CN103067411A - 防止DS-Lite组网中的DoS攻击方法和装置 - Google Patents
防止DS-Lite组网中的DoS攻击方法和装置 Download PDFInfo
- Publication number
- CN103067411A CN103067411A CN2013100261789A CN201310026178A CN103067411A CN 103067411 A CN103067411 A CN 103067411A CN 2013100261789 A CN2013100261789 A CN 2013100261789A CN 201310026178 A CN201310026178 A CN 201310026178A CN 103067411 A CN103067411 A CN 103067411A
- Authority
- CN
- China
- Prior art keywords
- message
- ipv6
- ipv6 message
- address
- confirmation information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本申请提供了防止DS-Lite组网中的DoS攻击方法和装置。该方法中,当AFTR接收到来自B4的IPv6报文时,不是直接把此IPv6报文解封装做NAT并转发,而是通过和B4之间的报文交互对B4的真实性进行验证,只有验证成功时,才对接收的IPv6报文解封装做NAT并转发,这避免了AFTR遭受DoS攻击。
Description
技术领域
本申请涉及网络通信技术,特别涉及防止双栈精简技术(DS-Lite:Dual-Stack Lite)组网中的拒绝服务(DoS:Denial of Service)攻击方法和装置。
背景技术
全球IPv6商用网络已正式启用,以后IPv6网络会越来越多,终将取代现有的IPv4网络成为互联网的骨干网络。然而出于成本、技术限制等诸多原因,目前以IPv4地址提供服务的互联网主机仍将在相当长的时间里存在,因此网络运营商必须具备为IPv6网络中的IPv4孤岛之间提供通信服务的能力。
IPv4over IPv6隧道可以为IPv6网络中的IPv4孤岛之间提供通信服务,但为保证IPv6网络中IPv4孤岛之间的通信服务,这需要任意两个IPv4孤岛之间都必须建立IPv4over IPv6隧道,具体如图1所示。这会导致组网复杂而且扩展性差,对于运营商来说维护成本较高,并且IPv4孤岛之间必须使用公网IPv4地址,这在公网IPv4地址已经耗尽的现实情况下,这种组网的应用限制很大。
为解决上述在IPv4孤岛之间建立IPv4over IPv6隧道带来的诸多问题,DS-Lite协议应运而生,它把隧道技术和网络地址转换(NAT)技术结合起来。图2示出了使用DS-Lite协议的组网示意图。以下为便于描述,将使用DS-Lite协议的组网简称DS-Lite组网。
DS-Lite组网中,运营商端部署地址转换路由器(AFTR:Address FamilyTransition Router),用户侧部署多个基础桥接宽带元件(B4:Basic BridgingBroadBand),图2仅示出以下两个B4:B4_1和B4_2,任一B4上连接的客户端(Client)使用私网IPv4地址,不同的B4连接的Client使用的IPv4地址可以重叠,AFTR和任一B4之间建立IPv4over IPv6隧道,使用IPv6地址进行通信。
下面以图2所示的连接到B4_1的Client1访问公网IPv4主机为例,通过图3描述整个访问流程:
在图3中,连接到B4_1的Client1先发起访问公网IPv4主机的IPv4报文至B4_1;
B4_1收到其连接的Client1发起的IPv4报文时,给该IPv4报文封装IPv6报文头,其中,封装的IPv6报文头中携带B4_1的IPv6地址。另外,为便于描述,这里将该封装了IPv6报文头的IPv4报文称为IPv6报文。
之后,B4_1通过与AFTR之间的IPv4over IPv6隧道发送IPv6报文到其连接的AFTR。
AFTR收到来自B4_1的IPv6报文后,对该IPv6报文解封装,获取并记录此IPv6报文中IPv6报文头携带的B4_1的IPv6地址,取出内层的IPv4报文,对该IPv4报文进行NAT转换,即把该IPv4报文的源IP地址(该源IP地址实质为Client1的IP地址)对应替换为公网的IP地址,通过IPv4网络发到公网IPv4主机。
公网IPv4主机收到来自AFTR的报文时,通过IPv4网络返回对应的IPv4响应报文。
当公网IPv4主机返回的IPv4响应报文到达AFTR时,AFTR先对该接收的IPv4响应报文进行NAT转换,即把该IPv4响应报文的目的IP地址替换为私网的IP地址(该私网IP地址实质为Client1的IP地址),然后利用之前记录的B4_1的IPv6地址对该IPv4响应报文封装IPv6报文头,形成IPv6报文,通过至B4_1的IPv4over IPv6隧道发送该IPv6报文给B4_1。
B4_1收到来自AFTR的IPv6报文后,对该IPv6报文解封装,获取内层的IPv4响应报文,发送至连接的Client1。
至此,完成整个访问流程。
但是,在整个访问流程中,常常会带来一些安全隐患,比如攻击者仿造来自B4的隧道报文发给AFTR,由于隧道加解封装以及NAT处理都非常消耗资源,AFTR很可能由于收到大量的虚假隧道报文而停止对正常报文的处理,形成了DoS攻击。
发明内容
本申请提供了防止DS-Lite组网中的DoS攻击方法和装置,以防御DS-Lite组网中的DoS攻击。
本申请提供的技术方案包括:
一种防止DS-Lite组网中的Dos攻击方法,该方法应用于所述DS-Lite组网中的地址转换路由器AFTR,包括:
接收所述DS-Lite组网中基础桥接宽带元件B4发送的IPv6报文;
判断已建立的可信列表中是否存在所述IPv6报文的源IP地址,所述IPv6报文的源IP地址为所述B4的IP地址,
如果是,对所述IPv6报文进行解封装,获取内层的IPv4报文并发送;
如果否,识别所述IPv6报文是否携带了验证确认信息,如果否,生成一个验证信息,将该验证信息携带在与所述IPv6报文相关联的IPv6关联报文中返回给所述B4,以使所述B4依据接收的验证信息生成验证确认信息并携带在与所述IPv6关联报文相关联的IPv6报文中返回给所述AFTR;
如果是,对所述验证确认信息进行验证,在验证成功时,确定所述B4可信,将所述IPv6报文的源IP地址加入所述可信列表中。
一种防止DS-Lite组网中的Dos攻击方法,该方法应用于所述DS-Lite组网中的基础桥接宽带元件B4,该方法包括:
接收所述DS-Lite组网中地址转换路由器AFTR发送的IPv6报文;
识别所述IPv6报文是否携带验证信息;
如果是,依据所述IPv6报文携带的验证信息生成验证确认信息,将所述验证确认信息携带在与所述IPv6报文相关联的IPv6报文中发送给AFTR;
如果否,则对接收的IPv6报文进行解封装,获取内层的IPv4报文并发送。
一种防止DS-Lite组网中的Dos攻击装置,该装置应用于所述DS-Lite组网中的地址转换路由器AFTR,该装置包括:
接收单元,用于接收所述DS-Lite组网中基础桥接宽带元件B4发送的IPv6报文;
判断单元,用于判断已建立的可信列表中是否存在所述IPv6报文的源IP地址,所述IPv6报文的源IP地址为所述B4的IP地址;
处理单元,用于在所述判断单元的判断结果为是时,对所述IPv6报文进行解封装,获取内层的IPv4报文并发送;以及,用于在所述判断单元的判断结果为否时,识别所述IPv6报文是否携带了验证确认信息,并将识别结果发送至验证单元;
验证单元,用于在所述识别结果为否时,生成一个验证信息,将该验证信息携带在与所述IPv6报文相关联的IPv6关联报文中返回给所述B4,以使所述B4依据接收的验证信息生成验证确认信息并携带在与所述IPv6关联报文相关联的IPv6报文中返回给所述AFTR,以及,用于在所述识别结果为是时,对所述验证确认信息进行验证,在验证成功时,将所述IPv6报文的源IP地址加入所述可信列表中。
一种防止DS-Lite组网中的Dos攻击装置,该装置应用于所述DS-Lite组网中的基础桥接宽带元件B4,该装置包括:
接收单元,用于接收所述DS-Lite组网中地址转换路由器AFTR发送的IPv6报文;
识别单元,用于识别所述IPv6报文是否携带验证信息;
处理单元,用于在所述识别单元识别出所述IPv6报文携带验证信息时,依据所述IPv6报文携带的验证信息生成验证确认信息,将所述验证确认信息携带在与所述IPv6报文相关联的IPv6报文中发送给AFTR;以及,
用于在所述识别单元识别出所述IPv6报文未携带验证信息时,对接收的IPv6报文进行解封装,获取内层的IPv4报文并发送。
由以上技术方案可以看出,本发明中,当AFTR接收到来自B4的IPv6报文时,不是直接把此IPv6报文解封装做NAT并转发,而是通过和B4之间的报文交互对B4的真实性进行验证,避免AFTR遭受DoS攻击。
附图说明
图1为IPv4over IPv6隧道组网应用示意图;
图2为DS-Lite组网应用示意图;
图3为DS-Lite组网应用中私网IPv4主机访问公网IPv4主机的示意图;
图4为本发明实施例提供的方法流程图;
图5为本发明实施例提供的实施例流程图;
图6为本发明实施例提供的方法实现示意图;
图7为本发明实施例提供的装置结构图;
图8为本发明实施例提供的另一装置结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明提供的方法是在标准DS-Lite协议的基础上加入了一次B4验证的过程。通过本发明,当AFTR接收到B4发送的IPv6报文时,不是直接把此IPv6报文解封装做NAT并转发,而是通过与B4之间进行报文交互先对该B4的真实性进行一次验证,只有验证成功时才会对此IPv6报文解封装并做NAT进行转发。
参见图4,图4为本发明实施例提供的方法流程图。该流程应用于所述DS-Lite组网中的地址转换路由器AFTR,如图4所示,该流程可包括以下步骤:
步骤401,接收所述DS-Lite组网中B4发送的IPv6报文。
步骤402,判断已建立的可信列表中是否存在所述IPv6报文的源IP地址,所述IPv6报文的源IP地址为所述B4的IP地址,如果是,执行步骤403,如果否,执行步骤404。
步骤403,对所述IPv6报文进行解封装,获取内层的IPv4报文并发送。
这里,对IPv6报文进行解封装,获取内层的IPv4报文并发送可按照现有AFTR收到来自B4的IPv6报文后对IPv6报文进行解封装并发送的方式执行,本发明不再赘述。
步骤404,识别所述IPv6报文是否携带了验证确认信息,如果否,生成一个验证信息,将该验证信息携带在与所述IPv6报文相关联的IPv6关联报文中返回给所述B4,以使所述B4依据接收的验证信息生成验证确认信息并携带在与所述IPv6关联报文相关联的IPv6报文中返回给所述AFTR;如果是,对所述验证确认信息进行验证,在验证成功时,将所述IPv6报文的源IP地址加入所述可信列表中。
本发明中,与所述IPv6报文相关联的IPv6关联报文具体实现时可有多种实现形式,本发明举出以下两个实现形式:
形式1:
本形式1下,与所述IPv6报文相关联的IPv6关联报文其仅是将所述IPv6报文中源IP地址和目的IP地址相交换之后得到的报文,而所述IPv6报文中携带的由Client1发送的原始报文内容即所述IPv6报文中的内层IPv4报文内容均未发生改变。
可以看出,采用本形式1,能够保证Client1发送的原始报文内容即IPv4报文始终在B4_1和AFTR之间存在,因此,AFTR没有必要缓存该原始报文内容,这节约了AFTR的存储资源,使得在B4_1通过验证之前不占用AFTR上任何资源比如缓存资源等。
形式2:
本形式2下,与所述IPv6报文相关联的IPv6关联报文可以不包含所述IPv6报文中原始报文内容,而是新创建的源IP地址为所述IPv6报文中目的IP地址、目的IP地址为所述IPv6报文中源IP地址的IPv6报文。
在本形式2下,为了保证后续在B4_1通过验证后顺利发送报文,需要AFTR暂时缓存在步骤404接收的所述IPv6报文。相比于形式1,本形式2会在B4通过验证之前占用AFTR的缓存资源。
为便于及时回收AFTR被占用的缓存资源,优选地,本发明中,基于形式2,在B4_1通过验证后,可进一步包括:对缓存的IPv6报文进行解封装,获取内层的IPv4报文并发送,并清除缓存的所述IPv6报文。
至此,完成图4所示的流程。
下面以上述形式1为例,对图4所示流程进行详细描述:
下面通过图5对本发明实施例提供的方法进行描述:
参见图5,图5为本发明实施例提供的方法流程图。该方法仍以图2所示的DS-Lite组网为例,如图5所示,该流程可包括以下步骤:
步骤501,当B4_1连接的Client1需要访问公网IPv4主机时,Client1先发送一个IPv4报文给B4_1。
步骤502,B4_1接收到来自Client1的IPv4报文时,为该IPv4报文封装IPv6头即形成IPv6报文,该IPv6头中的源IP地址为发送该IPv6报文的B4_1的IP地址。
步骤503,B4_1通过与AFTR之间的IPv4over IPv6隧道发送IPv6报文给AFTR。
步骤504,AFTR接收到来自B4发送的IPv6报文时,判断已建立的可信列表中是否存在所述IPv6报文的源IP地址,如果是,执行步骤505,如果否,执行步骤506。
步骤505,对所述IPv6报文进行解封装,获取内层的IPv4报文并发送。
本步骤505是在步骤504判断出IPv6报文的源IP地址存在于可信列表的前提下执行,由于该源IP地址实质为发送该IPv6报文的B4_1的IP地址,因此,当该IPv6报文的源IP地址存在于可信列表,则意味着发送该IPv6报文的B4_1是可信的,不属于攻击者,基于此,可直接对该IPv6报文进行解封装,获取内层的IPv4报文并发送。这里,对IPv6报文进行解封装,获取内层的IPv4报文并发送可按照现有AFTR收到来自B4的IPv6报文后对IPv6报文进行解封装并发送的方式执行,本发明不再赘述。
还有,本发明中,可信列表中的IP地址是依据后续步骤511动态增加的,具体见步骤511。
步骤506,识别所述IPv6报文是否携带了验证确认信息,如果否,执行步骤507,如果是,执行步骤511。
本发明中,验证确认信息具体在下文进行了描述。
步骤507,将所述IPv6报文中源IP地址和目的IP地址相交换得到一新的IPv6报文,并生成一个验证信息,将该生成的验证信息携带在新得到的IPv6报文中返回给所述B4_1。
本发明中,验证信息主要是依赖于B4_1的标识比如B4_1的IP地址生成的,因此,AFTR没有必要针对B4_1保存对应的验证信息,节省AFTR的存储资源。
优选地,为保证生成的验证信息安全、且不容易破解,本发明中,AFTR可周期性地动态生成随机数比如每10秒生成一个随机数,并基于该动态生成的随机数生成验证信息。具体地,生成验证信息可包括:
识别当前周期内生成的随机数;
利用所述随机数、所述B4的IP地址、本AFTR的IP地址进行运算,将得到的结果作为所述验证信息。
这里,利用所述随机数、所述B4的IP地址、本AFTR的IP地址进行运算的方式本发明并不具体限定,比如,利用MD5算法、SHA-1算法等等。
步骤508,B4_1接收来自AFTR发送的IPv6报文时,识别该接收的IPv6报文是否携带验证信息,如果是,执行步骤509,如果否,执行步骤510。
相比于现有B4执行的操作,本发明中,B41接收到来自AFTR发送的IPv6报文时,并不直接对该IPv6报文进行解封装并转发,而是先识别该接收的IPv6报文是否携带验证信息,依据识别结果进行相应处理,具体见步骤509至步骤510。
步骤509,B4_1依据该接收的IPv6报文携带的验证信息生成验证确认信息,并将该接收的IPv6报文中源IP地址和目的IP地址相交换得到一新的IPv6报文,将生成的验证确认信息携带在该得到的新IPv6报文中发送给AFTR。之后返回步骤504。
本步骤509中,所述依据接收的IPv6报文携带的验证信息生成验证确认信息具体实现时可包括:
直接将该接收的IPv6报文携带的验证信息作为验证确认信息;或者,
按照之前与AFTR协商的用于生成验证确认信息的方式对该接收的IPv6报文携带的验证信息进行处理,得到的处理结果作为所述验证确认信息。
步骤510,对接收的IPv6报文进行解封装,获取内层的IPv4报文并发送。
本步骤510可按照现有B4收到来自AFTR的IPv6报文后的处理方式执行,这里不再赘述。
步骤511,对所述验证确认信息进行验证,在验证成功时,将所述IPv6报文的源IP地址加入所述可信列表中,去除所述IPv6报文携带的验证确认信息,并对所述IPv6报文进行解封装,获取内层的IPv4报文并发送。
本发明中,AFTR对验证确认信息进行验证依赖于最近一次向B4_1发送的验证信息。基于此,就需要AFTR记录之前向B4_1发送的所有验证信息,这样,在B4比较多的前提下,就需要AFTR记录之前向每一B4发送的所有验证信息,会大量占用AFTR的缓存资源。针对这种情况,基于上面对验证信息如何生成的描述,本发明不再使AFTR缓存向每一B4发送的验证信息,而是直接缓存每一周期内生成的随机数,如此,上述步骤511中对验证确认信息进行验证具体为:
在B4_1直接将该接收的IPv6报文携带的验证信息作为验证确认信息下,AFTR利用当前周期内生成的随机数、发送所述验证确认信息的B4_1的IP地址、本AFTR的IP地址进行运算,判断得到的运算结果是否与验证确认信息一致,如果是,则说明验证确认信息通过认证,否则,
利用发送所述验证确认信息的IP地址、本AFTR的IP地址、分别与距离当前周期比较近的至少一个周期内生成的随机数进行运算,比较各个运算结果中是否有一个与验证确认信息一致,如果是,则说明验证确认信息通过认证,否则,说明验证确认信息未通过认证。其中,这里之所以利用发送所述验证确认信息的B4_1的IP地址、本AFTR的IP地址、分别与距离当前周期比较近的至少一个周期内生成的随机数进行运算目的就是避免之前发送的验证信息和当前收到验证确认信息不在生成同一个随机数的周期内,这能够提高验证的准确性。
当然,在B4_1按照之前与AFTR协商的用于生成验证确认信息的方式对该接收的IPv6报文携带的验证信息进行处理,得到的处理结果作为验证确认信息下,AFTR利用当前周期内生成的随机数、发送所述验证确认信息的B4_1的IP地址、本AFTR的IP地址进行运算,按照之前与AFTR协商的用于生成验证确认信息的方式对该运算结果进行处理,判断处理得到的结果是否与验证确认信息一致,如果是,则说明验证确认信息通过认证,否则,
利用发送所述验证确认信息的B4_1的IP地址、本AFTR的IP地址、分别与距离当前周期比较近的至少一个周期内生成的随机数进行运算,之后按照之前与AFTR协商的用于生成验证确认信息的方式对各个运算结果进行处理,比较各个处理结果中是否有一个与验证确认信息一致,如果是,则说明验证确认信息通过认证,否则,说明验证确认信息未通过认证。其中,这里之所以利用发送所述验证确认信息的IP地址、本AFTR的IP地址、分别与距离当前周期比较近的至少一个周期内生成的随机数进行运算目的就是避免之前发送的验证信息和当前收到验证确认信息不在生成同一个随机数的周期内,这能够提高验证的准确性。
这里,所述IPv6报文中的验证确认信息验证成功,也就意味着发送该IPv6报文的B4_1的真实性是可信的。
另外,本步骤511中,对所述IPv6报文进行解封装,获取内层的IPv4报文并发送可按照现有AFTR收到来自B4的IPv6报文后的处理方式执行,本发明并不赘述。
至此,完成图5所示的流程。为了便于理解图5所示流程,图6示出了Client1、B4_1、AFTR和公网IPv4主机之间的报文交换。
优选地,本发明中,验证信息、以及验证确认信息都是通过DS-Lite验证选项承载在IPv6报文中的IPv6目的选项(此时,IPv6报文中的next header域取值为60)扩展头中的。根据IPv6协议的规定,IPv6目的选项扩展头只在报文到达目的时才会进行检查,而在本发明中,AFTR接收的IPv6报文的目的为AFTR本身,而B4接收的IPv6报文的目的也为B4本身,因此,使用此IPv6目的选项扩展头非常合适。当然,作为本发明的实施例,DS-Lite验证选项也可承载在单独创建的扩展头或者IPv6报文的其他位置,本发明并不具体限定。
以DS-Lite验证选项承载在IPv6目的选项扩展头中为例,则上述步骤507中,所述将计算的验证信息携带在与所述IPv6报文相关联的IPv6关联报文中返回给所述B4_1包括:
识别所述IPv6关联报文是否存在IPv6目的选项扩展头,
如果是,向所述IPv6目的选项扩展头中添加DS-Lite验证选项,将计算的验证信息填入至所述DS-Lite验证选项,之后返回该IPv6关联报文给所述B4_1,
如果否,创建一个IPv6目的选项扩展头,将创建的IPv6目的选项扩展头插入至所述IPv6关联报文,向所述IPv6目的选项扩展头中添加DS-Lite验证选项,将计算的验证信息填入至所述DS-Lite验证选项,之后返回该IPv6关联报文给所述B41。同样,上述步骤509中B4_1将所述验证确认信息携带在一个新的IPv6报文中发送给AFTR的原理类似,这里不再赘述。
仍以DS-Lite验证选项承载在IPv6目的选项扩展头中为例,步骤506中,识别所述IPv6报文是否携带了验证确认信息包括:
识别所述IPv6报文是否存在IPv6目的选项扩展头,
如果是,识别所述IPv6目的选项扩展头中是否存在填入了所述验证确认信息的DS-Lite验证选项,如果是,确定所述IPv6报文携带了验证确认信息,如果否,确定所述IPv6报未携带验证确认信息;
如果否,确定所述IPv6报未携带验证确认信息。
至此,完成了本发明提供的方法描述。
下面对本发明提供的装置进行描述:
参见图7,图7为本发明实施例提供的装置结构图。其中,该装置应用于所述DS-Lite组网中的地址转换路由器AFTR,如图7所示,该装置包括:
接收单元,用于接收所述DS-Lite组网中基础桥接宽带元件B4发送的IPv6报文;
判断单元,用于判断已建立的可信列表中是否存在所述IPv6报文的源IP地址,所述IPv6报文的源IP地址为所述B4的IP地址;
处理单元,用于在所述判断单元的判断结果为是时,对所述IPv6报文进行解封装,获取内层的IPv4报文并发送;以及,用于在所述判断单元的判断结果为否时,识别所述IPv6报文是否携带了验证确认信息,并将识别结果发送至验证单元;
验证单元,用于在所述识别结果为否时,生成一个验证信息,将该验证信息携带在与所述IPv6报文相关联的IPv6关联报文中返回给所述B4,以使所述B4依据接收的验证信息生成验证确认信息并携带在与所述IPv6关联报文相关联的IPv6报文中返回给所述AFTR,以及,用于在所述识别结果为是时,对所述验证确认信息进行验证,在验证成功时,将所述IPv6报文的源IP地址加入所述可信列表中。
本发明中,优选地,所述与IPv6报文相关联的IPv6关联报文为所述IPv6报文中源IP地址和目的IP地址相交换之后得到的报文。
本发明中,所述与IPv6关联报文相关联的IPv6报文为:所述IPv6关联报文中源IP地址和目的IP地址相交换之后得到的报文;基于此,所述验证单元在将IPv6报文的源IP地址加入所述可信列表中之后进一步发送处理通知给所述处理单元;
所述处理单元进一步在接收到所述处理通知时,去除所述IPv6报文携带的验证确认信息,并对所述IPv6报文进行解封装,获取内层的IPv4报文并发送。
本发明中,所述验证单元进一步周期性地生成随机数;基于该周期性生成的随机数,则所述验证单元计算一个验证信息的处理过程可包括:
识别当前周期内生成的随机数;
利用所述随机数、所述B4的IP地址、本AFTR的IP地址进行运算,将得到的结果作为所述验证信息。
本发明中,所述验证单元将计算的验证信息携带在与所述IPv6报文相关联的IPv6关联报文中返回给所述B4的处理过程可包括:
识别所述IPv6关联报文是否存在IPv6目的选项扩展头,
如果是,向所述IPv6目的选项扩展头中添加DS-Lite验证选项,将计算的验证信息填入至所述DS-Lite验证选项,之后返回该IPv6关联报文给所述B4,
如果否,创建一个IPv6目的选项扩展头,将创建的IPv6目的选项扩展头插入至所述IPv6关联报文,向所述IPv6目的选项扩展头中添加DS-Lite验证选项,将计算的验证信息填入至所述DS-Lite验证选项,之后返回该IPv6关联报文给所述B4。
本发明中,所述处理单元识别所述IPv6报文是否携带了验证确认信息的处理过程可包括:
识别所述IPv6报文是否存在IPv6目的选项扩展头,
如果是,识别所述IPv6目的选项扩展头中是否存在填入了所述验证确认信息的DS-Lite验证选项,如果是,确定所述IPv6报文携带了验证确认信息,如果否,确定所述IPv6报未携带验证确认信息;
如果否,确定所述IPv6报未携带验证确认信息。
至此,完成图7所示的装置。
优选地,本发明还提供了另一装置结构。参见图8,图8为本发明实施例提供的另一装置结构图。其中,该装置应用于所述DS-Lite组网中的B4,如图8所示,该装置包括:
接收单元,用于接收所述DS-Lite组网中地址转换路由器AFTR发送的IPv6报文;
识别单元,用于识别所述IPv6报文是否携带验证信息;
处理单元,用于在所述识别单元识别出所述IPv6报文携带验证信息时,依据所述IPv6报文携带的验证信息生成验证确认信息,将所述验证确认信息携带在与所述IPv6报文相关联的IPv6报文中发送给AFTR;以及,
用于在所述识别单元识别出所述IPv6报文未携带验证信息时,对接收的IPv6报文进行解封装,获取内层的IPv4报文并发送。
优选地,本发明中,所述处理单元将所述验证确认信息携带在与所述IPv6报文相关联的IPv6报文中发送给AFTR包括:
将接收的IPv6报文中源IP地址和目的IP地址相交换得到的报文确定为与接收的IPv6报文相关联的IPv6报文;
将所述验证确认信息携带在确定的IPv6报文中发送给AFTR。
至此,完成图8所示的装置结构图。
由以上技术方案可以看出,本发明中,当AFTR接收到来自B4的IPv6报文时,不是直接把此IPv6报文解封装做NAT并转发,而是通过AFTR和B4之间的报文交互对B4的真实性进行验证,避免AFTR遭受DoS攻击;
进一步地,本发明中,在验证B4真实性时,在Client发送的原始报文内容中插入验证信息,这能够最大限度减少AFTR验证B4真实性的资源消耗,性能高、可靠性强。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (13)
1.一种防止DS-Lite组网中的DoS攻击方法,该方法应用于所述DS-Lite组网中的地址转换路由器AFTR,其特征在于,该方法包括:
接收所述DS-Lite组网中基础桥接宽带元件B4发送的IPv6报文;
判断已建立的可信列表中是否存在所述IPv6报文的源IP地址,所述IPv6报文的源IP地址为所述B4的IP地址,
如果是,对所述IPv6报文进行解封装,获取内层的IPv4报文并发送;
如果否,
识别所述IPv6报文是否携带了验证确认信息,如果否,生成一个验证信息,将该验证信息携带在与所述IPv6报文相关联的IPv6关联报文中返回给所述B4,以使所述B4依据接收的验证信息生成验证确认信息并携带在与所述IPv6关联报文相关联的IPv6报文中返回给所述AFTR,如果是,对所述验证确认信息进行验证,在验证成功时,将所述IPv6报文的源IP地址加入所述可信列表中。
2.根据权利要求1所述的方法,其特征在于,所述与IPv6报文相关联的IPv6关联报文为:
所述IPv6报文中源IP地址和目的IP地址相交换之后得到的报文。
3.根据权利要求2所述的方法,其特征在于,所述与IPv6关联报文相关联的IPv6报文为:所述IPv6关联报文中源IP地址和目的IP地址相交换之后得到的报文;
在将IPv6报文的源IP地址加入所述可信列表中之后,该方法进一步包括:
去除所述IPv6报文携带的验证确认信息,并对所述IPv6报文进行解封装,获取内层的IPv4报文并发送。
4.根据权利要求1所述的方法,其特征在于,该方法进一步包括:周期性地生成随机数;
所述生成一个验证信息包括:
识别当前周期内生成的随机数;
利用本AFTR的IP地址、所述随机数、所述IPv6报文的源IP地址进行运算,将得到的结果作为所述验证信息。
5.根据权利要求1至4任一所述的方法,其特征在于,所述验证信息携带在IPv6关联报文的IPv6目的选项扩展头中、或者携带在IPv6关联报文新增加的扩展头中、或者携带在IPv6报文的其他位置中;
所述验证确认信息携带在IPv6报文的IPv6目的选项扩展头中、或者携带在IPv6报文新增加的扩展头中、或者携带在IPv6报文的其他位置中。
6.一种防止DS-Lite组网中的Dos攻击方法,该方法应用于所述DS-Lite组网中的基础桥接宽带元件B4,其特征在于,该方法包括:
接收所述DS-Lite组网中地址转换路由器AFTR发送的IPv6报文;
识别所述IPv6报文是否携带验证信息;
如果是,依据所述IPv6报文携带的验证信息生成验证确认信息,将所述验证确认信息携带在与所述IPv6报文相关联的IPv6报文中发送给AFTR;
如果否,则对接收的IPv6报文进行解封装,获取内层的IPv4报文并发送。
7.根据权利要求6所述的方法,其特征在于,所述依据IPv6报文携带的验证信息生成验证确认信息包括:
直接将所述IPv6报文携带的验证信息作为验证确认信息;或者,
按照之前与AFTR协商的用于生成验证确认信息的方式对所述IPv6报文携带的验证信息进行处理,得到的处理结果作为所述验证确认信息。
8.根据权利要求6或7所述的方法,其特征在于,所述将验证确认信息携带在与所述IPv6报文相关联的IPv6报文中发送给AFTR包括:
将接收的IPv6报文中源IP地址和目的IP地址相交换得到的报文确定为与接收的IPv6报文相关联的IPv6报文;
将所述验证确认信息携带在确定的IPv6报文中发送给AFTR。
9.一种防止DS-Lite组网中的Dos攻击装置,该装置应用于所述DS-Lite组网中的地址转换路由器AFTR,其特征在于,该装置包括:
接收单元,用于接收所述DS-Lite组网中基础桥接宽带元件B4发送的IPv6报文;
判断单元,用于判断已建立的可信列表中是否存在所述IPv6报文的源IP地址,所述IPv6报文的源IP地址为所述B4的IP地址;
处理单元,用于在所述判断单元的判断结果为是时,对所述IPv6报文进行解封装,获取内层的IPv4报文并发送;以及,用于在所述判断单元的判断结果为否时,识别所述IPv6报文是否携带了验证确认信息,并将识别结果发送至验证单元;
验证单元,用于在所述识别结果为否时,生成一个验证信息,将该验证信息携带在与所述IPv6报文相关联的IPv6关联报文中返回给所述B4,以使所述B4依据接收的验证信息生成验证确认信息并携带在与所述IPv6关联报文相关联的IPv6报文中返回给所述AFTR,以及,用于在所述识别结果为是时,对所述验证确认信息进行验证,在验证成功时,将所述IPv6报文的源IP地址加入所述可信列表中。
10.根据权利要求9所述的装置,其特征在于,所述与IPv6报文相关联的IPv6关联报文为所述IPv6报文中源IP地址和目的IP地址相交换之后得到的报文。
11.根据权利要求10所述的装置,其特征在于,所述与IPv6关联报文相关联的IPv6报文为:所述IPv6关联报文中源IP地址和目的IP地址相交换之后得到的报文;
所述验证单元在将IPv6报文的源IP地址加入所述可信列表中之后进一步发送处理通知给所述处理单元;
所述处理单元进一步在接收到所述处理通知时,去除所述IPv6报文携带的验证确认信息,并对所述IPv6报文进行解封装,获取内层的IPv4报文并发送。
12.一种防止DS-Lite组网中的Dos攻击装置,该装置应用于所述DS-Lite组网中的基础桥接宽带元件B4,其特征在于,该装置包括:
接收单元,用于接收所述DS-Lite组网中地址转换路由器AFTR发送的IPv6报文;
识别单元,用于识别所述IPv6报文是否携带验证信息;
处理单元,用于在所述识别单元识别出所述IPv6报文携带验证信息时,依据所述IPv6报文携带的验证信息生成验证确认信息,将所述验证确认信息携带在与所述IPv6报文相关联的IPv6报文中发送给AFTR;以及,
用于在所述识别单元识别出所述IPv6报文未携带验证信息时,对接收的IPv6报文进行解封装,获取内层的IPv4报文并发送。
13.根据权利要求12所述的装置,其特征在于,所述处理单元将所述验证确认信息携带在与所述IPv6报文相关联的IPv6报文中发送给AFTR包括:
将接收的IPv6报文中源IP地址和目的IP地址相交换得到的报文确定为与接收的IPv6报文相关联的IPv6报文;
将所述验证确认信息携带在确定的IPv6报文中发送给AFTR。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310026178.9A CN103067411B (zh) | 2013-01-23 | 2013-01-23 | 防止DS-Lite组网中的DoS攻击方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310026178.9A CN103067411B (zh) | 2013-01-23 | 2013-01-23 | 防止DS-Lite组网中的DoS攻击方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103067411A true CN103067411A (zh) | 2013-04-24 |
| CN103067411B CN103067411B (zh) | 2016-03-30 |
Family
ID=48109870
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310026178.9A Active CN103067411B (zh) | 2013-01-23 | 2013-01-23 | 防止DS-Lite组网中的DoS攻击方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103067411B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825763A (zh) * | 2014-02-26 | 2014-05-28 | 中国联合网络通信集团有限公司 | 一种用户溯源的方法和系统 |
| CN104333561A (zh) * | 2014-11-21 | 2015-02-04 | 迈普通信技术股份有限公司 | 一种隧道认证方法及装置 |
| CN104363176A (zh) * | 2014-10-24 | 2015-02-18 | 杭州华三通信技术有限公司 | 一种报文控制的方法和设备 |
| CN104639414A (zh) * | 2015-01-30 | 2015-05-20 | 杭州华三通信技术有限公司 | 一种报文转发方法和设备 |
| CN107995113A (zh) * | 2017-11-16 | 2018-05-04 | 新华三技术有限公司 | 路径建立方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101697550A (zh) * | 2009-10-30 | 2010-04-21 | 北京星网锐捷网络技术有限公司 | 一种双栈网络访问权限控制方法和系统 |
| CN101977250A (zh) * | 2010-10-29 | 2011-02-16 | 清华大学 | 边缘网络双栈接入下主机间互访优化中的隧道选择方法 |
| CN102377628A (zh) * | 2010-08-12 | 2012-03-14 | 杭州华三通信技术有限公司 | 建立DS-Lite隧道的方法和DS-Lite CGN |
| US20120218910A1 (en) * | 2011-02-28 | 2012-08-30 | Futurewei Technologies, Inc. | Multicast Support for Dual Stack-Lite and Internet Protocol Version Six Rapid Deployment on Internet Protocol Version Four Infrastructures |
-
2013
- 2013-01-23 CN CN201310026178.9A patent/CN103067411B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101697550A (zh) * | 2009-10-30 | 2010-04-21 | 北京星网锐捷网络技术有限公司 | 一种双栈网络访问权限控制方法和系统 |
| CN102377628A (zh) * | 2010-08-12 | 2012-03-14 | 杭州华三通信技术有限公司 | 建立DS-Lite隧道的方法和DS-Lite CGN |
| CN101977250A (zh) * | 2010-10-29 | 2011-02-16 | 清华大学 | 边缘网络双栈接入下主机间互访优化中的隧道选择方法 |
| US20120218910A1 (en) * | 2011-02-28 | 2012-08-30 | Futurewei Technologies, Inc. | Multicast Support for Dual Stack-Lite and Internet Protocol Version Six Rapid Deployment on Internet Protocol Version Four Infrastructures |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825763A (zh) * | 2014-02-26 | 2014-05-28 | 中国联合网络通信集团有限公司 | 一种用户溯源的方法和系统 |
| CN104363176A (zh) * | 2014-10-24 | 2015-02-18 | 杭州华三通信技术有限公司 | 一种报文控制的方法和设备 |
| CN104333561A (zh) * | 2014-11-21 | 2015-02-04 | 迈普通信技术股份有限公司 | 一种隧道认证方法及装置 |
| CN104639414A (zh) * | 2015-01-30 | 2015-05-20 | 杭州华三通信技术有限公司 | 一种报文转发方法和设备 |
| CN104639414B (zh) * | 2015-01-30 | 2018-05-08 | 新华三技术有限公司 | 一种报文转发方法和设备 |
| CN107995113A (zh) * | 2017-11-16 | 2018-05-04 | 新华三技术有限公司 | 路径建立方法及装置 |
| CN107995113B (zh) * | 2017-11-16 | 2020-12-25 | 新华三技术有限公司 | 路径建立方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103067411B (zh) | 2016-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8191119B2 (en) | Method for protecting against denial of service attacks | |
| CN101179566B (zh) | 一种防御arp报文攻击的方法和装置 | |
| EP2458799B1 (en) | Method, apparatus and system for forwarding messages | |
| CN102664972B (zh) | 一种虚拟网络中地址映射方法和装置 | |
| CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
| US10320788B2 (en) | Method for transferring authorization information, relay device, and server | |
| CN106878199B (zh) | 一种接入信息的配置方法和装置 | |
| CN104993993B (zh) | 一种报文处理方法、设备和系统 | |
| CN103067411A (zh) | 防止DS-Lite组网中的DoS攻击方法和装置 | |
| CN104601566A (zh) | 认证方法以及装置 | |
| CN106878259B (zh) | 一种报文转发方法及装置 | |
| CN103391234A (zh) | 一种实现多用户固定端口映射的方法及pptp vpn服务端 | |
| CN101834864A (zh) | 一种三层虚拟专用网中攻击防范的方法及装置 | |
| CN104580553A (zh) | 网络地址转换设备的识别方法和装置 | |
| CN111131448B (zh) | ADSL Nat的运维管理的边缘管理方法、边缘端代理设备及计算机可读存储介质 | |
| EP2552074A1 (en) | Method and device for multiplexing host identity protocol security tunnels | |
| CN101888388A (zh) | 一种实现虚拟媒体访问控制地址的方法及装置 | |
| US10171418B2 (en) | Method and apparatus for accessing demilitarized zone host on local area network | |
| JP2006180480A (ja) | 動的アドレスを使用してルーティングを実行するネットワークシステム及びその方法 | |
| CN102546429A (zh) | 基于dhcp监听的isatap隧道的认证方法和系统 | |
| CN101945053B (zh) | 一种报文的发送方法和装置 | |
| CN104065688B (zh) | 一种调用底层服务的方法及装置 | |
| CN103458060B (zh) | 一种多级网络地址转换下主机标识符的传递方法及装置 | |
| CN100556027C (zh) | 一种基于网络密钥交换协议的地址更新方法 | |
| CN105898720B (zh) | 一种短消息的处理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230627 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |