议,全称是IPv6版本的邻居发现(NeighborDiscovery for IP Version6),在RFC2461中定义。ND协议的一个主要机制就是提供确定本地链路上节点链路层地址的方法,这种机制混合使用互联网控制消息协议第六版(ICMPv6,Internet Control Message Protocol Version6)和IPv6的多播地址,有点类似IPv4的地址解析协议(ARP,Address ResolutionProtocol)。下面对ND协议中确定本地链路上节点链路层地址机制的原理做一个说明。
在IPv6中,对节点链路层地址的确定使用邻居请求消息(ICMPv6类型135)、邻居公告消息(ICMPv6类型136)和被请求节点多播地址的组合。
如图1所示,节点A和B的链路层地址分别是00:50:3e:e4:4c:00和00:50:3e:e4:4b:01。节点A要和节点B通信,需要获取节点B的链路层地址,具体的,可以通过以下步骤获取节点B的链路层地址:
步骤一:节点A发送一个类型为135的ICMPv6消息(该消息即NS报文)到本地链路,节点A的本地站点地址FEC0::1:0:0:1:A作为源地址,与节点B的本地站点地址FEC0::1:0:0:1:B对应的被请求节点多播地址FF02::1:FF01:B作为目的地址,发送节点A的源链路层地址00:50:3e:e4:4c:00作为ICMPv6消息的数据。
步骤二:侦听本地链路上多播地址的节点B获取这个邻居请求消息;
步骤三:节点B发送一个类型为136的ICMPv6消息(该消息即邻居公告消息(NA,Neighbor Advertisement)报文)作为应答报文,用节点B的本地站点地址FEC0::1:0:0:1:B作为源地址,节点A的本地站点地址FEC0::1:0:0:1:A作为目的地址,以节点B的链路层地址00:5e:3e:e4:4b:01作为消息的数据。
在节点A收到NA报文和节点B收到NS报文后,都知道了对端的链路层地址,并可以存放在自己的邻居发现列表中,此时,节点A和B可以进行通信。
针对DoS攻击,目前有如下解决方案:
方案1:基于主机的IPv6攻击识别隔离和限速。基于主机是采用源IPv6地址/VLAN ID/物理端口三者结合识别的。攻击识别都有限速水线。当同一个源IPv6地址/VLAN ID/物理端口的IPv6数据报文速率超过限速水线时,超限报文将被丢弃。原理是对同一个源IPv6地址/VLAN ID/物理端口的IPv6数据报文进行统计,当一个规定时间内的统计值超过预设的阀值,则认为这个源IPv6地址对应的主机发送的IPv6数据报文是攻击报文,将这个源IPv6地址进行隔离,并将该源IPv6地址对应的所有IPv6数据报文设置丢弃策略。同时对攻击者的隔离时间也设置一个阀值,当超过这个预设阀值,则解除对该源IPv6地址的限制。
方案1存在的问题是:基于主机的攻击隔离和限速方式,当攻击者将攻击报文的速率调小,或者让攻击报文的源IPv6地址和目的IPv6地址都做随机性改变,方案1就无法检测出攻击报文并及时隔离,仍存在由于DoS攻击造成的网络设备CPU负荷较重的问题。另外存在的一个问题是:当一个正常客户发送的IPv6数据报文速率超过预设阀值时,会被误认为是攻击报文而被隔离,导致该用户在隔离时间内无法进行通信。虽然阀值可以调整,不过上述2个主要问题还是依然存在。
方案2:基于端口的IPv6攻击隔离和限速。基于物理端口的攻击隔离和限速相对比较简单。每个端口都有攻击阈值。当某个端口的IPv6数据报文接收速度超过攻击阈值时,就丢弃超速的IPv6数据报文。
方案2存在的问题是:基于端口的方式过于简单,会造成用户数据报文(非攻击报文)被直接丢弃的问题。
方案3:限制接口下ND表项的最大学习个数,以及限制设备同时发起解析的ND表项的个数。这种解决方案保证网络设备CPU在单位时间内只处理有限的ND报文,超过规格限制的ND报文就丢弃。
方案3存在的问题是:无法从根本上解决数据报文攻击所导致的网络设备CPU高负荷的问题。同时会丢弃正常用户的ND报文,使正常用户应用无法完成。
方案4:下发黑洞路由。具体原理为网络设备通过ND协议发起地址解析时,将所解析ND表项对应的主机路由策略设置为黑洞(BLACKHOLE,即不转发),如果地址解析成功,则删除该主机黑洞路由。这种方案可以保证任何一个ND表项在解析成功前,后续具有相同目的地址的数据报文都会由于匹配到黑洞路由表项而被丢弃。
方案4存在的问题是:由于接口IPv6地址覆盖的网段范围非常大(比如64位掩码,则可以覆盖的主机地址个数为264-2个地址)不可能对匹配到直连网段路由的攻击数据报文进行穷举,因此不断变化目的地址的攻击数据报文仍然能够不断地冲击网络设备CPU。另外如果是做一次性扫描的话,网络设备也需要发送NS报文,无法解决网络设备CPU被攻击的问题。
综上所述,现有的防止DoS攻击的解决方案要么无法从根本上解决网络设备CPU负荷较重的问题,要么会造成用户数据报文的丢弃,导致用户无法进行通信,因此,目前亟需提供一种可以有效防止DoS攻击的解决方案,在防止网络设备CPU负荷较重的同时,避免丢弃用户数据报文。
发明内容
本发明实施例提供一种数据报文转发方法、装置及系统,用于有效防止DoS攻击。
一种数据报文转发方法,所述方法包括:
发送特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1;
接收本地链路节点返回的邻居公告NA报文,并根据返回的NA报文更新本地邻居列表;
确定接收到的互联网协议版本IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若是,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文。
一种数据报文转发方法,所述方法包括:
接收网络设备发送的特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1;
根据接收到的特定NS报文,向所述网络设备返回邻居公告NA报文。
一种网络设备,所述网络设备包括:
第一发送单元,用于发送特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1;
接收单元,用于接收本地链路节点返回的邻居公告NA报文;
更新单元,用于根据返回的NA报文更新本地邻居列表;
第二发送单元,用于确定接收到的互联网协议版本IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若是,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文。
一种节点,所述节点包括:
接收单元,用于接收网络设备发送的特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1;
发送单元,用于根据接收到的特定NS报文,向所述网络设备返回邻居公告NA报文。
一种数据转发的系统,所述系统包括网络设备和节点,其中:
网络设备,用于发送特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1,接收本地链路节点返回的邻居公告NA报文,并根据返回的NA报文更新本地邻居列表,确定接收到的互联网协议版本IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若是,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文;
节点,用于根据接收到的特定NS报文,向所述网络设备返回邻居公告NA报文。
根据本发明实施例提供的方案,修改ND协议,发送目的地址为本地链路的多播地址FF02::1的特定的NS报文,并接收本地链路节点返回的NA报文,从而可以根据接收到的NA报文更新本地链路节点的MAC地址信息,在确定接收到的IPv6数据报文目的地址是本地邻居列表中的节点地址时,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文。从而可以在受到DoS攻击时,攻击报文的目的IPv6地址不存在时,网络设备的CPU无需发送NS报文来解析目的IPv6地址,从而可以避免由于DoS攻击造成的CPU高负荷的问题,并且,也可以解决为了防止DoS攻击,丢弃目的IPv6地址存在的非攻击报文的问题。
附图说明
图1为现有技术提供的节点A获取节点B的链路层地址的示意图;
图2为本发明实施例一提供的数据报文转发方法的步骤流程图;
图3为本发明实施例二提供的数据报文转发方法的步骤流程图;
图4为本发明实施例三提供的数据报文转发方法的步骤流程图;
图5为本发明实施例四提供的数据报文转发方法的示意图;
图6为本发明实施例五提供的网络设备的结构示意图;
图7为本发明实施例六提供的节点的结构示意图;
图8为本发明实施例七提供的数据报文转发系统的结构示意图。
具体实施方式
为了解决IPv6DoS攻击中造成的网络设备对大量不存在的ND表项进行解析的问题,本发明实施例采用的方案主要是通过更新现有ND协议,新增一个NS类型报文,让网络设备定期更新本地链路节点的信息并检查合法性,具体的,对目的地址对应合法且存在的邻居的IPv6数据报文,可以采取转发策略;对目的地址对应不存在或者非法的邻居的IPv6数据报文,可以采取不转发策略。通过这种方式,网络设备不管处于受攻击状态还是正常状态,都可以正常维护本地链路合法邻居的转发表项和转发策略,能有效抵御IPv6的DoS攻击。
下面结合说明书附图和各实施例对本发明方案进行说明。
实施例一、
本发明实施例一提供一种数据报文转发方法,该方法的步骤流程如图2所示,具体包括以下步骤:
步骤101、网络设备发送特定NS报文。
网络设备发送特定NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1。RFC2461规定,原始NS报文(现有技术中的NS报文)的目的IPv6地址一般为请求对象的多播地址或请求对象的单播地址。本发明实施例中规定特定NS报文的目的IPv6地址为本地链路的多播地址FF02::1,这样本地链路上所有节点都可以接收该特定NS报文,从而可以通过向本地链路的所有节点发送特定的NS报文来获取每个节点的相关信息。
较优的,网络设备可以定时发送所述特定NS报文,也可以在设定第一时长内,接收到的IPv6数据报文目的地址不是本地邻居列表中的节点地址的数量大于设定的阈值时发送所述特定NS报文。
RFC2461规定,原始NS报文中的保留(reserved)字段必须全部为0,且接收原始NS报文的节点忽略该字段的取值。本发明实施例中,所述特定NS报文的保留字段可以配置有识别字段和回应延迟随机字段,所述识别字段用于指示需要回复NA报文的本地链路节点,所述回应延迟随机字段用于指示本地链路节点是否需要延迟随机算法确定出的一段时间后回复NA报文。接收所述特定NS报文的节点可以根据识别字段和回应延迟随机字段的取值做出相应的处理,节点在识别特定NS报文时,可以根据报文的目的地址是否为本地链路多播地址FF02::1来识别该报文是否为特定NS报文。
例如,可以将原始NS报文的3个字节的保留字段分割成两个字段,分别用于配置所述网络识别字段和所述回应延迟随机字段。可以将网络识别字段取值为1,并可以将节点指定的字段初始值设置为0(即可以设定节点指定的字段初始值与所述识别字段取值不相同,所述指定的字段可以用于标识节点的本地邻居列表中是否包括所述网络设备,可以定义取值为0时标识节点的本地邻居列表中不包括所述网络设备,定义取值为1时标识节点的本地邻居列表中包括所述网络设备),并可以定义节点在指定的字段与接收到的特定NS报文中的识别字段取值不同时(此时可以确定该节点的相关信息未被该网络设备获得),将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为相同,并确定需要回复NA报文。定义节点在指定的字段与接收到的特定NS报文中的识别字段取值相同时,确定不需要回复NA报文(此时可以确定该节点的相关信息已被该网络设备获得)。节点回复的NA报文即为现有技术中的NA报文,在此不再赘述。通过配置网络识别字段,使得相关信息已被该网络设备获得的部分本地链路节点无需回复NA报文,从而可以减轻网络设备的信令交互和处理负荷。
进一步的,可以通过配置回应延迟随机字段,定义节点如何回复NA报文。如,可以将回应延迟随机字段取值为1或者取值为0,并可以定义接收到配置的回应延迟随机字段取值为1的特定NS报文的节点在回复NA报文时,需要利用随机算法确定出一段时间,延迟该时间后回复NA报文(即设定取值为1),定义在接收到配置的回应延迟随机字段取值为0的特定NS报文的节点在回复NA报文时,需要立即回复NA报文。具体的,可以在某一时刻统计在设定第一时长内,接收到的IPv6数据报文目的地址不是本地邻居列表中的节点地址的数量,若该数量大于设定的门限值,则将回应延迟随机字段取值为1(将回应延迟随机字段取值为设定取值),从而可以利用随机算法确定每个节点回复的延迟时间,使得众多节点发送NA报文的时间间隔拉开,防止某一个时间段内网络设备需要处理大量的NA报文。
步骤102、网络设备更新本地邻居列表。
本步骤包括:网络设备接收本地链路节点返回的邻居公告NA报文,并根据返回的NA报文更新本地邻居列表。具体的,可以将每个本地链路节点返回的NA报文中携带的MAC地址确定为本地邻居列表中该本地链路节点的MAC地址(以下简称为节点地址)。
步骤103、网络设备转发数据报文。
本步骤包括:确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若是,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文。
较优的,在步骤102之后,步骤103之前,还可以进一步包括步骤103’,对本地邻居列表中的节点进行合法性验证,防止非法节点也加入到本地邻居列表,造成网络设备不必要的处理负荷:
步骤103’、网络设备确定本地邻居列表中的节点的合法性。
具体的,可以通过以下方式中的至少一种确定本地邻居列表中的节点的合法性:
向本地邻居列表中任一节点发送NS报文,在接收到该节点返回的NA报文时,将该节点确定为合法节点(可以在本地邻居列表中将该节点的合法性标志位标记为合法),否则,将该节点确定为非法节点;或者
在确定本地邻居列表中任一节点与其他节点之间有双向通信时,将该节点确定为合法节点,否则,将该节点确定为非法节点。
在利用双向通信检验本地邻居列表中的节点的合法性时,针对本地邻居列表中一个节点,可以对一个IPv6数据报文,记录源IPv6地址,目的IPv6地址,该本地链路节点所在的虚拟局域网(VLAN,Virtual Local Area Network),端口信息,流方向1,流方向2。如果该端口针对该节点的发出的IPv6数据报文和收到的IPv6数据报文是双向对称的,则表明该节点存在且合法,可以在本地邻居列表中将该节点的合法性标志位标记为合法。
较优的,可以通过一条流表来记录该端口针对该本地链路节点的发出的IPv6数据报文和收到的IPv6数据报文,例如,可以通过流表(VLAN=该本地链路节点所在VLAN,端口号=该本地链路节点所在的端口号,源IPv6地址为2001::10,目的IPv6地址为2000::2,流方向1=out,流方向2=NULL)记录该端口针对该本地链路节点收到的IPv6数据报文,并可以在该端口针对该本地链路节点发出IPv6数据报文时,将该流表更新为(VLAN=该本地链路节点所在VLAN,端口号=该本地链路节点所在的端口号,源IPv6地址为2001::10,目的IPv6地址为2000::2,流方向1=out,流方向2=in),从而减少系统资源的占用,减轻系统负荷。
在增加了步骤103’之后,步骤103可以具体包括:
确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若不是本地邻居列表中的节点地址,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的合法节点地址,若是本地邻居列表中的合法节点地址,则向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,若不是本地邻居列表中的合法节点地址,在设定第二时长内,向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,并在设定第二时长到达时,重新确定该节点的合法性,在确定出该节点为非法节点时,将该节点从本地邻居列表中删除;或者,
确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若不是本地邻居列表中的节点地址,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的合法节点地址,若是本地邻居列表中的合法节点地址,则向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,若不是本地邻居列表中的合法节点地址,在设定第二时长内,禁止向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,并在设定第二时长到达时,重新确定该节点的合法性,在确定出该节点为非法节点时,将该节点从本地邻居列表中删除。
根据本发明实施例一提供的方案,不仅可以通过定时或事件触发的方式发送特定的NS报文给本地链路的每个节点,并根据返回NA报文的节点来更新本地邻居列表,从而可以根据需要转发的IPv6数据报文目的地址是否对应本地邻居列表中的节点来确定是否转发该IPv6数据报文,有效防止DoS攻击的同时,还可以通过配置特定的字段,指示部分本地链路节点回复NA报文,以及在回复NA报文时,采用立即回复的方式还是延时一定时长后回复的方式,减轻网络设备的负荷。并且,本发明方案中还可以对本地邻居列表中的节点进行合法性验证,防止非法节点也加入到本地邻居列表,造成网络设备不必要的处理负荷,并提供了针对合法性验证后的节点如何进行IPv6数据报文转发的方法。
下面分别从网络设备侧和节点侧对本发明提供的数据报文转发方法进行说明。
实施例二、
本发明实施例二提供一种数据报文转发方法,该方法的步骤流程如图3所示,具体包括以下步骤:
步骤201、确定是否需要发送特定NS报文。
在本步骤中,网络设备可以在确定设定第一时长内,未解析的ND表项大于设定的阈值,或者,在定时时长到达时,确定需要发送特定NS报文。
每个目的地址不是本地邻居列表中的节点地址的IPv6数据报文对应一个解析状态为未解析的ND表项。ND表项可以包括VLAN属性(该IPv6数据报文目的地址对应的节点所在的VLAN),IPv6地址信息,链路地址信息,端口,解析状态(可以设定若目的地址不是网络设备本地邻居列表中的节点地址,解析状态为未解析,否则为已解析),是否合法(目的地址对应的节点是否为合法节点),超时时间(该超时时间用于节点将指定的字段与接收到的特定NS报文中的识别字段取值配置为相同之后,启动设定的超时时间(第三时长)的计时,在超时时间到达之前,再次接收到所述网络设备发送的报文时,重新启动设定的超时时间的计时,否则,将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为不相同)等主要信息。
在本步骤中,可以暂时对IPv6数据报文采取禁止转发的策略。
步骤202、确定特定NS报文的内容并发送。
在本步骤中,可以设置识别字段取值为1(针对一个网络设备,如,网关设备,节点中指定字段初始取值为0),并定义节点在指定的字段与接收到的特定NS报文中的识别字段取值相同时,不需要回复NA报文,在指定的字段与接收到的特定NS报文中的识别字段取值不相同时,需要回复NA报文。
可以在设定第一时长内,未解析的ND表项大于设定的门限值时,将回应延迟随机字段取值为1,指示节点利用随机算法确定出一段时间,延迟该时间后回复NA报文,否则,将回应延迟随机字段取值为0,指示节点立即回复NA报文。
在所述特定NS报文的保留字段配置了识别字段和回应延迟随机字段之后,可以将该特定NS报文的目的地址设置为本地链路的多播地址FF02::1并发送。
步骤203、接收NA报文,更新本地邻居列表。
本步骤与实施例一中步骤102相同,在此不再赘述。
步骤204、启动邻居合法性检测。
本步骤中,启动本地邻居列表中的节点合法性的检测。合法性检测的方式与实施例一步骤103’中合法性检测的方式相同,在此不再赘述。
步骤205、执行数据报文的转发。
在本步骤中,可以根据步骤204中邻居合法性检测的结果,对接收到的IPv6数据报文对应的ND表项进行更新,如,可以更新ND表项中是否合法的信息,并根据合法性检测的结果,执行IPv6数据报文的转发。
具体的,可以确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若不是本地邻居列表中的节点地址,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的合法节点地址,若是本地邻居列表中的合法节点地址,则向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,若不是本地邻居列表中的合法节点地址,在设定第二时长内,向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,并在设定第二时长到达时,重新确定该节点的合法性,在确定出该节点为非法节点时,将该节点从本地邻居列表中删除;或者,
确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若不是本地邻居列表中的节点地址,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的合法节点地址,若是本地邻居列表中的合法节点地址,则向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,若不是本地邻居列表中的合法节点地址,在设定第二时长内,禁止向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,并在设定第二时长到达时,重新确定该节点的合法性,在确定出该节点为非法节点时,将该节点从本地邻居列表中删除。
实施例三、
本发明实施例三提供一种数据报文转发方法,该方法的步骤流程如图4所示,具体包括以下步骤:
步骤301、接收特定NS报文。
节点接收到的NS报文可以是原始NS报文,也可以是特定NS报文,在接收到原始NS报文时,按照现有流程进行处理(包括更新节点本地邻居列表并向发送该原始NS报文的网络设备直接发送NA报文),本实施例中,对节点接收到特定NS报文的情况进行说明。
具体的,节点可以根据报文的目的地址为本地链路多播地址FF02::1来识别该报文为特定NS报文。
步骤302、更新本地邻居列表。
本步骤与实施例一中步骤102相同,在此不再赘述。
步骤303、确定是否需要回复NA报文。
在本步骤中,节点可以识别接收到的特定NS报文中的识别字段,在指定的字段与接收到的特定NS报文中的识别字段取值相同时,确定不需要回复NA报文,并结束流程,在指定的字段与接收到的特定NS报文中的识别字段取值不同时,将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为相同,确定需要回复NA报文,并继续执行步骤304。
具体的,将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为相同之后,启动设定的第三时长的计时,在第三时长到达之前,再次接收到所述网络设备发送的报文时,重新启动设定的第三时长的计时,否则,将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为不相同,从而限制网络设备信息在节点中的有效时间。
步骤304、确定是否需要延时发送NA报文。
在本步骤中,节点可以识别接收到的特定NS报文中的回应延迟随机字段,并在回应延迟随机字段为设定取值时,确定需要利用随机算法确定出一段时间,延迟该时间后回复NA报文,否则,确定需要立即回复NA报文。
步骤305、发送NA报文。
本步骤包括:确定需要利用随机算法确定出一段时间,延迟该时间后回复NA报文时,延迟该时间后向网络设备发送NA报文,否则,直接向网络设备发送NA报文。
下面通过一个具体的实例对本发明实施例一~实施例三的方案进行说明。
实施例四、
本发明实施例四提供一种数据报文转发方法,该方法的示意图如图5所示,本实施例中,设定节点1(全球单播地址2000::2/16,链路层地址00:00:00:00:00:02)的网关为IPv6网关(全球单播地址2000::1/16,链路层地址00:00:00:00:00:01),节点1与节点2通信(全球单播地址2001::10/16),节点1和节点2分别位于不同的网段。节点1和节点3(全球单播地址2000::3/16,链路层地址00:00:00:00:00:03)位于同一个网段。攻击者发送IPv6DoS扫描数据报文(攻击报文,即攻击者发送目的IPv6地址从2000:10开始递增的IPv6报文,进行扫描,速率线速,每个报文重复发两遍)。具体包括以下内容:
第一步、IPv6网关启动时,朝节点1所在的网段发送特定NS报文,目的IPv6地址为FF02::1,识别字段为1,回应延迟随机字段为0。节点1和节点3都可以收到该特定NS报文。
第二步、节点1和节点3在接收到该特定NS报文时,检查自身指定字段。由于刚起机节点1和节点3没有对应的ND表项,则节点1和节点3分别创建新的网关邻居信息,并设置指定字段为1,且节点1和节点3均需要回复NA报文。由于回应延迟随机字段为0,则节点1和节点3立即发送NA报文来响应该特定NS报文。
第三步、IPv6网关收到节点1和节点3发出的NA报文,创建节点1和节点3的邻居信息,并进行邻居合法性检查。
具体的,在检查节点1的合法性时,IPv6网关可以发送NS报文(原始NS报文),该报文的目的IPv6地址为节点1的IPv6地址(2000::2),节点1收到该NS报文后,再次发送NA报文。IPv6网关再次收到节点1发送的NA报文,可以确认节点1合法,更新该节点相关信息。
或者,可以通过节点1和节点2之间是否有双向通信来确定节点1是否合法。可以考察节点2发报文给节点1而节点1还未回应阶段,这时网关的流表状态为(VLAN=节点1所在VLAN,端口号=节点1所在的端口号,源IPv6地址为2001::10,目的IPv6地址为2000::2,流方向1=out,流方向2=NULL)。
考察节点1应答了节点2的报文阶段,网关的流表状态为(VLAN=节点1所在VLAN,端口号=节点1所在的端口号,源IPv6地址为2001::10,目的IPv6地址为2000::2,流方向1=out,流方向2=in)。在判断流方向2为in方向时,所用IPv6报文为该端口收到的IPv6报文,对比原先的流表(节点2发报文给节点1而节点1还未回应阶段),需要源IPv6地址对应目的IPv6地址,目的IPv6地址对应源IPv6地址,其他信息都一致才能判断这个流为双向流,才能判断节点1是在和节点2通信,可以确定节点1为合法节点。
在检查节点3的合法性时,IPv6网关可以发送NS报文(原始NS报文),该报文的目的IPv6地址为节点3的IPv6地址(2000::3),节点3收到该NS报文后,不回复NA报文,可以确认节点3为非法节点。
第四步、攻击者开始发送攻击报文,由于攻击报文的目的地址不是IPv6网关本地邻居列表中节点的地址,因此,IPv6网关可以不转发该攻击报文,无需不断解析攻击报文的目的地址,从而可以避免由于DoS攻击造成的CPU高负荷的问题。
当然,除攻击报文外,此时也存在非攻击报文需要IPv6网关(网络设备)进行转发,为了确保非攻击报文可以顺利到达目的地址对应的节点,针对目的地址不是IPv6网关本地邻居列表中节点的地址的IPv6数据报文,可以进一步地对用于解析IPv6数据报文目的地址的NS报文发送速率做限制,IPv6网关可以根据限制的阀值,在CPU正常处理范围内,发送NS报文进行地址解析,并按照现有的IPv6数据报文转发方式对这部分IPv6数据报文进行转发。
与本发明实施例一~实施例四基于同一发明构思,提供以下的装置和系统。
实施例五、
本发明实施例五提供一种网络设备,该网络设备的结构如图6所示,具体包括:
第一发送单元11用于发送特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1;接收单元12用于接收本地链路节点返回的邻居公告NA报文;更新单元13用于根据返回的NA报文更新本地邻居列表;第二发送单元14用于确定接收到的互联网协议版本IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若是,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文。
第一发送单元11具体用于定时发送所述特定NS报文;或者在设定第一时长内,接收到的IPv6数据报文目的地址不是本地邻居列表中的节点地址的数量大于设定的阈值时发送所述特定NS报文。
所述网络设备还包括确定单元15:
确定单元15用于确定本地邻居列表中的节点的合法性;
第二发送单元14具体用于确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若不是本地邻居列表中的节点地址,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的合法节点地址,若是本地邻居列表中的合法节点地址,则向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,若不是本地邻居列表中的合法节点地址,在设定第二时长内,向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,并在设定第二时长到达时,重新确定该节点的合法性,在确定出该节点为非法节点时,将该节点从本地邻居列表中删除;或者,
确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若不是本地邻居列表中的节点地址,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的合法节点地址,若是本地邻居列表中的合法节点地址,则向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,若不是本地邻居列表中的合法节点地址,在设定第二时长内,禁止向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,并在设定第二时长到达时,重新确定该节点的合法性,在确定出该节点为非法节点时,将该节点从本地邻居列表中删除。
确定单元15具体用于通过以下方式中的至少一种确定本地邻居列表中的节点的合法性:
向本地邻居列表中任一节点发送NS报文,在接收到该节点返回的NA报文时,将该节点确定为合法节点,否则,将该节点确定为非法节点;或者
在确定本地邻居列表中任一节点与其他节点之间有双向通信时,将该节点确定为合法节点,否则,将该节点确定为非法节点。
实施例六、
本发明实施例六提供一种节点,该节点的结构如图7所示,具体包括:
接收单元21用于接收网络设备发送的特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1;
发送单元22用于根据接收到的特定NS报文,向所述网络设备返回邻居公告NA报文。
所述发送单元22具体确定指定的字段与接收到的特定NS报文中的识别字段取值是否相同,所述指定的字段用于标识本地邻居列表中是否包括所述网络设备:
在指定的字段与接收到的特定NS报文中的识别字段取值相同时,确定不需要回复NA报文;
在指定的字段与接收到的特定NS报文中的识别字段取值不同时,确定需要回复NA报文,并在回应延迟随机字段为设定取值时,利用随机算法确定出一段时间,延迟该时间后回复NA报文,否则,立即回复NA报文;
所述节点还包括配置单元23,用于在指定的字段与接收到的特定NS报文中的识别字段取值不同时,将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为相同。
所述配置单元23具体用于将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为相同之后,启动设定的第三时长的计时,在第三时长到达之前,再次接收到所述网络设备发送的报文时,重新启动设定的第三时长的计时,否则,将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为不相同。
实施例七、
本发明实施例七提供一种数据转发系统,该系统的结构如图8所示,所述系统包括网络设备31和节点32,其中:
网络设备31用于发送特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1,接收本地链路节点返回的邻居公告NA报文,并根据返回的NA报文更新本地邻居列表,确定接收到的互联网协议版本IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若是,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文;
节点32用于根据接收到的特定NS报文,向所述网络设备返回邻居公告NA报文。
本实施例中的网络设备可以具有本发明实施例五提供的网络设备的各功能单元并执行相应的功能,本实施例中的节点可以具有本发明实施例六提供的节点的各功能单元并执行相应的功能。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (15)
1.一种数据报文转发方法,其特征在于,所述方法包括:
发送特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1;
接收本地链路节点返回的邻居公告NA报文,并根据返回的NA报文更新本地邻居列表;
确定接收到的互联网协议版本IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若是,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文。
2.如权利要求1所述的方法,其特征在于,定时发送所述特定NS报文;或者在设定第一时长内,接收到的IPv6数据报文目的地址不是本地邻居列表中的节点地址的数量大于设定的阈值时发送所述特定NS报文。
3.如权利要求1或2所述的方法,其特征在于,更新本地邻居列表之后,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址之前,所述方法还包括:
确定本地邻居列表中的节点的合法性;
确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若是,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,具体包括:
确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若不是本地邻居列表中的节点地址,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的合法节点地址,若是本地邻居列表中的合法节点地址,则向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,若不是本地邻居列表中的合法节点地址,在设定第二时长内,向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,并在设定第二时长到达时,重新确定该节点的合法性,在确定出该节点为非法节点时,将该节点从本地邻居列表中删除;
或者,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若是,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,具体包括:
确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若不是本地邻居列表中的节点地址,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的合法节点地址,若是本地邻居列表中的合法节点地址,则向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,若不是本地邻居列表中的合法节点地址,在设定第二时长内,禁止向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,并在设定第二时长到达时,重新确定该节点的合法性,在确定出该节点为非法节点时,将该节点从本地邻居列表中删除。
4.如权利要求3所述的方法,其特征在于,通过以下方式中的至少一种确定本地邻居列表中的节点的合法性:
向本地邻居列表中的任一节点发送NS报文,在接收到该节点返回的NA报文时,将该节点确定为合法节点,否则,将该节点确定为非法节点;或者
在确定本地邻居列表中的任一节点与其他节点之间有双向通信时,将该节点确定为合法节点,否则,将该节点确定为非法节点。
5.如权利要求2所述的方法,其特征在于,所述特定NS报文的保留字段配置有识别字段和回应延迟随机字段,所述识别字段用于指示需要回复NA报文的本地链路节点,所述回应延迟随机字段用于指示本地链路节点是否需要延迟随机算法确定出的一段时间后回复NA报文。
6.一种数据报文转发方法,其特征在于,所述方法包括:
接收网络设备发送的特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1,所述特定NS报文的保留字段配置有识别字段和回应延迟随机字段;
确定指定的字段与接收到的特定NS报文中的识别字段取值是否相同,所述指定的字段用于标识本地邻居列表中是否包括所述网络设备;
在指定的字段与接收到的特定NS报文中的识别字段取值相同时,确定不需要向所述网络设备回复邻居公告NA报文;
在指定的字段与接收到的特定NS报文中的识别字段取值不同时,将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为相同,确定需要向所述网络设备回复NA报文,并在回应延迟随机字段为设定取值时,利用随机算法确定出一段时间,延迟该时间后回复NA报文,否则,立即回复NA报文。
7.如权利要求6所述的方法,其特征在于,将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为相同之后,启动设定的第三时长的计时,在第三时长到达之前,再次接收到所述网络设备发送的报文时,重新启动设定的第三时长的计时,否则,将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为不相同。
8.一种网络设备,其特征在于,所述网络设备包括:
第一发送单元,用于发送特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1;
接收单元,用于接收本地链路节点返回的邻居公告NA报文;
更新单元,用于根据返回的NA报文更新本地邻居列表;
第二发送单元,用于确定接收到的互联网协议版本IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若是,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文。
9.如权利要求8所述的网络设备,其特征在于,第一发送单元,具体用于定时发送所述特定NS报文;或者在设定第一时长内,接收到的IPv6数据报文目的地址不是本地邻居列表中的节点地址的数量大于设定的阈值时发送所述特定NS报文。
10.如权利要求8或9所述的网络设备,其特征在于,所述网络设备还包括:
确定单元,用于确定本地邻居列表中的节点的合法性。
11.如权利要求10所述的网络设备,其特征在于,
第二发送单元,具体用于确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若不是本地邻居列表中的节点地址,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的合法节点地址,若是本地邻居列表中的合法节点地址,则向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,若不是本地邻居列表中的合法节点地址,在设定第二时长内,向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,并在设定第二时长到达时,重新确定该节点的合法性,在确定出该节点为非法节点时,将该节点从本地邻居列表中删除;或者,
确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若不是本地邻居列表中的节点地址,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,确定接收到的IPv6数据报文目的地址是否为本地邻居列表中的合法节点地址,若是本地邻居列表中的合法节点地址,则向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,若不是本地邻居列表中的合法节点地址,在设定第二时长内,禁止向接收到的IPv6数据报文目的地址对应的节点转发该IPv6数据报文,并在设定第二时长到达时,重新确定该节点的合法性,在确定出该节点为非法节点时,将该节点从本地邻居列表中删除。
12.如权利要求10所述的网络设备,其特征在于,确定单元,具体用于通过以下方式中的至少一种确定本地邻居列表中的节点的合法性:
向本地邻居列表中的任一节点发送NS报文,在接收到该节点返回的NA报文时,将该节点确定为合法节点,否则,将该节点确定为非法节点;或者
在确定本地邻居列表中的任一节点与其他节点之间有双向通信时,将该节点确定为合法节点,否则,将该节点确定为非法节点。
13.一种节点,其特征在于,所述节点包括:
接收单元,用于接收网络设备发送的特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1;
发送单元,用于确定指定的字段与接收到的特定NS报文中的识别字段取值是否相同;在指定的字段与接收到的特定NS报文中的识别字段取值相同时,确定不需要向所述网络设备回复NA报文;在指定的字段与接收到的特定NS报文中的识别字段取值不同时,确定需要向所述网络设备回复NA报文,并在回应延迟随机字段为设定取值时,利用随机算法确定出一段时间,延迟该时间后回复NA报文,否则,立即回复NA报文,所述指定的字段用于标识本地邻居列表中是否包括所述网络设备;
配置单元,用于在指定的字段与接收到的特定NS报文中的识别字段取值不同时,将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为相同。
14.如权利要求13所述的节点,其特征在于,所述配置单元,具体用于将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为相同之后,启动设定的第三时长的计时,在第三时长到达之前,再次接收到所述网络设备发送的报文时,重新启动设定的第三时长的计时,否则,将所述指定的字段与接收到的特定NS报文中的识别字段取值配置为不相同。
15.一种数据转发的系统,其特征在于,所述系统包括网络设备和节点,其中:
网络设备,用于发送特定邻居请求NS报文,该特定NS报文的目的地址为本地链路的多播地址FF02::1,接收本地链路节点返回的邻居公告NA报文,并根据返回的NA报文更新本地邻居列表,确定接收到的互联网协议版本IPv6数据报文目的地址是否为本地邻居列表中的节点地址,若是,向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文,否则,禁止向该IPv6数据报文目的地址对应的节点转发该IPv6数据报文;
节点,用于根据接收到的特定NS报文,向所述网络设备返回邻居公告NA报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110310340.0A CN102347903B (zh) | 2011-10-13 | 2011-10-13 | 一种数据报文转发方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110310340.0A CN102347903B (zh) | 2011-10-13 | 2011-10-13 | 一种数据报文转发方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102347903A CN102347903A (zh) | 2012-02-08 |
CN102347903B true CN102347903B (zh) | 2014-07-02 |
Family
ID=45546201
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110310340.0A Active CN102347903B (zh) | 2011-10-13 | 2011-10-13 | 一种数据报文转发方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102347903B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594816B (zh) * | 2012-02-15 | 2015-08-19 | 神州数码网络(北京)有限公司 | 一种预防恶意邻居学习攻击的方法及装置 |
US9363158B2 (en) * | 2014-02-05 | 2016-06-07 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Reduce size of IPV6 routing tables by using a bypass tunnel |
CN105207911B (zh) * | 2015-10-12 | 2018-11-23 | 安徽皖通邮电股份有限公司 | 一种is-is协议报文认证方法及其系统 |
CN108270602B (zh) * | 2016-12-30 | 2022-07-08 | 中兴通讯股份有限公司 | 一种数据链路的检测方法、装置及系统 |
CN108173980B (zh) * | 2018-01-18 | 2021-02-19 | 浙江农林大学暨阳学院 | 一种sdn环境中的重复地址检测方法 |
CN111598564B (zh) * | 2019-02-20 | 2023-11-21 | 华为技术有限公司 | 区块链节点连接建立方法、装置及设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101741824A (zh) * | 2008-11-14 | 2010-06-16 | 华为技术有限公司 | IPv6地址的解析方法、装置及邻居发现报文处理方法 |
CN101764734A (zh) * | 2008-12-25 | 2010-06-30 | 中兴通讯股份有限公司 | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 |
-
2011
- 2011-10-13 CN CN201110310340.0A patent/CN102347903B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101741824A (zh) * | 2008-11-14 | 2010-06-16 | 华为技术有限公司 | IPv6地址的解析方法、装置及邻居发现报文处理方法 |
CN101764734A (zh) * | 2008-12-25 | 2010-06-30 | 中兴通讯股份有限公司 | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 |
Also Published As
Publication number | Publication date |
---|---|
CN102347903A (zh) | 2012-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8875233B2 (en) | Isolation VLAN for layer two access networks | |
KR100992968B1 (ko) | 네트워크 스위치 및 그 스위치의 주소충돌방지방법 | |
CN102347903B (zh) | 一种数据报文转发方法、装置及系统 | |
KR100908320B1 (ko) | IPv6 네트워크 내 호스트 차단 및 탐색방법 | |
CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
WO2010072096A1 (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
EP2724508B1 (en) | Preventing neighbor-discovery based denial of service attacks | |
JP2007036374A (ja) | パケット転送装置、通信網及びパケット転送方法 | |
RU2006143768A (ru) | Ароматическое ограничение сетевого нарушителя | |
CN101753637A (zh) | 防止网络攻击的方法及网络地址转换设备 | |
CN101179603A (zh) | IPv6网络中用于控制用户网络接入的方法和装置 | |
WO2012075850A1 (zh) | 一种防止mac地址欺骗的方法、系统及交换机 | |
CN101605061A (zh) | 一种接入网络中防止拒绝服务攻击的方法及其装置 | |
CN101674312B (zh) | 一种在网络传输中防止源地址欺骗的方法及装置 | |
CN101179515B (zh) | 一种抑制黑洞路由的方法和装置 | |
CN102137073A (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
CN102143164B (zh) | 报文中继方法、装置及基站 | |
CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
CN102571806A (zh) | 一种主动防止路由器公告报文欺骗的装置和方法 | |
US9025606B2 (en) | Method and network node for use in link level communication in a data communications network | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |