CN110677439B - Nd攻击的防护方法和装置 - Google Patents
Nd攻击的防护方法和装置 Download PDFInfo
- Publication number
- CN110677439B CN110677439B CN201911126533.3A CN201911126533A CN110677439B CN 110677439 B CN110677439 B CN 110677439B CN 201911126533 A CN201911126533 A CN 201911126533A CN 110677439 B CN110677439 B CN 110677439B
- Authority
- CN
- China
- Prior art keywords
- ipv6 address
- address
- mac address
- ipv6
- mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本申请提供一种ND攻击的防护方法及装置,应用于局域网包括的各个网络设备中,所述方法包括:获取存储的ND转发表中的可达ND表项包括的IPv6地址,得到IPv6地址集合;将IPv6地址集合发送给网管设备,以使网管设备确定在存储的IPv6地址与MAC地址全集中IPv6地址集合中的每个IPv6地址对应的MAC地址,得到IPv6地址与MAC地址子集并返回;将IPv6地址与MAC地址子集中的每个IPv6地址对应的MAC地址与ND转发表中保存的同一IPv6地址对应的MAC地址进行比对;若检测到IPv6地址与MAC地址子集中的选定IPv6地址在IPv6地址与MAC地址子集中对应的MAC地址与在ND转发表中对应的MAC地址不同,则检测到选定IPv6地址对应的ND攻击。应用本申请的实施例,可以消除相关技术中存在的局限性,提升ND攻击的防护效果。
Description
技术领域
本申请涉及网络通信技术领域,特别设计一种邻居发现(Neighbor DiscoveryProtocol,ND)攻击的防护方法和装置。
背景技术
ND协议是互联网协议第6版(Internet Protocol Version 6,IPv6)的基本组成部分,实现了在IPv4中的地址解析协议(Address Resolution Protocol,ARP)、互联网控制报文协议(Internet Control Message Protocol,ICMP)中的路由器发现部分、重定向协议的所有功能,并且具有邻居不可达的检测机制。
但是ND协议是基于可信网络的前提下提出的,这给互联网的体系结构带来内在的隐患。随着IPv6技术的广泛应用,ND协议也成了主要攻击对象,对于ND协议的攻击就是ND攻击,它的原理是由攻击者截获终端或者网络设备发送的邻居请求(NeighborSolicitation,NS)报文后,伪造假的邻居公告(Neighbor Advertisement,NA)报文并发送,其目的是要让终端或者网络设备根据接收到的NA报文中的媒体访问控制(Media AccessControl Address,MAC)地址发送的ND报文到达攻击者所取代的地方。
目前,ND攻击的防护方法是,网络设备接收到ND报文后,从动态主机设置协议(Dynamic Host Configuration Protocol,DHCP)服务器查找ND报文携带的IPv6地址,若查找到,则确定查找到的IPv6地址对应的MAC地址与ND报文携带的MAC地址是否相同,若不同,则确定检测到该IPv6地址对应的ND攻击。
上述ND攻击的防护方法依赖DHCP服务器,若网络设备或者终端未经过DHCP服务器分配IPv6地址,而是采用手动配置IPv6地址的方式,则DHCP服务器上不会保存手动配置的IPv6地址及其对应的MAC地址,对于这种IPv6地址则无法进行防护,可见,上述ND攻击的防护方法局限性很大,防护效果较差。
发明内容
有鉴于此,本申请提供一种ND攻击的防护方法和装置,以解决相关技术中存在的局限性很大,防护效果较差的问题。
具体地,本申请是通过如下技术方案实现的:
一种ND攻击的防护方法,应用于局域网包括的各个网络设备中,所述局域网还包括网管设备,所述网管设备与所述局域网包括的各个网络设备和各个终端通信连接,所述方法包括:
获取存储的ND转发表中的可达ND表项包括的互联网协议第6版IPv6地址,得到IPv6地址集合;
将所述IPv6地址集合发送给所述网管设备,以使所述网管设备确定在存储的IPv6地址与媒体访问控制MAC地址全集中所述IPv6地址集合中的每个IPv6地址对应的MAC地址,得到IPv6地址与MAC地址子集并返回,所述IPv6地址与MAC地址全集中保存的是所述网管设备接收到的所述局域网包括的各个网络设备和各个终端同步的自身的IPv6地址与MAC地址;
将所述IPv6地址与MAC地址子集中的每个IPv6地址对应的MAC地址与所述ND转发表中保存的同一IPv6地址对应的MAC地址进行比对;
若检测到所述IPv6地址与MAC地址子集中的选定IPv6地址在所述IPv6地址与MAC地址子集中对应的MAC地址与在所述ND转发表中对应的MAC地址不同,则确定检测到所述选定IPv6地址对应的ND攻击。
一种ND攻击的防护装置,应用于局域网包括的各个网络设备中,所述局域网还包括网管设备,所述网管设备与所述局域网包括的各个网络设备和各个终端通信连接,所述装置包括:
第一获取模块,用于获取存储的ND转发表中的可达ND表项包括的IPv6地址,得到IPv6地址集合;
发送模块,用于将所述IPv6地址集合发送给所述网管设备,以使所述网管设备确定在存储的IPv6地址与MAC地址全集中所述IPv6地址集合中的每个IPv6地址对应的MAC地址,得到IPv6地址与MAC地址子集并返回,所述IPv6地址与MAC地址全集中保存的是所述网管设备接收到的所述局域网包括的各个网络设备和各个终端同步的自身的IPv6地址与MAC地址;
比对模块,用于将所述IPv6地址与MAC地址子集中的每个IPv6地址对应的MAC地址与所述ND转发表中保存的同一IPv6地址对应的MAC地址进行比对;
确定模块,用于若检测到所述IPv6地址与MAC地址子集中的选定IPv6地址在所述IPv6地址与MAC地址子集中对应的MAC地址与在所述ND转发表中对应的MAC地址不同,则确定检测到所述选定IPv6地址对应的ND攻击。
一种电子设备,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现上述的方法步骤。
一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法步骤。
由以上本申请提供的技术方案可见,局域网中的各个网络设备从网管设备中获取ND转发表中的可达ND表项包括的IPv6地址对应的MAC地址,然后将从网管设备获取的IPv6地址对应的MAC地址与ND转发表中同一IPv6地址对应的MAC地址比较,若二者不同,则可以确定检测到该IPv6地址对应的ND攻击,由于网管设备中的IPv6地址与MAC地址全集中保存的是局域网包括的各个网络设备和各个终端同步过来的IPv6地址和MAC地址,也就是说网管设备中的IPv6地址与MAC地址全集是非常全面的,从而可以消除相关技术中存在的局限性,提升ND攻击的防护效果。
附图说明
图1为本申请示出的一种ND攻击的防护方法的流程图;
图2为本申请示出的一种ND攻击的防护装置的结构示意图;
图3为本申请示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了解决上述问题,本发明实施例提供了一种ND攻击的防护方法,以消除相关技术中存在的局限性,提升ND攻击的防护效果。请参见图1,图1为本申请示出的一种ND攻击的防护方法的流程图,应用于局域网包括的各个网络设备中,局域网还包括网管设备,网管设备与局域网包括的各个网络设备和各个终端通信连接,该方法包括:
S11:获取存储的ND转发表中的可达ND表项包括的IPv6地址,得到IPv6地址集合。
ND协议具有邻居不可达的检测机制,可以根据该机制检测ND转发表中的各个ND表项是否可达,由于不可达ND表项不会发生ND攻击,因此,可以直接获取可达ND表项包括的IPv6地址,这些IPv6地址可以组成IPv6地址集合。具体可以启动一个设定时长的定时器,在定时器中遍历ND转发项中的各个ND表项,可以确定可达ND表项,然后再依次获取可达ND表项中的IPv6地址,其中,设定时长可以根据实际需要进行设定,例如可以设定为2分钟、5分钟等等。
S12:将IPv6地址集合发送给网管设备,以使网管设备确定在存储的IPv6地址与MAC地址全集中IPv6地址集合中的每个IPv6地址对应的MAC地址,得到IPv6地址与MAC地址子集并返回。
对于大型的网络拓扑,一般会有网管设备通过网管协议对整个局域网进行监控,网管协议可以但不限于为简单网络管理协议(Simple Network Management Protocol,SNMP),在这种情况下,局域网中的各个网络设备可以使用简单网络管理协议(SimpleNetwork Management Protocol,SNMP)向网管设备发送IPv6地址集合。
IPv6地址与MAC地址全集中保存的是网管设备接收到的局域网包括的各个网络设备和各个终端同步的自身的IPv6地址与MAC地址。局域网中的各个网络设备和各个终端获取到IPV6地址后,可以是通过DHCP服务器动态获取,也可以是手动配置后获取到的,然后可以将自身的IPv6地址和MAC地址同步给网管设备,网管设备可以将接收到的这些IPv6地址与MAC地址保存在IP地址与MAC地址全集中。
网管设备确定在存储的IPv6地址与MAC地址全集中IPv6地址集合中的每个IPv6地址对应的MAC地址,得到IPv6地址与MAC地址子集并返回给对应的网络设备。
S13:将IPv6地址与MAC地址子集中的每个IPv6地址对应的MAC地址与ND转发表中保存的同一IPv6地址对应的MAC地址进行比对。
由于网管设备保存的是局域网中各个网络设备和各个终端的正确的IPv6地址与MAC地址,因此,可以将IPv6地址与MAC地址子集中的每个IPv6地址对应的MAC地址与ND转发表中保存的同一IPv6地址对应的MAC地址逐一进行比对。
S14:若检测到IPv6地址与MAC地址子集中的选定IPv6地址在IPv6地址与MAC地址子集中对应的MAC地址与在ND转发表中对应的MAC地址不同,则确定检测到选定IPv6地址对应的ND攻击。
S13中比对的结果可能为:第一,若IPv6地址与MAC地址子集中的一个IPv6地址在IPv6地址与MAC地址子集中对应的MAC地址与在ND转发表中对应的MAC地址相同,则说明该IPv6地址是正常的,不存在ND攻击;第二,若IPv6地址与MAC地址子集中的一个IPv6地址在ND转发表中不存在,这是在后续报文交互过程中该条ND表项老化或被清除,属于正常现象,同样也不存在ND攻击;第三,若IPv6地址与MAC地址子集中的一个IPv6地址在IPv6地址与MAC地址子集中对应的MAC地址与在ND转发表中对应的MAC地址不同,此时就可以确定检测到该IPv6地址对应的ND攻击。
由以上本申请提供的技术方案可见,局域网中的各个网络设备从网管设备中获取ND转发表中的可达ND表项包括的IPv6地址对应的MAC地址,然后将从网管设备获取的IPv6地址对应的MAC地址与ND转发表中同一IPv6地址对应的MAC地址比较,若二者不同,则可以确定检测到该IPv6地址对应的ND攻击,由于网管设备中的IPv6地址与MAC地址全集中保存的是局域网包括的各个网络设备和各个终端同步过来的IPv6地址和MAC地址,也就是说网管设备中的IPv6地址与MAC地址全集是非常全面的,从而可以消除相关技术中存在的局限性,提升ND攻击的防护效果。
一种可选的实施方式,上述S14中的确定检测到选定IPv6地址对应的ND攻击之前,上述方法还包括:
将选定IPv6地址发生给网管设备,以使网管设备返回IPv6地址与MAC地址全集中包括的选定IPv6地址对应的MAC地址;
确定接收到的MAC地址与ND转发表中保存的选定IPv6地址对应的MAC地址是否相同;
若接收到的MAC地址与ND转发表中保存的选定IPv6地址对应的MAC地址不同,则执行上述S14中的确定检测到选定IPv6地址对应的ND攻击的步骤。
有时可能是在报文交互过程中某一IPv6地址对应的MAC地址确实发生了变化,为了更加准确地确定是否存在选定IPv6地址对应的ND攻击,可以再次从网管设备获取选定IPv6地址对应的MAC地址,然后再将获取的MAC地址与ND转发表中选定IPv6地址对应的MAC地址进行比较,若仍不相同,则可以确定检测到选定IP地址对应的ND攻击。一种可选的实施方式,为了保证检测结果的准确性,可以多次重复上述过程,例如,可以重复2次、3次等等,具体重复次数可以根据实际需要进行设定。
一种可选的实施方式,上述方法还包括:
将ND转发表中保存的选定IPv6地址对应的MAC地址替换为IPv6地址与MAC地址子集中包括的选定IPv6地址对应的MAC地址;
将ND转发表中包括选定IPv6地址的ND表项设置为静态表项。
由于已经检测到选定IPv6地址对应的ND攻击,可以将ND转发表中保存的选定IPv6地址对应的MAC地址替换为IPv6地址与MAC地址子集中包括的选定IPv6地址对应的MAC地址,同时将ND转发表中包括选定IPv6地址的ND表项设置为静态表项,从而可以实现选定IPv6地址对应的ND攻击自愈。
一种可选的实施方式,上述方法还包括:
根据ND转发表中保存的选定IPv6地址及其对应的MAC地址生成邻居请求NS报文;
若接收到NS报文对应的邻居公告NA报文,则获取NA报文携带的源IPv6地址和源MAC地址,得到攻击源的IPv6地址和MAC地址。
为了能够实现对选定IPv6地址对应的ND攻击溯源,可以根据ND转发表中保存的选定IPv6地址及其对应的MAC地址生成邻居请求NS报文,并根据接收到NS报文对应的NA报文获取NA报文携带的源IPv6地址和源MAC地址,得到攻击源的IPv6地址和MAC地址,从而就可以确定具体的攻击源,并可以基于此进一步进行分析和防护。
请参见图2,图2为本申请示出的一种ND攻击的防护装置的结构示意图,应用于局域网包括的各个网络设备中,局域网还包括网管设备,网管设备与局域网包括的各个网络设备和各个终端通信连接,该装置包括:
第一获取模块21,用于获取存储的ND转发表中的可达ND表项包括的IPv6地址,得到IPv6地址集合;
发送模块22,用于将IPv6地址集合发送给网管设备,以使网管设备确定在存储的IPv6地址与MAC地址全集中IPv6地址集合中的每个IPv6地址对应的MAC地址,得到IPv6地址与MAC地址子集并返回,IPv6地址与MAC地址全集中保存的是网管设备接收到的局域网包括的各个网络设备和各个终端同步的自身的IPv6地址与MAC地址;
比对模块23,用于将IPv6地址与MAC地址子集中的每个IPv6地址对应的MAC地址与ND转发表中保存的同一IPv6地址对应的MAC地址进行比对;
确定模块24,用于若检测到IPv6地址与MAC地址子集中的选定IPv6地址在IPv6地址与MAC地址子集中对应的MAC地址与在ND转发表中对应的MAC地址不同,则确定检测到选定IPv6地址对应的ND攻击。
由以上本申请提供的技术方案可见,局域网中的各个网络设备从网管设备中获取ND转发表中的可达ND表项包括的IPv6地址对应的MAC地址,然后将从网管设备获取的IPv6地址对应的MAC地址与ND转发表中同一IPv6地址对应的MAC地址比较,若二者不同,则可以确定检测到该IPv6地址对应的ND攻击,由于网管设备中的IPv6地址与MAC地址全集中保存的是局域网包括的各个网络设备和各个终端同步过来的IPv6地址和MAC地址,也就是说网管设备中的IPv6地址与MAC地址全集是非常全面的,从而可以消除相关技术中存在的局限性,提升ND攻击的防护效果。
一种可选的实施方式,发送模块22,还用于将选定IPv6地址发生给网管设备,以使网管设备返回IPv6地址与MAC地址全集中包括的选定IPv6地址对应的MAC地址;
确定模块24,还用于确定接收到的MAC地址与ND转发表中保存的选定IPv6地址对应的MAC地址是否相同;若接收到的MAC地址与ND转发表中保存的选定IPv6地址对应的MAC地址不同,则执行确定检测到选定IPv6地址对应的ND攻击的步骤。
一种可选的实施方式,上述装置还包括:
替换模块,用于将ND转发表中保存的选定IPv6地址对应的MAC地址替换为IPv6地址与MAC地址子集中包括的选定IPv6地址对应的MAC地址;
设置模块,用于将ND转发表中包括选定IPv6地址的ND表项设置为静态表项。
一种可选的实施方式,上述装置还包括:
生成模块,用于根据ND转发表中保存的选定IPv6地址及其对应的MAC地址生成NS报文;
第二获取模块,用于若接收到NS报文对应的NA报文,则获取NA报文携带的源IPv6地址和源MAC地址,得到攻击源的IPv6地址和MAC地址。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例还提供了一种电子设备,请参见图3所示,包括处理器310、通信接口320、存储器330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。
存储器330,用于存放计算机程序;
处理器310,用于执行存储器330上所存放的程序时,实现上述实施例中任一所述的ND攻击的防护方法。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由以上本申请提供的技术方案可见,局域网中的各个网络设备从网管设备中获取ND转发表中的可达ND表项包括的IPv6地址对应的MAC地址,然后将从网管设备获取的IPv6地址对应的MAC地址与ND转发表中同一IPv6地址对应的MAC地址比较,若二者不同,则可以确定检测到该IPv6地址对应的ND攻击,由于网管设备中的IPv6地址与MAC地址全集中保存的是局域网包括的各个网络设备和各个终端同步过来的IPv6地址和MAC地址,也就是说网管设备中的IPv6地址与MAC地址全集是非常全面的,从而可以消除相关技术中存在的局限性,提升ND攻击的防护效果。
相应地,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的ND攻击的防护方法。
由以上本申请提供的技术方案可见,局域网中的各个网络设备从网管设备中获取ND转发表中的可达ND表项包括的IPv6地址对应的MAC地址,然后将从网管设备获取的IPv6地址对应的MAC地址与ND转发表中同一IPv6地址对应的MAC地址比较,若二者不同,则可以确定检测到该IPv6地址对应的ND攻击,由于网管设备中的IPv6地址与MAC地址全集中保存的是局域网包括的各个网络设备和各个终端同步过来的IPv6地址和MAC地址,也就是说网管设备中的IPv6地址与MAC地址全集是非常全面的,从而可以消除相关技术中存在的局限性,提升ND攻击的防护效果。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种邻居发现ND攻击的防护方法,应用于局域网包括的各个网络设备中,所述局域网还包括网管设备,所述网管设备与所述局域网包括的各个网络设备和各个终端通信连接,其特征在于,所述方法包括:
获取存储的ND转发表中的可达ND表项包括的互联网协议第6版IPv6地址,得到IPv6地址集合;
将所述IPv6地址集合发送给所述网管设备,以使所述网管设备确定在存储的IPv6地址与媒体访问控制MAC地址全集中所述IPv6地址集合中的每个IPv6地址对应的MAC地址,得到IPv6地址与MAC地址子集并返回,所述IPv6地址与MAC地址全集中保存的是所述网管设备接收到的所述局域网包括的各个网络设备和各个终端同步的自身的IPv6地址与MAC地址;
将所述IPv6地址与MAC地址子集中的每个IPv6地址对应的MAC地址与所述ND转发表中保存的同一IPv6地址对应的MAC地址进行比对;
若检测到所述IPv6地址与MAC地址子集中的选定IPv6地址在所述IPv6地址与MAC地址子集中对应的MAC地址与在所述ND转发表中对应的MAC地址不同,则确定检测到所述选定IPv6地址对应的ND攻击。
2.根据权利要求1所述的方法,其特征在于,确定检测到所述选定IPv6地址对应的ND攻击之前,所述方法还包括:
将所述选定IPv6地址发生给所述网管设备,以使所述网管设备返回所述IPv6地址与MAC地址全集中包括的所述选定IPv6地址对应的MAC地址;
确定接收到的MAC地址与所述ND转发表中保存的所述选定IPv6地址对应的MAC地址是否相同;
若接收到的MAC地址与所述ND转发表中保存的所述选定IPv6地址对应的MAC地址不同,则执行所述确定检测到所述选定IPv6地址对应的ND攻击的步骤。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
将所述ND转发表中保存的所述选定IPv6地址对应的MAC地址替换为所述IPv6地址与MAC地址子集中包括的所述选定IPv6地址对应的MAC地址;
将所述ND转发表中包括所述选定IPv6地址的ND表项设置为静态表项。
4.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
根据所述ND转发表中保存的所述选定IPv6地址及其对应的MAC地址生成邻居请求NS报文;
若接收到所述NS报文对应的邻居公告NA报文,则获取所述NA报文携带的源IPv6地址和源MAC地址,得到攻击源的IPv6地址和MAC地址。
5.一种ND攻击的防护装置,应用于局域网包括的各个网络设备中,所述局域网还包括网管设备,所述网管设备与所述局域网包括的各个网络设备和各个终端通信连接,其特征在于,所述装置包括:
第一获取模块,用于获取存储的ND转发表中的可达ND表项包括的IPv6地址,得到IPv6地址集合;
发送模块,用于将所述IPv6地址集合发送给所述网管设备,以使所述网管设备确定在存储的IPv6地址与MAC地址全集中所述IPv6地址集合中的每个IPv6地址对应的MAC地址,得到IPv6地址与MAC地址子集并返回,所述IPv6地址与MAC地址全集中保存的是所述网管设备接收到的所述局域网包括的各个网络设备和各个终端同步的自身的IPv6地址与MAC地址;
比对模块,用于将所述IPv6地址与MAC地址子集中的每个IPv6地址对应的MAC地址与所述ND转发表中保存的同一IPv6地址对应的MAC地址进行比对;
确定模块,用于若检测到所述IPv6地址与MAC地址子集中的选定IPv6地址在所述IPv6地址与MAC地址子集中对应的MAC地址与在所述ND转发表中对应的MAC地址不同,则确定检测到所述选定IPv6地址对应的ND攻击。
6.根据权利要求5所述的装置,其特征在于,所述发送模块,还用于将所述选定IPv6地址发生给所述网管设备,以使所述网管设备返回所述IPv6地址与MAC地址全集中包括的所述选定IPv6地址对应的MAC地址;
所述确定模块,还用于确定接收到的MAC地址与所述ND转发表中保存的所述选定IPv6地址对应的MAC地址是否相同;若接收到的MAC地址与所述ND转发表中保存的所述选定IPv6地址对应的MAC地址不同,则执行所述确定检测到所述选定IPv6地址对应的ND攻击的步骤。
7.根据权利要求5或6所述的装置,其特征在于,所述装置还包括:
替换模块,用于将所述ND转发表中保存的所述选定IPv6地址对应的MAC地址替换为所述IPv6地址与MAC地址子集中包括的所述选定IPv6地址对应的MAC地址;
设置模块,用于将所述ND转发表中包括所述选定IPv6地址的ND表项设置为静态表项。
8.根据权利要求5或6所述的装置,其特征在于,所述装置还包括:
生成模块,用于根据所述ND转发表中保存的所述选定IPv6地址及其对应的MAC地址生成NS报文;
第二获取模块,用于若接收到所述NS报文对应的NA报文,则获取所述NA报文携带的源IPv6地址和源MAC地址,得到攻击源的IPv6地址和MAC地址。
9.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-4任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911126533.3A CN110677439B (zh) | 2019-11-18 | 2019-11-18 | Nd攻击的防护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911126533.3A CN110677439B (zh) | 2019-11-18 | 2019-11-18 | Nd攻击的防护方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110677439A CN110677439A (zh) | 2020-01-10 |
| CN110677439B true CN110677439B (zh) | 2022-03-01 |
Family
ID=69087547
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911126533.3A Active CN110677439B (zh) | 2019-11-18 | 2019-11-18 | Nd攻击的防护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110677439B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111641639B (zh) * | 2020-05-28 | 2022-07-26 | 深圳供电局有限公司 | 一种IPv6网络安全防护系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101577723A (zh) * | 2009-06-03 | 2009-11-11 | 杭州华三通信技术有限公司 | 一种防止邻居发现协议报文攻击的方法及装置 |
| CN101621525A (zh) * | 2009-08-05 | 2010-01-06 | 杭州华三通信技术有限公司 | 合法表项的处理方法和设备 |
| CN101651696A (zh) * | 2009-09-17 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种防止nd攻击的方法及装置 |
| CN101938411A (zh) * | 2010-08-03 | 2011-01-05 | 杭州华三通信技术有限公司 | 一种nd探听表项的处理方法和设备 |
| CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9246939B2 (en) * | 2011-06-21 | 2016-01-26 | Telefonaktiebolaget L M Ericsson (Publ) | Preventing neighbor-discovery based denial of service attacks |
-
2019
- 2019-11-18 CN CN201911126533.3A patent/CN110677439B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101577723A (zh) * | 2009-06-03 | 2009-11-11 | 杭州华三通信技术有限公司 | 一种防止邻居发现协议报文攻击的方法及装置 |
| CN101621525A (zh) * | 2009-08-05 | 2010-01-06 | 杭州华三通信技术有限公司 | 合法表项的处理方法和设备 |
| CN101651696A (zh) * | 2009-09-17 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种防止nd攻击的方法及装置 |
| CN101938411A (zh) * | 2010-08-03 | 2011-01-05 | 杭州华三通信技术有限公司 | 一种nd探听表项的处理方法和设备 |
| CN107438068A (zh) * | 2017-07-04 | 2017-12-05 | 杭州迪普科技股份有限公司 | 一种防arp攻击的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110677439A (zh) | 2020-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2837159B1 (en) | System asset repository management | |
| US9258289B2 (en) | Authentication of IP source addresses | |
| EP2837135B1 (en) | Asset detection system | |
| CN107547349B (zh) | 一种虚拟机迁移的方法及装置 | |
| US8189580B2 (en) | Method for blocking host in IPv6 network | |
| EP2837157B1 (en) | Network address repository management | |
| EP2769307B1 (en) | Answer augmentation system for authoritative dns servers | |
| US8886775B2 (en) | Dynamic learning by a server in a network environment | |
| US10574570B2 (en) | Communication processing method and apparatus | |
| CN111526225B (zh) | 会话管理方法和装置 | |
| Bansal et al. | Detection of NDP based attacks using MLD | |
| CN110677439B (zh) | Nd攻击的防护方法和装置 | |
| Najjar et al. | Reliable behavioral dataset for IPv6 neighbor discovery protocol investigation | |
| CN109617817B (zh) | 一种mlag组网的转发表项的生成方法及装置 | |
| US20200267116A1 (en) | Internet protocol version six address management | |
| US20170289099A1 (en) | Method and Device for Managing Internet Protocol Version 6 Address, and Terminal | |
| CN102594816B (zh) | 一种预防恶意邻居学习攻击的方法及装置 | |
| CN112714133B (zh) | 一种适用于DHCPv6服务端的防ND攻击方法与装置 | |
| CN108111638A (zh) | 一种地址分配方法及装置 | |
| CN113992583B (zh) | 一种表项维护方法及装置 | |
| CN116319684A (zh) | 基于LLMNR查询的双栈Windows节点IPv6地址快速探测方法及系统 | |
| US10951650B2 (en) | Detection of network sniffing activity | |
| CN116684390A (zh) | 基于跨内核异步收发的IPv6地址快速扫描方法及系统 | |
| Hu et al. | LLMNR6: A Hostname Query based IPv6 Address Fast Scanning Technology for Dual-Stack Windows Nodes | |
| JP2021057838A (ja) | 不正検出装置および不正検出方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |