CN106506410A - 一种安全表项建立方法及装置 - Google Patents

一种安全表项建立方法及装置 Download PDF

Info

Publication number
CN106506410A
CN106506410A CN201610929643.3A CN201610929643A CN106506410A CN 106506410 A CN106506410 A CN 106506410A CN 201610929643 A CN201610929643 A CN 201610929643A CN 106506410 A CN106506410 A CN 106506410A
Authority
CN
China
Prior art keywords
list item
subscriber
message
address
main station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610929643.3A
Other languages
English (en)
Other versions
CN106506410B (zh
Inventor
陈洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201610929643.3A priority Critical patent/CN106506410B/zh
Publication of CN106506410A publication Critical patent/CN106506410A/zh
Application granted granted Critical
Publication of CN106506410B publication Critical patent/CN106506410B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种安全表项建立方法及装置,应用于交换设备,该方法包括:在与用户主机IP地址匹配的临时安全表项生效之前,由交换设备发送携带所述用户主机IP地址的探测请求报文;并在接收到针对该探测请求报文回应的探测响应报文后,生效与所述用户主机IP地址匹配的临时安全表项,即在完成对用户主机的身份确认后生效临时安全表项,从而避免非法用户主机占用交换设备的表项资源。

Description

一种安全表项建立方法及装置
技术领域
本发明涉及网络通信技术领域,尤其涉及一种安全表项建立方法及装置。
背景技术
ND(Neighbor Discovery Protocol,邻居发现协议)是IPv6的基础性协议。由于ND报文容易伪造,因此,针对ND的攻击越来越多,严重影响IPv6网络的安全性。
目前,防御ND攻击的主要方法是通过交换设备侦听ND报文或数据报文,为不存在IP地址冲突的用户创建安全表项,以达到对假冒已存在用户(存在IP地址冲突的用户)发送的报文进行丢弃的目的。
但是,如果攻击者假冒不存在用户发送大量源IP地址不同的ND报文或者数据报文,将产生大量非法用户的安全表项,影响合法用户安全表项的建立,导致合法用户无法正常通信。
发明内容
本发明的目的在于提供一种安全表项建立方法及装置,用以避免非法用户主机占用交换设备的表项资源。
为实现上述发明目的,本发明提供了如下技术方案:
本发明提供一种安全表项建立方法,应用于交换设备,所述方法包括:
接收用户主机发送的报文;
判断是否存在与所述报文携带的所述用户主机的IP地址匹配的临时安全表项;
当存在与所述用户主机的IP地址匹配的临时安全表项时,发送第一探测请求报文,所述第一探测请求报文中携带所述用户主机的IP地址;
当接收到针对所述第一探测请求报文回应的第一探测响应报文时,生效所述匹配的临时安全表项为有效安全表项。
本发明还提供一种安全表项建立装置,应用于交换设备,所述装置包括:
接收单元,用于接收用户主机发送的报文;
判断单元,用于判断是否存在与所述报文携带的所述用户主机的IP地址匹配的临时安全表项;
发送单元,用于当存在与所述用户主机的IP地址匹配的临时安全表项时,发送第一探测请求报文,所述第一探测请求报文中携带所述用户主机的IP地址;
生效单元,用于当接收到针对所述第一探测请求报文回应的第一探测响应报文时,生效所述匹配的临时安全表项为有效安全表项。
由以上描述可以看出,本发明中交换设备在与用户主机IP地址匹配的临时安全表项生效之前,对用户主机进行身份确认,对通过身份确认的用户主机生效临时安全表项,从而避免非法用户主机占用交换设备的表项资源。
附图说明
图1是本发明实施例示出的一种安全表项建立方法流程图;
图2是本发明实施例示出的一种组网示意图;
图3是本发明实施例示出的交换设备的结构示意图;
图4是本发明实施例示出的一种安全表项建立装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本发明实施例提出一种安全表项建立方法,该方法在与用户主机IP地址匹配的临时安全表项生效之前,由交换设备发送携带用户主机IP地址的探测请求报文,并在接收到针对该探测请求报文回应的探测响应报文后,生效与该用户主机IP地址匹配的临时安全表项,从而避免非法用户主机占用交换设备的表项资源。
参见图1,为本发明安全表项建立方法的一个实施例流程图,该实施例对安全表项建立过程进行描述。
步骤101,接收用户主机发送的报文。
步骤102,判断是否存在与所述报文携带的所述用户主机的IP地址匹配的临时安全表项。
交换设备在接收到用户主机发送的报文后,根据报文中携带的该用户主机(发送报文的用户主机,亦可称为源用户主机)的IP地址判断本地是否存在与该用户主机的IP地址匹配的临时安全表项,其中,该临时安全表项为未生效的安全表项,即未下发到交换设备的硬件转发芯片中的安全表项,因此,该临时安全表项不占用交换设备的表项资源。
当判断出不存在与用户主机的IP地址匹配的临时安全表项时,进一步判断是否存在与用户主机的IP地址匹配的有效安全表项,即已生效并下发到硬件转发芯片中的安全表项。当存在与用户主机的IP地址匹配的有效安全表项时,说明该用户主机为已确认的合法用户主机,可以正常通信;当不存在与用户主机的IP地址匹配的有效安全表项时,说明当前为新的用户主机发起的访问,建立与用户主机的IP地址匹配的临时安全表项,等待确认当前用户主机的合法性。
步骤103,当存在与所述用户主机的IP地址匹配的临时安全表项时,发送第一探测请求报文,所述第一探测请求报文中携带所述用户主机的IP地址。
步骤104,当接收到针对所述第一探测请求报文回应的第一探测响应报文时,生效所述匹配的临时安全表项为有效安全表项。
本发明通过步骤103和步骤104对已存在匹配的临时安全表项的用户主机进行合法性确认。
具体为,交换设备通过发送携带用户主机的IP地址的第一探测请求报文,探测是否存在使用该IP地址的用户主机,当交换设备接收到针对第一探测请求报文回应的第一探测响应报文时,确认使用该IP地址的用户主机真实存在,即确认该用户主机合法,并将该合法的用户主机对应的临时安全表项生效为有效安全表项。
当交换设备未接收到第一探测响应报文时,说明不存在使用该IP地址的用户主机,已接收的报文很有可能为攻击者伪造的攻击报文,因此,可删除对应的临时安全表项。
当然,本发明还可设置临时安全表项的老化时间,当达到老化时间时,删除临时安全表项,以节约交换设备的系统资源。
由以上描述可知,本发明通过对已建立临时安全表项的用户主机作进一步合法性探测,以避免交换设备为大量不存在的用户主机生成有效安全表项,即保证下发到硬件转发芯片中的安全表项的真实性,从而节约交换设备的表项资源。
此外,需要补充说明的是,在步骤103中,交换设备要掌握发送第一探测请求报文的时机。具体为,交换设备判断从用户主机(记为用户主机A)接收的报文是否为用户主机A发送的探测请求报文(记为第二探测请求报文),该第二探测请求报文通常为用户主机A在获取新的IP地址后对该IP地址进行冲突检查时发送。当交换设备接收的报文为用户主机A发送的第二探测请求报文时,转发该第二探测请求报文,以使与用户主机A的IP地址冲突的用户主机(记为用户主机B)回应探测响应报文(记为第二探测响应报文),若用户主机A未接收到第二探测响应报文,则确认不存在IP地址冲突,生效当前IP地址;当交换设备接收的报文不为用户主机A发送的第二探测请求报文时,发送第一探测请求报文,这是由于,如果用户主机A在发送第二探测请求报文后,又接收到交换设备发送的第一探测请求报文(两个探测请求报文携带的IP地址均为用户主机A的IP地址)同样会认为存在IP地址冲突,则无法生效当前IP地址,影响用户主机A的正常通信。
现以IPv6网络为例,详细介绍安全表项建立过程。
参见图2,为本发明实施例示出的一种组网示意图。在该组网中,PC1为合法用户使用的用户主机,PC2为攻击者使用的用户主机;SW为交换设备;GW为连接外网的网关设备。
假设,PC1上线时,获取临时IP地址IP1,在正式生效该IP地址之前,PC1发送DAD(Duplicate Address Detection,重复地址检测)NS(Neighbor Solicitation Message,邻居请求报文)报文(记为NS2,相当于第二探测请求报文),在该NS2报文中携带要探测的IP地址IP1。
SW1接收到PC1发送的NS2报文后,向与接收NS2报文的接口属于同一VLAN(VirtualLocal Area Network,虚拟局域网)的其它接口转发NS2报文。如果在预设的时间内PC1未接收到其它用户主机针对自己发送的NS2报文返回的NA(Neighbor Advertisement Message,邻居通告报文)报文(记为NA2,相当于第二探测响应报文),即,不存在IP地址冲突,则PC1生效IP1。
同时,SW1获取NS2报文中携带的要探测的IP地址IP1,判断本地是否存在与IP1匹配的临时安全表项,如果不存在匹配的临时安全表项,则继续判断是否存在匹配的有效安全表项,如果仍然不存在,则建立与IP1匹配的临时安全表项。
在IP1生效(即完成DAD检测)后,PC1会主动发送NA报文通告自身IP地址或发送数据报文开始通信。当SW1接收到PC1发送的NA报文或数据报文时,发送DAD NS报文(记为NS1,相当于第一探测请求报文),该NS1报文中携带PC1的IP地址IP1,PC1接收到NS1报文后,发现NS1报文中携带的要探测的IP地址与自身IP地址相同,因此,回应NA报文(记为NA1,相当于第一探测响应报文),SW1接收到NA1报文后,确认使用IP1的用户主机真实存在,因此,将IP1对应的临时安全表项生效为有效安全表项,并下发到硬件转发芯片中。后续PC1发送的源IP地址为IP1的数据报文可通过匹配硬件转发芯片中的安全表项正常通信。
需要注意的是,SW1不能在接收到PC1发送的NS2报文后,就发送NS1报文对PC1进行身份确认,即不能再PC1进行DAD检测过程中发送NS1报文,否则,PC1同样会认为存在IP地址冲突,无法生效IP1。
假设,PC2上线时,采用与PC1相同的处理过程获取到合法的IP地址IP2。当攻击者使用PC2发送攻击报文时,为了对交换设备造成表项资源消耗,攻击者伪造不同源IP地址(例如,网络中不存在的IP地址IP3~IPn)的攻击报文。以源IP地址为IP3的攻击报文为例,SW1接收到该攻击报文后,获取该攻击报文的源IP地址IP3,若SW1中不存在与IP3匹配的临时安全表项和有效安全表项,则建立IP3的临时安全表项,并发送携带IP3的DAD NS报文,由于使用IP3的用户主机并不真实存在,SW1不可能接收到应答的NA报文,因此,不会生效IP3的临时安全表项,即不占用交换设备中硬件转发芯片的表项资源。
与前述安全表项建立方法的实施例相对应,本发明还提供了安全表项建立装置的实施例。
本发明安全表项建立装置的实施例可以应用在交换设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器运行存储器中对应的计算机程序指令形成的。从硬件层面而言,如图3所示,为本发明安全表项建立装置所在设备的一种硬件结构图,除了图3所示的处理器以及非易失性存储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图4,为本发明一个实施例中的安全表项建立装置的结构示意图。该安全表项建立装置包括接收单元401、判断单元402、发送单元403以及生效单元404,其中:
接收单元401,用于接收用户主机发送的报文;
判断单元402,用于判断是否存在与所述报文携带的所述用户主机的IP地址匹配的临时安全表项;
发送单元403,用于当存在与所述用户主机的IP地址匹配的临时安全表项时,发送第一探测请求报文,所述第一探测请求报文中携带所述用户主机的IP地址;
生效单元404,用于当接收到针对所述第一探测请求报文回应的第一探测响应报文时,生效所述匹配的临时安全表项为有效安全表项。
进一步地,所述装置还包括:
建立单元,用于当不存在与所述用户主机的IP地址匹配的有效安全表项时,建立与所述用户主机的IP地址匹配的临时安全表项。
进一步地,
所述发送单元403,具体用于当交换设备接收的报文不为用户主机发送的第二探测请求报文时,发送所述第一探测请求报文。
进一步地,所述装置还包括:
删除单元,用于当未接收到针对所述第一探测请求报文回应的第一探测响应报文时,删除所述匹配的临时安全表项。
进一步地,所述装置还包括:
老化单元,用于设置临时安全表项的老化时间;当达到老化时间时,删除临时安全表项。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (10)

1.一种安全表项建立方法,应用于交换设备,其特征在于,所述方法包括:
接收用户主机发送的报文;
判断是否存在与所述报文携带的所述用户主机的IP地址匹配的临时安全表项;
当存在与所述用户主机的IP地址匹配的临时安全表项时,发送第一探测请求报文,所述第一探测请求报文中携带所述用户主机的IP地址;
当接收到针对所述第一探测请求报文回应的第一探测响应报文时,生效所述匹配的临时安全表项为有效安全表项。
2.如权利要求1所述的方法,其特征在于,当判断出不存在与所述用户主机的IP地址匹配的临时安全表项时,所述方法还包括:
当不存在与所述用户主机的IP地址匹配的有效安全表项时,建立与所述用户主机的IP地址匹配的临时安全表项。
3.如权利要求1所述的方法,其特征在于,所述发送第一探测请求报文,包括:
当交换设备接收的报文不为用户主机发送的第二探测请求报文时,发送所述第一探测请求报文。
4.如权利要求1所述的方法,其特征在于,当未接收到针对所述第一探测请求报文回应的第一探测响应报文时,所述方法还包括:
删除所述匹配的临时安全表项。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
设置临时安全表项的老化时间;
当达到老化时间时,删除临时安全表项。
6.一种安全表项建立装置,应用于交换设备,其特征在于,所述装置包括:
接收单元,用于接收用户主机发送的报文;
判断单元,用于判断是否存在与所述报文携带的所述用户主机的IP地址匹配的临时安全表项;
发送单元,用于当存在与所述用户主机的IP地址匹配的临时安全表项时,发送第一探测请求报文,所述第一探测请求报文中携带所述用户主机的IP地址;
生效单元,用于当接收到针对所述第一探测请求报文回应的第一探测响应报文时,生效所述匹配的临时安全表项为有效安全表项。
7.如权利要求6所述的装置,其特征在于,所述装置还包括:
建立单元,用于当不存在与所述用户主机的IP地址匹配的有效安全表项时,建立与所述用户主机的IP地址匹配的临时安全表项。
8.如权利要求6所述的装置,其特征在于:
所述发送单元,具体用于当交换设备接收的报文不为用户主机发送的第二探测请求报文时,发送所述第一探测请求报文。
9.如权利要求6所述的装置,其特征在于,所述装置还包括:
删除单元,用于当未接收到针对所述第一探测请求报文回应的第一探测响应报文时,删除所述匹配的临时安全表项。
10.如权利要求6所述的装置,其特征在于,所述装置还包括:
老化单元,用于设置临时安全表项的老化时间;当达到老化时间时,删除临时安全表项。
CN201610929643.3A 2016-10-31 2016-10-31 一种安全表项建立方法及装置 Active CN106506410B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610929643.3A CN106506410B (zh) 2016-10-31 2016-10-31 一种安全表项建立方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610929643.3A CN106506410B (zh) 2016-10-31 2016-10-31 一种安全表项建立方法及装置

Publications (2)

Publication Number Publication Date
CN106506410A true CN106506410A (zh) 2017-03-15
CN106506410B CN106506410B (zh) 2020-05-12

Family

ID=58319032

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610929643.3A Active CN106506410B (zh) 2016-10-31 2016-10-31 一种安全表项建立方法及装置

Country Status (1)

Country Link
CN (1) CN106506410B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109862137A (zh) * 2019-03-28 2019-06-07 新华三技术有限公司 报文传输方法及装置
CN112134893A (zh) * 2020-09-25 2020-12-25 杭州迪普科技股份有限公司 物联网安全防护方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1727326A1 (en) * 2005-05-27 2006-11-29 NTT DoCoMo, Inc. Network node for performing a handover to a router
CN101222513A (zh) * 2008-01-28 2008-07-16 杭州华三通信技术有限公司 一种防止重复地址检测攻击的方法及网络设备
CN101572712A (zh) * 2009-06-09 2009-11-04 杭州华三通信技术有限公司 一种防止伪造报文攻击的方法和中继设备
CN101917444A (zh) * 2010-08-25 2010-12-15 福建星网锐捷网络有限公司 一种ip源地址绑定表项的创建方法、装置及交换机

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1727326A1 (en) * 2005-05-27 2006-11-29 NTT DoCoMo, Inc. Network node for performing a handover to a router
CN101222513A (zh) * 2008-01-28 2008-07-16 杭州华三通信技术有限公司 一种防止重复地址检测攻击的方法及网络设备
CN101572712A (zh) * 2009-06-09 2009-11-04 杭州华三通信技术有限公司 一种防止伪造报文攻击的方法和中继设备
CN101917444A (zh) * 2010-08-25 2010-12-15 福建星网锐捷网络有限公司 一种ip源地址绑定表项的创建方法、装置及交换机

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109862137A (zh) * 2019-03-28 2019-06-07 新华三技术有限公司 报文传输方法及装置
CN109862137B (zh) * 2019-03-28 2022-01-28 新华三技术有限公司 报文传输方法及装置
CN112134893A (zh) * 2020-09-25 2020-12-25 杭州迪普科技股份有限公司 物联网安全防护方法、装置、电子设备及存储介质
CN112134893B (zh) * 2020-09-25 2023-08-29 杭州迪普科技股份有限公司 物联网安全防护方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN106506410B (zh) 2020-05-12

Similar Documents

Publication Publication Date Title
US11019383B2 (en) Internet anti-attack method and authentication server
CN101582833B (zh) 一种伪造ip数据包的处理方法及装置
CN101635628B (zh) 一种防止arp攻击的方法及装置
CN103179100B (zh) 一种防止域名系统隧道攻击的方法及设备
CN104243472A (zh) 具有mac表溢出保护的网络
US8955125B2 (en) Snoop echo response extractor
TW200951757A (en) Malware detection system and method
CN101252584B (zh) 双向转发检测协议会话的认证方法、系统和设备
CN105812318B (zh) 用于在网络中防止攻击的方法、控制器和系统
CN108881233A (zh) 防攻击处理方法、装置、设备及存储介质
JPH11205388A (ja) パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
CN102137073B (zh) 一种防止仿冒ip地址进行攻击的方法和接入设备
CN105959282A (zh) Dhcp攻击的防护方法及装置
WO2023193513A1 (zh) 蜜罐网络运行方法、装置、设备及存储介质
CN111131448B (zh) ADSL Nat的运维管理的边缘管理方法、边缘端代理设备及计算机可读存储介质
CN106454814A (zh) 一种用于gtp隧道通信的系统与方法
CN106161461B (zh) 一种arp报文的处理方法及装置
CN106506410A (zh) 一种安全表项建立方法及装置
CN106603512A (zh) 一种基于sdn架构的is‑is路由协议的可信认证方法
CN101505478B (zh) 一种过滤报文的方法、装置和系统
CN100484132C (zh) 一种防范网际协议以太网中假冒主机的方法
CN1822565A (zh) 具有mac表溢出保护的网络
CN106685861A (zh) 一种软件定义网络系统及其报文转发控制方法
Bagnulo et al. Secure neighbor discovery (send) source address validation improvement (savi)
CN105978774A (zh) 一种接入认证的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: Huasan Communication Technology Co., Ltd.

CB02 Change of applicant information
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant