CN112492062B - 基于分片指纹的IPv6别名前缀检测方法 - Google Patents

基于分片指纹的IPv6别名前缀检测方法 Download PDF

Info

Publication number
CN112492062B
CN112492062B CN202011322303.7A CN202011322303A CN112492062B CN 112492062 B CN112492062 B CN 112492062B CN 202011322303 A CN202011322303 A CN 202011322303A CN 112492062 B CN112492062 B CN 112492062B
Authority
CN
China
Prior art keywords
prefix
alias
pseudo
ipv6
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011322303.7A
Other languages
English (en)
Other versions
CN112492062A (zh
Inventor
杨家海
宋光磊
何林
王之梁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Publication of CN112492062A publication Critical patent/CN112492062A/zh
Application granted granted Critical
Publication of CN112492062B publication Critical patent/CN112492062B/zh
Priority to PCT/CN2021/131234 priority Critical patent/WO2022105799A1/zh
Priority to US17/587,929 priority patent/US11757829B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于分片指纹的IPv6别名前缀检测方法,包括如下步骤:在目标前缀空间生成多个伪随机地址;判断目标前缀为活跃前缀;判断多个伪随机地址和活跃前缀被配置在同一台主机上,从而识别出活跃前缀为别名前缀。该检测方法可以有效发现网络主机,降低网络探测成本,为网络测量、网络测绘和安全研究提供更有效的数据支持。

Description

基于分片指纹的IPv6别名前缀检测方法
技术领域
本发明涉及IPv6别名前缀检测技术领域,尤其是涉及一种基于分片指纹的IPv6别名前缀检测方法。
背景技术
别名检测基于下面的经验:在非别名前缀下,随机生成的IPv6地址全部活跃的事件,是小概率事件。通常的做法是:首先选取特定长度的地址前缀,然后在前缀下生成一定数量的IPv6地址进行探测,根据探测地址的活跃数量进行别名判断。Murdock等在96前缀的空间中随机生成3个地址,对每个地址发送三个探测包,如果收到三个随机地址的答复,前缀被确定为别名前缀。这种方法仅仅检测长度为96的前缀,空间局限性较大;同时随机生成的地址可能分布在同一子网,导致整个别名前缀出现误判(子网前缀是别名前缀,但是该前缀不是别名前缀);Gasser等提出多层次别名检测算法,将前缀长度扩展到64到124范围,在前缀空间伪随机生成IPv6地址,避免子网别名前缀导致误判,同时基于指纹对进行别名有效性进行验证。但是,提出的指纹技术是一种模糊且具有挑战性的技术,不能有效表征别名前缀特性,仅仅是对检测结果的侧面验证。同时,随着IPv6地址部署的推进,前缀空间越小,整个前缀空间(比如/124)的每个地址都被分配到不同主机,导致基于概率的别名前缀检测失效;Liu等提出嵌入在动态扫描中的大规模别名检测技术,以避免对检测到的别名区域进行不必要的扫描并提高发现效率,这种方法同样存在多层次别名检测算法的缺陷。基于概率的别名检测,准确的是探测前缀内的地址是否完全活跃,并不能证明该别名前缀被配置到同一台主机。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一。为此,本发明的一个目的在于提出一种基于分片指纹的IPv6别名前缀检测方法,可以有效发现网络主机,降低网络探测成本,为网络测量、网络测绘和安全研究提供更有效的数据支持。
根据本发明实施例的基于分片指纹的IPv6别名前缀检测方法,包括如下步骤:
在目标前缀空间生成多个伪随机地址;
探测点对多个所述伪随机地址分别发送大小为X比特的ICMPv6 echo request包,所述X为(1280,1500]中的一个值,当所述探测点全部收到ICMPv6 echo response数据包时,则判断所述目标前缀为活跃前缀;
当收到的全部所述ICMPv6 echo response数据包都未发生分片,所述探测点对多个所述伪随机地址中的一个所述伪随机地址发送MTU为Y比特的ICMP Too Big包,所述Y为[1280,X)中的一个值,修改目标主机到探测点的PMTU为Z,所述Z等于Y;然后,所述探测点再对多个所述伪随机地址分别发送大小为W比特的ICMPv6 echo request包,所述W等于所述X,当所述目标主机的每个伪随机地址回复的数据包都发生分片时,则判断多个所述伪随机地址和所述活跃前缀被配置在同一台主机上,从而识别出所述活跃前缀为别名前缀。
根据本发明实施例的基于分片指纹的IPv6别名前缀检测方法,具有如下优点:第一、有效发现网络主机。基于分片ID的别名前缀检测,解决了前缀空间较小时基于概率的别名前缀误判问题,有效区别出别名前缀和活跃前缀,有效地识别出别名前缀,解决主机和别名前缀的映射关系,为IPv6资源探测发现有效的主机资源提供技术支持。第二、降低网络探测成本。在IPv6测量中,从探测者角度,研究的对象是主机。如果主机被配置别名前缀。因为别名前缀存在导致在局部网络空间存在大量活跃地址,在网络资源探测时,别名前缀会在网络测量中产生对单个目的主机重复测量,从而产生大量不必要的流量,浪费网络资源。别名前缀检测技术去除别名地址,避免在别名前缀中进行海量发包。第三、为网络测量、网络测绘和安全研究提供更有效的数据支持。网络测量、网络测绘和安全研究的主题是网络设备。IPv6别名前缀的存在导致IPv6地址和主机设备不再是一一对应的关系,基于分片指纹的别名前缀检测解决了主机和地址的映射关系,为后续的研究提供更有效的IPv6数据支持。
根据本发明的一个实施例,所述在目标前缀空间生成多个所述伪随机地址的具体步骤是:将所述目标前缀空间划分成多个子网空间,在每个所述子网空间生成一个所述伪随机地址。
根据本发明进一步的实施例,多个所述子网空间均为2N-bit子网空间,其中,所述N为大于等于1的整数。
根据本发明的一个实施例,所述X为1300,所述Y为1280,所述Z为1280,所述W为1300。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例的基于分片指纹的IPv6别名前缀检测方法的检测时序图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
如图1所示,下面来描述本发明实施例的基于分片指纹的IPv6别名前缀检测方法。
如图1所示,根据本发明实施例的基于分片指纹的IPv6别名前缀检测方法,包括如下步骤:
步骤一:生成伪随机地址集。在目标前缀空间生成多个伪随机地址,多个伪随机地址均作为探测地址。例如如图1所示,在目标前缀空间可以生成16个伪随机地址,分别是IP1~IP6。
步骤二:活跃前缀判断。探测点对多个伪随机地址分别发送大小为X比特的ICMPv6echo request包,其中,X为(1280,1500]中的一个值,例如,如图1所示,探测点对多个伪随机地址分别发送大小为1300比特的ICMPv6 echo request包,当探测点全部收到ICMPv6 echo response数据包时,则判断目标前缀为活跃前缀。
步骤三:活跃前缀与目标主机一致性判断。在活跃前缀的判断阶段,当收到的全部ICMPv6 echo response数据包都未发生分片,探测点对多个伪随机地址中的一个伪随机地址发送MTU为Y比特的ICMP Too Big包,其中,Y为[1280,X)中的一个值,例如Y可以为1280,修改目标主机的PMTU为Z,其中Z等于Y,例如,Z为1280,然后,探测点再对多个伪随机地址分别发送大小为W比特的ICMPv6 echo request包,其中,W等于X,例如图1所示,探测点再对多个伪随机地址分别发送大小为1300比特的ICMPv6 echo request包,当目标主机的每个伪随机地址回复的数据包都发生分片时,则判断多个伪随机地址和活跃前缀被配置在同一台主机上,从而识别出活跃前缀为别名前缀。可以理解的是,当收到的ICMPv6 echo response数据包都未发生分片,探测点对多个伪随机地址中的一个伪随机地址例如IP1发送MTU为1280的ICMP Too Big包,诱导目标主机发生分片,相应的,短时间内多个伪随机地址中的其它伪随机地址例如IP2~IP16在收到数据包也会发生分片。修改目标主机的PMTU为1280(IPv6最小MTU值为1280字节),改变目标主机的特性。探测点对多个伪随机地址再发送大小为1300比特的ICMPv6 echo request包,这些数据包到达目标主机没有分片,但是目标主机IPv6堆栈的高速缓存到探测点的PMTU为1280,如果该目标前缀被配置到同一台主机,探测点对每个伪随机地址发送的ping请求(即大小为1300比特的ICMPv6 echo request包)导致目标主机回复分片数据包。因此,通过对多个伪随机地址中的任意一个伪随机地址例如IP1发送诱骗包,修改主机缓存中的PMTU,修改的结果对IP2-IP16依然有效,那么IP1-IP16被分配在同一台主机上,该活跃前缀被配置到同一台主机上,从而识别出该活跃前缀为别名前缀。
需要说明的是,X为(1280,1500]中的一个值,Y为[1280,X)中的一个值,Z等于Y,W等于X,可以节约流量,避免浪费网络资源。
根据本发明实施例的基于分片指纹的IPv6别名前缀检测方法,具有如下优点:第一、有效发现网络主机。基于分片ID的别名前缀检测,解决了前缀空间较小时基于概率的别名前缀误判问题,有效区别出别名前缀和活跃前缀,有效地识别出别名前缀,解决主机和别名前缀的映射关系,为IPv6资源探测发现有效的主机资源提供技术支持。第二、降低网络探测成本。在IPv6测量中,从探测者角度,我们研究的对象是主机。如果主机被配置别名前缀。因为别名前缀存在导致在局部网络空间存在大量活跃地址,在网络资源探测时,别名前缀会在网络测量中产生对单个目的主机重复测量,从而产生大量不必要的流量,浪费网络资源。别名前缀检测技术去除别名地址,避免在别名前缀中进行海量发包。第三、为网络测量、网络测绘和安全研究提供更有效的数据支持。网络测量、网络测绘和安全研究的主题是网络设备。IPv6别名前缀的存在导致IPv6地址和主机设备不再是一一对应的关系,基于分片ID的别名前缀检测解决了主机和地址的映射关系,为后续的研究提供更有效的IPv6数据支持。
根据本发明的一个实施例,在目标前缀空间生成多个伪随机地址的具体步骤为:将目标前缀空间划分成多个子网空间,在每个子网空间生成一个伪随机地址,这样,对于给定前缀,可以有效地防止随机生成的探测地址即伪随机地址聚集在单个子空间,出现子网活跃前缀导致整个前缀被判定为活跃前缀的情况。
根据本发明进一步的实施例,多个子网空间均为2N-bit子网空间,其中,N为大于等于1的整数。可以理解的是,子网空间大小的划分与生成伪随机地址的数量相关,可以根据要求的伪随机地址数量不同对目标前缀空间划分不同大小的bit的子网空间。
根据本发明的一个实施例,X为1300,Y为1280,Z为1280,W为1300。由此,可以节约流量,避免浪费网络资源。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。

Claims (4)

1.一种基于分片指纹的IPv6别名前缀检测方法,其特征在于,包括如下步骤:
在目标前缀空间生成多个伪随机地址;
探测点对多个所述伪随机地址分别发送大小为X比特的ICMPv6 echo request包,所述X为(1280,1500]中的一个值,当所述探测点全部收到ICMPv6 echo response数据包时,则判断所述目标前缀为活跃前缀;
当收到的全部所述ICMPv6 echo response数据包都未发生分片,所述探测点对多个所述伪随机地址中的一个所述伪随机地址发送MTU为Y比特的ICMP Too Big包,所述Y为[1280,X)中的一个值,修改目标主机到探测点的PMTU为Z,所述Z等于Y;然后,所述探测点再对多个所述伪随机地址分别发送大小为W比特的ICMPv6 echo request包,所述W等于所述X,当所述目标主机的每个伪随机地址回复的数据包都发生分片时,则判断多个所述伪随机地址和所述活跃前缀被配置在同一台主机上,从而识别出所述活跃前缀为别名前缀。
2.根据权利要求1所述的基于分片指纹的IPv6别名前缀检测方法,其特征在于,所述在目标前缀空间生成多个所述伪随机地址的具体步骤是:将所述目标前缀空间划分成多个子网空间,在每个所述子网空间生成一个所述伪随机地址。
3.根据权利要求2所述的基于分片指纹的IPv6别名前缀检测方法,其特征在于,多个所述子网空间均为2N-bit子网空间,其中,所述N为大于等于1的整数。
4.根据权利要求1所述的基于分片指纹的IPv6别名前缀检测方法,其特征在于,所述X为1300,所述Y为1280,所述Z为1280,所述W为1300。
CN202011322303.7A 2020-11-20 2020-11-23 基于分片指纹的IPv6别名前缀检测方法 Active CN112492062B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
PCT/CN2021/131234 WO2022105799A1 (zh) 2020-11-20 2021-11-17 基于分片指纹的IPv6别名前缀检测方法和装置
US17/587,929 US11757829B2 (en) 2020-11-20 2022-01-28 Method and device for detecting IPv6 aliased prefix based on fragmented fingerprint

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2020113114881 2020-11-20
CN202011311488 2020-11-20

Publications (2)

Publication Number Publication Date
CN112492062A CN112492062A (zh) 2021-03-12
CN112492062B true CN112492062B (zh) 2021-09-07

Family

ID=74933663

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011322303.7A Active CN112492062B (zh) 2020-11-20 2020-11-23 基于分片指纹的IPv6别名前缀检测方法

Country Status (2)

Country Link
CN (1) CN112492062B (zh)
WO (1) WO2022105799A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11757829B2 (en) 2020-11-20 2023-09-12 Tsinghua University Method and device for detecting IPv6 aliased prefix based on fragmented fingerprint
CN112492062B (zh) * 2020-11-20 2021-09-07 清华大学 基于分片指纹的IPv6别名前缀检测方法
CN115378912B (zh) * 2022-07-21 2023-06-09 北京华顺信安科技有限公司 一种活跃IPv6地址的扫描方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102123182A (zh) * 2011-04-09 2011-07-13 山东师范大学 一种基于ipv6地址的主机身份标识与位置标识分离的方法
CN107370636A (zh) * 2016-05-12 2017-11-21 华为技术有限公司 链路状态确定方法和装置
CN109005252A (zh) * 2018-08-24 2018-12-14 赛尔网络有限公司 一种虚拟主机的IPv6地址生成方法、设备、系统及介质
CN111432043A (zh) * 2020-03-09 2020-07-17 清华大学 基于密度的动态IPv6地址探测方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8001269B1 (en) * 2002-06-18 2011-08-16 Cisco Technology, Inc. Network address translation with IP redundancy
FR2854297A1 (fr) * 2003-04-25 2004-10-29 France Telecom Procede et systeme de redirection sur detection d'erreur de resolutions dns
CN103326947B (zh) * 2013-02-22 2017-06-30 新华三技术有限公司 Pmtu的学习方法、数据报文的发送方法及网络设备
US9729663B2 (en) * 2014-09-29 2017-08-08 Limelight Networks, Inc. Dynamic/shared PMTU cache
CN108632396A (zh) * 2017-03-16 2018-10-09 哈尔滨英赛克信息技术有限公司 一种基于地域的分布式别名解析方法
CN109639852B (zh) * 2019-01-25 2021-11-02 中国电子科技集团公司第三十研究所 一种基于图结构分析的ip别名解析方法
CN112492062B (zh) * 2020-11-20 2021-09-07 清华大学 基于分片指纹的IPv6别名前缀检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102123182A (zh) * 2011-04-09 2011-07-13 山东师范大学 一种基于ipv6地址的主机身份标识与位置标识分离的方法
CN107370636A (zh) * 2016-05-12 2017-11-21 华为技术有限公司 链路状态确定方法和装置
CN109005252A (zh) * 2018-08-24 2018-12-14 赛尔网络有限公司 一种虚拟主机的IPv6地址生成方法、设备、系统及介质
CN111432043A (zh) * 2020-03-09 2020-07-17 清华大学 基于密度的动态IPv6地址探测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Towards the Construction of Global IPv6 Hitlist and Efficient Probing of IPv6 Address Space;宋光磊等;《2020 IEEE/ACM 28th International Symposium on Quality of Service(IWQoS)》;20201006;1-9 *

Also Published As

Publication number Publication date
CN112492062A (zh) 2021-03-12
WO2022105799A1 (zh) 2022-05-27

Similar Documents

Publication Publication Date Title
CN112492062B (zh) 基于分片指纹的IPv6别名前缀检测方法
US8312541B2 (en) Detecting neighbor discovery denial of service attacks against a router
US8804729B1 (en) IPv4, IPv6, and ARP spoofing protection method
Ma et al. Bayes-based ARP attack detection algorithm for cloud centers
JP2002009823A (ja) インターネットアドレス決定方法及び装置
EP3340568A2 (en) Anycast-based spoofed traffic detection and mitigation
JP2014179993A (ja) Dnsトップトーカのホワイトリスト化
CN112272164A (zh) 报文处理方法及装置
US20080320115A1 (en) Apparatus, method and system for acquiring ipv6 address
US10097418B2 (en) Discovering network nodes
US8898737B2 (en) Authentication method for stateless address allocation in IPv6 networks
Xu et al. TsuKing: Coordinating DNS Resolvers and Queries into Potent DoS Amplifiers
US7596136B2 (en) Data communication apparatus, data communication method, program, and storage medium
US11757829B2 (en) Method and device for detecting IPv6 aliased prefix based on fragmented fingerprint
CN106878291B (zh) 一种基于前缀安全表项的报文处理方法及装置
US9191361B2 (en) Authentication method for stateless address allocation in IPV6 networks
US20160308893A1 (en) Interrogating malware
CN110677439B (zh) Nd攻击的防护方法和装置
CN112039792A (zh) 一种避免拥塞的网络扫描调度方法
CN112995353A (zh) 基于流量分析的IPv6地址存活性扫描系统及扫描方法
JP7232121B2 (ja) 監視装置および監視方法
CN115297083B (zh) 基于数据量和行为特征的域名系统隧道检测方法和系统
JP2014150504A (ja) ネットワーク監視装置、ネットワーク監視方法、および、コンピュータ・プログラム
CN112601229B (zh) 检测非法的装置和检测非法的方法
Guo et al. FACA: An effective method for detecting the survivability of large-scale IPv6 addresses

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant