CN104081749A - 用于dos攻击保护的dad-ns触发的地址解析 - Google Patents
用于dos攻击保护的dad-ns触发的地址解析 Download PDFInfo
- Publication number
- CN104081749A CN104081749A CN201380007761.3A CN201380007761A CN104081749A CN 104081749 A CN104081749 A CN 104081749A CN 201380007761 A CN201380007761 A CN 201380007761A CN 104081749 A CN104081749 A CN 104081749A
- Authority
- CN
- China
- Prior art keywords
- network element
- address
- message
- network
- link layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000001960 triggered effect Effects 0.000 title 1
- 230000004044 response Effects 0.000 claims abstract description 36
- 230000015654 memory Effects 0.000 claims description 32
- 230000008878 coupling Effects 0.000 claims description 16
- 238000010168 coupling process Methods 0.000 claims description 16
- 238000005859 coupling reaction Methods 0.000 claims description 16
- 238000000034 method Methods 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 4
- CNQCVBJFEGMYDW-UHFFFAOYSA-N lawrencium atom Chemical compound [Lr] CNQCVBJFEGMYDW-UHFFFAOYSA-N 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 210000001072 colon Anatomy 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5092—Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/58—Caching of addresses or names
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
第一网络元件接收来自第二网络元件的占用消息,该占用消息指示第二网络元件旨在占用供其使用的目标地址。响应于占用消息,第一网络元件向网络上的多个网络元件广播发现消息以请求与第一目标地址相关联的链路层地址。第一网络元件接收来自第二网络元件的具有第一目标地址和第二网络元件的链路层地址的发现响应。然后,第一网络元件更新邻居缓存以包含将链路层地址关联到第一目标地址的预先缓存的邻居缓存条目。这防止了与第一目标地址相关联的一个或多个将来的邻居缓存未命中。
Description
技术领域
本发明的实施例涉及计算机联网领域;以及更具体地,涉及在使用邻居发现协议的网络中触发地址解析。
背景技术
在互联网协议版本6(IPv6)中,引入了用于网络元件以发现在相同链路上其它网络元件的存在以及对于那些网络元件的对应属性的技术。这种协议(被称为用于IPv6的邻居发现(ND)(IPv6 ND))使得网络元件能够发现它的邻居网络元件的IPv6地址和链路层地址。此外,结合IPv6 ND引入的技术允许网络元件自动配置接口上的IP地址以及在网络上使用该IP地址前来执行重复地址检测(DAD)。DAD过程确保自动配置的IP地址是唯一的,不由网络上的另一个接口来使用。
如在互联网工程任务组(IETF)标准轨道由T.Narten等人的请求评论(RFC)用于IP版本6(IPv6)的邻居发现(2007年9月)中描述的,当网络元件使用IPv6 ND来发现它的邻居的属性时,邻居缓存(NC)被填充有NC条目,关键字为邻居的IPv6地址,含有诸如链路层地址、可达性状态和至下一个邻居不可达检测事件的时间的信息。
当网络元件生成或重新传送去往邻居的分组时,网络元件在NC中查询目的地的IP地址以及使用对应的条目以确定目的地的链路层地址。然而,网络元件可能查询不在NC中的IP地址,这导致了NC未命中。响应于NC未命中,网络元件广播邻居恳求(NS)消息以请求目的地的链路层地址。在等待来自目的地的响应时,IPv6 ND协议的许多实现方式生成不完整的或未解析的对于该目的地的NC条目。能够参照图1中的现有操作来进一步解释NC的维护。
图1是说明用于处理IPv6邻居发现的现有技术的操作的流程图。在图1中,三个网络元件被示出为101、103和104。网络元件103和网络元件104是网络102的一部分,而网络元件101存在于网络102的外部。网络元件103是网络元件101和网络元件104之间的网络元件,诸如路由器或网关。照此,从网络元件101到达的去往网络元件104的分组由网络元件103来中继。
在图1中,在步骤105,网络元件104传送旨在用于重复地址检测的包含目标地址(TA)的邻居恳求消息(DAD-NS消息),网络元件104旨在将该目标地址(TA)分配给它与网络102的接口。DAD-NS消息是用于执行重复地址检测(DAD)的NS消息,以及此类NS消息含有指定的(非零)目标IP地址(TA),具有未指定(零)的源IP地址,没有源链路层地址选项。它是至网络上的其它节点的广播消息,以及所指定的TA指示IP地址(网络元件将把该IP地址分配给该网络上的它的接口)。除非网络元件接收到含有相同TA的邻居通告(NA)消息,指示另一个网络元件正在使用该地址,否则网络元件可以在它的接口上使用该TA。在图1中,在步骤105,TA被注释为2001::234/128,其是从2001开始以234结束的通用IPv6地址记号,以及含有如由双冒号指示的之间的零。在传送了DAD-NS消息后,网络元件104等待一段时间以等待指示另一个节点正在使用该TA的NA。这是DAD定时器周期110。假设没有接收到对于该TA的NA,则在步骤115中,网络元件104将地址2001::234/128分配给它的接口。
如在图1中说明的,在步骤115中接口地址的分配之前,期间或之后,在步骤120中去往地址2001::234/128的分组到达网络元件103。响应于接收到该分组以及确定它需要将该分组中继给它的网络上的网络元件(即,节点),网络元件103检查它的NC以寻找匹配该地址的具有对应的链路层地址的条目。在这个实例中,NC不具有这个条目,因为还没有创建该条目,以及因此在步骤125,在地址2001::234/128上出现NC未命中事件。响应于NC未命中事件,在步骤130,网络元件103将具有2001::234/128的IP地址的空条目(还被称为不完整的条目或未确认的条目)添加到NC中,以及在步骤135,广播具有2001::234/128的目标地址的NS消息。与在105中的DAD-NS不同,这个NS含有2001::234/128的目标地址和属于网络102中的网络元件103的接口的源IP地址,以及如果链路层具有地址,则还含有属于网络元件103的接口的源链路层地址。响应于NS消息,在步骤140,网络元件104(假设它已经执行了步骤115)使用指示它的目标地址2001::234/128和它的链路层地址(被示出为DE:EB:AA:5F:C4:02)的NA消息进行响应。响应于接收到来自步骤140的NA消息,在步骤145,网络元件103能够更新与IP地址2001::234/128对应的它的NC条目以关联于所接收到的链路层地址DE:EB:AA:5F:C4:02;从而,将IP地址和链路层地址关联到网络元件104。使用这种新发现的关联,在步骤150,网络元件103能够使用链路层地址DE:EB:AA:5F:C4:02将在步骤120接收到的分组路由到网络元件104。
类似地,图1说明了在步骤155来自网络元件101的第二分组到达网络元件103。这个分组去往IP地址2001::285/128。响应于接收到该分组以及确定它需要将该分组中继到它的网络上的网络元件,网络元件103检查它的NC以寻找匹配该IP地址的具有对应的链路层地址的条目。在这个实例中,NC不具有对于地址2001::285/128的这个条目,以及因此在步骤160,经历了NC未命中事件。响应于NC未命中事件,在步骤165,网络元件103将具有2001::285/128的IP地址的空条目添加到NC中,以及在步骤170广播具有2001::285/128的TA的NS消息。然而,将没有具有2001::285/128的TA的回复NA消息,因为在网络102中没有具有该IP地址的网络元件。
因此,如由J. Halpern的互联网草案减轻基于邻居发现的拒绝服务攻击(Mitigating Neighbor Discovery Based Denial of Service Attacks)指出的,存在的一种潜在可能是,对于许多未解析的邻居,NC将使用不完整的NC条目来填充。该草案还询问NC未命中是否是必要的。如果能够忽略NC未命中,则能够抵消使用NC未命中来破坏路由器的链路外溢出拒绝服务(DOS)攻击。例如,消除对NC未命中的需求的一种技术是(对于每个解析的邻居)IPv6 ND协议通过延长对于该邻居的邻居条目的生存时间通过周期性的NS消息来主动地监测该邻居的可达性,以及只要邻居条目的生存时间还没有期满,则在NC中保留该邻居条目。
当网络元件对NC未命事件进行速率限制时,出现了另一个潜在的问题。在这种场景中,可能出现许多NC未命中事件,但是网络元件限制通告的NC未命中事件的数量,即,限制网络元件对其进行反应的事件的数量。照此,网络元件可以接收包含不在NC中的IP地址的合法的或非法的业务。在此类场景中,网络元件可能极少对排除学习合法的业务的链路层地址的NC未命中事件进行反应。
发明内容
由与多个其它网络元件耦合的第一网络元件执行的用于对第一网络元件中的邻居缓存预先填充多个可达的邻居缓存条目的方法,每个条目将互联网协议(IP)地址与链路层地址关联。第一网络元件接收来自多个其它网络元件中的第二网络元件的占用(appropriation)消息,该占用消息指示第二网络元件旨在占用供其使用的第一目标地址。响应于该占用消息,第一网络元件向多个其它网络元件广播发现消息,其中该发现消息指示第一目标地址以及被广播以请求与第一目标地址相关联的链路层地址。第一网络元件接收来自第二网络元件的具有第一目标地址和网络元件的链路层地址的发现响应。然后,第一网络元件更新邻居缓存以包含将链路层地址关联到第一目标地址的预先缓存的邻居缓存条目,从而防止了与第一目标地址相关联的一个或多个将来的邻居缓存未命中。
附图说明
通过参照以下描述和用于说明本发明的实施例的附图可以更好地理解本发明。在图中:
图1是说明用于处理邻居发现的现有技术的操作的流程图,
图2是说明用于响应于重复地址检测邻居恳求消息预先地将条目添加到邻居缓存的示例性操作的流程图,
图3说明了说明用于响应于地址占用消息预先地将条目添加到邻居缓存的示例性操作的流程图,
图4说明了根据本发明的实施例的与第二网络元件和第三网络元件耦合的示例性第一网络元件的框图,以及
图5说明了根据本发明的实施例的示例性计算机系统的框图。
具体实施方式
在以下描述中,阐述了许多特定的细节。然而,应当理解的是,可以在没有这些特定细节的情况下来实践本发明的实施例。在其它情况下,没有详细地示出众所周知的电路、结构和技术,以便不使本说明书难于理解。本领域的普通技术人员使用所包含的描述在没有进行实验的情况下将能够实现适当的功能。
在说明书中,对于“一个实施例”、“实施例”“示例性实施例”等的引用指所描述的实施例可以包含特定的特征、结构或特性,但是每个实施例可能未必包含特定的特征、结构或特性。而且,此类短语未必指相同的实施例。此外,当结合实施例来描述特定特征、结构或特性时,主张的是,结合其它实施例来产生此类特征、结构或特性(不管是否明确地描述)是在本领域的技术人员的知识范围内。
在以下描述和权利要求书中,可以使用术语“耦合”和“连接”连同它们的派生词。应当理解的是这些术语不是旨在作为彼此的同义词。“耦合”用于指示两个或更多元素(其可以是或可以不是彼此直接物理或电接触)彼此协作或交互。“连接”用于指示彼此耦合的两个或更多元素之间的通信的建立。
如本文使用的,网络元件(例如,路由器、交换机、桥,还被称为网络设备或网络节点)是可通信地互连网络上的其它设备(例如,其它网络元件、终端站)的一件联网设备(包含硬件和软件)。一些网络元件是“多种服务网络元件”,其提供对多种联网功能(例如,路由选择、桥接、交换、2层汇聚、会话边界控制、服务质量和/或订户管理)的支持,和/或提供对多种应用服务(例如,数据、语音和视频)的支持。订户终端站(例如,服务器、工作站、膝上型计算机、上网本、手持设备、移动电话、智能电话、多媒体电话、互联网协议语音(VOIP)电话、用户设备、终端、便携式媒体播放器、GPS单元、游戏系统、机顶盒)访问在互联网上提供的内容/服务和/或在附加(例如,通过隧道)在互联网上的虚拟专用网(VPN)上提供的内容/服务。内容和/或服务通常由属于服务或内容提供商的一个或多个终端站(例如,服务器终端站)或参与对等服务的终端站来提供,以及可以包含:例如,公共网页(例如,免费内容、商店前端、搜索服务)、专用网页(例如,提供电子邮件服务的用户名/密码访问的网页)和/或VPN上的协作网络。通常,订户终端站耦合(例如,通过耦合到接入网(有线或无线)的客户端(customer premise)设备)到边缘网络元件,边缘网络元件耦合(例如,通过一个或多个核心网络元件)到其它边缘网络元件,其它边缘网络元件耦合到其它终端站(例如,服务器终端站)。
网络元件通常被分割成控制平面和数据平面(有时被称为转发平面或媒体平面)。在网络元件是路由器(或正实现路由选择功能性)的情况下,控制平面典型地确定如何对数据(例如,分组)进行路由(例如,对于该数据的下一跳和对于该数据的外送端口),以及数据平面负责转发该数据。例如,控制平面典型地包含一个或多个路由选择协议(例如,边界网关协议(BGP)、内部网关协议(多个)(IGP)(例如,开放式最短路径优先(OSPF)、路由选择信息协议(RIP)、中间系统至中间系统(IS-IS))、标签分发协议(LDP)、资源预留协议(RSVP)),其与其它网络元件通信以交换路由以及基于一个或多个路由选择度量来选择那些路由。
如上所述,希望的是,提供对于以不完整的条目填充NC的问题或对于合法业务遭遇到许多NC未命中事件的问题的解决方案,可能使或可能不使网络元件对许多NC未命中事件进行适当地反应。照此,本发明的实施例提供了将可达的条目添加到NC以预先制止对于与网络元件耦合的可达节点的NC未命中事件的机制。以这种方式,NC将含有有效的条目,以及在基于送往未分配的或不可达的目的地IP地址的分组的DoS攻击的情况下将不会仅充满无效的条目。此外,在对NC未命中事件进行速率限制的情况下,网络元件将已经含有对于可达节点的IP地址至链路层地址的关联,从而完全地避免了对于那些条目的NC未命中事件。
图2是说明用于响应于重复地址检测邻居恳求消息预先地将条目添加到邻居缓存的示例性操作的流程图。在图2中,三个网络元件被示出为201、203和204。网络元件203和网络元件204是网络202的一部分,而网络元件201存在于网络202的外部。网络元件203是网络元件201和网络元件204之间的网络元件,诸如路由器或网关。照此,从网络元件201到达的去往网络元件204的分组由网络元件203来中继。
在图2中,在操作205,网络元件204传送包含2001::234/128的TA的DAD-NS消息,网络元件204旨在将2001::234/128的TA分配给它与网络202的接口。在传送了DAD-NS消息后,网络元件204等待一段时间以等待指示另一个节点正在使用该TA的NA,这是DAD定时器周期210。假设没有接收到对于该TA的NA,则在操作220,网络元件204将地址2001::234/128分配给它的接口。
网络元件203接收来自网络元件204的DAD-NS消息。在一个实施例中,在前进之前,网络元件203还等待DAD定时器周期215。在操作225,网络元件203广播具有目标地址2001::234/128的NS消息。发送这个消息以确定被分配了目标IP地址2001::234/128的到网络202的网络元件的网络接口的链路层地址,因为基于认识到节点使用来自DAD-NS消息的TA来初始化接口,网络元件203希望将它的NC填充有它预期它将来可能需要的可达的条目。
响应于NS消息,在操作230,网络元件204传送指示它的目标地址2001::234/128和链路层地址(被示出为DE:EB:AA:5F:C4:02)的NA消息。响应于接收到来自操作230的NA消息,在操作240,网络元件203在NC中记录所接收到的链路层地址DE:EB:AA:5F:C4:02以将它与对应的IP地址2001::234/128相关联;从而在对于该IP地址的任何NC未命中事件之前,预先缓存链路层地址和该IP地址之间的关联。在一个实施例中,连同将NC条目更新成可达状态一起来执行链路层地址的记录。可选地,网络元件203可以仅对包含匹配网络元件203已经特定对于无状态地址自动配置(SLAAC)进行通告的前缀的TA的DAD-NS消息进行反应。
如图2中说明的,在操作240中更新NC后的某一时刻,在操作245中,去往地址2001::234/128的分组到达网络元件203。响应于接收到该分组以及确定它需要向它的网络上的节点中继该分组,网络元件203检查它的NC以寻找匹配该地址的具有对应的链路层地址的条目。使用预先缓存的NC条目,在操作250,网络元件203能够使用DE:EB:AA:5F:C4:02的链路层地址将在操作245所接收到的分组路由给网络元件204。
在一个实施例(未图示说明)中,网络元件203可以确定DAD-NS消息中的TA已经被分配给网络202内的另一个网络元件的接口。这种情况可能出现,因为网络元件203已经在NC中具有对于2001::234/128的TA的可达条目。此外,可能的是,网络元件203接收到指示2001::234/128的TA已经被使用的具有2001::234/128的TA的NA消息。在任何一种情况下,网络元件将不需要对DAD-NS消息进行反应,以及实际上甚至可能不启动DAD定时器周期,因为网络元件204将需要尝试具有新的TA的第二DAD-NS消息。虽然在网络元件203接收NA消息的实施例中,尽管该网络元件不发起NS消息,但是网络元件203可以更新它的NC以反映被包含在NA中的IP地址至链路层地址的关联。
在另一个实施例中,网络元件203不断地监测被包含在NC中的邻居的邻居可达性以保留解析的邻居。因此,网络元件203能够最小化(如果不能消除)可达的邻居的NC未命中事件以进一步抵消链路外溢出DoS攻击。
图3说明了说明用于响应于地址占用消息预先地将条目添加到邻居缓存的示例性操作的流程图。在图3中,第一网络元件在包括至少第二网络元件的网络上进行操作。在操作305,第一网络元件接收来自第二网络元件的指示第二网络元件旨在占用供其使用的第一TA(其被包含在占用消息中)的占用消息。例如,占用消息可以是参照IPv6 ND的DAD-NS消息。在操作310,响应于该占用消息,第一网络元件可操作地初始化定时器。这个定时器基于时间周期,该时间周期是第二网络元件在将第一TA分配给它的网络接口之前将等待的预期的时间周期。这个时间周期常常被配置为使得第二网络元件将等待足够长的时间周期以便万一另一个设备正在使用该第一TA的情况下来接收某一冲突消息。在使用定时器的实施例中,在操作315,第一网络元件在继续之前等待定时器期满。响应于占用消息,以及可选地响应定时器的期满,在操作320,第一网络元件对指示第一TA的发现消息进行广播。发现消息担当用于第一网络元件请求正在使用第一TA的设备(在这种情况下为第二网络元件)的细节的机制。例如,第一网络元件可以希望得到第二网络元件的链路层地址。参照先前描述的IPv6 ND协议,这个消息是指示第一TA(以及第一网络元件的源IP地址)的NS消息。一段时间后,在操作325,第一网络元件接收到来自网络上的正在使用第一TA的设备的发现响应。这个发现响应包含至少第一TA和进行响应的网络设备(在这种情况下为第二网络元件)的链路层地址。参照先前描述的IPv6 ND协议,这个消息是指示第一TA和第二网络元件的链路层地址的NA消息。响应于发现响应,在操作330,第一网络元件更新它的NC以包含关联链路层地址和第一TA的预先缓存的NC条目。这种预先确定链路层地址至IP地址的关联防止了与该IP地址相关联的至少一个将来的NC未命中。例如,可能的是,在操作335,在预先缓存NC条目后的某个时刻,第一网络元件接收到来自另一个网络元件的经由第一TA(其是IP地址)送往第二网络元件的数据分组。然后,在操作340,第一网络元件能够使用预先缓存的NC条目以基于第一TA来匹配并且获得链路层地址。然后,在操作345,第一网络元件能够基于在操作345从预先缓存的NC条目获得的链路层地址向第二网络元件传送该数据分组。
图4说明了根据本发明的实施例的与第二网络元件和第三网络元件耦合的示例性第一网络元件的框图。在图4中,如前所述,使得第一网络元件400和至少第二网络元件480A能够使用发现请求和发现响应,诸如IPv6 ND协议。网络元件400包括与存储器430和邻居缓存440耦合的一组的一个或多个微处理器单元420。在一个实施例中,邻居缓存(NC)440是专用存储器,诸如用于通过IP地址查询条目的内容可寻址存储器(CAM)。在另一个实施例中,NC 440是包括NC条目的存储器430内的一组存储单元。又一个实施例可以使用专用数据结构或存储设备以包括NC。该组微处理器420还与多个网络接口415A-415N耦合,多个网络接口415A-415N将第一网络元件400与第二网络元件480A和第三网络元件480Z耦合。
图5说明了根据本发明的实施例的示例性计算机系统的框图。本领域的技术人员将认识到的是,用于实现网络元件的其它计算机系统可以具有或多或少的组件,以及可以在本发明的实施例中使用。
计算机系统500包含:总线(多个)550(其与处理系统520耦合)、电源525、易失性存储器530(例如,双倍数据速率随机存取存储器(DDR-RAM)、单倍数据速率(SDR)RAM)、非易失性存储器540(例如,硬驱动器、闪存存储器、相变存储器(PCM))。处理系统520还可以耦合到处理系统缓存510。处理系统520可以从易失性存储器530和/或非易失性存储器540检索指令(多个),以及运行指令以执行上述操作。总线(多个)550将以上组件耦合在一起,以及还耦合显示控制器570、一个或多个输入/输出设备580(例如,网络接口卡、光标控制器(例如,鼠标、轨迹球、触摸屏、触摸板等)、键盘等),以及可选地,一个或多个无线收发器590(例如,蓝牙、WiFi、红外线等)。在一个实施例中,显示控制器570还耦合到显示设备。
如上所述,指令可以指硬件的特定配置(诸如,被配置为执行某些操作或具有预定功能性的专用集成电路(ASIC))或存储在具体化在非短暂性的计算机可读介质中的存储器中的软件指令。因此,能够使用在一个或多个电子设备(例如,终端站、网络元件)上存储和执行的代码和数据来实现图中示出的技术。此类电子设备使用计算机可读介质(诸如非短暂性的计算机可读存储介质(例如,磁盘;光盘;随机存取存储器;只读存储器;闪速存储设备;相变存储器)和短暂性的计算机可读通信介质(例如,电、光、声或其它形式的传播信号-诸如载波、红外信号、数字信号))来存储和传递(在内部和/或与网络上的其它电子设备)代码和数据。另外,此类电子设备典型地包含:耦合到一个或多个其它组件(诸如一个或多个存储设备(非短暂性的机器可读存储介质)、用户输入/输出设备(例如,键盘、触摸屏和/或显示器)以及网络连接)的一组的一个或多个微处理器。该组微处理器与其它组件的耦合典型地通过一个或多个总线和桥(还被称为总线控制器)。因此,给定的电子设备的存储设备典型地存储用于在该电子设备的一组的一个或多个微处理器上执行的代码和/或数据。当然,可以使用软件、固件和/或硬件的不同组合来实现本发明的实施例的一个或多个部分。
Claims (15)
1. 一种由与多个其它网络元件耦合的第一网络元件执行的用于对所述第一网络元件中的邻居缓存预先填充多个可达的邻居缓存条目的方法,每个条目将互联网协议(IP)地址与链路层地址关联,所述方法包括以下步骤:
接收来自所述多个其它网络元件中的第二网络元件的占用消息,所述占用消息指示所述第二网络元件旨在占用供其使用的第一目标地址;
响应于所述占用消息,向所述多个其它网络元件广播发现消息,其中所述发现消息指示所述第一目标地址以及被广播以请求与所述第一目标地址相关联的链路层地址;
接收来自所述第二网络元件的具有所述第一目标地址和所述第二网络元件的所述链路层地址的发现响应;以及
更新所述邻居缓存以包含将所述链路层地址关联到所述第一目标地址的预先缓存的邻居缓存条目,从而防止与所述第一目标地址相关联的一个或多个将来的邻居缓存未命中。
2. 根据权利要求1所述的方法,还包括以下步骤:
响应于所述占用消息,基于时间周期来初始化定时器,所述时间周期是所述第二网络元件在将所述目标地址分配给它的网络接口之前将等待的预期的时间周期;以及
在广播所述发现消息之前等待所述定时器期满,从而由所述第二网络元件将所述目标地址分配给它的接口所需的所述预期的时间将已经经过。
3. 根据权利要求1所述的方法,还包括以下步骤:
接收送往所述第一目标地址的数据分组;
使用所述预先缓存的邻居缓存条目以基于所述第一目标地址来匹配并且获得所述链路层地址;以及
基于从所述预先缓存的邻居缓存条目获得的所述链路层地址向所述第二网络元件传送所述数据分组。
4. 根据权利要求1所述的方法,其中所述占用消息是重复地址检测(DAD)邻居恳求(NS),所述发现消息是NS,以及所述发现响应是邻居通告(NA)。
5. 根据权利要求1所述的方法,其中所述第一网络元件是允许IP版本6(IPv6)的路由选择网络元件。
6. 一种耦合到网络的网络元件,其被配置为接收来自所述网络的多个其它网络元件的分组,处理那些分组,以及维护用于将互联网协议(IP)地址与它们对应的网络链路层地址相关联的邻居缓存,所述网络元件包括:
多个网络接口,其被配置为接收来自所述网络的所述多个其它网络元件的分组;
一组一个或多个微处理器,其与所述多个网络接口耦合;以及
与所述一组微处理器耦合的存储指令的存储器,当由所述一组微处理器执行所述指令时,所述指令使得所述一组微处理器:
处理来自所述多个其它网络元件的占用消息,每个占用消息来自起源网络元件以及指示所述起源网络元件旨在占用供其使用的目标地址,每个占用消息的所述处理包含,
响应于所述占用消息,向所述网络的所述多个其它网络元件广播发现消息,其中所述发现消息指示所述目标地址以及被广播以请求由所述多个其它网络元件中的正在使用所述目标地址的一个网络元件使用的链路层地址,
接收指示所述目标地址和由所述多个其它网络元件中的正在使用所述目标地址的一个网络元件使用的所述链路层地址之间的关联的发现响应,以及
更新所述邻居缓存以包含将所述目标地址与由所述多个其它网络元件中的正在使用所述目标地址的一个网络元件使用的所述链路层地址进行关联的预先缓存的邻居缓存条目。
7. 根据权利要求6所述的网络元件,其中所述存储器还存储指令,当由所述一组微处理器执行所述指令时,所述指令使得所述一组微处理器处理占用消息还包含:
响应于所述占用消息,基于时间周期来初始化定时器,所述时间周期是所述起源网络元件在将所述目标地址分配给它的网络接口之前将等待的预期的时间周期;以及
在广播所述发现消息之前等待所述定时器期满,从而由所述起源网络元件将所述目标地址分配给它的接口所需的所述预期的时间将已经经过。
8. 根据权利要求6所述的网络元件,其中所述存储器还存储指令,当由所述一组微处理器执行所述指令时,所述指令使得所述一组微处理器处理送往所述多个其它网络元件中的多个目的地网络元件的多个进入的数据分组包含:
使用所述邻居缓存以定位对应于所述多个目的地网络元件中的一个或多个目的地网络元件的一个或多个预先缓存的邻居条目;以及
基于从所述一个或多个预先缓存的邻居条目中的对应的一个邻居条目获得的链路层地址向那些分组对应的目的地网络元件传送所述多个进入的数据分组中的一个或多个进入的数据分组。
9. 根据权利要求6所述的网络元件,其中所述占用消息是重复地址检测(DAD)邻居恳求(NS),所述发现消息是NS,以及所述发现响应是邻居通告(NA)。
10. 根据权利要求6所述的网络元件,其中所述网络元件是允许IP版本6(IPv6)的路由选择网络元件。
11. 一种包括用于处理设备的至少一个微处理器的指令的有形的非短暂性的机器可读存储介质,当由所述微处理器来执行所述指令时,所述指令使得所述微处理器执行包括以下的操作:
接收来自第一网络元件的占用消息,所述占用消息指示所述第一网络元件旨在占用供其使用的第一目标地址;
响应于所述占用消息,向包含所述第一网络元件的多个网络元件广播发现消息,其中所述发现消息指示所述第一目标地址以及被广播以请求与所述第一目标地址相关联的链路层地址;
接收来自所述第一网络元件的具有所述第一目标地址和所述第二网络元件的所述链路层地址的发现响应;以及
更新所述邻居缓存以包含将所述链路层地址关联到所述第一目标地址的预先缓存的邻居缓存条目,从而防止与所述第一目标地址相关联的一个或多个将来的邻居缓存未命中。
12. 根据权利要求11所述的有形的非短暂性的机器可读存储介质,还包括使得所述微处理器执行包括以下的操作的指令:
响应于所述占用消息,基于时间周期来初始化定时器,所述时间周期是所述第一网络元件在将所述目标地址分配给它的网络接口之前将等待的预期的时间周期;以及
在广播所述发现消息之前等待所述定时器期满,从而由所述第一网络元件将所述目标地址分配给它的接口所需的所述预期的时间将已经经过。
13. 根据权利要求11所述的有形的非短暂性的机器可读存储介质,还包括使得所述微处理器执行包括以下的操作的指令:
接收送往所述第一目标地址的数据分组;
使用所述预先缓存的邻居缓存条目以基于所述第一目标地址来匹配并且获得所述链路层地址;以及
基于从所述预先缓存的邻居缓存条目获得的所述链路层地址向所述第二网络元件传送所述数据分组。
14. 根据权利要求11所述的有形的非短暂性的机器可读存储介质,其中所述占用消息是重复地址检测(DAD)邻居恳求(NS),所述发现消息是NS,以及所述发现响应是邻居通告(NA)。
15. 根据权利要求11所述的有形的非短暂性的机器可读存储介质,其中在允许IP版本6(IPv6)的路由选择网络元件内来执行所述指令。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/366141 | 2012-02-03 | ||
US13/366,141 | 2012-02-03 | ||
US13/366,141 US8625421B2 (en) | 2012-02-03 | 2012-02-03 | DAD-NS triggered address resolution for DoS attack protection |
PCT/IB2013/050877 WO2013114336A1 (en) | 2012-02-03 | 2013-02-01 | Dad-ns triggered address resolution for dos attack protection |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104081749A true CN104081749A (zh) | 2014-10-01 |
CN104081749B CN104081749B (zh) | 2018-09-14 |
Family
ID=48045605
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380007761.3A Expired - Fee Related CN104081749B (zh) | 2012-02-03 | 2013-02-01 | 用于dos攻击保护的dad-ns触发的地址解析 |
Country Status (4)
Country | Link |
---|---|
US (2) | US8625421B2 (zh) |
EP (1) | EP2810422B1 (zh) |
CN (1) | CN104081749B (zh) |
WO (1) | WO2013114336A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991655A (zh) * | 2015-03-16 | 2016-10-05 | 思科技术公司 | 缓解基于邻居发现的拒绝服务攻击 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9025494B1 (en) * | 2012-03-27 | 2015-05-05 | Infoblox Inc. | IPv6 network device discovery |
WO2014070931A1 (en) * | 2012-10-30 | 2014-05-08 | Quantitative Sampling Technologies, LLC | Supervisory computer system over data acquisition devices |
US10313206B1 (en) | 2015-12-23 | 2019-06-04 | Apstra, Inc. | Verifying service status |
EP3443730B1 (en) * | 2016-04-15 | 2021-09-01 | Convida Wireless, LLC | 6lowpan neighbor discovery for supporting mobility and multiple border routers |
US11567994B2 (en) | 2017-01-24 | 2023-01-31 | Apstra, Inc. | Configuration, telemetry, and analytics of a computer infrastructure using a graph model |
CN110875840B (zh) * | 2018-09-03 | 2021-10-15 | 中兴通讯股份有限公司 | 一种网元管理方法、装置、系统及存储介质 |
US11075805B1 (en) | 2019-04-24 | 2021-07-27 | Juniper Networks, Inc. | Business policy management for self-driving network |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1578270A (zh) * | 2003-07-02 | 2005-02-09 | 株式会社Ntt都科摩 | 移动节点、移动通信系统、通信控制方法和访问路由器 |
CN1815998A (zh) * | 2005-02-01 | 2006-08-09 | 华为技术有限公司 | 提高移动ip网络中家乡代理报文转发性能的方法 |
CN101119291A (zh) * | 2006-07-31 | 2008-02-06 | 华为技术有限公司 | 层三切换的处理方法及其系统 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6172981B1 (en) * | 1997-10-30 | 2001-01-09 | International Business Machines Corporation | Method and system for distributing network routing functions to local area network stations |
US7729284B2 (en) * | 2005-01-19 | 2010-06-01 | Emulex Design & Manufacturing Corporation | Discovery and configuration of devices across an Ethernet interface |
WO2006098723A1 (en) * | 2005-03-10 | 2006-09-21 | Thomson Licensing | Hybrid mesh routing protocol |
JP4457058B2 (ja) * | 2005-08-26 | 2010-04-28 | アラクサラネットワークス株式会社 | フィルタリングを備えるパケット転送装置 |
US7843845B2 (en) * | 2005-11-28 | 2010-11-30 | Alcatel Lucent | Diagnostic tool and method for troubleshooting multicast connectivity flow problem(s) in a layer 2 aggregation network |
JP4634320B2 (ja) * | 2006-02-28 | 2011-02-16 | 株式会社日立製作所 | 対異常通信防御を行うための装置とネットワークシステム |
US8312541B2 (en) * | 2007-07-17 | 2012-11-13 | Cisco Technology, Inc. | Detecting neighbor discovery denial of service attacks against a router |
US8200752B2 (en) * | 2009-12-23 | 2012-06-12 | Citrix Systems, Inc. | Systems and methods for policy based transparent client IP insertion |
US8438390B2 (en) * | 2010-12-22 | 2013-05-07 | Konica Minolta Laboratory U.S.A., Inc. | Method and system for using neighbor discovery unspecified solicitation to obtain link local address |
US9246939B2 (en) | 2011-06-21 | 2016-01-26 | Telefonaktiebolaget L M Ericsson (Publ) | Preventing neighbor-discovery based denial of service attacks |
-
2012
- 2012-02-03 US US13/366,141 patent/US8625421B2/en active Active
-
2013
- 2013-02-01 CN CN201380007761.3A patent/CN104081749B/zh not_active Expired - Fee Related
- 2013-02-01 WO PCT/IB2013/050877 patent/WO2013114336A1/en active Application Filing
- 2013-02-01 EP EP13713970.5A patent/EP2810422B1/en active Active
- 2013-12-11 US US14/103,800 patent/US8942234B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1578270A (zh) * | 2003-07-02 | 2005-02-09 | 株式会社Ntt都科摩 | 移动节点、移动通信系统、通信控制方法和访问路由器 |
CN1815998A (zh) * | 2005-02-01 | 2006-08-09 | 华为技术有限公司 | 提高移动ip网络中家乡代理报文转发性能的方法 |
CN101119291A (zh) * | 2006-07-31 | 2008-02-06 | 华为技术有限公司 | 层三切换的处理方法及其系统 |
Non-Patent Citations (1)
Title |
---|
NETWORK WORKING GROUP: "《RFC 4861: Neighbor Discovery for IP version 6 (IPv6)》", 30 September 2007 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991655A (zh) * | 2015-03-16 | 2016-10-05 | 思科技术公司 | 缓解基于邻居发现的拒绝服务攻击 |
US10382397B2 (en) | 2015-03-16 | 2019-08-13 | Cisco Technology, Inc. | Mitigating neighbor discovery-based denial of service attacks |
CN105991655B (zh) * | 2015-03-16 | 2020-01-07 | 思科技术公司 | 用于缓解基于邻居发现的拒绝服务攻击的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
US20130201874A1 (en) | 2013-08-08 |
EP2810422A1 (en) | 2014-12-10 |
US8942234B2 (en) | 2015-01-27 |
US8625421B2 (en) | 2014-01-07 |
CN104081749B (zh) | 2018-09-14 |
EP2810422B1 (en) | 2020-05-20 |
US20140101760A1 (en) | 2014-04-10 |
WO2013114336A1 (en) | 2013-08-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104081749A (zh) | 用于dos攻击保护的dad-ns触发的地址解析 | |
US7486670B2 (en) | Method for packet communication and computer program stored on computer readable medium | |
US8976795B2 (en) | Gateway advertisement in a wireless mesh | |
US10554551B2 (en) | Method to optimize mapping for multiple locations of a device in mobility | |
US20160065531A1 (en) | Source-aware technique for facilitating lisp host mobility | |
US10666759B2 (en) | Communication method of node overhearing content in content centric network and node | |
CN106878288B (zh) | 一种报文转发方法及装置 | |
CN105791457A (zh) | 一种数据处理方法及装置 | |
US10255621B2 (en) | Services advertisement in a wireless mesh | |
JP2006033541A (ja) | 移動端末装置、サーバ、および通信システム | |
CN101394333A (zh) | 转发报文的方法、装置以及网络系统 | |
JP2017506468A (ja) | 仮想サブネット内のホストルートの処理方法、関連デバイスおよび通信システム | |
CN103560961A (zh) | 以太网交换机主机路由表项动态更新方法及交换机 | |
CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换系统及方法 | |
CN103560962A (zh) | 以太网交换机主机路由表项自动更新方法及交换机 | |
JP2004260463A (ja) | ルータ装置、通信装置、ネットワークアドレス管理システム、ネットワークアドレス管理方法及びネットワークアドレス管理プログラム | |
CN101888338A (zh) | 信息转发方法及网关 | |
CN102594882A (zh) | 一种基于DHCPv6监听的邻居发现代理方法和系统 | |
JP5034534B2 (ja) | 通信システム | |
WO2010051697A1 (zh) | PMIPv6中接口前缀的注册方法、系统及本地移动锚点 | |
JP4425757B2 (ja) | モバイルネットワークシステム | |
EP3021529B1 (en) | Method and device for implementing layer 3 virtual private network | |
JP5691612B2 (ja) | 通信システム、ルータ、スイッチングハブ、およびプログラム | |
JP5057077B2 (ja) | ルータ装置、通信システム及びそれらに用いる不正経路確認方法 | |
CN107547679B (zh) | 一种地址获取方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180914 |
|
CF01 | Termination of patent right due to non-payment of annual fee |