CN111464517B - 一种ns反向查询防止地址欺骗攻击的方法及系统 - Google Patents
一种ns反向查询防止地址欺骗攻击的方法及系统 Download PDFInfo
- Publication number
- CN111464517B CN111464517B CN202010209906.XA CN202010209906A CN111464517B CN 111464517 B CN111464517 B CN 111464517B CN 202010209906 A CN202010209906 A CN 202010209906A CN 111464517 B CN111464517 B CN 111464517B
- Authority
- CN
- China
- Prior art keywords
- request message
- message
- table entry
- neighbor table
- reverse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开一种NS反向查询防止地址欺骗攻击的方法及系统,属于防止ND地址欺骗技术领域,解决了现有技术不适用于网络复杂且主机个数庞大的问题。一种NS反向查询防止地址欺骗攻击的方法,包括以下步骤:获取PC发送的NS请求报文,生成邻居表项;获取NS请求报文入接口,封装NS请求报文,将封装后的NS请求报文作为NS反查请求报文发送至PC,同时在所述邻居表项中记录已发送的NS反查请求报文的标记;对相应的邻居表项进行老化处理,根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项IP地址对应的业务报文。在不受网络环境和主机个数的限制的情况下,有效地防止了网络环境中的ND地址欺骗攻击。
Description
技术领域
本发明涉及防止ND地址欺骗技术领域,尤其是涉及一种NS反向查询防止地址欺骗攻击的方法及系统。
背景技术
ND协议是IPv6协议中的一个关键协议,但是由于ND协议并未提供认证机制,导致网络中的节点不可信,可针对ND协议发起一系列攻击,其中最常见的是地址欺骗攻击,攻击者利用NS/NA/报文来修改受害主机的MAC地址或者修改网关的MAC地址,致使受害主机与网络无法正常通信,防护ND地址欺骗有多种手段,其中包括:IP-MAC绑定、ND学习控制、ND主动保护等技术手段。
所述IP-MAC绑定,是将IPv6地址和MAC地址进行绑定,设备会对转发报文和NS报文进行检查;所述ND学习控制,是在接口上面配置ND学习控制,该接口上只允许IP-MAC静态绑定主机上网,ND学习控制主要包括两个部分的处理,一是接口上只学习静态绑定的IP-MAC(ND表项会更新),二是接口上如果收到的报文中IP和MAC地址不满足IP-MAC表项,则丢弃该报文;ND主动保护,是以设备代替不同主机发送免费NA报文,以更新局域网内其他主机的邻居表项,保护被代理主机免受ND地址欺骗。
IP-MAC绑定技术给网络管理员增加了巨大的维护开销,管理员必须手动录入IP-MAC绑定表,这种方式适用于网络环境比较稳定,而且主机个数不太多的情况,一旦网络复杂且主机个数庞大,这种方式就不太合适;ND学习控制一般都是配合IP-MAC绑定技术来配合工作,这种方式是在接口上关闭了ND邻居表项的学习功能,这种方式也可以有效的解决ND欺骗攻击,但是具备与IP-MAC绑定相同的缺陷;ND主动保护是网关设备周期发送免费的NA报文来更新网络中主机的ND表项,这种技术方案存在两种问题,周期发送的间隔是有可能遭受地址欺骗攻击,同时这种方式有较高的维护成本,需要管理员来不断维护主动保护列表,对于网络环境比较复杂的场景不太合适。
发明内容
本发明的目的在于至少克服上述一种技术不足,提出一种一种NS反向查询防止地址欺骗攻击的方法及系统。
一方面,本发明提供了一种NS反向查询防止地址欺骗攻击的方法,包括以下步骤:
获取PC发送的NS请求报文,记录所述NS请求报文的源IP和源MAC地址,根据所述源IP和源MAC地址生成邻居表项;
获取NS请求报文入接口,根据源IP和NS请求报文入接口,封装NS请求报文,将封装后的NS请求报文作为NS反查请求报文发送至PC,同时在所述邻居表项中记录已发送的NS反查请求报文的标记;
在发送NS反查请求报文时,在对应邻居表项中记录NS反查请求报文时间戳,定时检测邻居表项中NS反查请求报文时间戳,若在预设时间内,对应邻居表项仍未收到NS反查请求报文,将该邻居表项进行老化处理;
根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文。
进一步地,所述根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文,具体包括,
若收到NS反查请求报文对应的NA响应报文,则以所述对应源IP的邻居表项为合法邻居表项,转发发往合法邻居表项对应IP地址的业务报文;若未收到NS反查请求报文对应的NA响应报文,则不转发业务报文。
进一步地,所述NS反向查询防止地址欺骗攻击的方法还包括,在生成邻居表项时记录NS请求个数,当未收到NS反查请求报文对应的NA响应报文,且再次收到了PC发送的NS请求报文时,将邻居表项中的NS请求个数自增加1,在发送NA响应报文时,发送与邻居表项中记录的NS请求个数相同的NA响应报文。
另一方面,本发明还提供了一种NS反向查询防止地址欺骗攻击的系统,包括邻居表项生成模块、NS反查模块、报文转发模块、时间戳记录模块和老化处理模块;
所述邻居表项生成模块,用于获取PC发送的NS请求报文,记录所述NS请求报文的源IP和源MAC地址,根据所述源IP和源MAC地址生成邻居表项;
所述NS反查模块,用于获取NS请求报文入接口,根据源IP和NS请求报文入接口,封装NS请求报文,将封装后的NS请求报文作为NS反查请求报文发送至PC,同时在所述邻居表项中记录已发送的NS反查请求报文的标记;
所述时间戳记录模块,用于在发送NS反查请求报文时,在对应邻居表项中记录NS反查请求报文时间戳;
所述老化处理模块,用于定时检测邻居表项中NS反查请求报文时间戳,若在预设时间内,对应邻居表项仍未收到NS反查请求报文,将该邻居表项进行老化处理;
所述报文转发模块,用于根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文。
进一步地,所述报文转发模块,根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文,具体包括,若收到NS反查请求报文对应的NA响应报文,则以所述对应源IP的邻居表项为合法邻居表项,转发发往合法邻居表项对应IP地址的业务报文;若未收到NS反查请求报文对应的NA响应报文,则不转发业务报文。
进一步地,所述NS反向查询防止地址欺骗攻击的系统还包括NS请求个数记录模块和NA响应报文发送模块;
所述NS请求个数记录模块,用于在生成邻居表项时记录NS请求个数,当未收到NS反查请求报文对应的NA响应报文,且再次收到了PC发送的NS请求报文时,将邻居表项中的NS请求个数自增加1;
所述NA响应报文发送模块,用于在发送NA响应报文时,发送与邻居表项中记录的NS请求个数相同的NA响应报文。
与现有技术相比,本发明的有益效果包括:通过获取PC发送的NS请求报文,记录所述NS请求报文的源IP和源MAC地址,根据所述源IP和源MAC地址生成邻居表项;获取NS请求报文入接口,根据源IP和NS请求报文入接口,封装NS请求报文,将封装后的NS请求报文作为NS反查请求报文发送至PC,同时在所述邻居表项中记录已发送的NS反查请求报文的标记;在发送NS反查请求报文时,在对应邻居表项中记录NS反查请求报文时间戳,定时检测邻居表项中NS反查请求报文时间戳,若在预设时间内,对应邻居表项仍未收到NS反查请求报文,将该邻居表项进行老化处理;根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发NS请求报文;在不受网络环境和主机个数的限制的情况下,有效地防止了网络环境中的ND地址欺骗攻击。
附图说明
图1是本发明实施例1所述的NS反向查询防止地址欺骗攻击的方法;
图2是本发明实施例1所述的所述NS反向查询防止地址欺骗攻击的方法的应用场景示意图;
图3是本发明实施例1所述的正确的ND表项的示意图;
图4是本发明实施例1所述的错误的ND表项的示意图;
图5是本发明实施例1所述的发送NS反查报文的示意图;
图6是本发明实施例1所述的修改后的ND表项的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例1
本发明实施例提供了一种NS反向查询防止地址欺骗攻击的方法,其流程示意图,如图1所示,所述方法包括以下步骤:
获取PC发送的NS请求报文,记录所述NS请求报文的源IP和源MAC地址,根据所述源IP和源MAC地址生成邻居表项;
获取NS请求报文入接口,根据源IP和NS请求报文入接口,封装NS请求报文,将封装后的NS请求报文作为NS反查请求报文发送至PC,同时在所述邻居表项中记录已发送的NS反查请求报文的标记;
在发送NS反查请求报文时,在对应邻居表项中记录NS反查请求报文时间戳,定时检测邻居表项中NS反查请求报文时间戳,若在预设时间(例如5秒钟)内,对应邻居表项仍未收到NS反查请求报文,将该邻居表项进行老化处理;
根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文。
需要说明的是,ND地址欺骗攻击与IPv4中ARP攻击的方式类似,攻击者可以使用NS/NA报文来修改受害主机或网关上受害主机的MAC地址,造成受害主机无法与网络进行正常的通信;报文的转发是路由器进行的;邻居表项中对应的IP地址与NS请求报文的原地址对应。
ND攻击防护器是无线路由设备中的一部分,所述NS反向查询防止地址欺骗攻击的方法的应用场景示意图,如图2所示;网络中设备产生的NS/NA报文先经过ND防护器进行反向查询处理,路由器进行转发报文时会查找ND邻居表项,如果该邻居表项未收到反向查询的响应报文,则直接丢弃该转发报文,避免报文被送到攻击者处;图2只是一个简单的场景,在PC1和路由器之间还可以有交换机设备;
利用NS反向查询来识别ND地址欺骗,ND防护器对收到NS和NA报文的进行处理,ND防护器记录NS报文中的源IP,并向该地址发送反向查询报文,当收到NS反查报文的响应报文的时候,更新该IP的邻居表项状态为已收到反向查询的NA响应报文;所述ND防护器可为防火墙的内置模块;
优选的,所述根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文,具体包括,
若收到NS反查请求报文对应的NA响应报文,则以所述对应源IP的邻居表项为合法邻居表项,转发发往合法邻居表项对应IP地址的业务报文;若未收到NS反查请求报文对应的NA响应报文,则不转发业务报文。
在对应源IP的邻居表项中置位已经收到NA响应报文的NS请求报文标记,即将对应源IP的邻居表项的状态更新为中已经收到NA响应报文。
优选的,所述NS反向查询防止地址欺骗攻击的方法还包括,在生成邻居表项时记录NS请求个数,当未收到NS反查请求报文对应的NA响应报文,且再次收到了PC发送的NS请求报文时,将邻居表项中的NS请求个数自增加1,在发送NA响应报文时,发送与邻居表项中记录的NS请求个数相同的NA响应报文。
一个具体实施例中,攻击者会构造报文(受害主机的IP和本机MAC)送入设备,这样ND(邻居)表项会将受害者的IP对应的MAC地址修改为攻击者的MAC;利用本发明实施所述NS反向查询防止地址欺骗攻击的方法,配置开启NS报文反向查询,构造报文,使用PC-1的IP和攻击者PC-2的MAC,将报文送入设备,试图更新设备的ND表项,设备会反向查询IP地址,反查期间会丢掉使用该邻居表项的报文,收到的正确的NA结果会更新ND表项,后续报文仍会正确地送给PC-1,不会送给攻击者PC-2;正确的ND表项的示意图,如图3所示;若未开启NS报文反查,错误的ND表项的示意图,如图4所示;开启ND反查之后,发送NS反查报文的示意图,如图5所示,在收到反查报文NA相应之前,送往该IP的报文会被丢弃,很快一段时间后ND表项被修改回来,修改后的ND表项的示意图,如图6所示。
实施例2
本发明实施例提供了一种NS反向查询防止地址欺骗攻击的方法,包括以下步骤:
收到PC发来的NS请求报文,ND防护器记录下NS报文的源IP和源MAC地址生成邻居表项,同时记录报文入接口和NS请求个数;
根据源IP和入接口封装NS请求报文,将封装后的请求报文发送至PC,同时在该邻居表项中记录下已发送NS反查请求标记,同时记录NS反查时间戳;
在未收到NS反查的响应报文的时候,如果再次收到了PC的NS请求报文,则邻居表项中的NS请求个数自增加1;
ND防护器收到反查NS报文的NA响应报文,则将该IP源的ND表项,置位标记为已收到反查报文响应,该邻居表项为合法邻居表项,同时根据邻居表项中记录的NS请求个数,发送同样数量的NA报文。
所述NS反向查询防止地址欺骗攻击的方法还包括报文转发,具体的,路由器转发报文的时,会查询邻居表项,如果该邻居表项的反查状态为未收到反查响应报文,则丢弃待转发的报文,反之则正常转发该报文;所述所述NS反向查询防止地址欺骗攻击的方法还包括报文转发老化流程,具体的,定时检测设备中的邻居表项中的反查时间戳,如果预设时间(5秒钟)内该邻居表项仍然未收到反查响应报文,则将该邻居表项老化处理,从而完成对邻居表项的清理操作。
实施例3
本发明实施例提供了一种NS反向查询防止地址欺骗攻击的系统,包括邻居表项生成模块、NS反查模块、报文转发模块、时间戳记录模块和老化处理模块;
所述邻居表项生成模块,用于获取PC发送的NS请求报文,记录所述NS请求报文的源IP和源MAC地址,根据所述源IP和源MAC地址生成邻居表项;
所述NS反查模块,用于获取NS请求报文入接口,根据源IP和NS请求报文入接口,封装NS请求报文,将封装后的NS请求报文作为NS反查请求报文发送至PC,同时在所述邻居表项中记录已发送的NS反查请求报文的标记;
所述时间戳记录模块,用于在发送NS反查请求报文时,在对应邻居表项中记录NS反查请求报文时间戳;
所述老化处理模块,用于定时检测邻居表项中NS反查请求报文时间戳,若在预设时间内,对应邻居表项仍未收到NS反查请求报文,将该邻居表项进行老化处理;
所述报文转发模块,用于根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文。
优选的,所述报文转发模块,根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文,具体包括,若收到NS反查请求报文对应的NA响应报文,则以所述对应源IP的邻居表项为合法邻居表项,转发发往合法邻居表项对应IP地址的业务报文;若未收到NS反查请求报文对应的NA响应报文,则不转发业务报文。
优选的,所述NS反向查询防止地址欺骗攻击的系统还包括NS请求个数记录模块和NA响应报文发送模块;
所述NS请求个数记录模块,用于在生成邻居表项时记录NS请求个数,当未收到NS反查请求报文对应的NA响应报文,且再次收到了PC发送的NS请求报文时,将邻居表项中的NS请求个数自增加1;
所述NA响应报文发送模块,用于在发送NA响应报文时,发送与邻居表项中记录的NS请求个数相同的NA响应报文。
需要说明的是,上述实施例1-3未重复描述之处可互相借鉴。
本发明公开了一种NS反向查询防止地址欺骗攻击的方法及系统,通过获取PC发送的NS请求报文,记录所述NS请求报文的源IP和源MAC地址,根据所述源IP和源MAC地址生成邻居表项;获取NS请求报文入接口,根据源IP和NS请求报文入接口,封装NS请求报文,将封装后的NS请求报文作为NS反查请求报文发送至PC,同时在所述邻居表项中记录已发送的NS反查请求报文的标记;根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发NS请求报文;在不受网络环境和主机个数的限制的情况下,有效地防止了网络环境中的ND地址欺骗攻击;
本发明技术方案不仅解决了IP-MAC绑定和ND学习控制技术方案存在的大型网络中不灵活和维护困难的问题,还解决了ND主动保护技术存在的大型网络中维护困难以及周期发送间隔中地址欺骗的问题,降低了传统手段在大型网络中的维护开销;所述NS反向查询防止地址欺骗攻击的系统部署灵活。
以上所述本发明的具体实施方式,并不构成对本发明保护范围的限定。任何根据本发明的技术构思所做出的各种其他相应的改变与变形,均应包含在本发明权利要求的保护范围内。
Claims (4)
1.一种NS反向查询防止地址欺骗攻击的方法,其特征在于,包括以下步骤:
获取PC发送的NS请求报文,记录所述NS请求报文的源IP和源MAC地址,根据所述源IP和源MAC地址生成邻居表项;
获取NS请求报文入接口,根据源IP和NS请求报文入接口,封装NS请求报文,将封装后的NS请求报文作为NS反查请求报文发送至PC,同时在所述邻居表项中记录已发送的NS反查请求报文的标记;
在发送NS反查请求报文时,在对应邻居表项中记录NS反查请求报文时间戳,定时检测邻居表项中NS反查请求报文时间戳,若在预设时间内,对应邻居表项仍未收到NS反查请求报文,将该邻居表项进行老化处理;
根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文;
路由器转发报文时,会查询邻居表项,如果该邻居表项的反查状态为未收到反查响应报文,则丢弃待转发的报文,反之则正常转发该报文;
在生成邻居表项时记录NS请求个数,当未收到NS反查请求报文对应的NA响应报文,且再次收到了PC发送的NS请求报文时,将邻居表项中的NS请求个数自增加1,在发送NA响应报文时,发送与邻居表项中记录的NS请求个数相同的NA响应报文。
2.根据权利要求1所述的NS反向查询防止地址欺骗攻击的方法,其特征在于,所述根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文,具体包括,
若收到NS反查请求报文对应的NA响应报文,则以所述对应源IP的邻居表项为合法邻居表项,转发发往合法邻居表项对应IP地址的业务报文;若未收到NS反查请求报文对应的NA响应报文,则不转发业务报文。
3.一种NS反向查询防止地址欺骗攻击的系统,其特征在于,包括邻居表项生成模块、NS反查模块、报文转发模块、时间戳记录模块、老化处理模块、NS请求个数记录模块和NA响应报文发送模块;
所述邻居表项生成模块,用于获取PC发送的NS请求报文,记录所述NS请求报文的源IP和源MAC地址,根据所述源IP和源MAC地址生成邻居表项;
所述NS反查模块,用于获取NS请求报文入接口,根据源IP和NS请求报文入接口,封装NS请求报文,将封装后的NS请求报文作为NS反查请求报文发送至PC,同时在所述邻居表项中记录已发送的NS反查请求报文的标记;
所述时间戳记录模块,用于在发送NS反查请求报文时,在对应邻居表项中记录NS反查请求报文时间戳;
所述老化处理模块,用于定时检测邻居表项中NS反查请求报文时间戳,若在预设时间内,对应邻居表项仍未收到NS反查请求报文,将该邻居表项进行老化处理;
所述报文转发模块,用于根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文,路由器转发报文时,会查询邻居表项,如果该邻居表项的反查状态为未收到反查响应报文,则丢弃待转发的报文,反之则正常转发该报文;
所述NS请求个数记录模块,用于在生成邻居表项时记录NS请求个数,当未收到NS反查请求报文对应的NA响应报文,且再次收到了PC发送的NS请求报文时,将邻居表项中的NS请求个数自增加1;
所述NA响应报文发送模块,用于在发送NA响应报文时,发送与邻居表项中记录的NS请求个数相同的NA响应报文。
4.根据权利要求3所述的NS反向查询防止地址欺骗攻击的系统,其特征在于,所述报文转发模块,根据是否收到NS反查请求报文对应的NA响应报文,确定是否转发发往邻居表项对应IP地址的业务报文,具体包括,若收到NS反查请求报文对应的NA响应报文,则以所述对应源IP的邻居表项为合法邻居表项,转发发往合法邻居表项对应IP地址的业务报文;若未收到NS反查请求报文对应的NA响应报文,则不转发业务报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010209906.XA CN111464517B (zh) | 2020-03-23 | 2020-03-23 | 一种ns反向查询防止地址欺骗攻击的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010209906.XA CN111464517B (zh) | 2020-03-23 | 2020-03-23 | 一种ns反向查询防止地址欺骗攻击的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111464517A CN111464517A (zh) | 2020-07-28 |
CN111464517B true CN111464517B (zh) | 2021-02-26 |
Family
ID=71680163
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010209906.XA Active CN111464517B (zh) | 2020-03-23 | 2020-03-23 | 一种ns反向查询防止地址欺骗攻击的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111464517B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610186A (zh) * | 2009-06-19 | 2009-12-23 | 中兴通讯股份有限公司 | 一种处理报文的方法 |
CN102082801A (zh) * | 2011-02-16 | 2011-06-01 | 中兴通讯股份有限公司 | 一种防止IPv6地址重复检测攻击的方法及系统 |
CN102546661B (zh) * | 2012-02-21 | 2015-08-26 | 神州数码网络(北京)有限公司 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
CN106878326A (zh) * | 2017-03-21 | 2017-06-20 | 中国人民解放军信息工程大学 | 基于反向检测的IPv6邻居缓存保护方法及其装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9015852B2 (en) * | 2012-04-30 | 2015-04-21 | Cisco Technology, Inc. | Protecting address resolution protocol neighbor discovery cache against denial of service attacks |
-
2020
- 2020-03-23 CN CN202010209906.XA patent/CN111464517B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610186A (zh) * | 2009-06-19 | 2009-12-23 | 中兴通讯股份有限公司 | 一种处理报文的方法 |
CN102082801A (zh) * | 2011-02-16 | 2011-06-01 | 中兴通讯股份有限公司 | 一种防止IPv6地址重复检测攻击的方法及系统 |
CN102546661B (zh) * | 2012-02-21 | 2015-08-26 | 神州数码网络(北京)有限公司 | 一种防止IPv6网关邻居欺骗攻击的方法及系统 |
CN106878326A (zh) * | 2017-03-21 | 2017-06-20 | 中国人民解放军信息工程大学 | 基于反向检测的IPv6邻居缓存保护方法及其装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111464517A (zh) | 2020-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3923551A1 (en) | Method and system for entrapping network threat, and forwarding device | |
Whalen | An introduction to arp spoofing | |
US9148374B2 (en) | ARP packet processing method, communication system and device | |
EP2469787B1 (en) | Method and device for preventing network attacks | |
CN101170515B (zh) | 一种处理报文的方法、系统和网关设备 | |
CN102025734B (zh) | 一种防止mac地址欺骗的方法、系统及交换机 | |
CN105991655B (zh) | 用于缓解基于邻居发现的拒绝服务攻击的方法和装置 | |
CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
Ullrich et al. | {IPv6} security: Attacks and countermeasures in a nutshell | |
WO2010072096A1 (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
US7773540B1 (en) | Methods, system and apparatus preventing network and device identification | |
WO2012109914A1 (zh) | 一种防止IPv6地址重复检测攻击的方法及系统 | |
CN101753637A (zh) | 防止网络攻击的方法及网络地址转换设备 | |
US7826447B1 (en) | Preventing denial-of-service attacks employing broadcast packets | |
CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
US20130124711A1 (en) | Communications control device, communications system, and program | |
CN111464517B (zh) | 一种ns反向查询防止地址欺骗攻击的方法及系统 | |
CN109962918B (zh) | 一种防御攻击报文的方法、系统及设备 | |
Syed et al. | Analysis of Dynamic Host Control Protocol Implementation to Assess DoS Attacks | |
Abdulla | Survey of security issues in IPv4 to IPv6 tunnel transition mechanisms | |
Song et al. | Using FDAD to prevent DAD attack in secure neighbor discovery protocol | |
CN107786496B (zh) | 针对局域网arp表项欺骗攻击的预警方法及装置 | |
Buenaventura et al. | IPv6 stateless address autoconfiguration (SLAAC) attacks and detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |