CN113630378B - 基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置 - Google Patents

基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置 Download PDF

Info

Publication number
CN113630378B
CN113630378B CN202110724127.8A CN202110724127A CN113630378B CN 113630378 B CN113630378 B CN 113630378B CN 202110724127 A CN202110724127 A CN 202110724127A CN 113630378 B CN113630378 B CN 113630378B
Authority
CN
China
Prior art keywords
network
source address
rcv2
rcv1
rcv3
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110724127.8A
Other languages
English (en)
Other versions
CN113630378A (zh
Inventor
何林
杨家海
潘龙
宋光磊
王之梁
刘耀忠
刘莹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN202110724127.8A priority Critical patent/CN113630378B/zh
Publication of CN113630378A publication Critical patent/CN113630378A/zh
Application granted granted Critical
Publication of CN113630378B publication Critical patent/CN113630378B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提出了一种基于ICMP限速的IPv6网络入网源地址验证部署测量方法,涉及入网源地址验证部署测量技术领域,其中,该方法包括:对公告IPv6BGP前缀进行ICMP Echo Request扫描,得到大量的地址对;对于目标网络,选取一个合适的地址对,测量rcv1、rcv2、rcv3的值;根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况。采用上述方案的本发明能够高效地在单一本地测量点就完成对全球入网源地址验证部署情况的大规模测量,具有较高的可用性和有效性。

Description

基于ICMP限速的IPv6网络入网源地址验证部署测量方法和 装置
技术领域
本申请涉及入网源地址验证部署测量技术领域,尤其涉及一种基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置。
背景技术
DDoS(分布式拒绝访问攻击)被认为是最常见、危害最大的网络攻击之一。作为防御DDoS攻击的一道重要防线,对网络进行源地址验证部署情况测量有着重大意义。源地址验证主要分为两种:入网源地址验证与出网源地址验证。前者在网络入口处过滤入网的伪造属于本网的源地址的数据包,后者则是在网络出口处过滤出网的源地址不属于本网络的数据包。目前的研究表明,尽管出网源地址验证部署情况良好,但入网源地址验证的部署率仍然偏低。
测量网络的源地址验证部署情况往往面临困难,因为这需要在目标网络内部拥有观测点,否则无法知道这些伪造源地址的数据包是否到达了目标网络。然而,很难在每个网络或者自治域内部都有观测点,因此,需要一种能够在本地观测点测量远程网络的源地址验证部署情况的测量方法。
Luckie等人提出了Spoofer项目测量源地址验证部署情况,其主要依赖网络内部志愿者安装其客户端程序,通过检查内部志愿者的发包收包情况,对源地址验证情况进行判定。然而,这种方法需要网络内部志愿者的配合,覆盖面不足,而且维护难度较大,一旦内部志愿者失去联系,数据就面临过时的风险。
Korczynski等人利用公共DNS解析器进行测量。其主要思路是通过扫描获取公共DNS,在注册测量使用的域名和部署相应权威DNS服务器后,通过向公共DNS发送伪造或者真实源地址的查询并在权威DNS服务器检查DNS查询的转发情况,实现对源地址验证部署的情况的判断。该方法的主要问题是在IPv6网络通过扫描获取公开DNS解析器是不可行的。IPv6拥有远大于IPv4的地址空间,暴力扫描DNS解析器是不可行的。此外,对于没有公共DNS解析器的网络,该方法是无法判断源地址验证部署情况的。
Deccio等人利用与Korczynski类似的方法,不同的是,他们利用了DITL的DNS数据,通过这些数据来发现公共DNS,可以作用于IPv6网络。然而,他们的方法有着跟Korcyznski等人一样的局限性,对于没有公共DNS解析器的网络,无法判断源地址验证的存在。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请的第一个目的在于提出一种基于ICMP限速的IPv6网络入网源地址验证部署测量方法,解决了现有方法需要网络内部志愿者配合、覆盖面不足、维护难度大的问题,还解决了现有方法对于没有公共DNS解析器的网络,无法判断源地址验证部署情况的问题,利用在IPv6网络中普遍部署的ICMP限速机制,高效地在单一本地测量点就完成对全球入网源地址验证部署情况的大规模测量,具有较高的可用性和有效性,并且利用IPv6网络的ICMP限速机制,实现利用远程网络节点作为自己的测量点的效果,同时通过重复测量实验,减少网络环境变化的干扰。
本申请的第二个目的在于提出一种基于ICMP限速的IPv6网络入网源地址验证部署测量装置。
本申请的第三个目的在于提出一种非临时性计算机可读存储介质。
为达上述目的,本申请第一方面实施例提出了一种基于ICMP限速的IPv6网络入网源地址验证部署测量方法,包括:对公告IPv6 BGP前缀进行ICMP Echo Request扫描,得到大量的地址对;对于目标网络,选取一个合适的地址对,测量rcv1、rcv2、rcv3的值;根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况。
可选地,在本申请的一个实施例中,扫描的方法为遍历公告IPv6 BGP前缀长度到第64位的所有位,然后指定后64位完全随机。
可选地,在本申请的一个实施例中,对于目标网络,选取一个合适的地址对<a,b>,测量rcv1、rcv2、rcv3的值,其中,地址a属于目标网络,测量过程包括以下步骤:
步骤S1:发送N个Ping请求给b,收到rcv1个ICMP错误分组;
步骤S2:在进行步骤S1的同时,伪造源地址为测量点所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv2个ICMP错误分组;
步骤S3:在进行步骤S1的同时,伪造源地址为测量地址b所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv3个ICMP错误分组;
步骤S4:设置循环次数重复进行步骤S1、步骤S2、步骤S3,对多次得到的rcv1、rcv2、rcv3的值进行平均,得到最终的rcv1、rcv2、rcv3的值。
可选地,在本申请的一个实施例中,根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况,若rcv3<rcv1,目标网络没有部署入网源地址验证,若rcv2<rcv3,目标网络部署了入网源地址验证,若rcv3<rcv1且rcv2<rcv3,分别计算rcv1/rcv3、rcv3/rcv2的值进行比较,选取较大的情况,若以上情况都无法满足,无法判断目标网络入网源地址验证情况。
为达上述目的,本发明第二方面实施例提出了一种基于ICMP限速的IPv6网络入网源地址验证部署测量装置,包括扫描模块、测量模块、判断模块,其中,
扫描模块,用于对公告IPv6 BGP前缀进行ICMP Echo Request扫描,得到大量的地址对;
测量模块,用于对目标网络,选取一个合适的地址对,测量rcv1、rcv2、rcv3的值;
判断模块,用于根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况。
可选地,在本申请的一个实施例中,测量模块,具体用于:
对于目标网络,选取一个合适的地址对<a,b>,一次测量rcv1、rcv2、rcv3的值,其中,地址a属于目标网络,测量过程包括以下步骤:
步骤S1:发送N个Ping请求给b,收到rcv1个ICMP错误分组;
步骤S2:在进行步骤S1的同时,伪造源地址为测量点所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv2个ICMP错误分组;
步骤S3:在进行步骤S1的同时,伪造源地址为测量地址b所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv3个ICMP错误分组;
步骤S4:设置循环次数重复进行步骤S1、步骤S2、步骤S3,对多次得到的rcv1、rcv2、rcv3的值进行平均,得到最终的rcv1、rcv2、rcv3的值。
可选地,在本申请的一个实施例中,判断模块,具体用于:
根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况,若rcv3<rcv1,目标网络没有部署入网源地址验证,若rcv2<rcv3,目标网络部署了入网源地址验证,若rcv3<rcv1且rcv2<rcv3,分别计算rcv1/rcv3、rcv3/rcv2的值进行比较,选取较大的情况,若以上情况都无法满足,无法判断目标网络入网源地址验证情况。
为了实现上述目的,本发明第三方面实施例提出了一种非临时性计算机可读存储介质,当所述存储介质中的指令由处理器被执行时,能够执行基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置。
本申请实施例的基于ICMP限速的IPv6网络入网源地址验证部署测量方法、基于ICMP限速的IPv6网络入网源地址验证部署测量装置和非临时性计算机可读存储介质,解决了现有方法需要网络内部志愿者配合、覆盖面不足、维护难度大的问题,还解决了现有方法对于没有公共DNS解析器的网络,无法判断源地址验证部署情况的问题,利用在IPv6网络中普遍部署的ICMP限速机制,能够在一个单一本地测量点对全球范围内的入网源地址验证部署情况进行测量,且测量速度较快,数天内就能对全球数万个BGP前缀的源地址验证部署情况进行测量,同时能够随时部署或停止,可以根据需要指定想要测量的网络或者自治域,并实时更新数据,具有较高的可用性和有效性,并且相较目前已有方法,能够提高迄今为止最全面的全网范围内的入网源地址验证测量情况的普查,可以发现至少50%以上的更多的缺乏入网源地址验证部署的BGP前缀与自治域,实现高覆盖。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本申请实施例一所提供的一种基于ICMP限速的IPv6网络入网源地址验证部署测量方法的流程图;
图2为本申请实施例二所提供的一种基于ICMP限速的IPv6网络入网源地址验证部署测量装置的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置。
图1为本申请实施例一所提供的一种基于ICMP限速的IPv6网络入网源地址验证部署测量方法的流程图。
如图1所示,该基于ICMP限速的IPv6网络入网源地址验证部署测量方法包括以下步骤:
步骤101,对公告IPv6 BGP前缀进行ICMP Echo Request扫描,得到大量的地址对;
步骤102,对于目标网络,选取一个合适的地址对,测量rcv1、rcv2、rcv3的值;
步骤103,根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况。
本申请实施例的基于ICMP限速的IPv6网络入网源地址验证部署测量方法,通过对公告IPv6 BGP前缀进行ICMP Echo Request扫描,得到大量的地址对;对于目标网络,选取一个合适的地址对,测量rcv1、rcv2、rcv3的值;根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况。由此,能够解决现有方法需要网络内部志愿者配合、覆盖面不足、维护难度大的问题,还可以解决现有方法对于没有公共DNS解析器的网络,无法判断源地址验证部署情况的问题,利用在IPv6网络中普遍部署的ICMP限速机制,能够在一个单一本地测量点对全球范围内的入网源地址验证部署情况进行测量,且测量速度较快,数天内就能对全球数万个BGP前缀的源地址验证部署情况进行测量,同时能够随时部署或停止,可以根据需要指定想要测量的网络或者自治域,并实时更新数据,具有较高的可用性和有效性,并且相较目前已有方法,能够提高迄今为止最全面的全网范围内的入网源地址验证测量情况的普查,可以发现至少50%以上的更多的缺乏入网源地址验证部署的BGP前缀与自治域,实现高覆盖。
进一步地,在本申请实施例中,扫描的方法为遍历公告IPv6 BGP前缀长度到第64位的所有位,然后指定后64位完全随机。
对于2402:da::/32,先遍历遍历其2402:da:xxxx:xxxx:(后64位)中的所有xxxx:xxxx的可能性(从0000:0000,到ffff:ffff),然后后64位在此过程中不断随机。在这一过程,设置一个无状态的嗅探器,不断抓取ICMP错误分组。在此过程后,会得到大量的地址对<a,b>,向b发送一个ping请求,就能收到来自a的一个ICMP错误分组。
进一步地,在本申请实施例中,对于目标网络,选取一个合适的地址对<a,b>,测量rcv1、rcv2、rcv3的值,其中,地址a属于目标网络,测量过程包括以下步骤:
步骤S1:发送N个Ping请求给b,收到rcv1个ICMP错误分组;
步骤S2:在进行步骤S1的同时,伪造源地址为测量点所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv2个ICMP错误分组;
步骤S3:在进行步骤S1的同时,伪造源地址为测量地址b所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv3个ICMP错误分组;
步骤S4:设置循环次数重复进行步骤S1、步骤S2、步骤S3,对多次得到的rcv1、rcv2、rcv3的值进行平均,得到最终的rcv1、rcv2、rcv3的值。
进一步地,在本申请实施例中,根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况,若rcv3<rcv1,目标网络没有部署入网源地址验证,若rcv2<rcv3,目标网络部署了入网源地址验证,若rcv3<rcv1且rcv2<rcv3,分别计算rcv1/rcv3、rcv3/rcv2的值进行比较,选取较大的情况,若以上情况都无法满足,无法判断目标网络入网源地址验证情况。
本申请要定时定期运行测量程序,在第一步扫描完成后,将扫描结果按BGP前缀和自治域进行分类,然后输入到第二步的测量程序中。测量程序为了更好的道德考量,一般会选择轮流测量rcv1后,再开始测rcv2,rcv3,而不是连续测量同一个网络的rcv1、rcv2和rcv3。在测量多轮后,计算测量值的平均值,然后进行源地址验证部署情况的推断。
图2为本申请实施例二所提供的一种基于ICMP限速的IPv6网络入网源地址验证部署测量装置的结构示意图。
如图2所示,该基于ICMP限速的IPv6网络入网源地址验证部署测量装置,包括扫描模块、测量模块、判断模块,其中,
扫描模块10,用于对公告IPv6 BGP前缀进行ICMP Echo Request扫描,得到大量的地址对;
测量模块20,用于对目标网络,选取一个合适的地址对,测量rcv1、rcv2、rcv3的值;
判断模块30,用于根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况。
进一步地,在本申请实施例中,测量模块,具体用于:
对于目标网络,选取一个合适的地址对<a,b>,一次测量rcv1、rcv2、rcv3的值,其中,地址a属于目标网络,测量过程包括以下步骤:
步骤S1:发送N个Ping请求给b,收到rcv1个ICMP错误分组;
步骤S2:在进行步骤S1的同时,伪造源地址为测量点所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv2个ICMP错误分组;
步骤S3:在进行步骤S1的同时,伪造源地址为测量地址b所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv3个ICMP错误分组;
步骤S4:设置循环次数重复进行步骤S1、步骤S2、步骤S3,对多次得到的rcv1、rcv2、rcv3的值进行平均,得到最终的rcv1、rcv2、rcv3的值。
进一步地,在本申请实施例中,判断模块,具体用于:
根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况,若rcv3<rcv1,目标网络没有部署入网源地址验证,若rcv2<rcv3,目标网络部署了入网源地址验证,若rcv3<rcv1且rcv2<rcv3,分别计算rcv1/rcv3、rcv3/rcv2的值进行比较,选取较大的情况,若以上情况都无法满足,无法判断目标网络入网源地址验证情况。
本申请实施例的基于ICMP限速的IPv6网络入网源地址验证部署测量装置,包括扫描模块、测量模块、判断模块,其中,扫描模块,用于对公告IPv6 BGP前缀进行ICMP EchoRequest扫描,得到大量的地址对;测量模块,用于对目标网络,选取一个合适的地址对,测量rcv1、rcv2、rcv3的值;判断模块,用于根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况。由此,能够解决现有方法需要网络内部志愿者配合、覆盖面不足、维护难度大的问题,还可以解决现有方法对于没有公共DNS解析器的网络,无法判断源地址验证部署情况的问题,利用在IPv6网络中普遍部署的ICMP限速机制,能够在一个单一本地测量点对全球范围内的入网源地址验证部署情况进行测量,且测量速度较快,数天内就能对全球数万个BGP前缀的源地址验证部署情况进行测量,同时能够随时部署或停止,可以根据需要指定想要测量的网络或者自治域,并实时更新数据,具有较高的可用性和有效性,并且相较目前已有方法,能够提高迄今为止最全面的全网范围内的入网源地址验证测量情况的普查,可以发现至少50%以上的更多的缺乏入网源地址验证部署的BGP前缀与自治域,实现高覆盖。
为了实现上述实施例,本发明还提出了一种非临时性计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述实施例的基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (4)

1.一种基于ICMP限速的IPv6网络入网源地址验证部署测量方法,其特征在于,包括以下步骤:
对公告IPv6 BGP前缀进行ICMP Echo Request扫描,得到大量的地址对;
对于目标网络,选取一个地址对,测量rcv1、rcv2、rcv3的值;
根据所述rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况;
其中,对于所述目标网络,选取一个地址对<a,b>,测量rcv1、rcv2、rcv3的值,其中,地址a属于所述目标网络,测量过程包括以下步骤:
步骤S1:发送N个Ping请求给b,收到rcv1个ICMP错误分组;
步骤S2:在进行步骤S1的同时,伪造源地址为测量点所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv2个ICMP错误分组;
步骤S3:在进行步骤S1的同时,伪造源地址为测量地址b所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv3个ICMP错误分组;
步骤S4:设置循环次数重复进行步骤S1、步骤S2、步骤S3,对多次得到的rcv1、rcv2、rcv3的值进行平均,得到最终的rcv1、rcv2、rcv3的值;
根据所述rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况,若rcv3<rcv1,所述目标网络没有部署入网源地址验证,若rcv2<rcv3,所述目标网络部署了入网源地址验证,若rcv3<rcv1且rcv2<rcv3,分别计算rcv1/rcv3、rcv3/rcv2的值进行比较,选取较大的情况,若以上情况都无法满足,无法判断所述目标网络入网源地址验证情况。
2.如权利要求1所述的方法,其特征在于,所述扫描的方法为遍历所述公告IPv6 BGP前缀长度到第64位的所有位,然后指定后64位完全随机。
3.一种基于ICMP限速的IPv6网络入网源地址验证部署测量装置,其特征在于,包括扫描模块、测量模块、判断模块,其中,
所述扫描模块,用于对公告IPv6 BGP前缀进行ICMP Echo Request扫描,得到大量的地址对;
所述测量模块,用于对目标网络,选取一个地址对,测量rcv1、rcv2、rcv3的值;
所述判断模块,用于根据所述rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况;
其中,所述测量模块,具体用于:
对于所述目标网络,选取一个地址对<a,b>,一次测量rcv1、rcv2、rcv3的值,其中,地址a属于所述目标网络,测量过程包括以下步骤:
步骤S1:发送N个Ping请求给b,收到rcv1个ICMP错误分组;
步骤S2:在进行步骤S1的同时,伪造源地址为测量点所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv2个ICMP错误分组;
步骤S3:在进行步骤S1的同时,伪造源地址为测量地址b所在的网络中的另一个地址,发送M个Ping请求给b,收到rcv3个ICMP错误分组;
步骤S4:设置循环次数重复进行步骤S1、步骤S2、步骤S3,对多次得到的rcv1、rcv2、rcv3的值进行平均,得到最终的rcv1、rcv2、rcv3的值;
所述判断模块,具体用于:
根据所述rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况,若rcv3<rcv1,所述目标网络没有部署入网源地址验证,若rcv2<rcv3,所述目标网络部署了入网源地址验证,若rcv3<rcv1且rcv2<rcv3,分别计算rcv1/rcv3、rcv3/rcv2的值进行比较,选取较大的情况,若以上情况都无法满足,无法判断所述目标网络入网源地址验证情况。
4.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-2中任一所述的基于ICMP限速的IPv6网络入网源地址验证部署测量方法。
CN202110724127.8A 2021-06-29 2021-06-29 基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置 Active CN113630378B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110724127.8A CN113630378B (zh) 2021-06-29 2021-06-29 基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110724127.8A CN113630378B (zh) 2021-06-29 2021-06-29 基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置

Publications (2)

Publication Number Publication Date
CN113630378A CN113630378A (zh) 2021-11-09
CN113630378B true CN113630378B (zh) 2022-08-19

Family

ID=78378489

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110724127.8A Active CN113630378B (zh) 2021-06-29 2021-06-29 基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置

Country Status (1)

Country Link
CN (1) CN113630378B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1921488A (zh) * 2006-09-19 2007-02-28 清华大学 IPv6子网内基于签名认证的防止源地址伪造的方法
CN101764822A (zh) * 2010-01-29 2010-06-30 北京天地互连信息技术有限公司 一种IPv6源地址认证测试方法
CN104065630A (zh) * 2013-03-22 2014-09-24 清华大学 一种面向IPv6网络的假冒源地址报文探测方法
CN108881241A (zh) * 2018-06-26 2018-11-23 华中科技大学 一种面向软件定义网络的动态源地址验证方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101931628B (zh) * 2010-08-27 2012-12-05 清华大学 一种域内源地址的验证方法和装置
US9270638B2 (en) * 2012-01-20 2016-02-23 Cisco Technology, Inc. Managing address validation states in switches snooping IPv6
CN104270475B (zh) * 2014-09-03 2017-10-10 武汉烽火网络有限责任公司 基于NAT64实现IPv4网络与IPv6网络互通的系统及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1921488A (zh) * 2006-09-19 2007-02-28 清华大学 IPv6子网内基于签名认证的防止源地址伪造的方法
CN101764822A (zh) * 2010-01-29 2010-06-30 北京天地互连信息技术有限公司 一种IPv6源地址认证测试方法
CN104065630A (zh) * 2013-03-22 2014-09-24 清华大学 一种面向IPv6网络的假冒源地址报文探测方法
CN108881241A (zh) * 2018-06-26 2018-11-23 华中科技大学 一种面向软件定义网络的动态源地址验证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于IPV6的源地址验证整体架构的物联网分布式源地址验证;林奕水;《网络安全技术与应用》;20141215(第12期);全文 *
真实IPv6源地址验证体系结构;黄宸;《科技风》;20100215(第3期);全文 *

Also Published As

Publication number Publication date
CN113630378A (zh) 2021-11-09

Similar Documents

Publication Publication Date Title
CN111771364B (zh) 经由dns属性在远程网络中进行基于云的异常流量检测和保护
US20220279050A1 (en) Methods, systems, and apparatus for geographic location using trace routes
US8312541B2 (en) Detecting neighbor discovery denial of service attacks against a router
Marder et al. Pushing the boundaries with bdrmapit: Mapping router ownership at internet scale
Padmanabhan et al. DynamIPs: Analyzing address assignment practices in IPv4 and IPv6
Luckie et al. The impact of router outages on the AS-level Internet
Berger et al. Internet nameserver IPv4 and IPv6 address relationships
JP7397893B2 (ja) トレースルート・ノードおよび対応するデバイスの識別
CN113315814B (zh) 一种IPv6网络边界设备快速发现方法及系统
Beck et al. Monitoring the neighbor discovery protocol
CN112003822A (zh) 路由起源授权的质量检测方法和装置
Rye et al. Follow the scent: Defeating IPv6 prefix rotation privacy
US8898737B2 (en) Authentication method for stateless address allocation in IPv6 networks
CN112492062A (zh) 基于分片指纹的IPv6别名前缀检测方法
Rodday et al. On the deployment of default routes in inter-domain routing
CN113630378B (zh) 基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置
Pongpaibool et al. Fast duplicate address detection for mobile IPv6
Baig et al. A trust-based mechanism for protecting IPv6 networks against stateless address auto-configuration attacks
US9191361B2 (en) Authentication method for stateless address allocation in IPV6 networks
Chitpranee et al. Towards passive DNS software fingerprinting
CN113746691B (zh) 一种基于ICMP限速的远程IPv6节点相互连通性测量方法
Ahmed et al. Securing the neighbour discovery protocol in IPv6 state-ful address auto-configuration
Grailet et al. Revisiting subnet inference WISE-ly
Vervier et al. SpamTracer: How stealthy are spammers?
CN112995353A (zh) 基于流量分析的IPv6地址存活性扫描系统及扫描方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant