CN104519489B - 防范MIPv6源地址欺骗攻击的方法、设备和系统 - Google Patents
防范MIPv6源地址欺骗攻击的方法、设备和系统 Download PDFInfo
- Publication number
- CN104519489B CN104519489B CN201310446958.9A CN201310446958A CN104519489B CN 104519489 B CN104519489 B CN 104519489B CN 201310446958 A CN201310446958 A CN 201310446958A CN 104519489 B CN104519489 B CN 104519489B
- Authority
- CN
- China
- Prior art keywords
- address
- access
- access terminal
- binding information
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Abstract
本发明实施例公开了一种防范MIPv6源地址欺骗攻击的方法、设备和系统,其中,方法包括:接入设备接收接入终端发送的接入请求;接入设备根据接入终端的IP地址对绑定信息表进行查询,若未查询到接入终端的IP地址对应的绑定信息,则向汇聚设备发送携带有接入终端的IP地址的查询请求,若接收到汇聚设备发送的接入终端的IP地址对应的绑定信息,则检查接入终端的IP地址、MAC地址和端口与绑定信息是否匹配,若匹配,则允许接入终端接入,若不匹配,则拒绝接入终端接入。本发明实施例可以有效防范MIPv6源地址欺骗攻击,提升了MIPv6的安全性。
Description
技术领域
本发明涉及MIPv6(Mobile Internet Protocol Version6,移动互联网协议版本6)终端接入安全领域,尤其涉及一种防范MIPv6源地址欺骗攻击的方法、设备和系统。
背景技术
在IPv6(Internet Protocol Version6,互联网协议版本6)环境下,当新接入设备采用静态或者自配置方式配置地址时,需要先采用DAD(Duplicate Address Detection,重复地址检测)协议来检测地址冲突。由于DAD检测耗时较长,在终端移动时,为保证切换的无缝性,针对MIPv6采用了ODAD(Optimistic Duplicate Address Detection,乐观的重复地址检测)协议,使终端从一个接入设备移动到另一个接入设备时,在完成DAD检测之前,可继续使用原有IP地址进行通信。但这也给黑客发起源地址欺骗攻击带来便利,若黑客假冒在其他接入设备接入的IP地址在另一个接入设备接入时,可在DAD检测之前接入网络。
目前为防止源地址欺骗攻击,通常采用在接入设备上进行端口-MAC(MediaAccess Control,介质访问控制)地址-IP地址绑定的方式,在接收到假冒源地址数据包时,接入设备查找所存储的端口-MAC-IP绑定信息表,如不符,则判定为假冒IP地址,丢弃该数据包。但在支持ODAD协议的MIPv6接入环境下,当黑客在其他接入设备上仿冒同一IP地址进行通信时,现有在接入设备层进行“端口+MAC+IP”绑定的源地址欺骗防范技术将失效,亟需提出一种解决方案,以避免基于MIPv6协议的终端接入时进行源地址欺骗攻击。
发明内容
本发明实施例所要解决的技术问题是采用MIPv6的终端在不同接入设备间移动时所带来的源地址欺骗问题,提供一种防范MIPv6源地址欺骗攻击的方法、设备和系统。
本发明实施例提供一种防范MIPv6源地址欺骗攻击的方法,包括:
接入设备接收接入终端发送的接入请求,其中,所述接入请求中携带有所述接入终端的互联网协议IP地址、介质访问控制MAC地址和端口;
所述接入设备根据所述接入终端的IP地址对绑定信息表进行查询,若未查询到所述接入终端的IP地址对应的绑定信息,则向汇聚设备发送携带有所述接入终端的IP地址的查询请求,若接收到所述汇聚设备发送的所述接入终端的IP地址对应的绑定信息,则检查所述接入终端的IP地址、MAC地址和端口与所述绑定信息是否匹配,若匹配,则允许所述接入终端接入,若不匹配,则拒绝所述接入终端接入,其中,所述绑定信息表用以记录IP地址、MAC地址和端口的绑定信息。
进一步地,所述接入设备向汇聚设备发送携带有所述接入终端的IP地址的查询请求之后,所述方法还包括:
所述接入设备若从所述汇聚设备接收到的消息为空消息,则将所述接入终端的IP地址、MAC地址和端口的绑定信息记录到所述绑定信息表中,并允许所述接入终端接入。
进一步地,所述接入设备将所述接入终端的IP地址、MAC地址和端口的绑定信息记录到所述绑定信息表中之后,所述方法还包括:
所述接入设备将所述接入终端的IP地址、MAC地址和端口的绑定信息同步给所述汇聚设备。
进一步地,所述方法还包括:
所述接入设备根据接收到的所述汇聚设备发送的信息同步指令,将所述绑定信息表同步给所述汇聚设备。
本发明实施例提供一种防范MIPv6源地址欺骗攻击的方法,包括:
汇聚设备接收接入设备发送的携带有接入终端的互联网协议IP地址的查询请求;
所述汇聚设备根据所述接入终端的IP地址进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备。
进一步地,所述汇聚设备根据所述接入终端的IP地址进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备,包括:
所述汇聚设备根据所述接入终端的IP地址对本地存储的IP地址、MAC地址和端口的绑定信息进行查询,若在本地查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备。
进一步地,所述汇聚设备根据所述接入终端的IP地址进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备,还包括:
所述汇聚设备若在本地未查询到所述接入终端的IP地址对应的绑定信息,则对所述汇聚设备所辖的接入设备分别进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给发送所述查询请求的所述接入设备。
进一步地,所述方法还包括:
所述汇聚设备若未查询到所述接入终端的IP地址对应的绑定信息,则向所述接入设备发送空消息。
进一步地,所述方法还包括:
所述汇聚设备根据接收到的所述接入设备发送的所述接入终端的IP地址、MAC地址和端口的绑定信息进行同步;或者,
所述汇聚设备向所述接入设备发送信息同步指令,根据接收到的所述接入设备发送的绑定信息表进行同步。
本发明实施例提供一种接入设备,包括:
传输模块,用于接收接入终端发送的接入请求,其中,所述接入请求中携带有所述接入终端的互联网协议IP地址、介质访问控制MAC地址和端口;
虚假地址防范模块,用于根据所述接入终端的IP地址对绑定信息表进行查询,若未查询到所述接入终端的IP地址对应的绑定信息,则向汇聚设备发送携带有所述接入终端的IP地址的查询请求,若接收到所述汇聚设备发送的所述接入终端的IP地址对应的绑定信息,则检查所述接入终端的IP地址、MAC地址和端口与所述绑定信息是否匹配,若匹配,则允许所述接入终端接入,若不匹配,则拒绝所述接入终端接入,其中,所述绑定信息表用以记录IP地址、MAC地址和端口的绑定信息。
进一步地,所述虚假地址防范模块还用于,若从所述汇聚设备接收到的消息为空消息,则将所述接入终端的IP地址、MAC地址和端口的绑定信息记录到所述绑定信息表中,并允许所述接入终端接入。
进一步地,所述虚假地址防范模块还用于,将所述接入终端的IP地址、MAC地址和端口的绑定信息同步给所述汇聚设备。
进一步地,所述虚假地址防范模块还用于,根据接收到的所述汇聚设备发送的信息同步指令,将所述绑定信息表同步给所述汇聚设备。
本发明实施例提供一种汇聚设备,包括:
传输模块,用于接收接入设备发送的携带有接入终端的互联网协议IP地址的查询请求;
信息处理模块,用于根据所述接入终端的IP地址进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备。
进一步地,所述信息处理模块包括:
本地查询单元,用于根据所述接入终端的IP地址对本地存储的IP地址、MAC地址和端口的绑定信息进行查询,若在本地查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备。
进一步地,所述信息处理模块还包括:
异地查询单元,用于若在本地未查询到所述接入终端的IP地址对应的绑定信息,则对所述汇聚设备所辖的接入设备分别进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给发送所述查询请求的所述接入设备。
进一步地,所述信息处理模块,还用于若未查询到所述接入终端的IP地址对应的绑定信息,则向所述接入设备发送空消息。
进一步地,所述信息处理模块,还用于根据接收到的所述接入设备发送的所述接入终端的IP地址、MAC地址和端口的绑定信息进行同步;或者,向所述接入设备发送信息同步指令,根据接收到的所述接入设备发送的绑定信息表进行同步。
本发明实施例提供一种防范MIPv6源地址欺骗攻击的系统,包括:
接入终端;
本发明任意实施例提供的接入设备;以及
本发明任意实施例提供的汇聚设备。
基于本发明上述实施例提供的防范MIPv6源地址欺骗攻击的方法、设备和系统,与现有技术相比,通过汇聚设备进行全局管理,当接入终端假冒MIPv6源地址通过其他接入设备接入时,该接入设备也可以通过汇聚设备获知其原始的绑定信息,从而有效防范MIPv6源地址欺骗攻击,提升了MIPv6的安全性。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明防范MIPv6源地址欺骗攻击的方法一个实施例的流程图;
图2为本发明防范MIPv6源地址欺骗攻击的方法另一个实施例的流程图;
图3为本发明防范MIPv6源地址欺骗攻击的方法另一个实施例的流程图;
图4为本发明防范MIPv6源地址欺骗攻击的方法另一个实施例的流程图;
图5为本发明接入设备一个实施例的结构示意图;
图6为本发明汇聚设备一个实施例的结构示意图;
图7为本发明汇聚设备另一个实施例的结构示意图;
图8为本发明防范MIPv6源地址欺骗攻击的系统一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明防范MIPv6源地址欺骗攻击的方法一个实施例的流程图。如图1所示,该实施例的方法包括:
步骤A101,接入设备接收接入终端发送的接入请求,其中,所述接入请求中携带有所述接入终端的互联网协议IP地址、介质访问控制MAC地址和端口;
步骤A102,所述接入设备根据所述接入终端的IP地址对绑定信息表进行查询,若未查询到所述接入终端的IP地址对应的绑定信息,则向汇聚设备发送携带有所述接入终端的IP地址的查询请求,其中,所述绑定信息表用以记录IP地址、MAC地址和端口的绑定信息;
步骤A103,所述接入设备若接收到所述汇聚设备发送的所述接入终端的IP地址对应的绑定信息,则检查所述接入终端的IP地址、MAC地址和端口与所述绑定信息是否匹配,若匹配,则允许所述接入终端接入,若不匹配,则拒绝所述接入终端接入。
具体地,接入终端具体可以为采用MIPv6协议、并使用IPv6地址自动配置方式设置地址的PC(Personal Computer,个人计算机)、笔记本电脑、平板电脑或智能终端等。接入设备具体可以为接入层交换机,接入终端通过接入设备接入网络。
当接入终端需要接入网络时,向接入设备发送接入请求,该接入请求中携带有该接入终端的IP地址、MAC地址和端口,该IP地址具体为IPv6地址。接入设备在本地维护有端口-MAC-IP绑定信息表,该绑定信息表中记录IP地址、MAC地址和端口的绑定信息。接入设备根据该接入终端的IP地址对绑定信息表进行查询,如果查询到该IP地址对应的绑定信息条目,则检查该接入终端的IP地址、MAC地址及端口与查询到的绑定信息中的内容是否匹配,如匹配则允许该接入终端接入,将该接入终端发送的数据包转发,如不匹配则不允许其接入,将该接入终端发送的数据包丢弃。如果查询不到相应绑定信息,则向汇聚设备发起查询请求,该查询请求中携带有该接入终端的IP地址。
汇聚设备具体可以为汇聚层交换机,一个汇聚设备可以管辖多个接入设备,汇聚设备接收到接入设备发送的查询请求时,根据查询请求中的IP地址查询该IP地址对应的绑定信息,若能够查找到,则向接入设备返回该IP地址对应的绑定信息。
汇聚设备查询IP地址对应的绑定信息的实现方式可以有多种:
在一种实现方式中,汇聚设备可以在本地维护有绑定信息表,该汇聚设备管辖的接入设备定期与该汇聚设备信息同步,该绑定信息表中储存了该汇聚设备与所辖的接入设备同步的IP地址与MAC地址及端口的绑定信息,绑定信息定期更新。则汇聚设备可以根据IP地址对本地的绑定信息表进行查询,若查找到该IP地址对应的绑定信息,则将该绑定信息发送给接入设备。
在另一种实现方式中,汇聚设备在接收到查询请求后,可以向所辖的所有接入设备分别发送信息查询指令,该信息查询指令中携带有接入终端的IP地址,则接入设备根据该IP地址对自己维护的绑定信息表进行查询,如果查询到该IP地址对应的绑定信息,就将该绑定信息返回给汇聚设备,汇聚设备再将该绑定信息发送给接入设备。
在又一种实现方式中,汇聚设备可以先对本地的绑定信息表进行查询,若查找到该IP地址对应的绑定信息,则将该绑定信息发送给接入设备。若没有查找到该IP地址对应的绑定信息,则向所辖的所有接入设备分别发送信息查询指令,接入设备根据该IP地址对自己维护的绑定信息表进行查询,如果查询到该IP地址对应的绑定信息,就将该绑定信息返回给汇聚设备,汇聚设备再将该绑定信息发送给接入设备。
接入设备接收到汇聚设备发送的绑定信息后,检查该接入终端的IP地址、MAC地址及端口与接收到的绑定信息中的内容是否匹配,如匹配则允许该接入终端接入,如不匹配则不允许其接入。
本实施例提供的防范MIPv6源地址欺骗攻击的方法,接入设备在接收接入终端发送的接入请求后,首先在本地查找该接入终端的IP地址对应的绑定信息,若没有查找到,则向汇聚设备发送查询请求,以获得该IP地址对应的绑定信息。通过汇聚设备进行全局管理,当接入终端假冒MIPv6源地址通过其他接入设备接入时,该接入设备也可以通过汇聚设备获知其原始的绑定信息,从而有效防范MIPv6源地址欺骗攻击,提升了MIPv6的安全性。
图2为本发明防范MIPv6源地址欺骗攻击的方法另一个实施例的流程图。如图2所示,在本实施例中,步骤A102中的,所述接入设备向汇聚设备发送携带有所述接入终端的IP地址的查询请求之后,所述方法还包括:
步骤A104,所述接入设备若从所述汇聚设备接收到的消息为空消息,则将所述接入终端的IP地址、MAC地址和端口的绑定信息记录到所述绑定信息表中,并允许所述接入终端接入。
具体地,若汇聚设备没有查找到该IP地址对应的绑定信息,则向接入设备返回空消息。接入设备接收到空消息时,可以判定该接入终端为新设备,则将该接入终端的IP地址、MAC地址和端口的绑定信息记录到该接入设备维护的绑定信息表中。
在本实施例中,步骤A103,所述接入设备将所述接入终端的IP地址、MAC地址和端口的绑定信息记录到所述绑定信息表中之后,所述方法还包括:
步骤A105,所述接入设备将所述接入终端的IP地址、MAC地址和端口的绑定信息同步给所述汇聚设备。
具体地,接入设备将新纪录的绑定信息同步给汇聚设备,可以实现汇聚设备的信息同步。
在实际实现过程中,接入设备也可以定期检查其绑定信息表中的内容是否有更新,如果有更新则将更新的内容主动向汇聚设备上报,以实现汇聚设备中信息的同步。
在本实施例中,所述方法还可以包括:
步骤A106,所述接入设备根据接收到的所述汇聚设备发送的信息同步指令,将所述绑定信息表同步给所述汇聚设备。
具体地,接入设备还可以通过接收汇聚设备的信息同步指令,当接收到该信息同步指令时将绑定信息表更新信息发送给汇聚设备。
当其他接入设备向汇聚设备发起查询,且汇聚设备中没有查询的信息时,汇聚设备会向所辖的接入设备发送信息查询指令,当该接入设备接收到汇聚设备发送的信息查询指令时,如本地有相应信息则返回给汇聚设备,否则不予回应。
图3为本发明防范MIPv6源地址欺骗攻击的方法另一个实施例的流程图。如图3示,该实施例的方法具体可以与图1所示实施例的方法配合实现,具体实现过程在此不再赘述。该实施例的方法包括:
步骤B101,汇聚设备接收接入设备发送的携带有接入终端的互联网协议IP地址的查询请求;
步骤B102,所述汇聚设备根据所述接入终端的IP地址进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备。
本实施例提供的防范MIPv6源地址欺骗攻击的方法,通过汇聚设备进行全局管理,当接入终端假冒MIPv6源地址通过其他接入设备接入时,该接入设备也可以通过汇聚设备获知其原始的绑定信息,从而有效防范MIPv6源地址欺骗攻击,提升了MIPv6的安全性。
在本实施例中,步骤B102,所述汇聚设备根据所述接入终端的IP地址进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备,可以通过如下方式实现:
所述汇聚设备根据所述接入终端的IP地址对本地存储的IP地址、MAC地址和端口的绑定信息进行查询,若在本地查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备。
具体地,汇聚设备在本地维护有绑定信息表,该汇聚设备管辖的接入设备定期与该汇聚设备信息同步,该绑定信息表中储存了该汇聚设备与所辖的接入设备同步的IP地址与MAC地址及接入端口的绑定信息,绑定信息定期更新。在实际实现过程中,该绑定信息表具体可以为定长的,如果记录的绑定信息大小超过了汇聚设备的存储容量,则汇聚设备会将超出的部分丢弃。
在本实施例中,步骤B102还可以包括:
所述汇聚设备若在本地未查询到所述接入终端的IP地址对应的绑定信息,则对所述汇聚设备所辖的接入设备分别进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给发送所述查询请求的所述接入设备。
具体地,汇聚设备可以采用轮询的方式对所辖的其他接入设备进行查询。汇聚设备在接收到接入设备返回的绑定信息时,还可以将该绑定信息记录在本地的绑定信息表中。
在本实施例中,所述方法还可以包括:
步骤B103,所述汇聚设备若未查询到所述接入终端的IP地址对应的绑定信息,则向所述接入设备发送空消息。
在本实施例中,所述方法还可以包括:
步骤B104,所述汇聚设备根据接收到的所述接入设备发送的所述接入终端的IP地址、MAC地址和端口的绑定信息进行同步;或者,
所述汇聚设备向所述接入设备发送信息同步指令,根据接收到的所述接入设备发送的绑定信息表进行同步。
通过在汇聚层进行全局信息同步,采用定长的信息表及信息查询更新机制相结合的方式,在各接入设备间同步“端口-MAC-IP”绑定信息,从而使MMIPv6接入终端使用同一IP地址通过其他接入设备接入时,该接入设备可获知其原始的绑定信息,从而有效防范MIPv6源地址欺骗攻击,提升MIPv6安全性。
图4为本发明防范MIPv6源地址欺骗攻击的方法另一个实施例的流程。以下结合图4,对本发明方法进行详细地说明。
步骤S1、接入设备接收到MIPv6接入终端发起的接入请求;
步骤S2、接入设备查询本地端口-MAC-IP绑定信息表;
步骤S3、接入设备判断是否查询到对应的绑定信息,若是,则执行步骤S4,若否,则执行步骤S5;
步骤S4、接入设备检查该MIPv6接入终端的IP地址、MAC地址及端口与绑定信息是否匹配,如匹配则执行步骤S14,如不匹配则执行步骤S15;
步骤S5、接入设备向汇聚设备发起查询请求;
步骤S6、汇聚设备接收到接入设备的查询请求后,首先查找本地绑定信息表;
步骤S7、汇聚设备判断是否查询到对应的绑定信息,若是,则执行步骤S8,若否,则执行步骤S10;
步骤S8、汇聚设备将绑定信息发送给接入设备;
步骤S9、接入设备根据接收到的绑定信息,查看该MIPv6接入终端的IP地址、MAC地址及端口与接收到的绑定信息是否匹配,如匹配则执行步骤S14,如不匹配则执行步骤S15;
步骤S10、汇聚设备向所辖接入设备发起信息查询;
步骤S11、汇聚设备判断是否接收到接入设备返回的信息,若是,则跳转步骤S8,若否,则执行步骤S12;
步骤S12、汇聚设备向接入设备返回空消息;
步骤S13、接入设备将该MIPv6接入终端的IP地址、MAC地址及端口的绑定信息进行记录,并执行步骤S14;
步骤S14、接入设备允许该MIPv6接入终端接入;
步骤S15、接入设备拒绝该MIPv6接入终端接入。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图5为本发明接入设备一个实施例的结构示意图。该实施例的接入设备可用于实现本发明上述各方法实施例中接入设备的相应功能。如图5所示,其包括:
传输模块501,用于接收接入终端发送的接入请求,其中,所述接入请求中携带有所述接入终端的互联网协议IP地址、介质访问控制MAC地址和端口;
虚假地址防范模块502,用于根据所述接入终端的IP地址对绑定信息表进行查询,若未查询到所述接入终端的IP地址对应的绑定信息,则向汇聚设备发送携带有所述接入终端的IP地址的查询请求,若接收到所述汇聚设备发送的所述接入终端的IP地址对应的绑定信息,则检查所述接入终端的IP地址、MAC地址和端口与所述绑定信息是否匹配,若匹配,则允许所述接入终端接入,若不匹配,则拒绝所述接入终端接入,其中,所述绑定信息表用以记录IP地址、MAC地址和端口的绑定信息。
本实施例提供的接入设备,在接收接入终端发送的接入请求后,首先在本地查找该接入终端的IP地址对应的绑定信息,若没有查找到,则向汇聚设备发送查询请求,以获得该IP地址对应的绑定信息。通过汇聚设备进行全局管理,当接入终端假冒MIPv6源地址通过其他接入设备接入时,该接入设备也可以通过汇聚设备获知其原始的绑定信息,从而有效防范MIPv6源地址欺骗攻击,提升了MIPv6的安全性。
在本实施例中,所述虚假地址防范模块502还可以用于若从所述汇聚设备接收到的消息为空消息,则将所述接入终端的IP地址、MAC地址和端口的绑定信息记录到所述绑定信息表中,并允许所述接入终端接入。
在本实施例中,所述虚假地址防范模块502还可以用于将所述接入终端的IP地址、MAC地址和端口的绑定信息同步给所述汇聚设备。
在本实施例中,所述虚假地址防范模块502还可以用于根据接收到的所述汇聚设备发送的信息同步指令,将所述绑定信息表同步给所述汇聚设备。
在实际实现过程中,虚假地址防范模块502可以实现上述功能,即虚假地址防范模块502在新接入终端接入时查询绑定信息表,如查询到相应条目,则判断是否匹配,如匹配则允许接入终端接入,否则拒绝其接入;如未查询到相应条目,则向汇聚设备发起信息查询请求,并根据结果决定是否允许接入终端接入;如果汇聚设备返回的信息为空,则将该接入终端的IP地址与MAC地址及接入端口的绑定信息记录到绑定信息表中;接收汇聚设备的信息同步指令,将绑定信息表与汇聚设备定期同步;接收汇聚设备的信息查询指令,如本地有相应信息则返回给汇聚设备,否则不予回应。
图6为本发明汇聚设备一个实施例的结构示意图。该实施例的汇聚设备可用于实现本发明上述各方法实施例中汇聚设备的相应功能。如图6所示,其包括:
传输模块601,用于接收接入设备发送的携带有接入终端的互联网协议IP地址的查询请求;
信息处理模块602,用于根据所述接入终端的IP地址进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备。
本实施例提供的汇聚设备,实现了接入设备的全局管理,当接入终端假冒MIPv6源地址通过其他接入设备接入时,该接入设备也可以通过汇聚设备获知其原始的绑定信息,从而有效防范MIPv6源地址欺骗攻击,提升了MIPv6的安全性。
图7为本发明汇聚设备另一个实施例的结构示意图。如图7所示,在本实施例中,所述信息处理模块602具体可以包括:
本地查询单元612,用于根据所述接入终端的IP地址对本地存储的IP地址、MAC地址和端口的绑定信息进行查询,若在本地查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备。
在本实施例中,所述信息处理模块602还可以包括:
异地查询单元622,用于若在本地未查询到所述接入终端的IP地址对应的绑定信息,则对所述汇聚设备所辖的接入设备分别进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给发送所述查询请求的所述接入设备。
在本实施例中,所述信息处理模块602还可以用于若未查询到所述接入终端的IP地址对应的绑定信息,则向所述接入设备发送空消息。
在本实施例中,所述信息处理模块602还可以用于根据接收到的所述接入设备发送的所述接入终端的IP地址、MAC地址和端口的绑定信息进行同步;或者,向所述接入设备发送信息同步指令,根据接收到的所述接入设备发送的绑定信息表进行同步。
图8为本发明防范MIPv6源地址欺骗攻击的系统一个实施例的结构示意图。本实施例的系统可用于实现本发明上述各防范MIPv6源地址欺骗攻击的方法实施例。如图8所示,本实施例的系统具体包括:
接入终端801;
本发明任意实施例提供的接入设备802;以及
本发明任意实施例提供的汇聚设备803。
具体地,汇聚设备可以采用汇聚层交换机实现,汇聚设备所辖的接入设备可以为多个,接入设备可以采用接入层交换机来实现。通过接入设备接入的接入终端的类型也可以为多种,例如PC、笔记本电脑、平板电脑或智能终端等。
本实施例提供的防范MIPv6源地址欺骗攻击的系统,通过汇聚设备进行全局管理,当接入终端假冒MIPv6源地址通过其他接入设备接入时,该接入设备也可以通过汇聚设备获知其原始的绑定信息,从而有效防范MIPv6源地址欺骗攻击,提升了MIPv6的安全性。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (19)
1.一种防范MIPv6源地址欺骗攻击的方法,其特征在于,包括:
接入设备接收接入终端发送的接入请求,其中,所述接入请求中携带有所述接入终端的互联网协议IP地址、介质访问控制MAC地址和端口;
所述接入设备根据所述接入终端的IP地址对绑定信息表进行查询,若未查询到所述接入终端的IP地址对应的绑定信息,则向汇聚设备发送携带有所述接入终端的IP地址的查询请求,若接收到所述汇聚设备发送的所述接入终端的IP地址对应的绑定信息,则检查所述接入终端的IP地址、MAC地址和端口与所述绑定信息是否匹配,若匹配,则允许所述接入终端接入,若不匹配,则拒绝所述接入终端接入,其中,所述绑定信息表用以记录IP地址、MAC地址和端口的绑定信息。
2.根据权利要求1所述的防范MIPv6源地址欺骗攻击的方法,其特征在于,所述接入设备向汇聚设备发送携带有所述接入终端的IP地址的查询请求之后,所述方法还包括:
所述接入设备若从所述汇聚设备接收到的消息为空消息,则将所述接入终端的IP地址、MAC地址和端口的绑定信息记录到所述绑定信息表中,并允许所述接入终端接入。
3.根据权利要求2所述的防范MIPv6源地址欺骗攻击的方法,其特征在于,所述接入设备将所述接入终端的IP地址、MAC地址和端口的绑定信息记录到所述绑定信息表中之后,所述方法还包括:
所述接入设备将所述接入终端的IP地址、MAC地址和端口的绑定信息同步给所述汇聚设备。
4.根据权利要求1所述的防范MIPv6源地址欺骗攻击的方法,其特征在于,还包括:
所述接入设备根据接收到的所述汇聚设备发送的信息同步指令,将所述绑定信息表同步给所述汇聚设备。
5.一种防范MIPv6源地址欺骗攻击的方法,其特征在于,包括:
汇聚设备接收接入设备发送的携带有接入终端的互联网协议IP地址的查询请求;
所述汇聚设备根据所述接入终端的IP地址进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备,以便所述接入设备检查所述接入终端的IP地址、MAC地址和端口与所述绑定信息是否匹配,若匹配,则允许所述接入终端接入,若不匹配,则拒绝所述接入终端接入,其中,所述绑定信息表用以记录IP地址、MAC地址和端口的绑定信息。
6.根据权利要求5所述的防范MIPv6源地址欺骗攻击的方法,其特征在于,所述汇聚设备根据所述接入终端的IP地址进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备,包括:
所述汇聚设备根据所述接入终端的IP地址对本地存储的IP地址、MAC地址和端口的绑定信息进行查询,若在本地查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备。
7.根据权利要求6所述的防范MIPv6源地址欺骗攻击的方法,其特征在于,所述汇聚设备根据所述接入终端的IP地址进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备,还包括:
所述汇聚设备若在本地未查询到所述接入终端的IP地址对应的绑定信息,则对所述汇聚设备所辖的接入设备分别进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给发送所述查询请求的所述接入设备。
8.根据权利要求5所述的防范MIPv6源地址欺骗攻击的方法,其特征在于,还包括:
所述汇聚设备若未查询到所述接入终端的IP地址对应的绑定信息,则向所述接入设备发送空消息。
9.根据权利要求5所述的防范MIPv6源地址欺骗攻击的方法,其特征在于,还包括:
所述汇聚设备根据接收到的所述接入设备发送的所述接入终端的IP地址、MAC地址和端口的绑定信息进行同步;或者,
所述汇聚设备向所述接入设备发送信息同步指令,根据接收到的所述接入设备发送的绑定信息表进行同步。
10.一种接入设备,其特征在于,包括:
传输模块,用于接收接入终端发送的接入请求,其中,所述接入请求中携带有所述接入终端的互联网协议IP地址、介质访问控制MAC地址和端口;
虚假地址防范模块,用于根据所述接入终端的IP地址对绑定信息表进行查询,若未查询到所述接入终端的IP地址对应的绑定信息,则向汇聚设备发送携带有所述接入终端的IP地址的查询请求,若接收到所述汇聚设备发送的所述接入终端的IP地址对应的绑定信息,则检查所述接入终端的IP地址、MAC地址和端口与所述绑定信息是否匹配,若匹配,则允许所述接入终端接入,若不匹配,则拒绝所述接入终端接入,其中,所述绑定信息表用以记录IP地址、MAC地址和端口的绑定信息。
11.根据权利要求10所述的接入设备,其特征在于,所述虚假地址防范模块还用于,若从所述汇聚设备接收到的消息为空消息,则将所述接入终端的IP地址、MAC地址和端口的绑定信息记录到所述绑定信息表中,并允许所述接入终端接入。
12.根据权利要求11所述的接入设备,其特征在于,所述虚假地址防范模块还用于,将所述接入终端的IP地址、MAC地址和端口的绑定信息同步给所述汇聚设备。
13.根据权利要求10所述的接入设备,其特征在于,所述虚假地址防范模块还用于,根据接收到的所述汇聚设备发送的信息同步指令,将所述绑定信息表同步给所述汇聚设备。
14.一种汇聚设备,其特征在于,包括:
传输模块,用于接收接入设备发送的携带有接入终端的互联网协议IP地址的查询请求;
信息处理模块,用于根据所述接入终端的IP地址进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备,以便所述接入设备检查所述接入终端的IP地址、MAC地址和端口与所述绑定信息是否匹配,若匹配,则允许所述接入终端接入,若不匹配,则拒绝所述接入终端接入,其中,所述绑定信息表用以记录IP地址、MAC地址和端口的绑定信息。
15.根据权利要求14所述的汇聚设备,其特征在于,所述信息处理模块包括:
本地查询单元,用于根据所述接入终端的IP地址对本地存储的IP地址、MAC地址和端口的绑定信息进行查询,若在本地查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给所述接入设备。
16.根据权利要求15所述的汇聚设备,其特征在于,所述信息处理模块还包括:
异地查询单元,用于若在本地未查询到所述接入终端的IP地址对应的绑定信息,则对所述汇聚设备所辖的接入设备分别进行查询,若查询到所述接入终端的IP地址对应的绑定信息,则将所述接入终端的IP地址对应的绑定信息发送给发送所述查询请求的所述接入设备。
17.根据权利要求14所述的汇聚设备,其特征在于,所述信息处理模块,还用于若未查询到所述接入终端的IP地址对应的绑定信息,则向所述接入设备发送空消息。
18.根据权利要求14所述的汇聚设备,其特征在于,所述信息处理模块,还用于根据接收到的所述接入设备发送的所述接入终端的IP地址、MAC地址和端口的绑定信息进行同步;或者,向所述接入设备发送信息同步指令,根据接收到的所述接入设备发送的绑定信息表进行同步。
19.一种防范MIPv6源地址欺骗攻击的系统,其特征在于,包括:
接入终端;
如权利要求10-13任意一项所述的接入设备;以及
如权利要求14-18任意一项所述的汇聚设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310446958.9A CN104519489B (zh) | 2013-09-26 | 2013-09-26 | 防范MIPv6源地址欺骗攻击的方法、设备和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310446958.9A CN104519489B (zh) | 2013-09-26 | 2013-09-26 | 防范MIPv6源地址欺骗攻击的方法、设备和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104519489A CN104519489A (zh) | 2015-04-15 |
CN104519489B true CN104519489B (zh) | 2018-04-06 |
Family
ID=52794092
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310446958.9A Active CN104519489B (zh) | 2013-09-26 | 2013-09-26 | 防范MIPv6源地址欺骗攻击的方法、设备和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104519489B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2469787A1 (en) * | 2009-08-21 | 2012-06-27 | Huawei Technologies Co., Ltd. | Method and device for preventing network attacks |
CN102546307A (zh) * | 2012-02-08 | 2012-07-04 | 神州数码网络(北京)有限公司 | 基于dhcp侦听实现代理arp功能的方法和系统 |
CN102546428A (zh) * | 2012-02-03 | 2012-07-04 | 神州数码网络(北京)有限公司 | 基于DHCPv6侦听的IPv6报文交换系统及方法 |
CN102594882A (zh) * | 2012-02-08 | 2012-07-18 | 神州数码网络(北京)有限公司 | 一种基于DHCPv6监听的邻居发现代理方法和系统 |
-
2013
- 2013-09-26 CN CN201310446958.9A patent/CN104519489B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2469787A1 (en) * | 2009-08-21 | 2012-06-27 | Huawei Technologies Co., Ltd. | Method and device for preventing network attacks |
CN102546428A (zh) * | 2012-02-03 | 2012-07-04 | 神州数码网络(北京)有限公司 | 基于DHCPv6侦听的IPv6报文交换系统及方法 |
CN102546307A (zh) * | 2012-02-08 | 2012-07-04 | 神州数码网络(北京)有限公司 | 基于dhcp侦听实现代理arp功能的方法和系统 |
CN102594882A (zh) * | 2012-02-08 | 2012-07-18 | 神州数码网络(北京)有限公司 | 一种基于DHCPv6监听的邻居发现代理方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN104519489A (zh) | 2015-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101795272B (zh) | 非法网站过滤方法及装置 | |
CN103888358B (zh) | 一种路由方法、装置、系统及网关设备 | |
KR100945221B1 (ko) | 통신 시스템의 데이터 동기화 장치 | |
CN104410615B (zh) | 对共享数据进行访问的方法、客户端、服务器及系统 | |
CN100536416C (zh) | 用于搜索网络连接的方法和装置 | |
CN101895875B (zh) | 无线网络中网关设备提供差异化服务的方法及系统 | |
EP3451592B1 (en) | Packet transmission between vxlan domains | |
CN102223365A (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
CN108243262A (zh) | Arp表的学习方法、装置及网络三层设备 | |
CN110505621A (zh) | 一种终端迁移的处理方法及装置 | |
CN103441932A (zh) | 一种主机路由表项生成方法及设备 | |
CN104144095A (zh) | 终端认证方法及交换机 | |
CN102291472A (zh) | 一种网络地址查找方法及装置 | |
CN103701653B (zh) | 一种接口热插拔配置数据的处理方法及网络配置服务器 | |
CN103581041B (zh) | Mtu值的设置方法和电子设备 | |
CN105653717B (zh) | 一种信息分享的方法及装置 | |
CN101656722B (zh) | 动态主机配置协议窥探绑定信息的生成方法与装置 | |
CN104519489B (zh) | 防范MIPv6源地址欺骗攻击的方法、设备和系统 | |
CN106412144A (zh) | 一种网络访问方法及装置 | |
JP2005534099A (ja) | データベースの同期 | |
CN104704791B (zh) | 用于有状态服务的应用的网络流量的重定向的方法和装置 | |
CN107181830A (zh) | 一种获取目标网站数据信息的方法及装置 | |
CN110611678B (zh) | 一种识别报文的方法及接入网设备 | |
CN103327006B (zh) | 多接入网络中的安全方法 | |
CN101478543B (zh) | 一种网络访问方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |