CN102546661A - 一种防止IPv6网关邻居欺骗攻击的方法及系统 - Google Patents
一种防止IPv6网关邻居欺骗攻击的方法及系统 Download PDFInfo
- Publication number
- CN102546661A CN102546661A CN2012100415180A CN201210041518A CN102546661A CN 102546661 A CN102546661 A CN 102546661A CN 2012100415180 A CN2012100415180 A CN 2012100415180A CN 201210041518 A CN201210041518 A CN 201210041518A CN 102546661 A CN102546661 A CN 102546661A
- Authority
- CN
- China
- Prior art keywords
- address
- message
- link layer
- ipv6
- mapping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000013507 mapping Methods 0.000 claims abstract description 135
- 238000012544 monitoring process Methods 0.000 claims abstract description 7
- 238000012545 processing Methods 0.000 claims description 14
- 238000005538 encapsulation Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种防止IPv6网关邻居欺骗攻击的方法及系统,该方法包括:在配置为IPv6网关的汇聚交换机上配置每一个三层接口下联的接入交换机的IP地址;汇聚交换机将所述三层接口的合法IPv6地址和合法链路层地址封装成自定义的映射报文,通过配置的IP地址发送给接入交换机;接入交换机接收映射报文,将映射报文中携带的IPv6地址和链路层地址映射关系保存到本地映射表项中;接入交换机监听邻居请求报文或邻居公告报文,分别根据邻居请求报文或邻居公告报文中源地址或目标地址与本地网关IP地址是否一致,且源链路层地址或目标链路层地址与映射表中链路层地址是否一致,判断邻居请求报文和邻居公告报文的合法性。
Description
技术领域
本发明涉及计算机数据通信领域,尤其涉及一种防止IPv6网关邻居欺骗攻击的方法及系统。
背景技术
在IPv4网络中,通过地址解析协议(Address Resolution Protocol,ARP)进行网关欺骗是一种常见的攻击手段。攻击主机通过发送ARP回应,在ARP回应中将网关的链路层地址替换成攻击主机的链路层地址,从而欺骗合法主机的网关ARP缓存表项,合法主机到达网关的流量会被引导至攻击主机,导致网络通讯异常,攻击主机也能够实施其他欺骗行为。
在IPv6网络中,类似于通过ARP进行网关欺骗的行为也存在。在IPv6网络中,地址解析由邻居发现协议(Neighbor Discovery Protocol,NDP)完成。邻居发现协议是IPv6协议的一个基本组成部分,实现了在IPv4中的ARP、ICMP(Internet Control Message Protocol,控制报文协议)中的路由器发现部分、重定向协议的所有功能,具有邻居不可达检测机制。
随着IPv6技术的广泛应用,邻居发现(ND)协议也成为了主要攻击对象,欺骗网关攻击现象日益严重。欺骗网关的攻击具体为攻击者通过伪造邻居发现(ND)报文,欺骗网关相同网段内的某一合法用户的MAC(Media Access Control,介质访问控制层)地址,导致网关将所有报文发往攻击者。以攻击者A和合法用户B为例,对欺骗网关具体过程进行说明:1)攻击者A通过接入设备向网关发送NS(Neighbor Solicitation,邻居请求报文)报文,该NS报文中携带了源IP为合法用户B的IP地址,该NS报文中携带的MAC地址为攻击者A的MAC地址;2)网关接收到该NS报文后,更新该网关的ND表项(ND表项包括了客户端合法MAC地址和合法IP及其之间的对应关系),即将NS报文所对应的ND表项更新为源IP为合法用户B的IP地址,MAC地址为攻击者A的MAC地址;当网关需要向合法用户B发送报文时,该报文被攻击者A截获,导致网络访问异常,攻击者A机也能够实施其他欺骗行为,对于网络安全构成威胁。
现有技术中,为了避免ND表项被攻击,需要网关设备对接收到的ND协议相关报文的合法性进行确认,当网关接收到NS报文时,判断NS报文中携带的MAC地址和ND表项中的MAC地址是否相同,当不同时,并不立即更新ND表项;而是通过组播报文进行邻居不可达检测,若网关设备在预设的时间内收到2个NA(Neighbor Advertisement,邻居公告报文)报文,即同一IP对应了2个不同的MAC地址,则认为存在恶意攻击,不需要更新ND表项,若只能接收到对应于新MAC地址的一个NA报文,则更新ND表项,将该新MAC地址信息存储到ND表项中。采用上述通过组播报文进行邻居不可达检测防止ND表项被攻击时,攻击者可利用邻居不可达检测进攻攻击,例如,当攻击者接收到组播报文后,可以向网关设备发送不同源MAC地址的NA报文,网关设备需要对每个源MAC地址的NA报文发送组播报文,造成资源浪费。
发明内容
为了克服现有技术的缺陷和不足,本发明提出一种能够更有效的拦截和阻止网关邻居欺骗攻击的方法和系统。
本发明公开一种防止IPv6网关邻居欺骗攻击的方法,该方法应用于由IPv6主机、接入交换机和汇聚交换机组成的系统,包括如下步骤:
S1:在配置为IPv6网关的汇聚交换机上配置每一个三层接口下联的接入交换机的IP地址;
S2:所述汇聚交换机将所述三层接口的合法IPv6地址和合法链路层地址封装成自定义的映射报文,并将所述映射报文通过下联的接入交换机的IP地址发送给接入交换机;
S3:接入交换机接收映射报文,并将映射报文中携带的IPv6地址和链路层地址保存到本地网关IP和链路层地址的映射表项中;
S4:接入交换机监听接收到的所有邻居请求报文或邻居公告报文,并通过重定向模块将所述报文重定向至接入交换机的判断模块;
S5:判断模块对接收到的报文的合法性进行判断:接入交换机接收邻居请求报文,当邻居请求报文的源IP地址为单播地址,且源链路层地址选项存在时,如源IP地址与映射表项中的网关IP一致,但源链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居请求报文为非法报文,丢弃该报文;如源IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文;或者,接入交换机接收邻居公告报文,当邻居公告报文的目标地址选项存在,且目标链路层地址选项也存在时,如目标地址选项中的IP地址与映射表项中的网关IP一致,但目标链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居公告报文为非法报文,丢弃该报文;如目标地址选项中的IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文。
进一步地,所述步骤S1中汇聚交换机上配置的三层接口IP地址包括IPv6网络中接入交换机的IPv6地址;或者,IPv4和IPv6网络共存的网络中的接入交换机的IPv4和IPv6地址中的一种。
进一步地,所述步骤S2中汇聚交换机对封装的映射报文进行加密和散列处理后,将加密后的映射报文根据三层接口配置的IP地址发送给接入交换机。
进一步地,所述步骤S3中接入交换机对接收到的加密的映射报文进行解密,从报文中还原得到三层接口的IP地址和链路层地址的映射关系并保存到本地网关IP和链路层地址的映射表项中。
本发明还公开一种防止IPv6网关邻居欺骗攻击的系统,包括IPv6主机、接入交换机和汇聚交换机,IPv6主机通过接入交换机与汇聚交换机连接,汇聚交换机为三层交换设备;
所述IPv6主机用于发送邻居请求报文或邻居公告报文给接入交换机;
所述汇聚交换机配置为IPv6网关,用于将所述三层接口的合法IPv6地址和合法链路层地址封装成自定义的映射报文,并将所述映射报文通过预先配置在每一个三层接口下联的接入交换机的IP地址发送给接入交换机;
所述接入交换机用于监听接收到的所有邻居请求报文或邻居公告报文,根据邻居请求报文中源IP地址和源链路层地址选项中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居请求报文的合法性;或者,根据邻居公告报文中目标地址选项中的IP地址和目标链路层地址选项中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居公告报文的合法性;其中,本地映射表项信息包括自定义的映射报文中合法IPv6地址和合法链路层地址。
进一步地,所述汇聚交换机上配置的三层接口IP地址包括IPv6网络中接入交换机的IPv6地址;或者,IPv4和IPv6网络共存的网络中的接入交换机的IPv4和IPv6地址中的一种。
进一步地,所述汇聚交换机包括配置模块、收发模块和映射报文生成模块;
所述配置模块用于在汇聚交换机上配置每一个三层接口下联的接入交换机的IP地址;
映射报文生成模块将所述三层接口的合法IPv6地址和合法链路层地址封装成自定义的映射报文,对映射报文进行加密后发送给接入交换机;
收发模块用于接收和发送邻居请求报文或邻居公告报文。
进一步地,所述接入交换机包括收发模块、重定向模块、映射报文处理模块和判断模块;
所述收发模块用于接收和转发邻居请求报文或邻居公告报文;
重定向模块用于匹配接入交换机下发的将所述邻居请求报文或邻居公告报文重定向至判断模块的规则,将所述邻居请求报文或邻居公告报文重定向至判断模块;
映射报文处理模块用于对汇聚交换机发送的映射报文解密,得到自定义映射报文的合法IPv6地址和合法链路层地址,并将自定义映射报文的合法IPv6地址和合法链路层地址存储到本地映射表项中;
判断模块用于根据邻居请求报文中源IP地址和源链路层地址选项中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居请求报文的合法性;或者,根据邻居公告报文中目标地址选项中的IP地址和目标链路层地址选项中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居公告报文的合法性。
进一步地,接入交换机接收邻居请求报文,当邻居请求报文的源IP地址为单播地址,且源链路层地址选项存在时,如源IP地址与映射表项中的网关IP一致,但源链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居请求报文为非法报文,丢弃该报文;如源IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文。
进一步地,接入交换机接收邻居公告报文,当邻居公告报文的目标地址选项存在,且目标链路层地址选项也存在时,如目标地址选项中的IP地址与映射表项中的网关IP一致,但目标链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居公告报文为非法报文,丢弃该报文;如目标地址选项中的IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文。
本发明有效的防止了恶意节点伪造网关发送邻居请求报文或邻居公告报文,将合法主机流量导向非法节点,同时,通过采用分布式处理方式,由接入交换机来进行邻居发现监听功能,极大缓解了汇聚交换机CPU的压力,能够更有效的拦截和阻止网关邻居欺骗攻击。
附图说明
图1为本发明实施例的防止IPv6网关邻居欺骗攻击的系统框图;
图2为本发明实施例的汇聚交换机的结构框图;
图3为本发明实施例的接入交换机的结构框图;
图4为本发明实施例的映射报文格式;
图5为本发明实施例的防止IPv6网关邻居欺骗攻击的方法流程图。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以详细说明。
图1为本发明实施例的防止IPv6网关邻居欺骗攻击的系统框图。该系统包括IPv6主机、接入交换机和汇聚交换机,IPv6主机节点通过接入交换机与汇聚交换机连接,汇聚交换机为三层交换设备,连接多个IPv6网段,汇聚交换机下联多个接入交换机,各个三层接口的IPv6地址为其所在链路上IPv6主机的网关;所述IPv6主机用于发送邻居请求报文或邻居公告报文给接入交换机;所述汇聚交换机配置为IPv6网关,用于将三层接口的合法IPv6地址和合法链路层地址封装成自定义的映射报文,并将所述映射报文通过汇聚交换机上配置的每一个三层接口下联的接入交换机的IP地址发送给接入交换机;接入交换机用于监听接收到的所有邻居请求报文或邻居公告报文,根据邻居请求报文中源IP地址和源链路层地址选项(Source Link-Layer Address Option)中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居请求报文的合法性;或者,根据邻居公告报文中目标地址选项(Target Address option)中的IP地址和目标链路层地址选项(Target Link-Layer Address option)中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居公告报文的合法性;其中,本地映射表项信息包括自定义的映射报文中合法IPv6地址和合法链路层地址。
其中,如果是纯IPv6网络,汇聚交换机上配置的每一个三层接口下联的接入交换机的IP地址可以使用接入交换机的IPv6地址;如果是IPv4和IPv6共存网络,汇聚交换机上配置的每一个三层接口下联的接入交换机的IP地址可选择接入交换机的IPv4地址或者IPv6地址。
图2为本发明实施例的汇聚交换机的结构框图。如图2所示,所述汇聚交换机为三层交换设备,连接多个IPv6网段,汇聚交换机三层接口的IPv6地址为其所在链路上IPv6主机的网关。汇聚交换机包括配置模块、收发模块和映射报文生成模块;所述配置模块用于在汇聚交换机上配置每一个三层接口下联的接入交换机的IP地址;映射报文生成模块将三层接口的合法IPv6地址和合法链路层地址封装成自定义的映射报文,对映射报文进行加密后发送给接入交换机;收发模块用于接收和发送邻居请求报文或邻居公告报文。
图3为本发明实施例的接入交换机的结构框图。接入交换机上联汇聚交换机,汇聚交换机将映射报文通过配置的每一个三层接口下联的接入交换机的IP地址发送给接入交换机。接入交换机包括收发模块、重定向模块、映射报文处理模块和判断模块;所述收发模块用于接收和转发邻居请求报文或邻居公告报文;重定向模块用于匹配接入交换机下发的将所述邻居请求报文或邻居公告报文重定向至判断模块的规则,将所述邻居请求报文或邻居公告报文重定向至判断模块;映射报文处理模块用于对汇聚交换机发送的映射报文解密,得到自定义映射报文的合法IPv6地址和合法链路层地址,并将自定义映射报文的合法IPv6地址和合法链路层地址存储到本地网关IP和链路层地址的映射表项中;判断模块用于根据邻居请求报文中源IP地址和源链路层地址选项中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居请求报文的合法性;或者,根据邻居公告报文中目标地址选项中的IP地址和目标链路层地址选项中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居公告报文的合法性。
接入交换机接收邻居请求报文,当邻居请求报文的源IP地址为单播地址,且源链路层地址选项存在时,如源IP地址与映射表项中的网关IP一致,但源链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居请求报文为非法报文,丢弃该报文;如源IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文。
接入交换机接收邻居公告报文,当邻居公告报文的目标地址选项存在,且目标链路层地址选项也存在时,如目标地址选项中的IP地址与映射表项中的网关IP一致,但目标链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居公告报文为非法报文,丢弃该报文;如目标地址选项中的IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文。
其中,汇聚交换机和接入交换机之间的映射报文格式如图4所示。该报文使用UDP连接通过网络发送,为了保证安全性和防篡改,对该映射报文进行加密和散列处理,本发明中加密采用共享密钥的DES方式,散列采用MD5方式。如图4所示,映射报文承载于UDP中,其报文格式各字段解释如下:
Version:版本号,目前为1
Type:类型,目前为1,表示包含映射信息
SeqNo:序列号,每发送一个报文,加1
SecretLen:被加密报文的长度
Signature:映射报文所有字段的MD5散列结果
SwitchIPAddr:汇聚交换机的IP地址
SwitchID:汇聚交换机ID,取交换机CPU MAC
Count:绑定数量
GatewayMAC:网关的链路层地址
GatewayVlanId:网关三层接口对应的虚拟局域网标识号(Vlan Id)
GatewayIP:网关三层接口IPv6地址
为了防止用户信息泄露以及传输过程中被恶意篡改,需要对报文进行DES加密和MD5散列处理,DES密钥由用户配置,接入交换机与汇聚交换机的密钥必须确保一致。
发送报文前,先进行加密,后进行散列处理,具体过程如下:
自SwitchIPAddr字段开始,一直到结尾的报文内容进行DES加密,密文与明文等长,密文放入映射报文中SwitchIPAddr字段开始的报文区域,密文长度置于映射报文的SecretLen字段,然后交给散列处理模块。对于交换机DES加密后的映射报文,计算MD5散列时Signature字段先清零,然后对整个报文作散列运算,散列操作完成后散列值填入Signature字段,这时报文可以发出交换机。
接入交换机收到报文后,先进行散列计算,再解密,具体过程如下:
计算时先备份signature字段的值,然后signature字段清零,再计算整个报文的MD5散列值,如果散列值与备份的signature字段的值一样,则散列验证成功,继续对映射报文作DES解密处理。如果散列验证失败,丢弃该映射报文。对于接收到的MD5散列验证成功的报文,交换机对从Signature字段之后位置开始,长度由SecretLen字段指定的报文内容进行DES解密处理,还原出自SwitchIPAddr字段开始的映射报文内容。
图5为本发明实施例的防止IPv6网关邻居欺骗攻击的方法流程图。如图5所示,所述方法包括如下步骤:
S1:在配置为IPv6网关的汇聚交换机上配置每一个三层接口下联的接入交换机的IP地址。
汇聚交换机作为网关,其每一个三层接口的IPv6地址是其接口所在的链路上所有IPv6主机节点的网关地址。在汇聚交换机上配置每一个三层接口下联的接入交换机的IP地址,如果是纯IPv6网络,所述IP地址可以使用接入交换机的IPv6地址;如果是IPv4和IPv6共存网络,所述IP地址可选择接入交换机的IPv4地址或者IPv6地址。汇聚交换机根据所述IP地址向相应接入交换机发送报文等信息。
S2:所述汇聚交换机将所述三层接口的合法IPv6地址和合法链路层地址封装成自定义的映射报文,并将所述映射报文通过下联的接入交换机的IP地址发送给接入交换机。
汇聚交换机将三层接口的IPv6地址和链路层地址映射信息加入到自定义的映射报文中,通过配置的下联的接入交换机的IP地址转发给接入交换机。汇聚交换机和接入交换机之间的映射报文使用UDP连接在网络上传播,为了保证安全性和防篡改,对映射报文进行加密和散列处理,本发明实施例中加密采用共享密钥的DES方式,散列采用MD5方式,DES密钥由用户配置,接入交换机与汇聚交换机的密钥必须确保一致。具体加密过程如图4部分对加密的详细描述。
S3:接入交换机接收映射报文,并将映射报文中携带的IPv6地址和链路层地址保存到本地网关IP和链路层地址的映射表项中。
接入交换机收到加密的映射报文后,先进行散列计算,再进行解密,从报文中还原出上联的汇聚交换机三层接口的IPv6地址和链路层地址映射关系,并存在本地网关IP和链路层地址的映射表中。具体解密过程如图4部分对解密的详细描述。
S4:接入交换机监听接收到的所有邻居请求报文或邻居公告报文,并通过重定向模块将所述报文重定向至接入交换机的判断模块。
接入交换机上使能邻居发现监听功能,接入交换机将下发邻居请求报文或邻居公告报文重定向至判断模块的规则,接入交换机接收端口收到邻居请求报文或邻居公告报文后,不执行硬件转发行为,而是由重定向模块将报文重定向至交换机的判断模块,由判断模块进行软件的解析。
S5:判断模块对接收到的报文的合法性进行判断:接入交换机接收邻居请求报文,当邻居请求报文的源IP地址为单播地址,且源链路层地址选项存在时,如源IP地址与映射表项中的网关IP一致,但源链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居请求报文为非法报文,丢弃该报文;如源IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文;或者,接入交换机接收邻居公告报文,当邻居公告报文的目标地址选项存在,且目标链路层地址选项也存在时,如目标地址选项中的IP地址与映射表项中的网关IP一致,但目标链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居公告报文为非法报文,丢弃该报文;如目标地址选项中的IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文。
本发明有效的防止了恶意节点伪造网关发送邻居请求报文或邻居公告报文,将合法主机流量导向非法节点,同时,通过采用分布式处理方式,由接入交换机来进行邻居发现监听功能,极大缓解了汇聚交换机CPU的压力,能够更有效的拦截和阻止网关邻居欺骗攻击。
上述仅为本发明的较佳实施例及所运用技术原理,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围内。
Claims (10)
1.一种防止IPv6网关邻居欺骗攻击的方法,该方法应用于由IPv6主机、接入交换机和汇聚交换机组成的系统,包括如下步骤:
S1:在配置为IPv6网关的汇聚交换机上配置每一个三层接口下联的接入交换机的IP地址;
S2:所述汇聚交换机将所述三层接口的合法IPv6地址和合法链路层地址封装成自定义的映射报文,并将所述映射报文通过下联的接入交换机的IP地址发送给接入交换机;
S3:接入交换机接收映射报文,并将映射报文中携带的IPv6地址和链路层地址保存到本地网关IP和链路层地址的映射表项中;
S4:接入交换机监听接收到的所有邻居请求报文或邻居公告报文,并通过重定向模块将所述报文重定向至接入交换机的判断模块;
S5:判断模块对接收到的报文的合法性进行判断:接入交换机接收邻居请求报文,当邻居请求报文的源IP地址为单播地址,且源链路层地址选项存在时,如源IP地址与映射表项中的网关IP一致,但源链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居请求报文为非法报文,丢弃该报文;如源IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文;或者,接入交换机接收邻居公告报文,当邻居公告报文的目标地址选项存在,且目标链路层地址选项也存在时,如目标地址选项中的IP地址与映射表项中的网关IP一致,但目标链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居公告报文为非法报文,丢弃该报文;如目标地址选项中的IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文。
2.根据权利要求1所述的防止IPv6网关邻居欺骗攻击的方法,其特征在于,所述步骤S1中汇聚交换机上配置的三层接口IP地址包括IPv6网络中接入交换机的IPv6地址;或者,IPv4和IPv6网络共存的网络中的接入交换机的IPv4和IPv6地址中的一种。
3.根据权利要求1所述的防止IPv6网关邻居欺骗攻击的方法,其特征在于,所述步骤S2中汇聚交换机对封装的映射报文进行加密和散列处理后,将加密后的映射报文根据三层接口配置的IP地址发送给接入交换机。
4.根据权利要求3所述的防止IPv6网关邻居欺骗攻击的方法,其特征在于,所述步骤S3中接入交换机对接收到的加密的映射报文进行解密,从报文中还原得到三层接口的IP地址和链路层地址的映射关系并保存到本地网关IP和链路层地址的映射表项中。
5.一种防止IPv6网关邻居欺骗攻击的系统,包括IPv6主机、接入交换机和汇聚交换机,IPv6主机通过接入交换机与汇聚交换机连接,汇聚交换机为三层交换设备,其特征在于,
所述IPv6主机用于发送邻居请求报文或邻居公告报文给接入交换机;
所述汇聚交换机配置为IPv6网关,用于将所述三层接口的合法IPv6地址和合法链路层地址封装成自定义的映射报文,并将所述映射报文通过预先配置在每一个三层接口下联的接入交换机的IP地址发送给接入交换机;
所述接入交换机用于监听接收到的所有邻居请求报文或邻居公告报文,根据邻居请求报文中源IP地址和源链路层地址选项中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居请求报文的合法性;或者,根据邻居公告报文中目标地址选项中的IP地址和目标链路层地址选项中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居公告报文的合法性;其中,本地映射表项信息包括自定义的映射报文中合法IPv6地址和合法链路层地址。
6.根据权利要求5所述的防止IPv6网关邻居欺骗攻击的系统,其特征在于,所述汇聚交换机上配置的三层接口IP地址包括IPv6网络中接入交换机的IPv6地址;或者,IPv4和IPv6网络共存的网络中的接入交换机的IPv4和IPv6地址中的一种。
7.根据权利要求5所述的防止IPv6网关邻居欺骗攻击的系统,其特征在于,所述汇聚交换机包括配置模块、收发模块和映射报文生成模块;
所述配置模块用于在汇聚交换机上配置每一个三层接口下联的接入交换机的IP地址;
映射报文生成模块将所述三层接口的合法IPv6地址和合法链路层地址封装成自定义的映射报文,对映射报文进行加密后发送给接入交换机;
收发模块用于接收和发送邻居请求报文或邻居公告报文。
8.根据权利要求5所述的防止IPv6网关邻居欺骗攻击的系统,其特征在于,所述接入交换机包括收发模块、重定向模块、映射报文处理模块和判断模块;
所述收发模块用于接收和转发邻居请求报文或邻居公告报文;
重定向模块用于匹配接入交换机下发的将所述邻居请求报文或邻居公告报文重定向至判断模块的规则,将所述邻居请求报文或邻居公告报文重定向至判断模块;
映射报文处理模块用于对汇聚交换机发送的映射报文解密,得到自定义映射报文的合法IPv6地址和合法链路层地址,并将自定义映射报文的合法IPv6地址和合法链路层地址存储到本地映射表项中;
判断模块用于根据邻居请求报文中源IP地址和源链路层地址选项中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居请求报文的合法性;或者,根据邻居公告报文中目标地址选项中的IP地址和目标链路层地址选项中的链路层地址与本地映射表项中的网关IP和链路层地址是否一致,判断该邻居公告报文的合法性。
9.根据权利要求5所述的防止IPv6网关邻居欺骗攻击的系统,其特征在于,接入交换机接收邻居请求报文,当邻居请求报文的源IP地址为单播地址,且源链路层地址选项存在时,如源IP地址与映射表项中的网关IP一致,但源链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居请求报文为非法报文,丢弃该报文;如源IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文。
10.根据权利要求5所述的防止IPv6网关邻居欺骗攻击的系统,其特征在于,接入交换机接收邻居公告报文,当邻居公告报文的目标地址选项存在,且目标链路层地址选项也存在时,如目标地址选项中的IP地址与映射表项中的网关IP一致,但目标链路层地址选项中的链路层地址与映射表项中的链路层地址不一致,则判断该邻居公告报文为非法报文,丢弃该报文;如目标地址选项中的IP地址与映射表项中的网关IP不一致,则接入交换机根据报文的目标链路层地址在虚拟局域网中转发该报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210041518.0A CN102546661B (zh) | 2012-02-21 | 2012-02-21 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210041518.0A CN102546661B (zh) | 2012-02-21 | 2012-02-21 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102546661A true CN102546661A (zh) | 2012-07-04 |
| CN102546661B CN102546661B (zh) | 2015-08-26 |
Family
ID=46352619
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210041518.0A Active CN102546661B (zh) | 2012-02-21 | 2012-02-21 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102546661B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363243A (zh) * | 2014-11-27 | 2015-02-18 | 福建星网锐捷网络有限公司 | 一种防网关欺骗的方法及装置 |
| CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
| CN108183921A (zh) * | 2015-03-18 | 2018-06-19 | 策安保安有限公司 | 经由边界网关进行信息安全性威胁中断的系统和方法 |
| CN111416887A (zh) * | 2020-03-31 | 2020-07-14 | 清华大学 | 地址检测的方法、装置、交换机及存储介质 |
| CN111901452A (zh) * | 2020-07-20 | 2020-11-06 | 中盈优创资讯科技有限公司 | 一种设备接口自动适配添加ipv6信息的方法及装置 |
| CN112565092A (zh) * | 2019-09-10 | 2021-03-26 | 阿自倍尔株式会社 | 确定装置和确定方法 |
| CN112929279A (zh) * | 2021-03-09 | 2021-06-08 | 清华大学 | 互联网域内源地址验证表的分布式生成方法和装置 |
| CN114268426A (zh) * | 2021-12-21 | 2022-04-01 | 中国科学院信息工程研究所 | 面向ICMPv6 DoS攻击与DDoS攻击的检测方法及系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111464517B (zh) * | 2020-03-23 | 2021-02-26 | 武汉思普崚技术有限公司 | 一种ns反向查询防止地址欺骗攻击的方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201063651Y (zh) * | 2007-07-09 | 2008-05-21 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的系统与路由器 |
| CN101888370A (zh) * | 2009-05-11 | 2010-11-17 | 中兴通讯股份有限公司 | 防止IPv6地址被欺骗性攻击的装置与方法 |
| EP2267984A1 (en) * | 2008-03-26 | 2010-12-29 | Huawei Technologies Co., Ltd. | Address configuring method, apparatus and system |
| CN102025734A (zh) * | 2010-12-07 | 2011-04-20 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
-
2012
- 2012-02-21 CN CN201210041518.0A patent/CN102546661B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201063651Y (zh) * | 2007-07-09 | 2008-05-21 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的系统与路由器 |
| EP2267984A1 (en) * | 2008-03-26 | 2010-12-29 | Huawei Technologies Co., Ltd. | Address configuring method, apparatus and system |
| CN101888370A (zh) * | 2009-05-11 | 2010-11-17 | 中兴通讯股份有限公司 | 防止IPv6地址被欺骗性攻击的装置与方法 |
| CN102025734A (zh) * | 2010-12-07 | 2011-04-20 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363243A (zh) * | 2014-11-27 | 2015-02-18 | 福建星网锐捷网络有限公司 | 一种防网关欺骗的方法及装置 |
| CN108183921B (zh) * | 2015-03-18 | 2021-06-01 | 策安保安有限公司 | 经由边界网关进行信息安全性威胁中断的系统和方法 |
| CN108183921A (zh) * | 2015-03-18 | 2018-06-19 | 策安保安有限公司 | 经由边界网关进行信息安全性威胁中断的系统和方法 |
| CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
| CN112565092B (zh) * | 2019-09-10 | 2023-02-28 | 阿自倍尔株式会社 | 确定装置和确定方法 |
| CN112565092A (zh) * | 2019-09-10 | 2021-03-26 | 阿自倍尔株式会社 | 确定装置和确定方法 |
| CN111416887A (zh) * | 2020-03-31 | 2020-07-14 | 清华大学 | 地址检测的方法、装置、交换机及存储介质 |
| CN111901452A (zh) * | 2020-07-20 | 2020-11-06 | 中盈优创资讯科技有限公司 | 一种设备接口自动适配添加ipv6信息的方法及装置 |
| CN111901452B (zh) * | 2020-07-20 | 2023-04-21 | 中盈优创资讯科技有限公司 | 一种设备接口自动适配添加ipv6信息的方法及装置 |
| CN112929279A (zh) * | 2021-03-09 | 2021-06-08 | 清华大学 | 互联网域内源地址验证表的分布式生成方法和装置 |
| CN112929279B (zh) * | 2021-03-09 | 2021-11-30 | 清华大学 | 互联网域内源地址验证表的分布式生成方法和装置 |
| CN114268426A (zh) * | 2021-12-21 | 2022-04-01 | 中国科学院信息工程研究所 | 面向ICMPv6 DoS攻击与DDoS攻击的检测方法及系统 |
| CN114268426B (zh) * | 2021-12-21 | 2023-12-19 | 中国科学院信息工程研究所 | 面向ICMPv6 DoS攻击与DDoS攻击的检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102546661B (zh) | 2015-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102546661B (zh) | 一种防止IPv6网关邻居欺骗攻击的方法及系统 | |
| Cam-Winget et al. | Security flaws in 802.11 data link protocols | |
| CN101159718B (zh) | 嵌入式工业以太网安全网关 | |
| US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
| CN101299665B (zh) | 报文处理方法、系统及装置 | |
| US20100077203A1 (en) | Relay device | |
| IL177756A (en) | Encryption-based protection against attacks | |
| CN103875226A (zh) | 用于网络环境中主机发起的防火墙发现的系统和方法 | |
| WO2008039468A2 (en) | Security encapsulation of ethernet frames | |
| CN106209883A (zh) | 基于链路选择和破碎重组的多链路传输方法及系统 | |
| CN102546658A (zh) | 一种防止网关arp欺骗的方法和系统 | |
| EP3442195B1 (en) | Reliable and secure parsing of packets | |
| CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换系统及方法 | |
| CN101197828B (zh) | 一种安全arp的实现方法及网络设备 | |
| CN102572013A (zh) | 一种基于免费arp实现代理arp的方法及系统 | |
| CN110832806B (zh) | 针对面向身份的网络的基于id的数据面安全 | |
| CN101552677B (zh) | 一种地址检测报文的处理方法和交换设备 | |
| CN102594882A (zh) | 一种基于DHCPv6监听的邻居发现代理方法和系统 | |
| Halvorsen et al. | An improved attack on TKIP | |
| CN102546307A (zh) | 基于dhcp侦听实现代理arp功能的方法和系统 | |
| CN109587163B (zh) | 一种dr模式下的防护方法和装置 | |
| CN102571816B (zh) | 一种防止邻居学习攻击的方法和系统 | |
| KR101591306B1 (ko) | 가상의 mac 주소를 이용한 통신 방법 및 장치 | |
| KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
| Chen et al. | A Robust Protocol for Circumventing Censoring Firewalls |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100085 Beijing Haidian District, No. 9 Shangdi Jiujie Digital Science and Technology Plaza Patentee after: Beijing Shenzhou Digital Cloud Information Technology Co.,Ltd. Address before: 100085 Beijing Haidian District, No. 9 Shangdi Jiujie Digital Science and Technology Plaza Patentee before: DIGITAL CHINA NETWORKS (BEIJING) Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190614 Address after: 430000 Six Floors of 777B Office Building, Guanggu Third Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province Patentee after: Wuhan Shenzhou Digital Cloud Technology Co.,Ltd. Address before: 100085 Beijing Haidian District, No. 9 Shangdi Jiujie Digital Science and Technology Plaza Patentee before: Beijing Shenzhou Digital Cloud Information Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240507 Address after: 430000 Six Floors of 777B Office Building, Guanggu Third Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province Patentee after: Wuhan Shenzhou Digital Cloud Technology Co.,Ltd. Country or region after: China Patentee after: Shenzhou Kuntai (Xiamen) Information Technology Co.,Ltd. Address before: 430000 Six Floors of 777B Office Building, Guanggu Third Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province Patentee before: Wuhan Shenzhou Digital Cloud Technology Co.,Ltd. Country or region before: China |
|
| TR01 | Transfer of patent right |