CN111431913A - 路由器通告防护机制存在性检测方法及装置 - Google Patents
路由器通告防护机制存在性检测方法及装置 Download PDFInfo
- Publication number
- CN111431913A CN111431913A CN202010236756.1A CN202010236756A CN111431913A CN 111431913 A CN111431913 A CN 111431913A CN 202010236756 A CN202010236756 A CN 202010236756A CN 111431913 A CN111431913 A CN 111431913A
- Authority
- CN
- China
- Prior art keywords
- router
- detection
- ipv6
- detected
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,特别涉及一种路由器通告防护机制存在性检测方法及装置,通过获取待检测IPv6子网的路由器网关真实地址及配置参数信息,构造并发送看似合法的路由器通告RA报文,通过捕获并分析待检测IPv6子网其他节点的数据流转发情况,可有效获悉与检测节点直接相连的二层交换设备是否部署路由器通告防护(RA‑Guard)机制。本发明检测方便、快捷,且所需的检测开销和对IPv6子网节点通信的影响都较小,在保证正常网络性能的同时能够提高网络安全防护检测能力,具有较好的应用前景。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种路由器通告防护机制存在性检测方法及装置。
背景技术
IPv6邻居发现(Neighbor Discovery,ND)协议承载着IPv6子网节点配置和网络通信所需的重要参数信息,其运行的前提是链路完全可信,因为既不认证请求者,也不认证响应者,导致IPv6子网容易遭受欺骗、中间人、拒绝服务、重放等各类攻击。为此,IETF(Internet Engineering Task Force,国际互联网工程任务组)设计了安全邻居发现(SEcure Neighbor Discovery,SEND)协议来保护ND报文,可阻止IPv6地址偷窃和重放攻击,并提供验证路由器授权的机制。
当IPv6子网中并非所有系统或设备都完全支持SEND协议,或没有必需的基础设施用于支持SEND协议时,由未授权路由器所实施的恶意攻击或被错误配置的路由器无意生成的畸形路由器通告(Router Advertisement,RA)报文都将给IPv6子网造成路由器欺骗、配置参数伪造等安全威胁。针对此问题,部署于二层交换设备的路由器通告防护(RouterAdvertisement Guard,RA-Guard)机制可对RA报文实施强制性、集中式的安全过滤,可有效增强路由器发现过程的安全性,对IPv6子网的安全运行起着至关重要的作用。然而,特定IPv6子网是否采用和运行RA-Guard机制,现在尚无有效的判断和检测方式。
发明内容
为此,本发明提供一种路由器通告防护机制存在性检测方法及装置,可有效检测RA-Guard机制在IPv6子网中的部署情况,且检测过程开销较小,减少对IPv6子网节点正常通信的影响。
按照本发明所提供的设计方案,一种路由器通告防护机制存在性检测方法,包含如下内容:
检测节点获取待检测IPv6子网路由器网关配置参数,构造并发送路由器检测报文;
捕获并分析待检测IPv6子网其他节点数据流转发情况,以获悉待检测IPv6子网中与检测节点相连的交换设备是否部署路由器通告防护机制。
作为本发明路由器通告防护机制存在性检测方法,进一步地,获取配置参数中,首先,检测节点主动向待检测IPv6子网链路本地范围所有路由器组播地址发送路由器请求(Router Solicitation,RS)报文并即时获取信息;然后,接收路由器所回应的路由器通告报文,提取配置参数并构造待检测IPv6子网邻居发现机制的配置参数信息。
作为本发明路由器通告防护机制存在性检测方法,进一步地,提取的配置参数至少包含MAC(Media Access Control,媒体存取控制)地址-IPv6地址绑定、优先级、生存期、子网链路前缀列表和最大传输单元MTU值。
作为本发明路由器通告防护机制存在性检测方法,进一步地,构造并发送路由器检测报文中,首先,检测节点使用自身MAC地址和IPv6地址来填充路由器通告报文的源MAC地址与源IPv6地址字段内容;然后,设置路由器通告报文参数,检测节点向待检测IPv6子网链路本地范围所有节点组播地址中的所有节点发送路由器通告检测报文,并通过与自己直连的二层交换设备的接口将检测报文发送至待检测IPv6子网链路,以实现更新待检测IPv6子网内节点默认路由器列表,选择检测节点作为新的默认网关出口。
作为本发明路由器通告防护机制存在性检测方法,进一步地,设置路由器通告报文参数中,包含:将路由器优先级设置为1,同时携带源链路层地址选项、一个或多个前缀信息选项和最大传输单元MTU选项。
作为本发明路由器通告防护机制存在性检测方法,进一步地,设置的路由器通告报文参数,还包含:路由信息选项。
作为本发明路由器通告防护机制存在性检测方法,进一步地,设置所构造的路由器检测报文在伪周期内发送相同内容报文的时间间隔。
作为本发明路由器通告防护机制存在性检测方法,进一步地,获取是否部署路由器通告防护机制中,若检测节点接收到其他节点发送的待转发数据流,表明路由器通告检测报文至少没有被第一个所经过的二层交换设备所阻塞,与检测节点直连的二层交换设备未部署路由器通告防护机制,则恢复待检测IPv6子网内节点路由器默认网关,以确保待检测IPv6子网通信连续性;若检测节点未收到任何待转发的数据流,表明路由器通告检测报文在经过第一个二层交换设备时被阻塞,与检测节点直连的二层交换设备部署有路由器通告防护机制,则检测结束。
作为本发明路由器通告防护机制存在性检测方法,进一步地,恢复路由器默认网关中,检测节点发送源MAC地址与源IPv6地址为合法路由器网关对应地址的路由器通告报文,恢复待检测IPv6子网内节点的默认网关,同时检测节点将所接收到的待转发数据流的参数进行修改,并转发到待检测IPv6子网合法的路由器网关,以确保IPv6子网通信的连续性。
进一步地,本发明还提供一种路由器通告防护机制存在性检测装置,包含:伪报文构造模块和检测分析模块,其中,
伪报文构造模块,检测节点获取待检测IPv6子网路由器网关配置参数,构造并发送路由器检测报文;
检测分析模块,捕获并分析待检测IPv6子网其他节点数据流转发情况,以获悉待检测IPv6子网中与检测节点相连的交换设备是否部署路由器通告防护机制。
本发明的有益效果:
本发明通过获取待检测IPv6子网的路由器网关真实地址及配置参数信息,构造并发送看似合法的路由器通告RA报文,通过捕获并分析待检测IPv6子网其他节点的数据流转发情况,可有效获悉与检测节点直接相连的二层交换设备是否部署路由器通告防护(RA-Guard)机制,且所需的检测开销和对IPv6子网节点通信的影响都较小,在保证正常网络性能的同时能够提高网络安全防护检测能力,具有较好的应用前景。
附图说明:
图1为实施例中存在性检测方法流程示意图;
图2为实施例中RA-Guard机制应用场景示意;
图3为实施例中RA-Guard机制存在性检测原理示意;
图4为实施例中RA-Guard机制存在性检测整体流程示意;
图5为实施例中RA检测报文部分字段信息示意;
图6为实施例中RA-Guard存在性检测实验环境示意;
图7为实施例中在二层交换设备上配置RA-Guard机制示意;
图8为实施例中实施检测前被观察节点的地址及路由列表信息示意;
图9为实施例中实施检测后被观察节点的地址及路由列表信息示意;
图10为实施例中执行RA-Guard机制存在性检测的资源开销示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
部署于二层交换设备的RA-Guard机制是IPv6子网链路内的第一道安全防线,通过对路由器通告报文实施强制性、集中式的过滤,可有效增强IPv6子网对邻居发现协议路由器通告报文的安全防护能力,然而,目前尚无有效的RA-Guard存在性检测与判断方法。为此,本发明实施例,参见图1所示,提供一种路由器通告防护机制存在性检测方法,包含如下内容:
S101、检测节点获取待检测IPv6子网路由器网关配置参数,构造并发送路由器检测报文;
S102、捕获并分析待检测IPv6子网其他节点数据流转发情况,以获悉待检测IPv6子网中与检测节点相连的交换设备是否部署路由器通告防护机制。
RA-Guard机制力图实现强制性、集中式的安全管理,即依据一系列过滤策略,依托二层交换设备增强路由器发现过程的安全性。图2为RA-Guard机制的一种简单应用场景,即不允许非路由器节点发送RA报文。该机制的有效性依赖于二层交换设备识别RA报文的能力。从部署物理位置看,RA-Guard机制部署于二层交换设备之上。该机制在交换设备上实现对RA报文的强制性、集中式安全管理,能及时、有效地确保IPv6子网中路由器发现过程的操作安全。从部署逻辑层次看,RA-Guard机制的部署位置对应于网络协议开放式系统互联(Open System Interconnection,OSI)模型的链路层。此外,该机制中所指的二层交换设备还具备检测IPv6报头、ICMPv6报头及ICMPv6载荷内容的能力,结合网络层的部分参数信息实现在链路层阻塞或丢弃非法的RA报文(帧)。RA-Guard机制建立在集中式安全管理的中央模型之上,把强制实现的安全负担转移到第一跳物理设备,将受安全机制影响的设备控制在很小的范围,从而具备较好的可扩展性。在该机制中,主机节点无需参与RA报文的安全性检测,整个检测过程仅需很少的设备参与,且增加了对二层交换设备感知并检测RA报文能力的要求。部署RA-Guard机制的二层交换设备能获悉连接自身的所有邻居节点的信息,并能确保RA报文在进入子网链路之前,就对其执行过滤检测,是IPv6子网的第一道安全防线。
RA-Guard机制依托二层交换设备实现安全防护功能,而二层交换设备作为子网链路内的第一道安全防线,对准备进入子网链路的RA报文实施强制性、集中式的安全过滤。这将导致检测节点难以判断检测报文是否能够顺利穿越二层交换设备,到达IPv6子网链路内的其他节点。为解决该难题,本发明实施例中,采用基于RA报文伪造方法,即依据获取待检测IPv6子网路由器网关配置参数来构造并发送路由器检测报文,以实施检测。
RA-Guard存在性检测的目的是判断二层交换设备是否部署无状态RA-Guard机制,采用基于RA报文伪造方法以实现检测,如图3所示。检测节点构造RA报文,通过与自己直接相连的二层交换设备将报文发往子网链路,等待其他节点的响应,并根据响应结果分析判断与自己直接相连的二层交换设备是否部署了RA-Guard机制。判断依据为:若RA检测报文所经过的第一个二层交换设备未部署RA-Guard机制,则该RA报文至少能到达连接在同一交换设备上的其他节点,这些节点将更新自己的邻居缓存,更改默认网关出口,并将数据流发往检测节点;否则,RA检测报文在进入第一个二层交换设备的接口时就被阻塞,而不会被任何其他节点所接收到,也将不会有任何待转发数据流到达检测节点。因检测节点仅能完成与自己直接相连的二层交换设备是否部署有RA-Guard机制的检测,而无法判断以自身为出发点的第二层级联的交换设备是否部署有RA-Guard机制。为此,若要检测IPv6子网内所有二层交换设备部署RA-Guard机制的情况,则须满足每个二层交换设备上至少存在一个检测节点。
作为本发明实施例中路由器通告防护机制存在性检测方法,进一步地,参见图4所示,获取配置参数中,首先,检测节点主动向FF02::2(链路本地范围所有路由器组播地址)发送路由器请求(RS)报文并即时获取信息;然后,接收路由器所回应的路由器通告报文,提取配置参数并构造待检测IPv6子网邻居发现机制配置参数信息。进一步地,提取的配置参数至少包含MAC地址-IPv6地址绑定、优先级、生存期、子网链路前缀列表和最大传输单元MTU值。构建待检测IPv6子网邻居发现机制配置参数信息,可如表所示。
表1待检测IPv6子网ND机制的部分配置参数信息
作为本发明实施例中的路由器通告防护机制存在性检测方法,进一步地,构造并发送路由器检测报文中,首先,检测节点使用自身MAC地址和IPv6地址来填充路由器通告报文的源MAC地址与源IPv6地址字段内容;然后,设置路由器通告报文参数,检测节点向待检测IPv6子网链路本地范围所有节点组播地址中的所有节点发送路由器通告检测报文,并通过与自己直连的二层交换设备的接口将检测报文发送至待检测IPv6子网链路,以实现更新待检测IPv6子网内节点默认路由器列表,选择检测节点作为新的默认网关出口。,进一步地,设置路由器通告报文参数中,包含:将路由器优先级设置为1,同时携带源链路层地址选项、一个或多个前缀信息选项和最大传输单元MTU选项。进一步地,设置的路由器通告报文参数,还包含:路由信息选项。
在获取待检测IPv6子网配置参数信息的基础上,检测节点选择恰当的参数并按需构造RA检测报文,使用检测节点自身的MAC地址与IPv6地址,填充RA检测报文的源MAC地址与源IPv6地址字段内容;然后,设置RA检测报文参数,将路由器优先级设置为1,同时应携带源链路层地址选项、一个或多个前缀信息选项和MTU选项,还可含有路由信息选项;检测节点向FF02::1组播组中的所有节点发送RA检测报文,并通过与自己直接相连的二层交换设备的接口将检测报文发送到待检测IPv6子网链路,以期实现更新IPv6子网内节点的默认路由器列表,选择检测节点作为新的默认网关出口。图5显示了RA检测报文部分字段内容信息,其中路由器生存期为65533秒、路由器优先级为1、携带的前缀信息是原IPv6前缀(以2088::/64为例)以及MTU值为1500。
作为本发明实施例中的路由器通告防护机制存在性检测方法,进一步地,设置构造的路由器检测报文在伪周期内发送相同内容报文的时间间隔。
ND协议要求路由器采用随机时间间隔策略来发送非请求的组播RA报文,同时定义了两个特定的路由器配置变量来管理路由器发送非请求组播RA报文的时间间隔,分别是最大重发通告时间间隔和最小重发通告时间间隔。前一变量要求路由器发送非请求的组播RA报文的时间间隔不能少于4秒,但不能超过1800秒,默认值是600秒,后一变量要求路由器发送非请求的组播RA报文的时间间隔必须不低于3秒,但不超过0.75倍的最大重发通告时间间隔。此外,所有具备通告能力的接口都有自己的一个计时器,无论何时发送了一个组播RA报文,计时器都被重置为一个随机值。在实施RA-Guard存在性检测过程中,检测成功的前提是通过发送RA报文来达到修改IPv6节点的邻居缓存信息。然而,如果在检测节点发送一个RA报文之后,刚好发生一次非请求的组播RA报文通告,则IPv6节点的缓存将被改回正常状态时的映射关系,此时IPv6节点将不再把数据流发往检测节点。这种情况的发生将影响到检测结果的准确性。经过大量实验的统计分析,结果表明Windows操作系统的路由器伪周期发送非请求组播RA报文的频率是每4~9分钟一次。因此,在实施本发明实施例中的技术方案时,可采用间隔3秒内发送相同RA报文伪造报文的策略,以确保检测的成功实施。
作为本发明实施例中的路由器通告防护机制存在性检测方法,进一步地,获取是否部署路由器通告防护机制中,若检测节点接收到其他节点发送的待转发数据流,则路由器通告检测报文至少没有被第一个所经过的二层交换设备所阻塞,与检测节点直连的二层交换设备未部署路由器通告防护机制,恢复待检测IPv6子网内节点路由器默认网关,以确保待检测IPv6子网通信连续性;若检测节点未收到任何待转发的数据流,则路由器通告检测报文在经过第一个二层交换设备时被阻塞,与检测节点直连的二层交换设备部署有路由器通告防护机制,检测结束。
作为本发明实施例中的路由器通告防护机制存在性检测方法,进一步地,恢复路由器默认网关中,检测节点发送源MAC地址与源IPv6地址为合法路由器网关对应地址的路由器通告报文,恢复待检测IPv6子网内节点的默认网关,同时检测节点将所接收到的待转发数据流的参数进行修改,并转发到待检测IPv6子网合法的路由器网关,以确保IPv6子网通信的连续性。
在实施RA-Guard存在性检测过程中,检测节点通过冒充路由器(网关)发送RA报文,以欺骗IPv6节点将数据流发往自己,并以此作为RA-Guard机制存在性的判断依据。然而,为保证待检测IPv6子网通信的连续性,检测节点在接收到待转发的数据流后必须将这些数据流转发至真正的路由器,这将会降低数据流的转发效率。为此,本发明实施例中,检测节点采用合法路由器的IPv6地址与MAC地址填充RA报文,并立即向待检测IPv6子网发送该伪造的RA报文,恢复待检测IPv6子网的默认路由器列表至正常状态,同时,将待转发数据包的相关参数进行修改,并转发这些数据包至真正的默认网关(路由器),使得转发数据的代价和检测对IPv6子网正常通信的影响可以降低到最小。
进一步地,基于上述的方法,本发明实施例还提供一种路由器通告防护机制存在性检测装置,包含:伪报文构造模块和检测分析模块,其中,
伪报文构造模块,检测节点获取待检测IPv6子网路由器网关配置参数,构造并发送路由器检测报文;
检测分析模块,捕获并分析待检测IPv6子网其他节点数据流转发情况,以获悉待检测IPv6子网中与检测节点相连的交换设备是否部署路由器通告防护机制。
为验证本发明技术方案有效性,下面通过在IPv6实验子网内的一台二层交换设备上配置RA-Guard机制,以测试本发明技术方案在检测IPv6子网部署RA-Guard机制情况的能力。
IPv6实验环境如图6所示,包括7台主机节点、3台交换机和1台路由器。IPv6实验环境中各主机节点的主要软硬件配置信息如表2所示。
表2 IPv6实验环境中各节点主要软硬件配置信息
本次实验将分别位于交换设备sw′1、sw2和sw3上的节点D2、D4和D6作为检测节点,在sw′1上部署RA-Guard机制。在sw′1上配置RA-Guard的情况如图7所示。
实验过程可设计为如下内容:
(1)采集IPv6子网配置参数信息。检测节点截获路由器所发送的合法RA报文,对此RA报文进行解析,提取并存储配置参数信息,用于构造RA检测报文。
(2)构造并发送RA检测报文。检测节点D2、D4和D6在RA检测报文中分别添加前缀2001:2012:4067:312::/64、2001:2012:4067:314::/64、2001:2012:4067:316::/64,设置“路由器优先级”字段的值为1,并使用各自的MAC地址与IPv6地址发送RA报文。
(3)验证各RA检测报文存活情况。查看链路上其他节点(以D5为例)的邻居缓存和路由列表,以验证该节点是否接收到RA检测报文,并依据RA报文的配置参数更新自己的邻居缓存。节点D5实施检测前后的地址配置情况和路由列表信息如图8和图9所示。
由图9可看出,节点D2所发送的RA报文并未能到达节点D5,再观察其他节点D1、D3和D7的地址配置和路由列表信息,结果同上。在检测节点D2等待一段时间之后,仍未接收到待转发的数据流时,可判断:RA检测报文在进入链路之前,就被与节点D2直接相连的交换设备sw1′所阻塞而无法到达子网内的其他节点。由此可得出结论:与节点D2直接相连的二层交换设备sw1′部署有RA-Guard机制。检测节点D4和D6在截获到待转发的IPv6数据流后,可得出结论:与其直接相连的二层交换设备未部署RA-Guard机制。
从检测的准确性、检测节点自身的资源开销和检测对待检测IPv6子网通信的影响三个方面对实验结果进行分析。
(1)检测的准确性
通过查看被观察节点的缓存信息,验证了路由器通告防护机制存在性检测方法的检测结果与事实相符,表明该方法能准确检测RA-Guard机制的存在性。
(2)检测节点自身的资源开销
检测的资源开销主要集中于将截获到的待转发数据流重定向到真正的默认网关路由器R。各检测节点均需解析出待转发数据包的报头,用真正默认网关的相应地址填充数据包的目的MAC地址和目的IPv6地址,在重新计算校验和后将其发送出去。以节点D4为观察对象,采用基于RA报文伪造方法实施检测时,占用CPU资源的情况如图10所示。图10中所示的时间段A是发送RA检测报文过程,时间段B表示节点D4截获到待转发的数据流后执行报文重定向操作过程。在时间段A中,进程所占用的CPU资源平均为25%,而在时间段B中,进程所占用的CPU资源接近50%。在执行数据流重定向的同时,检测节点就再次发送RA报文,将IPv6节点的邻居缓存更新至正常状态。整个重定向过程持续了约13秒,而在这之后就再也不会截获到任何待转发的数据流,进程所占用的资源恢复至正常水平。
(3)检测对待检测IPv6子网通信的影响
首先,相比于毫秒级的网络传输时延,微秒级的主机处理时延可忽略不计。因此,检测不会对节点通信造成影响。
其次,由于在实施检测过程中,检测节点仅只是重定向数据流,而IPv6子网流量的总量保持不变,因此,检测并不对待检测IPv6子网的流量产生影响。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的方法,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
基于上述的方法,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的方法。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种路由器通告防护机制存在性检测方法,其特征在于,包含如下内容:
检测节点获取待检测IPv6子网路由器网关配置参数,构造并发送路由器检测报文;
捕获并分析待检测IPv6子网其他节点数据流转发情况,以获悉待检测IPv6子网中与检测节点相连的交换设备是否部署路由器通告防护机制。
2.根据权利要求1所述的路由器通告防护机制存在性检测方法,其特征在于,获取配置参数中,首先,检测节点主动向待检测IPv6子网链路本地范围所有路由器组播地址发送路由器请求RS报文并即时获取信息;然后,接收路由器所回应的路由器通告RA报文,提取配置参数并构造待检测IPv6子网邻居发现机制的配置参数信息。
3.根据权利要求2所述的路由器通告防护机制存在性检测方法,其特征在于,提取的配置参数至少包含MAC地址-IPv6地址绑定、优先级、生存期、子网链路前缀列表和最大传输单元值。
4.根据权利要求2所述的路由器通告防护机制存在性检测方法,其特征在于,构造并发送路由器检测报文中,首先,检测节点使用自身MAC地址和IPv6地址来填充路由器通告报文的源MAC地址与源IPv6地址字段内容;然后,设置路由器通告报文参数,检测节点向待检测IPv6子网链路本地范围所有节点组播地址中的所有节点发送路由器通告检测报文,并通过与自己直连的二层交换设备的接口将检测报文发送至待检测IPv6子网链路,以实现更新待检测IPv6子网内节点默认路由器列表,且选择检测节点作为新的默认网关出口。
5.根据权利要求4所述的路由器通告防护机制存在性检测方法,其特征在于,设置路由器通告报文参数中,包含:将路由器优先级设置为1,同时携带源链路层地址选项、一个或多个前缀信息选项和最大传输单元MTU选项。
6.根据权利要求5所述的路由器通告防护机制存在性检测方法,其特征在于,设置的路由器通告报文参数,还包含:路由信息选项。
7.根据权利要求1~6任一项所述的路由器通告防护机制存在性检测方法,其特征在于,设置所构造的路由器检测报文在伪周期内发送相同内容报文的时间间隔。
8.根据权利要求1所述的路由器通告防护机制存在性检测方法,其特征在于,获取是否部署路由器通告防护机制中,若检测节点接收到其他节点发送的待转发数据流,表明路由器通告检测报文至少没有被第一个所经过的二层交换设备所阻塞,与检测节点直连的二层交换设备未部署路由器通告防护机制,则恢复待检测IPv6子网内节点路由器默认网关,以确保待检测IPv6子网通信连续性;若检测节点未收到任何待转发的数据流,表明路由器通告检测报文在经过第一个二层交换设备时被阻塞,与检测节点直连的二层交换设备部署有路由器通告防护机制,则检测结束。
9.根据权利要求8所述的路由器通告防护机制存在性检测方法,其特征在于,恢复路由器默认网关中,检测节点发送源MAC地址与源IPv6地址为合法路由器网关对应地址的路由器通告报文,恢复待检测IPv6子网内节点的默认网关,同时检测节点将所接收到的待转发数据流的参数进行修改,并转发到待检测IPv6子网合法的路由器网关,以确保IPv6子网通信的连续性。
10.一种路由器通告防护机制存在性检测装置,其特征在于,包含:伪报文构造模块和检测分析模块,其中,
伪报文构造模块,检测节点获取待检测IPv6子网路由器网关配置参数,构造并发送路由器检测报文;
检测分析模块,捕获并分析待检测IPv6子网其他节点数据流转发情况,以获悉待检测IPv6子网中与检测节点相连的交换设备是否部署路由器通告防护机制。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010236756.1A CN111431913B (zh) | 2020-03-30 | 2020-03-30 | 路由器通告防护机制存在性检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010236756.1A CN111431913B (zh) | 2020-03-30 | 2020-03-30 | 路由器通告防护机制存在性检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111431913A true CN111431913A (zh) | 2020-07-17 |
CN111431913B CN111431913B (zh) | 2022-06-21 |
Family
ID=71549806
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010236756.1A Active CN111431913B (zh) | 2020-03-30 | 2020-03-30 | 路由器通告防护机制存在性检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111431913B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1357725A2 (en) * | 2002-04-27 | 2003-10-29 | Samsung Electronics Co., Ltd. | An internet protocol based communication system and method for setting host address and selecting source address therein |
CN101552783A (zh) * | 2009-05-20 | 2009-10-07 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和装置 |
CN104426839A (zh) * | 2013-08-20 | 2015-03-18 | 中兴通讯股份有限公司 | 路由器通告攻击防范方法、装置及设备 |
US20170208035A1 (en) * | 2016-01-14 | 2017-07-20 | Dell Software Inc. | USER BASED STATELESS IPv6 RA-GUARD |
-
2020
- 2020-03-30 CN CN202010236756.1A patent/CN111431913B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1357725A2 (en) * | 2002-04-27 | 2003-10-29 | Samsung Electronics Co., Ltd. | An internet protocol based communication system and method for setting host address and selecting source address therein |
CN101552783A (zh) * | 2009-05-20 | 2009-10-07 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和装置 |
CN104426839A (zh) * | 2013-08-20 | 2015-03-18 | 中兴通讯股份有限公司 | 路由器通告攻击防范方法、装置及设备 |
US20170208035A1 (en) * | 2016-01-14 | 2017-07-20 | Dell Software Inc. | USER BASED STATELESS IPv6 RA-GUARD |
Non-Patent Citations (2)
Title |
---|
张建宗等: "IPv6路由通告攻击检测", 《网络安全技术与应用》 * |
贺龙涛等: "关于在交换局域网进行主动捕包的研究", 《高技术通讯》 * |
Also Published As
Publication number | Publication date |
---|---|
CN111431913B (zh) | 2022-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7167922B2 (en) | Method and apparatus for providing automatic ingress filtering | |
Ellis et al. | A behavioral approach to worm detection | |
Douligeris et al. | DDoS attacks and defense mechanisms: classification and state-of-the-art | |
Abliz | Internet denial of service attacks and defense mechanisms | |
US20060256729A1 (en) | Method and apparatus for identifying and disabling worms in communication networks | |
JP2006352669A (ja) | 攻撃検知・防御システム | |
CN105812318B (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
Nehra et al. | FICUR: Employing SDN programmability to secure ARP | |
Yao et al. | VASE: Filtering IP spoofing traffic with agility | |
Chen et al. | Preventing DRDoS attacks in 5G networks: a new source IP address validation approach | |
Kumarasamy et al. | Distributed denial of service (DDoS) attacks detection mechanism | |
JP2018073397A (ja) | 通信装置 | |
Belenguer et al. | A low-cost embedded IDS to monitor and prevent Man-in-the-Middle attacks on wired LAN environments | |
Nelle et al. | Securing IPv6 neighbor discovery and SLAAC in access networks through SDN | |
CN106357661A (zh) | 一种基于交换机轮换的分布式拒绝服务攻击防御方法 | |
CN111431913B (zh) | 路由器通告防护机制存在性检测方法及装置 | |
CN114584352B (zh) | 多网络互联的网络违规外联检测方法、装置及系统 | |
Zhong et al. | Research on DDoS Attacks in IPv6 | |
Carp et al. | Practical analysis of IPv6 security auditing methods | |
CN109547442B (zh) | 一种gtp协议防护方法及装置 | |
Nigam et al. | Man-in-the-middle-attack and proposed algorithm for detection | |
Shue et al. | Packet forwarding with source verification | |
EP3270569B1 (en) | Network protection entity and method for protecting a communication network against malformed data packets | |
Mirkovic et al. | A practical IP spoofing defense through route-based filtering |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |