FR3023099A1 - METHOD FOR PROTECTING A ROUTER AGAINST ATTACKS - Google Patents

METHOD FOR PROTECTING A ROUTER AGAINST ATTACKS Download PDF

Info

Publication number
FR3023099A1
FR3023099A1 FR1455992A FR1455992A FR3023099A1 FR 3023099 A1 FR3023099 A1 FR 3023099A1 FR 1455992 A FR1455992 A FR 1455992A FR 1455992 A FR1455992 A FR 1455992A FR 3023099 A1 FR3023099 A1 FR 3023099A1
Authority
FR
France
Prior art keywords
address
router
network
packet
subnet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR1455992A
Other languages
French (fr)
Inventor
Jean-Michel Combes
Aurelien Wailly
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR1455992A priority Critical patent/FR3023099A1/en
Priority to PCT/FR2015/051696 priority patent/WO2015197978A1/en
Publication of FR3023099A1 publication Critical patent/FR3023099A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L'invention concerne un procédé de protection d'un routeur (10) contre des attaques, le routeur acheminant des paquets IP pour au moins un sous-réseau (12) identifié par un préfixe réseau. Le procédé comprend : - une étape (E3) d'obtention par l'intermédiaire d'un module de validation d'adresses IP (13) de l'adresse IP attribuée à au moins un dispositif (M1, M2, etc.) du sous-réseau, ledit module étant apte à mémoriser une adresse IP en association avec un paramètre de liaison physique, lors d'une étape (PO) d'allocation de l'adresse IP audit dispositif dans le sous-réseau, ladite adresse IP étant qualifiée d'adresse IP valide, -une étape (E8) de retransmission au routeur d'un paquet IP entrant dont l'adresse IP destination comprend le préfixe réseau, lorsque l'adresse IP destination du paquet entrant est une adresse valide.A method of protecting a router (10) against attacks, the router carrying IP packets for at least one subnet (12) identified by a network prefix. The method comprises: a step (E3) of obtaining, via an IP address validation module (13), the IP address assigned to at least one device (M1, M2, etc.) of the subnetwork, said module being able to memorize an IP address in association with a physical link parameter, during a step (PO) of allocation of the IP address to said device in the subnet, said IP address being qualified as a valid IP address, -a step (E8) of retransmitting to the router of an incoming IP packet whose destination IP address includes the network prefix, when the destination IP address of the incoming packet is a valid address.

Description

Procédé de protection d'un routeur contre des attaques La présente invention concerne une technique de protection d'un routeur contre des attaques.The present invention relates to a technique for protecting a router against attacks.

Elle trouve une application particulièrement intéressante dans la protection d'un réseau, tel un réseau local de type réseau d'entreprise ou réseau domestique, contre des attaques par déni de service. Des paquets de données à destination d'un équipement d'un réseau local situé sur un lien réseau donné sont acheminés par l'intermédiaire d'un routeur situé sur le même lien réseau.It finds a particularly interesting application in the protection of a network, such as a local network type enterprise network or home network, against denial of service attacks. Data packets destined for a LAN device located on a given network link are routed through a router on the same network link.

Il est connu que le protocole IPv6 s'appuie sur un mécanisme normalisé de découverte des voisins (ou « Neighbor Discovery ») décrit dans la RFC 4861 (de l' anglais « Request for Comment ») pour établir une communication réseau et acheminer un paquet à un équipement d'un réseau. Ce mécanisme, qui opère au niveau de la couche 3 du modèle « OSI » (de l' anglais « Open Systems Interconnection ») est responsable de la découverte d'équipements sur le même lien réseau et de la détermination de leur adresse IP. Il établit une correspondance entre une adresse IPv6, identifiant d'un équipement au niveau de la couche 3, et une adresse « MAC » (de l'anglais « Media Access Control ») de cet équipement qui correspond à un identifiant couche 2 de l'équipement. Un routeur qui reçoit un paquet à acheminer à un équipement du réseau local s'appuie sur ce mécanisme pour acheminer le paquet. Ainsi, lorsque le routeur reçoit un paquet l'adresse IP destination correspond à une adresse potentiellement attribuée à un équipement du réseau local qu'il dessert, il vérifie dans une mémoire cache appelée « Neighbor cache » si une entrée associée à l'adresse IP destination existe. Une telle mémoire associe à une adresse IP une adresse MAC qui permet au routeur d' acheminer le paquet à l'équipement dont l' adresse IP est égale à l'adresse IP destination du paquet et qui est sur le même lien réseau. Dans un cas où la mémoire cache ne contient pas l'adresse IP qui figure dans le champ IP destination du paquet, le routeur envoie une requête de sollicitation des voisins (« neighbor solicitation » en anglais) sur le réseau local afin de demander si un équipement situé sur le lien réseau possède l'adresse IPv6. En parallèle il crée une entrée dans la mémoire cache « Neighbor cache » pour cette adresse IPv6 ; cette entrée a une durée de vie prédéfinie. Si le routeur reçoit la réponse d'un équipement, alors il complète l'entrée en associant l'adresse MAC de l'équipement à l'adresse IPv6 déjà enregistrée. S'il ne reçoit aucune réponse, signifiant qu'aucun équipement ne possède l'adresse IPv6, alors il efface l'entrée au bout d'un temps donné qui correspond à la durée de vie de l'entrée. Des attaquants exploitent ce mécanisme afin de perpétrer des attaques. Ces attaques sont faciles à mettre en oeuvre et susceptibles de provoquer des dégâts importants.It is known that the IPv6 protocol relies on a standardized neighbor discovery mechanism (or "Neighbor Discovery") described in RFC 4861 ("Request for Comment") to establish network communication and route a packet. to an equipment of a network. This mechanism, which operates at layer 3 of the Open Systems Interconnection (OSI) model, is responsible for discovering devices on the same network link and determining their IP address. It establishes a correspondence between an IPv6 address, identifier of a device at layer 3, and a "MAC" address (of the "Media Access Control") of this equipment which corresponds to a layer 2 identifier of the device. 'equipment. A router that receives a packet to be routed to a LAN device relies on this mechanism to route the packet. Thus, when the router receives a packet the destination IP address corresponds to an address potentially assigned to a device of the local network that it serves, it checks in a cache memory called "Neighbor Cache" if an entry associated with the IP address destination exists. Such memory associates with an IP address a MAC address which allows the router to route the packet to the equipment whose IP address is equal to the destination IP address of the packet and which is on the same network link. In a case where the cache does not contain the IP address that appears in the destination IP field of the packet, the router sends a neighbor solicitation request on the local network to ask if a equipment located on the network link has the IPv6 address. In parallel, it creates an entry in the "cache cache" cache for this IPv6 address; this entry has a predefined life. If the router receives the response from a device, then it completes the entry by associating the MAC address of the device with the already registered IPv6 address. If it receives no response, meaning that no device has the IPv6 address, then it clears the entry at the end of a given time that corresponds to the lifetime of the entry. Attackers exploit this mechanism to perpetrate attacks. These attacks are easy to implement and likely to cause significant damage.

Ainsi, un attaquant qui cible un sous-réseau particulier dont il connaît le préfixe réseau, envoie une grande quantité de paquets IPv6 avec dans le champ IP destination des adresses IPv6 différentes, qui comprennent le même préfixe réseau. Par exemple, il incrémente l'adresse de « 1 » à chaque nouveau paquet. Selon le fonctionnement classique du mécanisme de découverte des voisins décrit précédemment, le routeur crée dans la mémoire cache « Neighbor cache » une entrée pour chaque adresse IP destination qui figure dans un paquet reçu, à moins que cette entrée ne figure déjà dans la mémoire cache. Lorsque l'entrée ne figure pas dans la mémoire cache, il crée cette nouvelle entrée dont la durée de vie est prédéfinie. Il envoie une requête aux équipements du sous-réseau qu'il dessert afin d'obtenir l'adresse MAC associée à l'adresse IP destination lorsque celle-ci appartient à un équipement du sous-réseau. Si aucun équipement ne répond, cela signifie que l' adresse IP destination ne correspond à aucun équipement du sous-réseau. Dans ce cas, l'entrée est effacée lorsque la durée de vie de l'entrée a expiré. La mémoire cache d'un routeur a une taille prédéfinie. Par exemple cette taille peut permettre de gérer 512 entrées. On comprend que si l' attaquant inonde le routeur de requêtes avec des adresses incrémentées de « 1 » qui sont assimilées à des adresses aléatoires, alors la mémoire cache est rapidement saturée et le routeur ne peut plus acheminer de paquet légitime aux équipements du sous-réseau. En tout état de cause, aucun des équipements du sous-réseau ne peut plus recevoir de requête. Une solution pour pallier ce genre d' attaque consiste à mettre en place un mécanisme de contrôle de débit (le terme habituellement utilisé est le terme anglais « rate limiting ») destiné à contrôler le trafic envoyé ou reçu sur une interface réseau. Un tel mécanisme peut consister à limiter le débit sur une interface du routeur et à rejeter ou à retarder des paquets en excès. Cependant un tel mécanisme ne distingue pas des paquets d'attaque de paquets légitimes et des paquets légitimes peuvent être rejetés ou retardés. L'effet pour un client légitime est qu'il ne peut plus envoyer de paquets à un noeud du sous-réseau, ou que les paquets qu'il envoie sont retardés. Les techniques actuelles ne sont pas satisfaisantes pour contrer de telles attaques. Un des buts de l'invention est de remédier à des insuffisances/inconvénients de l'état de la technique et/ou d'y apporter des améliorations.Thus, an attacker who targets a particular subnet whose network prefix he knows, sends a large amount of IPv6 packets with different IPv6 addresses in the IP destination field, which include the same network prefix. For example, it increments the address of "1" to each new packet. According to the conventional operation of the neighbor discovery mechanism described above, the router creates an entry in the cache cache "Neighbor cache" for each destination IP address that appears in a received packet, unless that entry is already in the cache memory. . When the entry is not in the cache, it creates this new entry whose life is predefined. It sends a request to the devices of the subnet it serves to obtain the MAC address associated with the destination IP address when it belongs to a device in the subnet. If no device responds, this means that the destination IP address does not match any equipment in the subnet. In this case, the input is erased when the life of the input has expired. The cache memory of a router has a predefined size. For example, this size can handle 512 entries. It is understandable that if the attacker floods the request router with incremented addresses of "1" that are considered random addresses, then the cache is quickly saturated and the router can not forward any legitimate packet to the devices of the subnet. network. In any case, none of the devices in the subnet can receive a request. One solution to overcome this kind of attack is to set up a flow control mechanism (the term usually used is the term "rate limiting") to control the traffic sent or received on a network interface. Such a mechanism may include limiting the rate on an interface of the router and rejecting or delaying excess packets. However, such a mechanism does not distinguish between legitimate packet attack packets and legitimate packets can be rejected or delayed. The effect for a legitimate client is that it can no longer send packets to a node in the subnet, or that the packets it sends are delayed. Current techniques are not satisfactory to counter such attacks. One of the aims of the invention is to remedy the shortcomings / disadvantages of the state of the art and / or to make improvements thereto.

A cette fin, l'invention propose un procédé de protection d'un routeur contre des attaques, le routeur acheminant des paquets IP pour au moins un sous-réseau identifié par un préfixe réseau, ledit procédé comprenant : - une étape d'obtention par l'intermédiaire d'un module de validation d'adresses IP de l'adresse IP attribuée à au moins un dispositif du sous-réseau, ledit module étant apte à mémoriser une adresse IP en association avec un paramètre de liaison physique, lors d'une étape d'allocation de l'adresse IP audit dispositif dans le sous-réseau, ladite adresse IP étant qualifiée d'adresse IP valide, - une étape de retransmission au routeur d'un paquet IP entrant dont l'adresse IP destination comprend le préfixe réseau, lorsque l'adresse IP destination du paquet entrant est une adresse valide. Le procédé de protection d'un routeur contre des attaques propose un mécanisme dynamique de filtrage des communications IP dites orphelines, c'est-à-dire des communications comprenant des paquets IP destinés à des noeuds qui n'existent pas dans un réseau local adressé par un routeur. Une telle solution de filtrage dynamique n'existe pas actuellement. Cette solution permet de filtrer uniquement des communications orphelines tout en laissant passer des communications légitimes, i.e., destinées à des dispositifs existants du sous-réseau/réseau local. Ainsi, la solution permet de pallier des attaques par déni de service qui exploitent les limites inhérentes à la mise en oeuvre du mécanisme de découverte des voisins par le routeur, en l'espère la limitation du nombre d'entrées dans la table de la mémoire cache « Neighbor cache ». De telles attaques visent à rendre un routeur hors service en le saturant de paquets IP dont le champ adresse destination comprend un préfixe réseau identique au préfixe réseau du routeur et un suffixe aléatoire. On remarque que la solution décrite ici est plus sélective que les solutions connues basées par exemple sur le rate limiting, puisque seuls les paquets illégitimes sont bloqués. La méthode proposée est donc plus efficace.To this end, the invention proposes a method of protecting a router against attacks, the router carrying IP packets for at least one subnet identified by a network prefix, said method comprising: a step of obtaining by via an IP address validation module of the IP address assigned to at least one device of the sub-network, said module being able to memorize an IP address in association with a physical link parameter, when a step of allocating the IP address to said device in the subnet, said IP address being qualified as a valid IP address; - a step of retransmitting to the router of an incoming IP packet whose destination IP address comprises the network prefix, when the destination IP address of the incoming packet is a valid address. The method of protecting a router against attacks provides a dynamic mechanism for filtering so-called orphaned IP communications, i.e. communications comprising IP packets destined for nodes that do not exist in an addressed LAN. by a router. Such a dynamic filtering solution does not currently exist. This solution filters only orphaned communications while allowing legitimate communications, i.e., for existing devices on the subnet / LAN. Thus, the solution makes it possible to overcome denial of service attacks that exploit the limitations inherent in the implementation of the router's neighbor discovery mechanism, hopefully limiting the number of entries in the memory table. cache "Neighbor cache". Such attacks aim at rendering a router out of service by saturating it with IP packets whose destination address field includes a network prefix identical to the router's network prefix and a random suffix. Note that the solution described here is more selective than known solutions based for example on the limiting rate, since only illegitimate packets are blocked. The proposed method is therefore more efficient.

Dans un exemple de réalisation, le procédé comprend en outre une étape d'envoi par le module de validation d'adresses de l'adresse IP valide dudit dispositif au module de filtrage de paquets. Dans un exemple de réalisation, les modules de validation d'adresses et de filtrage possèdent chacun leur table de données mémorisant les adresses IP légitimes du sous-réseau.In an exemplary embodiment, the method further comprises a step of sending by the address validation module the valid IP address of said device to the packet filtering module. In an exemplary embodiment, the address validation and filtering modules each have their data table storing the legitimate IP addresses of the sub-network.

Dans ce cas, c'est le module de validation d'adresses qui transmet au module de filtrage l'adresse IP légitime qu'il mémorise lors de l'allocation d'une adresse IP à un équipement du sous-réseau. Du fait du rôle joué par le module de validation lors de l'allocation d'une adresse IP, il est informé des mises à jour en temps réel et peut ainsi les transmettre au fil de l'eau au module de filtrage. Ainsi, il n'y a pas de risque que l'attaque vise finalement le module de filtrage lui-même par envoi de paquets illégitimes. Dans un exemple de réalisation, le procédé comprend une étape d'envoi par le module de filtrage du paquet IP entrant à un dispositif de sécurité, lorsque l'adresse IP destination du paquet IP entrant n'est pas une adresse valide. Le procédé permet ainsi une analyse de paquets IP jugés suspects, dans le sens où ils sont adressés à des dispositifs dont l'adresse IP ne fait pas partie des dispositifs légitimes présents dans le sous-réseau. Le dispositif de sécurité peut ainsi analyser des paquets filtrés par le dispositif de filtrage et détecter qu'une attaque est en cours et le cas échéant, identifier l'origine de l'attaque et/ou mettre en oeuvre des contre-mesures. L'invention concerne aussi un système de protection d'un routeur contre des attaques, le routeur étant agencé pour acheminer des paquets IP pour au moins un sous-réseau identifié par un préfixe réseau, le système comprenant : - un module de validation d'adresses IP associé au sous-réseau, comprenant des moyens d'obtention de l'adresse IP d'au moins un dispositif du sous-réseau, lesdits moyens d'obtention de l'adresse étant aptes à mémoriser une adresse IP en association avec un paramètre de liaison physique, lors d'une étape d'allocation de l'adresse IP audit dispositif dans le sous-réseau, ladite adresse IP étant qualifiée d'adresse IP valide, - un module de filtrage, agencé pour retransmettre au routeur un paquet IP entrant dont l'adresse IP destination comprend le préfixe réseau, lorsque l'adresse IP destination du paquet entrant est une adresse valide.In this case, it is the address validation module that transmits to the filtering module the legitimate IP address that it stores when allocating an IP address to a device in the subnet. Because of the role played by the validation module when allocating an IP address, it is informed of the updates in real time and can thus transmit them over the water to the filtering module. Thus, there is no risk that the attack finally targets the filter module itself by sending illegitimate packets. In an exemplary embodiment, the method comprises a step of sending by the filtering module of the incoming IP packet to a security device, when the destination IP address of the incoming IP packet is not a valid address. The method thus allows an analysis of IP packets judged suspicious, in the sense that they are addressed to devices whose IP address is not part of the legitimate devices present in the sub-network. The security device can thus analyze packets filtered by the filtering device and detect that an attack is in progress and where appropriate, identify the origin of the attack and / or implement countermeasures. The invention also relates to a system for protecting a router against attacks, the router being arranged to route IP packets for at least one subnet identified by a network prefix, the system comprising: a validation module of IP addresses associated with the sub-network, comprising means for obtaining the IP address of at least one device of the sub-network, said means for obtaining the address being able to memorize an IP address in association with a physical link parameter, during a step of allocating the IP address to said device in the subnet, said IP address being qualified as a valid IP address, - a filtering module, arranged to retransmit a packet to the router Incoming IP whose destination IP address includes the network prefix, when the destination IP address of the incoming packet is a valid address.

Dans un exemple particulier de réalisation du système de protection, le module de validation comprend des moyens d'envoi d'adresses, agencés pour envoyer l'adresse IP valide au module de filtrage. L'invention concerne aussi un dispositif de routage de paquets IP dans un réseau comprenant un système de protection tel que décrit précédemment.In a particular embodiment of the protection system, the validation module comprises means for sending addresses, arranged to send the valid IP address to the filtering module. The invention also relates to a device for routing IP packets in a network comprising a protection system as described above.

L'invention porte également sur une passerelle d'accès permettant un accès à des dispositifs d'un réseau local à un réseau IP comprenant un dispositif de routage tel que décrit précédemment. L'invention concerne aussi un programme d'ordinateur sur un support de données et chargeable dans la mémoire d'un ordinateur, le programme comprenant des instructions de code pour l'exécution des étapes du procédé de protection d'un routeur contre des attaques tel que décrit précédemment, lorsque le programme est exécuté sur ledit ordinateur. L'invention porte aussi sur un support de données dans lequel est enregistré le programme tel que décrit précédemment.The invention also relates to an access gateway allowing access to devices of a local area network to an IP network comprising a routing device as described above. The invention also relates to a computer program on a data carrier and loadable in the memory of a computer, the program comprising code instructions for performing the steps of the method of protecting a router against such attacks. as previously described, when the program is run on said computer. The invention also relates to a data carrier in which the program is recorded as described above.

D'autres caractéristiques et avantages de la présente invention seront mieux compris de la description et des dessins annexés parmi lesquels : - la figure 1 est une représentation schématique d'une architecture réseau adaptée pour mettre en oeuvre les étapes d'un procédé de protection contre des attaques, selon un premier exemple de réalisation de l'invention ; - la figure 2 est une représentation schématique d'une architecture réseau adaptée pour mettre en oeuvre les étapes d'un procédé de protection contre des attaques, selon un deuxième exemple de réalisation de l'invention ; - la figure 3 présente les étapes du procédé de protection contre des attaques, selon un exemple de réalisation de l'invention ; - la figure 4 est une représentation schématique d'un système de protection d'un routeur contre des attaques, selon un exemple de réalisation de l'invention. Un exemple d' architecture réseau dans laquelle le procédé de protection d'un routeur contre des attaques est mis en oeuvre, selon un premier exemple de réalisation, va maintenant être décrit en relation avec la figure 1. L'architecture réseau comprend un routeur 10, agencé pour acheminer des paquets entre le réseau Internet 11, plus précisément entre un équipement Ti, T2, et un dispositif Ml, M2, ..., situé sur un même lien réseau que le routeur 10. On considère que les équipements Ml, M2, etc., situés sur le même lien réseau que le routeur 10, appartiennent à un sous-réseau 12. Le sous-réseau 12 est par exemple un sous-réseau de type réseau d'entreprise, réseau domestique, etc. Un tel sous-réseau 12 peut également être appelé réseau local. Pour un réseau domestique, le routeur 10 correspond à une passerelle d' accès permettant aux équipements du réseau local d'accéder au réseau IP.Other features and advantages of the present invention will be better understood from the description and the appended drawings in which: FIG. 1 is a schematic representation of a network architecture adapted to implement the steps of a method of protection against attacks, according to a first embodiment of the invention; FIG. 2 is a schematic representation of a network architecture adapted to implement the steps of a method of protection against attacks, according to a second embodiment of the invention; FIG. 3 shows the steps of the method of protection against attacks, according to an exemplary embodiment of the invention; - Figure 4 is a schematic representation of a protection system of a router against attacks, according to an exemplary embodiment of the invention. An example of a network architecture in which the method of protecting a router against attacks is implemented, according to a first exemplary embodiment, will now be described in relation to FIG. 1. The network architecture comprises a router 10 arranged to route packets between the Internet network 11, more precisely between a device T1, T2, and a device Ml, M2, ..., located on the same network link as the router 10. It is considered that the equipment Ml, M2, etc., located on the same network link as the router 10, belong to a subnetwork 12. The sub-network 12 is for example a subnetwork of type enterprise network, home network, etc. Such a subnet 12 may also be called a local area network. For a home network, the router 10 corresponds to an access gateway allowing the equipment of the local network to access the IP network.

On se place ici dans un cas où le protocole IPv6 est utilisé. De manière connue, selon ce protocole, une adresse IP comprend deux parties de 64 bits. La première partie, appelée préfixe réseau, est utilisée pour le routage de paquets dans le réseau. La deuxième partie correspond à un identifiant d'interface propre à l'équipement Ml, M2, etc. du sous-réseau 12. Le préfixe réseau des équipements Ml, M2, ..., est identique au préfixe réseau du routeur 10. Un paquet IP dont le champ adresse IP destination comprend le préfixe réseau est transmis au routeur 10 afin d'être acheminé par celui-ci à un dispositif du sous-réseau 12. Pour acheminer un paquet destiné à un dispositif du sous-réseau 12, le routeur 10 utilise un mécanisme normalisé de découverte des voisins (ou « Neighbor Discovery ») décrit dans la RFC 4861 (de l'anglais « Request for Comment »). Ce mécanisme, qui opère au niveau de la couche 3 du modèle « OSI » (de l'anglais « Open Systems Interconnection ») est responsable de la découverte de dispositifs sur le même lien réseau qu'un routeur et de l'acheminement de paquets IP à ces dispositifs. Il établit un lien entre une adresse IP, identifiant du dispositif au niveau de la couche 3, et une adresse « MAC » (de l'anglais « Media Access Control ») de ce dispositif qui correspond à un identifiant couche 2 de l'équipement. Ainsi, lorsque le routeur 10 reçoit un paquet dont le champ IP destination comprend une adresse IP potentiellement attribuée à un équipement du sous-réseau 12 qu'il dessert, il vérifie dans une mémoire cache appelée « Neighbor cache » (non représentée) si une entrée associée à l'adresse IP destination qui figure dans le paquet IP existe. Une telle mémoire associe à une adresse IP une adresse MAC, et permet au routeur 10 d'acheminer le paquet au dispositif destinataire du paquet IP qui est sur le même lien réseau. Dans un cas où la mémoire cache ne contient pas l'adresse IP qui figure dans le champ IP destination du paquet, le routeur 10 envoie une requête de sollicitation des voisins (« neighbor solicitation » en anglais) aux dispositifs du sous-réseau 12 afin de demander si un dispositif situé sur le lien réseau possède l'adresse IP. Il crée également une entrée dans la mémoire cache « Neighbor cache » pour l'adresse IP précisée dans la requête de sollicitation.We are here in a case where the IPv6 protocol is used. In known manner, according to this protocol, an IP address comprises two parts of 64 bits. The first part, called the network prefix, is used for packet routing in the network. The second part corresponds to an interface identifier specific to the equipment Ml, M2, etc. of the subnetwork 12. The network prefix Ml, M2, ..., is identical to the network prefix of the router 10. An IP packet whose destination IP address field comprises the network prefix is transmitted to the router 10 to be routed by it to a device of the subnet 12. To route a packet destined for a device of the subnet 12, the router 10 uses a standardized neighbor discovery mechanism (or "Neighbor Discovery") described in the RFC 4861 (from the English "Request for Comment"). This mechanism, which operates at layer 3 of the Open Systems Interconnection (OSI) model, is responsible for discovering devices on the same network link as a router and routing packets. IP to these devices. It establishes a link between an IP address, identifier of the device at layer 3, and a "MAC" address (of the "Media Access Control") of this device which corresponds to a layer 2 identifier of the device . Thus, when the router 10 receives a packet whose destination IP field includes an IP address potentially assigned to a device of the subnet 12 that it serves, it checks in a cache memory called "Neighbor Cache" (not shown) if a input associated with the destination IP address that appears in the IP packet exists. Such memory associates an IP address with a MAC address, and allows the router 10 to route the packet to the destination device of the IP packet that is on the same network link. In a case where the cache does not contain the IP address that appears in the destination IP field of the packet, the router 10 sends a neighbor solicitation request ("neighbor solicitation") to the devices of the subnet 12 so to ask if a device located on the network link has the IP address. It also creates a "Neighbor cache" cache entry for the IP address specified in the request for solicitation.

Cette entrée est créée avec une durée de vie prédéfinie. Si le routeur 10 reçoit une réponse d'un dispositif du sous-réseau 12, alors il complète l'entrée en associant l'adresse MAC à l'adresse IP du dispositif. S'il ne reçoit aucune réponse, signifiant qu'aucun dispositif du sous-réseau 12 ne possède l'adresse IP, il efface l'entrée de la mémoire cache à l'expiration de la durée de vie de l'entrée.This entry is created with a predefined life. If the router 10 receives a response from a device of the subnet 12, then it completes the entry by associating the MAC address with the IP address of the device. If it receives no response, meaning that no device in the subnet 12 has the IP address, it clears the cache entry after the lifetime of the entry.

L'architecture réseau comprend également un équipement réseau 13 de validation d'adresses qui met en oeuvre un mécanisme de validation d'adresses appelé « SAVI » (de l'anglais « Source Address Validation Improvement »), en cours de standardisation à l'« IETF » (pour « Internet Engineering Task Force »). Le mécanisme SAVI est adapté pour détecter une usurpation d'adresse dans un sous-réseau à l'intérieur duquel tous les dispositifs ont le même préfixe d'adresse IP. Ce mécanisme est mis en oeuvre lorsqu'une adresse IP est allouée à un dispositif dans le sous-réseau 12. L'équipement réseau 13 de validation d'adresses est situé au plus près des dispositifs du sous-réseau 12. Il est connu qu'un dispositif d'un sous-réseau, par exemple les dispositifs Ml, M2, ..., obtiennent une adresse IP selon l'une des méthodes suivantes : obtention de l'adresse auprès d'un Configuration Protocol »), allocation de l'adresse IP par serveur « DHCP » (pour « Dynamic Host Le mécanisme d'auto- auto-configuration. configuration n'existe que pour la version 6 du protocole IP. Dans un premier exemple illustré par la figure 1, dans lequel l'adresse IP est obtenue auprès d'un serveur DHCP 14, un dispositif du sous-réseau 12, par exemple le dispositif Ml, requiert auprès du serveur DHCP 14 une adresse IP en diffusant une requête « DHCP_SOLICIT ». Le serveur DHCP 14 qui reçoit la requête diffuse à l'attention du dispositif M1 une offre « DHCP_ADVERTISE » qui comprend une adresse IP proposée par le serveur DHCP 14. Le dispositif Ml, s'il accepte cette adresse, répond à cette offre en envoyant une requête « DHCP_REQUEST » qui comprend l'adresse IP qui vient de lui être proposée. La requête « DHCP_REQUEST » qui transite par l'équipement réseau 13 de validation d'adresses permet à ce dernier d'enregistrer dans une table d'association BT (on parle habituellement de « Binding Table ») une association entre un paramètre physique associé à la liaison physique propre au dispositif M1 dans le sous-réseau 12 et l'adresse IP, logique, qui a été attribuée et acceptée par le dispositif Ml. Une telle association est connue aussi sous le nom d' « association d'ancrage » (le terme habituellement utilisé est le terme anglais « binding anchor »). Le paramètre physique est indépendant de l'adresse IP ; c'est par exemple un numéro de port pl sur lequel l'équipement de validation d'adresses 13 reçoit la requête « DHCP_REQUEST » du dispositif Ml. Ainsi, l'équipement réseau 13 de validation d'adresses gère la table d'association BT qui enregistre pour tous les dispositifs Ml, M2, ..., du sous-réseau 12 qui se voient allouer une adresse IP par le serveur DHCP 14, une correspondance entre un numéro de port et l'adresse IP allouée audit dispositif. Dans d'autres exemples de réalisation, le paramètre physique du dispositif enregistré en association avec son adresse IP est une adresse MAC, ou une interface réseau.The network architecture also comprises a network equipment 13 for address validation which implements an address validation mechanism called "SAVI" (of the "Source Address Validation Improvement"), which is currently being standardized. "IETF" (for "Internet Engineering Task Force"). The SAVI mechanism is adapted to detect address spoofing in a subnet within which all devices have the same IP address prefix. This mechanism is implemented when an IP address is allocated to a device in the subnet 12. The network equipment 13 for address validation is located as close to the devices of the subnet 12. It is known that a device of a sub-network, for example the devices Ml, M2, ..., obtain an IP address according to one of the following methods: obtaining the address from a Configuration Protocol "), allocation of the IP address per server "DHCP" (for "Dynamic Host" The self-configuration mechanism exists only for IP version 6. In a first example shown in Figure 1, where IP address is obtained from a DHCP server 14, a device of the subnet 12, for example the device Ml, requires from the DHCP server 14 an IP address by broadcasting a request "DHCP_SOLICIT". the request diffuses to the attention of the device M1 an offer «DHCP_ADVERT ISE "which includes an IP address proposed by the DHCP server 14. The device Ml, if it accepts this address, responds to this offer by sending a request" DHCP_REQUEST "which includes the IP address that has just been proposed. The request "DHCP_REQUEST" which passes through the network equipment 13 for address validation allows the latter to record in a BT association table (usually referred to as "Binding Table") an association between a physical parameter associated with the physical link specific to the device M1 in the subnet 12 and the logical IP address, which has been assigned and accepted by the device M1. Such an association is also known as the "anchoring association" (the term usually used is the term "binding anchor"). The physical parameter is independent of the IP address; it is for example a port number pl on which the address validation equipment 13 receives the request "DHCP_REQUEST" of the device M1. Thus, the network equipment 13 for address validation manages the BT association table which records for all the devices Ml, M2, ..., of the subnet 12 which are allocated an IP address by the DHCP server 14. , a correspondence between a port number and the IP address allocated to said device. In other exemplary embodiments, the physical parameter of the registered device in association with its IP address is a MAC address, or a network interface.

L'équipement 13 de validation d'adresses est ainsi adapté pour détecter des usurpations d'adresse dans le sous-réseau 12. En effet, si un dispositif M3 du sous-réseau 12 usurpe l'adresse IP du dispositif M1 et envoie un paquet IP comprenant comme adresse IP source l'adresse usurpée du dispositif Ml, alors l'équipement 13 de validation d'adresses détecte une incohérence. Il y a en effet incohérence entre l'adresse IP source contenue dans le paquet IP envoyé par le dispositif M3 et l'adresse IP normalement associée dans la table d'association BT au port réseau sur lequel il vient de recevoir le paquet, en l'espèce le port associé au dispositif M3 dans la table d'association BT. L'équipement 13 de validation d'adresses bloque alors le paquet IP émis depuis la machine M3 qui comprend comme adresse source l'adresse de la machine Ml.The address validation equipment 13 is thus adapted to detect address spoofing in the subnet 12. Indeed, if a device M3 of the subnet 12 usurps the IP address of the device M1 and sends a packet IP comprising, as the source IP address, the spoofed address of the device M1, then the address validation equipment 13 detects an inconsistency. There is indeed inconsistency between the source IP address contained in the IP packet sent by the device M3 and the IP address normally associated in the BT association table with the network port on which it has just received the packet, by the port associated with the M3 device in the BT association table. The address validation equipment 13 then blocks the IP packet transmitted from the machine M3 which comprises as the source address the address of the machine M1.

Dans l'exemple décrit ici, l'adresse IP est obtenue auprès du serveur DHCP 14 qui est compris dans le sous-réseau 12. Dans un autre exemple de réalisation (non représenté), le sous-réseau 12 comprend un relais DHCP qui communique avec un serveur DHCP extérieur au sous-réseau 12. Le relais DHCP fournit les mêmes services aux équipements Ml, M2, ..., du sous-réseau 12, par l'intermédiaire d'échanges avec le serveur DHCP. En particulier, le relais DHCP alloue alors les adresses IP aux équipements Ml, M2, ... Dans un autre exemple de réalisation (non représenté), où l'adresse IP est obtenue par auto-configuration, un dispositif du sous-réseau 12, par exemple le dispositif Ml, reçoit du routeur 10 le préfixe réseau dans un message « Router Advertisement ». Le dispositif M1 génère alors un identifiant d'interface qui lui est propre, en tant que suffixe d'adresse IP. Le dispositif M1 concatène alors le préfixe réseau reçu du routeur 10 et le suffixe généré pour forger son adresse IP. Une fois l'adresse IP forgée par le dispositif Ml, celui-ci doit s'assurer que l'adresse IP est unique dans le sous-réseau 12. A cette fin, le dispositif M1 met en oeuvre un mécanisme de détection d'adresse dupliquée appelé « DAD » (pour « Duplicate Address Detection »), décrit dans la RFC 4862 (pour « Request For Comment »). Avec ce mécanisme, le dispositif M1 émet à l'attention de ses voisins du même sous-réseau, ici les dispositifs M2, etc., un message de sollicitation comprenant l'adresse qu'il s'est forgée. Lors de la diffusion de ce message, l'équipement 13 de validation d'adresses enregistre dans la table d'association BT une correspondance temporaire entre l'adresse IP du dispositif Ml, extraite du message de sollicitation, et le numéro de port sur lequel il a reçu ce message. Si aucun autre dispositif du sous-réseau 12 ne répond à ce message de sollicitation pendant un intervalle de temps donné, alors cela signifie que l'adresse IP forgée par le dispositif M1 est unique dans le sous-réseau 12 et que l'adresse IP est valable pour le dispositif Ml. Au niveau de l'équipement 13 de validation d'adresses, l'association entre l'adresse IP et le numéro de port est validée et devient définitive au terme de cet intervalle de temps donné pendant lequel l'équipement 13 de validation d'adresses n'a vu passer aucune réponse au message de sollicitation. Si au contraire, un dispositif du sous-réseau 12 répond au message de sollicitation afin d'informer le dispositif M1 que l'adresse est déjà attribuée, alors l'équipement 13 de validation d'adresses efface la correspondance temporaire qu'il a enregistrée. Une fois que toutes les adresses IP ont été forgées pour les machines du sous-réseau 12, et que l'équipement 13 de validation d'adresses possède donc une table d'association BT complète et à jour, la prévention d'usurpation d'adresse est alors opérée de la même manière que précédemment. Le réseau 10 comprend en outre un équipement réseau de filtrage 15 de type pare-feu (« firewall » en anglais) destiné à filtrer des paquets IP en fonction du champ adresse IP destination. Dans un autre mode de réalisation, l'équipement réseau de filtrage 15 est un équipement mettant en oeuvre des listes de contrôle d'accès ACL pour « Access Control List », par exemple le routeur 10. L'équipement de filtrage 15 est placé en coupure entre le routeur 10 et le réseau Internet 11. Tout paquet IP destiné à un dispositif du sous-réseau 12 transite donc par l'équipement de filtrage 15. L'équipement de filtrage 15 est paramétré pour recevoir de l'équipement 13 de validation d'adresses les adresses IP légitimes des équipements du sous- réseau 12, et pour les enregistrer dans une table de filtrage FT. Ainsi, une adresse IP reçue de l'équipement 13 de validation d'adresses et enregistrée dans la table de filtrage FT est une adresse légitime du sous-réseau 12. La table de filtrage FT est utilisée par l'équipement de filtrage 15 pour filtrer les paquets IP reçus du réseau Internet et à destination d'un dispositif du sous-réseau 12, en fonction de l'adresse IP destination qui figure dans un champ du paquet IP.In the example described here, the IP address is obtained from the DHCP server 14 which is included in the subnet 12. In another embodiment (not shown), the subnet 12 includes a DHCP relay which communicates with a DHCP server outside the subnet 12. The DHCP relay provides the same services to the equipment Ml, M2, ..., of the subnet 12, through exchanges with the DHCP server. In particular, the DHCP relay then allocates the IP addresses to the equipment Ml, M2, ... In another embodiment (not shown), where the IP address is obtained by auto-configuration, a device of the subnet 12 , for example the device Ml, receives from the router 10 the network prefix in a "Router Advertisement" message. The device M1 then generates an interface identifier of its own, as an IP address suffix. The device M1 then concatenates the network prefix received from the router 10 and the suffix generated to forge its IP address. Once the IP address forged by the device M1, the latter must ensure that the IP address is unique in the sub-network 12. For this purpose, the device M1 implements an address detection mechanism Duplicate Addressing called "DAD" (Duplicate Address Detection), described in RFC 4862 ("Request For Comment"). With this mechanism, the device M1 sends to the attention of its neighbors of the same sub-network, here the devices M2, etc., a solicitation message including the address it has forged. When this message is broadcast, the address validation equipment 13 saves in the association table BT a temporary correspondence between the IP address of the device Ml, extracted from the request message, and the port number on which he received this message. If no other device in the subnet 12 responds to this solicitation message during a given time interval, then this means that the IP address forged by the M1 device is unique in the subnet 12 and that the IP address is valid for the device Ml. At the level of the address validation equipment 13, the association between the IP address and the port number is validated and becomes definitive at the end of this given period of time during which the address validation equipment 13 did not see any response to the prompt. If, on the contrary, a device of the subnet 12 responds to the solicitation message in order to inform the device M1 that the address is already assigned, then the address validation equipment 13 erases the temporary correspondence that it has recorded. . Once all the IP addresses have been forged for the machines in the subnet 12, and the address validation equipment 13 thus has a complete and up-to-date BT association table, the spoofing prevention of address is then operated in the same way as before. The network 10 further comprises a filtering network equipment 15 of firewall type ("firewall" in English) for filtering IP packets according to the destination IP address field. In another embodiment, the filtering network equipment 15 is a device implementing ACL access control lists for "Access Control List", for example the router 10. The filtering equipment 15 is placed in between the router 10 and the Internet network 11. Any IP packet intended for a device of the subnet 12 therefore passes through the filtering equipment 15. The filtering equipment 15 is set to receive the validation equipment 13 address the legitimate IP addresses of the equipment of the subnet 12, and to save them in an FT filtering table. Thus, an IP address received from the address validation equipment 13 and registered in the FT filtering table is a legitimate address of the subnet 12. The filtering table FT is used by the filtering equipment 15 to filter the IP packets received from the Internet and to a device of the subnet 12, depending on the destination IP address that is in a field of the IP packet.

Lorsqu'un paquet IP destiné à un dispositif du sous-réseau 12 est reçu par l'équipement de filtrage 15, celui-ci analyse le champ IP destination du paquet reçu. Si l'adresse IP destination figure dans la table de filtrage FT alors, il s'agit d'un paquet destiné à un dispositif légitime du sous-réseau 12. Il n'est donc pas filtré par l'équipement de filtrage 15 et est transmis au routeur 10 pour acheminement dans le sous-réseau 12. Dans le cas contraire où le paquet IP reçu comprend une adresse IP destination qui ne fait pas partie des adresses IP enregistrée dans la table de filtrage FT, alors le paquet est filtré par l'équipement de filtrage 15. Dans un premier exemple de réalisation le paquet est détruit par l'équipement de filtrage 15. Dans un deuxième exemple de réalisation, le paquet est transmis à un équipement de sécurité (non représenté). L'équipement de sécurité est agencé pour analyser les paquets, détecter des attaques par recoupement de données, identifier l'origine d'attaques et le cas échéant mettre en oeuvre des contre-mesures. Dans les exemples de réalisation décrits ici, l'équipement 13 de validation d'adresses et l'équipement de filtrage 15 sont deux équipements distincts qui gèrent chacun une table de données : la table BT gérée par l'équipement 13 de validation d'adresses et qui comprend les adresses IP de dispositifs légitimes du sous-réseau 12 et la table de filtrage FT qui comprend les adresses IP des dispositifs du sous-réseau 12 et qui ont été transmises par l'équipement 13 de validation d'adresses. Dans un autre exemple d'architecture, l'équipement 13 de validation d'adresses et l'équipement de filtrage 15 constituent des modules de validation d'adresses IP et de filtrage d'un dispositif de validation d'adresses et de filtrage qui gère une table unique, comparable à la table BT et qui est utilisée également pour filtrer les paquets IP dont le champ adresse IP destination ne figure pas dans la table unique. L'invention n'est pas limitée à l'exemple d'architecture décrit en relation avec la figure 1. Ainsi, dans un autre exemple de réalisation illustré par la figure 2, le routeur 10 est destiné à desservir une pluralité de sous-réseaux NW1, NW2, NW3, etc. Chacun des sous-réseaux comprend donc un équipement de validation d'adresses qui transmet à l'équipement de filtrage 15 les adresses IP valides des équipements des différents sous-réseaux. Une telle architecture correspond par exemple à un réseau d'entreprise qui comprend une pluralité de sous-réseaux, chacun des sous-réseaux correspondant à une entité qui possède son propre sous-réseau. L'architecture est décrite ici dans le cas d'un adressage conforme à la version 6 du protocole IP. L'invention n'est pas limitée à ce type d'adressage. Ainsi, dans une variante de réalisation, un adressage selon la version 4 du protocole IP est utilisé. Dans ce cas, le mécanisme « ARP » (de l'anglais « Address Resolution Protocol ») est utilisé avec « ICMP Router Discovery et Router Redirect » (de l'anglais « Internet Control Message Protocol ») afin de fournir les fonctionnalités équivalentes au mécanisme de découverte des voisins « Neighbor Discovery » de la version 6 du protocole IP.When an IP packet destined for a device of the subnet 12 is received by the filtering equipment 15, the latter analyzes the destination IP field of the received packet. If the destination IP address is in the FT filtering table then, it is a packet intended for a legitimate device of the subnet 12. It is therefore not filtered by the filtering equipment 15 and is transmitted to the router 10 for routing in the subnet 12. In the opposite case where the received IP packet includes a destination IP address which is not part of the IP addresses registered in the FT filtering table, then the packet is filtered by the In a first exemplary embodiment, the packet is destroyed by the filtering equipment 15. In a second exemplary embodiment, the packet is transmitted to a security device (not shown). The security equipment is arranged to analyze the packets, detect attacks by cross-checking data, identify the origin of attacks and if necessary implement countermeasures. In the exemplary embodiments described here, the address validation equipment 13 and the filtering equipment 15 are two separate devices that each manage a data table: the table BT managed by the address validation equipment 13 and which includes the legitimate IP addresses of the subnet 12 and the FT filtering table which includes the IP addresses of the devices of the subnet 12 and which have been transmitted by the address validation equipment 13. In another exemplary architecture, the address validation equipment 13 and the filtering equipment 15 constitute IP address validation and filtering modules of an address validation and filtering device which manages a single table, comparable to the BT table, which is also used to filter IP packets whose destination IP address field is not included in the single table. The invention is not limited to the architecture example described with reference to FIG. 1. Thus, in another embodiment illustrated in FIG. 2, the router 10 is intended to serve a plurality of subnetworks NW1, NW2, NW3, etc. Each of the subnets therefore comprises an address validation equipment which transmits to the filtering equipment 15 the valid IP addresses of the equipment of the different subnetworks. Such an architecture corresponds, for example, to an enterprise network that comprises a plurality of subnetworks, each of the subnets corresponding to an entity that has its own subnetwork. The architecture is described here in the case of addressing in accordance with version 6 of the IP protocol. The invention is not limited to this type of addressing. Thus, in an alternative embodiment, addressing according to version 4 of the IP protocol is used. In this case, the "Address Resolution Protocol" (ARP) mechanism is used with "ICMP Router Discovery and Router Redirect" (Internet Control Message Protocol) to provide the functionality equivalent to neighbor discovery mechanism of IP protocol version 6.

Les étapes d'un procédé de protection d'un routeur contre des attaques, selon un exemple de réalisation, vont maintenant être décrites en relation avec la figure 3. On suppose que l'architecture réseau est conforme à l'architecture décrite en relation avec la figure 1. Dans une phase initiale PO de configuration du sous-réseau 12, les dispositifs Ml, M2, etc., acquièrent une adresse IP dans le sous-réseau 12. Cette phase PO correspond par exemple à une mise sous tension des dispositifs Ml, M2, etc. Selon les méthodes connues décrites précédemment, les dispositifs Ml, M2, etc., se voient allouer une adresse IP soit au moyen d'une requête DHCP, soit pas auto-configuration. On suppose dans cet exemple que les équipements obtiennent leur adresse IP auprès du serveur DHCP 14. De manière classique, un dispositif, par exemple le dispositif Ml, diffuse une requête « DHCP_SOLICIT » et reçoit du serveur DHCP 14 en réponse un message « DHCP_ADVERTISE » qui comprend une proposition d'adresse IP. Le dispositif M1 envoie un message « DHCP_REQUEST » qui comprend l'adresse IP validée. Ce message, qui transite par l'équipement 13 de validation d'adresses permet à ce dernier d'enregistrer dans la table d'association BT, au cours d'une étape El d'enregistrement, l'adresse IP validée en association avec un identifiant physique, par exemple un numéro de port à travers lequel le dispositif M1 communique. L'équipement 13 de validation d'adresses envoie dans une étape E2 d'envoi d'adresse IP, les adresses IPv6 qu'il a mémorisées durant la phase PO au dispositif de filtrage 15. On remarque que toute adresse mémorisée par l'équipement 13 de validation d'adresses correspond à l'adresse IP d'un dispositif qui est effectivement présent dans le sous-réseau 12. On appelle une telle adresse une adresse valide. Dans un exemple de réalisation, les adresses sont envoyées par l'équipement 13 de validation d'adresses à intervalle régulier. Dans un deuxième exemple de réalisation, dès que l'équipement 13 de validation d'adresses enregistre une adresse IP de dispositif dans la table d'association BT, il transmet cette adresse IP à l'équipement de filtrage 15. Dans un autre exemple de réalisation, c'est l'équipement de filtrage 15 qui interroge l'équipement de validation d'adresses 13 afin de savoir si une adresse IP qui figure dans le champ adresse IP destination d'un paquet IP entrant appartient à un dispositif légitime du sous- réseau 12. Dans ce cas, l'équipement de filtrage peut mémoriser les adresses légitimes au fur et à mesure. Dans un autre exemple de réalisation, l'équipement de filtrage 15 interroge systématiquement le dispositif de validation d'adresses ; il ne mémorise donc pas les adresses IP légitimes. Les adresses IP envoyées par l'équipement 13 de validation d'adresses au cours de l'étape E2 d'envoi sont reçues et mémorisées par l'équipement de filtrage 15 dans la table de filtrage FT au cours d'une étape E3 de réception et de mémorisation. Ainsi, lorsque tous les équipements du sous-réseau 12 se sont vus allouer une adresse IP enregistrée dans la table d'association BT et que ces adresses ont été transmises à l'équipement de filtrage 15, la table de filtrage FT comprend l'ensemble des adresses IP des dispositifs qui font partie du sous-réseau 12. Ces adresses sont des adresses IP valides. Dans une étape E4 d'envoi d'un paquet, l'équipement T1 envoie un paquet IP vers le routeur 10 à travers le réseau Internet 11 (non représenté sur la figure 3). On remarque que l'équipement T1 ne fait pas partie des dispositifs du sous-réseau 12. Le paquet IP comprend dans le champ adresse IP destination une adresse dont la première partie est identique au préfixe réseau du sous-réseau 12 et dont la deuxième partie est aléatoire. Il est donc destiné à être acheminé par le routeur 10 dans le sous-réseau 12. Le paquet IP est acheminé dans le réseau jusqu'au routeur 10, par exemple par l'intermédiaire d'autres routeurs (non représentés). Dans une étape de réception ES, le paquet IP est reçu par le dispositif de filtrage 15, situé en coupure entre le réseau Internet 11 et le routeur 10.The steps of a method for protecting a router against attacks, according to an exemplary embodiment, will now be described in relation to FIG. 3. It is assumed that the network architecture conforms to the architecture described in relation with FIG. FIG. 1. In an initial phase PO of configuration of the sub-network 12, the devices M1, M2, etc. acquire an IP address in the sub-network 12. This phase PO corresponds for example to a power-up of the devices. Ml, M2, etc. According to the known methods described above, the devices Ml, M2, etc., are allocated an IP address either by means of a DHCP request or not auto-configuration. In this example, it is assumed that the devices obtain their IP address from the DHCP server 14. In a conventional manner, a device, for example the device Ml, broadcasts a "DHCP_SOLICIT" request and receives a DHCP_ADVERTISE message from the DHCP server 14 in response. which includes an IP address proposal. The device M1 sends a "DHCP_REQUEST" message which includes the validated IP address. This message, which passes through the address validation equipment 13 allows the latter to record in the association table BT, during a recording step El, the IP address validated in association with a physical identifier, for example a port number through which the device M1 communicates. The address validation equipment 13 sends, in a step E2 for sending an IP address, the IPv6 addresses that it has memorized during the PO phase to the filtering device 15. It should be noted that any address stored by the equipment 13 address validation corresponds to the IP address of a device that is actually present in the sub-network 12. Such an address is called a valid address. In an exemplary embodiment, the addresses are sent by the address validation equipment 13 at regular intervals. In a second exemplary embodiment, as soon as the address validation equipment 13 stores a device IP address in the BT association table, it transmits this IP address to the filtering equipment 15. In another example of embodiment, it is the filtering equipment 15 which interrogates the address validation equipment 13 in order to know if an IP address which appears in the destination IP address field of an incoming IP packet belongs to a legitimate device of the sub. - network 12. In this case, the filtering equipment can memorize the legitimate addresses as and when. In another exemplary embodiment, the filtering equipment 15 systematically interrogates the address validation device; it does not store legitimate IP addresses. The IP addresses sent by the address validation equipment 13 during the sending step E2 are received and stored by the filtering equipment 15 in the filtering table FT during a reception step E3 and memorizing. Thus, when all the equipment of the subnet 12 has been allocated an IP address registered in the association table BT and these addresses have been transmitted to the filtering equipment 15, the filtering table FT comprises the set IP addresses of the devices that are part of the subnet 12. These addresses are valid IP addresses. In a step E4 sending a packet, the equipment T1 sends an IP packet to the router 10 through the Internet 11 (not shown in Figure 3). Note that the T1 device is not part of the devices of the subnet 12. The IP packet includes in the destination IP address field an address whose first part is identical to the network prefix of the subnet 12 and whose second part is random. It is therefore intended to be routed by the router 10 in the subnet 12. The IP packet is routed in the network to the router 10, for example via other routers (not shown). In an ES reception step, the IP packet is received by the filtering device 15, located in a gap between the Internet network 11 and the router 10.

Dans une étape E6 d'analyse du champ adresse IP destination et de test, le dispositif de filtrage 15 vérifie si l' adresse qui figure dans le champ adresse IP destination du paquet reçu est enregistré dans la table de filtrage FT. Dans un premier cas où l'adresse ne figure pas dans la table de filtrage FT (branche « nok » sur la figure 2), cela signifie que le paquet n'est destiné à aucun dispositif connu du sous-réseau 12. Le paquet est potentiellement un paquet d' attaque. Dans une étape E7 de blocage, le paquet est bloqué par l'équipement de filtrage 15. Dans un autre exemple de réalisation, le paquet est transmis à un équipement de sécurité du réseau (non représenté sur la figure 2). L'équipement de sécurité a une vision globale du trafic et est destiné à étudier les paquets bloqués de manière à identifier d'éventuelles attaques ainsi que leur origine et éventuellement à mettre en oeuvre des contre-mesures. Dans un second cas où l' adresse figure dans la table de filtrage FT (branche « ok » sur la figure 2), cela signifie que le paquet est un paquet légitime, ou plus exactement que le paquet est destiné à un dispositif légitime du sous-réseau 12. Le paquet est alors transmis au routeur 10 par l'équipement de filtrage 15 au cours d'une étape E8 de transmission, pour être acheminé dans le sous-réseau 12. En d'autres termes, dans ce cas le paquet n'est pas filtré. On suppose que le paquet est destiné au dispositif M1 du sous-réseau 12. Dans une étape E9 d' acheminement le routeur 10 achemine le paquet au dispositif du sous-réseau 12. A cette fin, et de manière classique, le routeur 10, qui met en oeuvre la version 6 du protocole IP, s' appuie sur le mécanisme normalisé de découverte des voisins pour établir une communication réseau et acheminer le paquet reçu à un dispositif du sous-réseau qu'il dessert.In a step E6 of analysis of the destination IP address and test field, the filtering device 15 checks whether the address which appears in the destination IP address field of the received packet is registered in the FT filtering table. In a first case where the address does not appear in the FT filtering table (branch "nok" in FIG. 2), this means that the packet is not intended for any known device of the subnet 12. The packet is potentially a package of attack. In a blocking step E7, the packet is blocked by the filtering equipment 15. In another embodiment, the packet is transmitted to a network security device (not shown in FIG. 2). The security equipment has a global vision of the traffic and is intended to study the blocked packets so as to identify possible attacks as well as their origin and possibly to implement countermeasures. In a second case where the address appears in the filtering table FT (branch "ok" in FIG. 2), this means that the packet is a legitimate packet, or more exactly that the packet is intended for a legitimate device of the sub. -net 12. The packet is then transmitted to the router 10 by the filtering equipment 15 during a transmission step E8, to be routed in the subnet 12. In other words, in this case the packet is not filtered. It is assumed that the packet is destined for the device M1 of the subnet 12. In a routing step E9, the router 10 conveys the packet to the device of the subnet 12. For this purpose, and in a conventional manner, the router 10, which implements IP version 6, relies on the standard neighbor discovery mechanism to establish network communication and route the received packet to a device in the subnet it serves.

Ce mécanisme, qui opère au niveau de la couche 3 du modèle OSI établit une correspondance entre une adresse IPv6, identifiant d'un dispositif au niveau de la couche 3, et une adresse MAC de ce dispositif qui correspond à un identifiant couche 2 de ce dispositif. Lorsque le routeur 10 reçoit le paquet IP, il vérifie dans la mémoire cache « Neighbor cache » si une entrée associée à l'adresse IP destination qui figure dans le paquet IP existe. Une telle mémoire associe à l'adresse IP d'un dispositif du sous-réseau une adresse MAC, c'est-à-dire un identifiant couche 2, qui permet au routeur 10 d'acheminer le paquet au dispositif dont l'adresse IP est égale à l'adresse IP destination du paquet, en l'espèce le dispositif Ml. Dans un cas où la mémoire cache ne contient pas l'adresse IP qui figure dans le champ IP destination du paquet, le routeur envoie une requête de sollicitation des voisins dans le sous-réseau 12 afin de demander si un dispositif situé sur le lien réseau possède l'adresse IP. En parallèle il crée une entrée dans la mémoire cache pour cette adresse IP ; cette entrée a une durée de vie prédéfinie. Si le routeur reçoit la réponse d'un dispositif, alors il complète l'entrée en associant l'adresse MAC du dispositif à l'adresse IP déjà enregistrée. Dans cet exemple de réalisation, soit la mémoire cache comprend déjà une entrée qui associe à l'adresse IP qui figure dans le champ IP destination du paquet reçu à l'adresse MAC du dispositif M1 du sous-réseau 12, et dans ce cas le paquet est acheminé au dispositif, soit aucune entrée ne figure dans la mémoire cache. Dans ce cas, le routeur crée une entrée et envoie une requête de sollicitation des voisins. Le routeur 10 reçoit ensuite une réponse qui lui permet de compléter l'entrée avec l'adresse MAC du dispositif M1 auquel est destiné le paquet. En effet, dans ces deux cas, le paquet est destiné à un dispositif qui existe dans le sous-réseau 12. Il est transmis et reçu par celui-ci au cours d'une étape El0 de réception. Ainsi, une attaque par déni de service connue qui consiste à inonder le routeur de paquets IP dont l'adresse IP destination comprend le même préfixe réseau que celui du routeur 10 mais qui correspond à une adresse aléatoire est impossible à mettre en oeuvre ici. En effet, l'équipement de filtrage 15, en coupure des échanges entre le routeur 10 et le réseau Internet 11 garantit que seuls des paquets destinés à des dispositifs légitimes du sous-réseau 12 sont transmis au routeur 10. Si le routeur 10 ne reçoit aucune réponse, signifiant qu'aucun dispositif ne possède l'adresse IP, alors il efface l'entrée au bout d'un temps donné qui correspond à la durée de vie de l'entrée. Un système de protection d'un routeur contre des attaques, selon un exemple de réalisation, va maintenant être décrit en relation avec la figure 4. Le système 40 de protection d'un routeur contre des attaques comprend un équipement 13 de validation d'adresses IP et un équipement de filtrage 15. L'équipement 13 de validation d'adresses IP est placé au plus près des dispositifs du sous-réseau 12. Il est agencé pour enregistrer dans la table d' association BT une association entre un paramètre physique associé à un dispositif du sous-réseau 12, par exemple un numéro de port grâce auquel le dispositif communique, et l' adresse IP du dispositif qui constitue un paramètre logique associé au dispositif. L'équipement de filtrage 15 est placé en coupure entre le réseau Internet 11 (non représenté sur la figure 4) et le routeur 10. Il est destiné à analyser tout paquet IP entrant et à destination du sous-réseau 12 et à vérifier que l'adresse IP qui figure dans le champ adresse IP destination du paquet correspond à un dispositif légitime du sous-réseau 12. Un dispositif légitime est un dispositif réellement présent dans le sous-réseau 12 dont l' adresse IP figure dans la table d' association BT gérée par le dispositif 13 de validation d'adresses. Le système 40 de protection d'un routeur comprend : - un premier microprocesseur 131, ou « CPU » (de l'anglais « Central Processing Unit ») qui est une unité de traitement du dispositif 13 de validation d'adresses, - un premier ensemble de mémoires dont une mémoire vive 132, ou « RAM » (pour « Random Access Memory ») qui permet de charger des instructions logicielles correspondant aux étapes du procédé de protection d'un routeur qui sont mises en oeuvre par le dispositif 13 de validation d'adresses, et de les faire exécuter par le premier processeur 131. L'ensemble de mémoires comprend également des moyens de mémorisation 133, par exemple un mémoire morte, ou « ROM » (de l' anglais « Read Only Memory ») adaptée pour mémoriser la table d'association BT qui à chaque adresse IP de dispositif Ml, M2, etc., du sous-réseau 12 associe un paramètre physique de la liaison physique sur laquelle le dispositif communique, par exemple un numéro de port, - des moyens 134 d'obtention des associations, agencés pour obtenir des associations entre l'adresse IP d'un dispositif du sous-réseau 12 et le paramètre physique de la liaison physique sur laquelle le dispositif communique. Ces associations sont destinées à être stockées par les moyens de mémorisation 133 dans la table d' associations BT. Les associations sont obtenues lors de l'allocation des adresses IP aux dispositifs du sous-réseau 12. Ces moyens 134 caractérisent la fonction offerte par un équipement SAVI, - des moyens d'envoi 135, agencés pour envoyer à l'équipement de filtrage 15 les adresses IP des dispositifs légitimes du sous-réseau 12, - des premières interfaces réseau 136, agencées pour communiquer avec les dispositifs du sous-réseau 12 et avec le routeur 10, Le système 40 comprend également : - un deuxième microprocesseur 151, ou CPU, qui est une unité de traitement de l'équipement de filtrage 15, - un deuxième ensemble de mémoires dont une mémoire vive 152, qui permet de charger des instructions logicielles correspondant aux étapes du procédé de protection d'un routeur qui sont mises en oeuvre par l'équipement de filtrage 15, et de les faire exécuter par le deuxième processeur 151. Le deuxième ensemble de mémoires comprend également des moyens de mémorisation 153, par exemple un mémoire morte ou ROM, adaptée pour mémoriser la table de filtrage FT qui comprend les adresses IP des dispositifs légitimes du sous-réseau 12, - des moyens de réception 154, agencés pour communiquer avec l'équipement 13 de validation d'adresses et pour recevoir les adresses IP des équipements légitimes du sous-réseau 12. Dans un exemple de réalisation, les adresses IP des dispositifs sont envoyées par l'équipement 13 de validation d'adresses au fil de l'eau, c'est-à-dire à chaque fois que l'équipement 13 de validation d'adresses enregistre une association dans la table d'associations BT. Dans un autre exemple de réalisation, les adresses sont envoyées à intervalle régulier par le dispositif 13 de validation d'adresses. - des deuxièmes interfaces réseau 155, agencées pour communiquer avec des équipements du réseau Internet 11, plus précisément avec des dispositifs Tl, T2, du réseau Internet et avec le routeur 10. Dans un autre exemple de réalisation, le système de protection 40 comprend également des moyens d'interrogation du dispositif 13 de validation d'adresses (non représentés) agencés pour que l'équipement de filtrage 15 interroge l'équipement 13 de validation d'adresses sur réception d'un paquet IP entrant afin de vérifier que l'adresse qui figure dans le champ IP destination du paquet IP entrant appartient à un dispositif du sous-réseau 12. Les moyens 134 d'obtention des associations, les moyens d'envoi 135, les premières interfaces réseau 136, les moyens de réception 154, les deuxièmes interfaces réseau 155 sont de préférence des modules logiciels comprenant des instructions logicielles pour faire exécuter les étapes du procédé de protection d'un routeur précédemment décrites. L'invention concerne donc aussi : - un programme d'ordinateur sur un support de données et chargeable dans la mémoire d'un ordinateur, le programme comprenant des instructions de code pour l'exécution des étapes du procédé de protection d'un routeur contre des attaques tel que décrit précédemment lorsque ce programme est exécuté par un processeur, et - un support d'enregistrement lisible par un dispositif de protection d'un routeur contre des attaques sur lequel est enregistré le programme d'ordinateur décrit ci-dessus. Les modules logiciels peuvent être stockés dans, ou transmis par un support de données.This mechanism, which operates at layer 3 of the OSI model, establishes a correspondence between an IPv6 address, a device identifier at layer 3, and a MAC address of this device that corresponds to a layer 2 identifier of this device. device. When the router 10 receives the IP packet, it checks in the "Neighbor Cache" cache if an entry associated with the destination IP address that appears in the IP packet exists. Such a memory associates with the IP address of a device of the subnet a MAC address, that is to say a layer 2 identifier, which allows the router 10 to route the packet to the device whose IP address is equal to the destination IP address of the packet, in this case the device Ml. In a case where the cache does not contain the IP address that is in the destination IP field of the packet, the router sends a request to request neighbors in the subnet 12 to ask if a device located on the network link has the IP address. In parallel, it creates an entry in the cache for this IP address; this entry has a predefined life. If the router receives the response from a device, then it completes the entry by associating the MAC address of the device with the already registered IP address. In this embodiment, the cache memory already comprises an entry that associates the IP address that is in the destination IP field of the received packet with the MAC address of the M1 device of the subnet 12, and in this case the packet is routed to the device, or no entry is in the cache. In this case, the router creates an entry and sends a request to solicit neighbors. The router 10 then receives a response that allows it to complete the entry with the MAC address of the device M1 for which the packet is intended. Indeed, in these two cases, the packet is intended for a device that exists in the subnet 12. It is transmitted and received by the latter during a step El0 reception. Thus, a known denial of service attack of flooding the router with IP packets whose destination IP address includes the same network prefix as that of router 10 but which corresponds to a random address is impossible to implement here. Indeed, the filtering equipment 15, cutoff exchanges between the router 10 and the Internet network 11 ensures that only packets for legitimate devices subnet 12 are transmitted to the router 10. If the router 10 does not receive no response, meaning that no device has the IP address, so it clears the entry after a given time which corresponds to the lifetime of the entry. A system for protecting a router against attacks, according to an exemplary embodiment, will now be described in connection with FIG. 4. The system 40 for protecting a router against attacks comprises an equipment 13 for validating addresses. IP and a filtering equipment 15. The IP address validation equipment 13 is placed as close as possible to the devices of the subnet 12. It is arranged to record in the association table BT an association between an associated physical parameter. to a device of the subnet 12, for example a port number through which the device communicates, and the IP address of the device which constitutes a logical parameter associated with the device. The filtering equipment 15 is placed in a cutoff between the Internet network 11 (not shown in FIG. 4) and the router 10. It is intended to analyze any incoming IP packet destined for the subnet 12 and to verify that the The IP address that is in the destination IP address field of the packet corresponds to a legitimate device in subnet 12. A legitimate device is a device that is actually present in subnet 12 whose IP address is in the association table. BT managed by the address validation device 13. The protection system 40 of a router comprises: a first microprocessor 131, or "CPU" (Central Processing Unit), which is a processing unit of the address validation device 13, a first set of memories including a random access memory 132, or "RAM" (for "Random Access Memory") which makes it possible to load software instructions corresponding to the steps of the method of protection of a router that are implemented by the validation device 13 Addresses, and have them executed by the first processor 131. The set of memories also includes storage means 133, for example a ROM, or "ROM" (of the English "Read Only Memory") adapted to store the association table BT which at each device IP address Ml, M2, etc., of the subnet 12 associates a physical parameter of the physical link on which the device communicates, for example a port number, - means 13 4 to obtain associations, arranged to obtain associations between the IP address of a device of the sub-network 12 and the physical parameter of the physical link on which the device communicates. These associations are intended to be stored by the storage means 133 in the BT association table. The associations are obtained during the allocation of the IP addresses to the devices of the sub-network 12. These means 134 characterize the function offered by a SAVI equipment, - sending means 135, arranged to send to the filtering equipment 15 the IP addresses of the legitimate devices of the subnet 12, - the first network interfaces 136, arranged to communicate with the devices of the subnet 12 and with the router 10, the system 40 also comprises: a second microprocessor 151, or CPU , which is a processing unit of the filtering equipment 15, a second set of memories including a random access memory 152, which makes it possible to load software instructions corresponding to the steps of the method of protection of a router which are implemented by the filtering equipment 15, and to have them executed by the second processor 151. The second set of memories also comprises storage means 153, for example a read only memory or ROM, adapted to store the FT filtering table which comprises the IP addresses of the legitimate devices of the sub-network 12, - reception means 154, arranged to communicate with the address validation equipment 13 and for receive the IP addresses of the legitimate equipment of the subnet 12. In an exemplary embodiment, the IP addresses of the devices are sent by the address validation equipment 13 over the water, that is to say whenever the address validation equipment 13 registers an association in the BT association table. In another exemplary embodiment, the addresses are sent at regular intervals by the address validation device 13. second network interfaces 155, arranged to communicate with devices of the Internet network 11, more specifically with devices T1, T2, of the Internet network and with the router 10. In another exemplary embodiment, the protection system 40 also comprises means for interrogating the address validation device 13 (not shown) arranged so that the filtering equipment 15 interrogates the address validation equipment 13 on reception of an incoming IP packet in order to verify that the address that appears in the destination IP field of the incoming IP packet belongs to a device of the subnet 12. The means 134 for obtaining the associations, the sending means 135, the first network interfaces 136, the reception means 154, the second network interfaces 155 are preferably software modules comprising software instructions for executing the steps of the protection method of a preceding router described. The invention therefore also relates to: - a computer program on a data medium and loadable in the memory of a computer, the program comprising code instructions for the execution of the steps of the method of protecting a router against attacks as described above when this program is executed by a processor, and - a recording medium readable by a protection device of a router against attacks on which is recorded the computer program described above. The software modules can be stored in, or transmitted by, a data carrier.

Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette magnétique ou un disque dur, ou bien un support de transmission tel qu'un signal ou un réseau de télécommunication. Dans un autre exemple de réalisation, les équipements 13 de validation d'adresses et 15 de filtrage partagent une table de données qui mémorise les adresses IP des dispositifs légitimes du sous-réseau 12. Le système 40 de protection d'un routeur est décrit ici comme comprenant un équipement 13 de validation d'adresses IP et un équipement 15 de filtrage. L'invention n'est pas limitée à ce mode de réalisation. Ainsi, dans un autre exemple de réalisation (non représenté), le système de protection 40 comprend un équipement de validation d'adresses et de filtrage adapté pour valider les adresses IP des dispositifs du sous-réseau en mémorisant les associations entre les adresses IP des dispositifs et un paramètre de la liaison physique grâce à laquelle ils communiquent, et pour filtrer les paquets entrants en fonction du champ adresse IP destination du paquet entrant. Dans un autre exemple de réalisation (non représenté), le système de protection 40 est intégré dans un dispositif de routage, tel qu'un routeur. Dans un autre exemple de réalisation (non représenté), le système de protection 40 est intégré dans une passerelle d'accès permettant un accès à des équipements d'un réseau local à un réseau IP. 25This may be a hardware storage medium, for example a CD-ROM, a magnetic diskette or a hard disk, or a transmission medium such as a signal or a telecommunications network. In another exemplary embodiment, the address validation and filtering facilities 13 share a data table that stores the IP addresses of the legitimate devices of the subnet 12. The protection system 40 of a router is described here as comprising an IP address validation equipment 13 and a filtering equipment. The invention is not limited to this embodiment. Thus, in another exemplary embodiment (not shown), the protection system 40 comprises an address validation and filtering equipment adapted to validate the IP addresses of the devices of the sub-network by storing the associations between the IP addresses of the subscribers. devices and a parameter of the physical link through which they communicate, and for filtering incoming packets based on the destination IP address field of the incoming packet. In another embodiment (not shown), the protection system 40 is integrated in a routing device, such as a router. In another exemplary embodiment (not shown), the protection system 40 is integrated in an access gateway allowing access to equipment from a local area network to an IP network. 25

Claims (9)

REVENDICATIONS1. Procédé de protection d'un routeur (10) contre des attaques, le routeur acheminant des paquets IP pour au moins un sous-réseau (12) identifié par un préfixe réseau, ledit procédé comprenant : - une étape (E3) d'obtention par l'intermédiaire d'un module de validation d'adresses IP (13) de l'adresse IP attribuée à au moins un dispositif (M1, M2, etc.) du sous-réseau, ledit module étant apte à mémoriser une adresse IP en association avec un paramètre de liaison physique, lors d'une étape (P0) d'allocation de l'adresse IP audit dispositif dans le sous-réseau, ladite adresse IP étant qualifiée d'adresse IP valide, - une étape (E8) de retransmission au routeur d'un paquet IP entrant dont l'adresse IP destination comprend le préfixe réseau, lorsque l'adresse IP destination du paquet entrant est une adresse valide.REVENDICATIONS1. A method of protecting a router (10) against attacks, the router carrying IP packets for at least one subnet (12) identified by a network prefix, said method comprising: - a step (E3) of obtaining by via an IP address validation module (13) of the IP address assigned to at least one device (M1, M2, etc.) of the subnet, said module being able to store an IP address by association with a physical link parameter, during a step (P0) of allocating the IP address to said device in the subnet, said IP address being qualified as a valid IP address, - a step (E8) of retransmitting to the router an incoming IP packet whose destination IP address includes the network prefix, when the destination packet's destination IP address is a valid address. 2. Procédé de protection d'un routeur selon la revendication 1, comprenant en outre une étape (E2) d'envoi par le module de validation d'adresses de l'adresse IP valide dudit dispositif au module de filtrage de paquets.The method of protecting a router according to claim 1, further comprising a step (E2) of sending by the address validation module the valid IP address of said device to the packet filtering module. 3. Procédé de protection selon l'une des revendications précédentes, comprenant une étape d'envoi par le module de filtrage du paquet IP entrant à un dispositif de sécurité, lorsque l'adresse IP destination du paquet IP entrant n'est pas une adresse valide.3. Protection method according to one of the preceding claims, comprising a step of sending by the filtering module of the incoming IP packet to a security device, when the destination IP address of the incoming IP packet is not an address. valid. 4. Système de protection d'un routeur (10) contre des attaques, le routeur étant agencé pour acheminer des paquets IP pour au moins un sous-réseau (12) identifié par un préfixe réseau, le système comprenant : - un module (13) de validation d'adresses IP associé au sous-réseau, comprenant des moyens d'obtention de l'adresse IP d'au moins un dispositif (M1, M2, etc.) du sous-réseau, lesdits moyens d'obtention de l'adresse étant aptes à mémoriser une adresse IP en association avec un paramètre de liaison physique, lors d'une étape d'allocation de l'adresse IP audit dispositif dans le sous-réseau, ladite adresse IP étant qualifiée d'adresse IP valide, - un module de filtrage (15), agencé pour retransmettre au routeur un paquet IP entrant dont l'adresse IP destination comprend le préfixe réseau, lorsque l'adresse IP destination du paquet entrant est une adresse valide.4. System for protecting a router (10) against attacks, the router being arranged to route IP packets for at least one subnet (12) identified by a network prefix, the system comprising: - a module (13) ) of IP address validation associated with the sub-network, comprising means for obtaining the IP address of at least one device (M1, M2, etc.) of the sub-network, said means for obtaining the address being able to memorize an IP address in association with a physical link parameter, during a step of allocating the IP address to said device in the subnet, said IP address being qualified as a valid IP address, a filtering module (15), arranged to retransmit to the router an incoming IP packet whose destination IP address comprises the network prefix, when the destination packet's destination IP address is a valid address. 5. Système selon la revendication 4, dans lequel le module de validation comprend des moyens d'envoi d' adresses, agencés pour envoyer l' adresse IP valide au module de filtrage.5. System according to claim 4, wherein the validation module comprises means for sending addresses, arranged to send the valid IP address to the filtering module. 6. Dispositif de routage de paquets IP dans un réseau comprenant un système de protection selon la revendication 4 ou la revendication 5.A device for routing IP packets in a network comprising a protection system according to claim 4 or claim 5. 7. Passerelle d'accès permettant un accès à des dispositifs d'un réseau local à un réseau IP comprenant un dispositif de routage selon la revendication 6.Access gateway allowing access to devices of a local area network to an IP network comprising a routing device according to claim 6. 8. Programme d'ordinateur sur un support de données et chargeable dans la mémoire d'un ordinateur, le programme comprenant des instructions de code pour l'exécution des étapes du procédé de protection d'un routeur contre des attaques selon l'une des revendications 1 à 3, lorsque le programme est exécuté sur ledit ordinateur.8. A computer program on a data carrier and loadable in the memory of a computer, the program comprising code instructions for performing the steps of the method of protecting a router against attacks according to one of the Claims 1 to 3, when the program is run on said computer. 9. Support de données dans lequel est enregistré le programme selon la revendication 8.Data carrier in which the program according to claim 8 is recorded.
FR1455992A 2014-06-26 2014-06-26 METHOD FOR PROTECTING A ROUTER AGAINST ATTACKS Withdrawn FR3023099A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR1455992A FR3023099A1 (en) 2014-06-26 2014-06-26 METHOD FOR PROTECTING A ROUTER AGAINST ATTACKS
PCT/FR2015/051696 WO2015197978A1 (en) 2014-06-26 2015-06-24 Method of protecting a router against attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1455992A FR3023099A1 (en) 2014-06-26 2014-06-26 METHOD FOR PROTECTING A ROUTER AGAINST ATTACKS

Publications (1)

Publication Number Publication Date
FR3023099A1 true FR3023099A1 (en) 2016-01-01

Family

ID=51610267

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1455992A Withdrawn FR3023099A1 (en) 2014-06-26 2014-06-26 METHOD FOR PROTECTING A ROUTER AGAINST ATTACKS

Country Status (2)

Country Link
FR (1) FR3023099A1 (en)
WO (1) WO2015197978A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111200611B (en) * 2020-01-06 2021-02-23 清华大学 Method and device for verifying intra-domain source address based on boundary interface equivalence class
CN117353949A (en) * 2022-06-28 2024-01-05 华为技术有限公司 Method and related device for generating verification rule

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130291117A1 (en) * 2012-04-30 2013-10-31 Cisco Technology, Inc. Protecting address resolution protocol neighbor discovery cache against denial of service attacks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130291117A1 (en) * 2012-04-30 2013-10-31 Cisco Technology, Inc. Protecting address resolution protocol neighbor discovery cache against denial of service attacks

Also Published As

Publication number Publication date
WO2015197978A1 (en) 2015-12-30

Similar Documents

Publication Publication Date Title
CN101415012B (en) Method and system for defending address analysis protocol message aggression
EP2294798B1 (en) Method and related device for routing a data packet in a network
FR3100408A1 (en) PROCESS FOR CONFIGURING A WIRELESS COMMUNICATION COVERAGE EXTENSION SYSTEM AND A WIRELESS COMMUNICATION COVERAGE EXTENSION SYSTEM IMPLEMENTING SUCH PROCESS
EP4066461B1 (en) Method, device and system for coordinating the mitigation of network attacks
WO2015197978A1 (en) Method of protecting a router against attacks
WO2019211548A1 (en) Method for sending an information item and for receiving an information item for the reputation management of an ip resource
EP3815335A1 (en) Methods for verifying the validity of an ip resource, and associated access control server, validation server, client node, relay node and computer program
WO2008001021A1 (en) Method and device for managing the configuring of equipment of a network
WO2010072953A1 (en) System for conveying an ipv4 data packet
WO2015097363A1 (en) Method of slowing down a communication in a network
FR3094590A1 (en) Gateway and method for differentiating traffic emitted by the gateway, device and method for managing traffic.
EP4027582B1 (en) Method for signalling an illicit use of an ip address
WO2020002853A1 (en) Methods for managing the traffic associated with a client domain, and associated server, client node and computer program
FR2980866A1 (en) METHOD FOR PREVENTING ADDRESS USURPATION
WO2023242315A1 (en) Method for communication between two devices, first device, second device and corresponding computer program.
WO2022136796A1 (en) Methods for traffic redirection, corresponding terminal, controller, authorisation server, name resolution servers and computer program
FR3110802A1 (en) Method for controlling the allocation of an IP address to a client equipment in a local communication network, method of processing a request for allocation of an IP address to a client equipment in a local communication network, devices , access equipment, server equipment and corresponding computer programs.
WO2023117802A1 (en) Methods for identifying at least one server for mitigating and protecting a client domain against a computer attack, corresponding devices and signal
EP4256753A1 (en) Method for detecting a malicious device in a communication network, corresponding communication device and computer program
EP2439901A1 (en) Processing method in a module of an access device suitable for connecting a remote network to a plurality of local area networks, associated module and computer program
FR3124669A1 (en) METHOD AND DEVICE FOR SECURING A LOCAL NETWORK COMPRISING A NETWORK SWITCH TO WHICH A STATION IS CONNECTED BY WIRED LINK
WO2024068722A1 (en) Methods for name resolution, communication, message processing and server, corresponding client device and relay node
FR3147063A1 (en) Methods for transmitting configuration data, associated electronic devices, central network and server comprising such an electronic device
WO2008031967A2 (en) Method of supervising a session for accessing a service set up by a client terminal by means of a dynamic configuration protocol

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20160101

ST Notification of lapse

Effective date: 20170228