[发明专利]防止非法邻居发现协议报文攻击的方法和接入设备

说明书

技术领域

本发明涉及报文传输技术领域，具体涉及防止非法邻居发现(ND，Neighbor Discovery)协议报文攻击的方法及接入设备。

背景技术

目前，IPv6是下一代网络协议，解决了IPv4地址匮乏的问题。与IPv4相比，IPv6支持简洁的固定长度的报文头，内置的安全性，更好的服务质量(QoS，Quality of Service)支持和移动性支持。ND协议作为IPV6基础协议，还提供了地址解析、路由器发现、邻居不可达检测、重复地址检测等功能。ND协议报文容易成为攻击者伪造的对象，被用来进行攻击。

攻击方式主要有如下几种：

一、攻击者利用NS/NA报文仿冒网关，欺骗网关下同一网段的其它用户，使得这些用户发往网关的报文被发送到攻击者。仿冒网关攻击的流程如图1所示：

步骤101：攻击者A通过接入设备向其它用户如：合法用户B发送多播邻居请求(NS，Neighbor Solicitation)报文，NS报文的源媒体接入控制(MAC，Media Access Control)地址为攻击者A的MAC地址，源IP地址为网关的IP地址。

步骤102：用户B接收NS报文，查找与该报文的源IP地址对应的ND表项，若未查找到，则根据报文的源IP地址、源MAC地址等，建立新的ND表项；若查找到，但ND表项中的MAC地址与NS报文的源MAC地址不一致，则以报文中的源MAC地址更新该ND表项中的MAC地址。

步骤103：用户B要向网关发送报文，先发送一个单播NS报文进行邻居不可达检测，该报文的目的IP地址为网关的IP地址，而目的MAC地址则为用户B学习到的ND表项中的攻击者A的MAC地址。

步骤104：NS报文被发送到攻击者A，攻击者A向用户B回复邻居通告(NA，Neighbor Advertisement)报文。

步骤105：用户B接收NA报文，则将对应ND表项设置为可达状态，此后，用户B发往网关的报文都会被攻击者A截获。

二、攻击者利用NS/NA报文仿冒合法用户，欺骗网关或者同一网段内的其它用户该合法用户的MAC地址已更新，使得网关或者其它用户发往该合法用户的报文都被封装上错误的信息，攻击流程如图2所示：

步骤201：攻击者A通过接入设备向其它用户如：合法用户C发送多播NS报文，NS报文的源MAC地址为攻击者A的MAC地址，源IP地址为合法用户B的IP地址。

步骤202：合法用户C接收NS报文，查找与该报文的源IP地址对应的ND表项，若未查找到，则根据报文的源IP地址、源MAC地址等，建立新的ND表项；若查找到，但ND表项中的MAC地址与报文的源MAC地址不一致，则以报文的源MAC地址更新该ND表项中的MAC地址。

步骤203：合法用户C要向合法用户B发送报文，先发送一个单播NS报文进行邻居不可达检测，报文的源IP地址为用户B的IP地址，源MAC地址则为学习到的ND表项中的攻击者A的MAC地址。

步骤204：NS报文被发送到攻击者A，攻击者A向合法用户C回复NA报文。

步骤205：合法用户C接收NA报文，将对应的ND表项设置为可达状态，此后，合法用户C发往合法用户B的报文都被攻击者A截获。

三、攻击者利用RS/RA报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新，导致网关将所有报文发往攻击者，攻击流程如图3所示：

步骤301：攻击者A通过接入设备向网关发送路由器请求(RS，RouterSolicitation)报文，RS报文的源IP地址为合法用户B的IP地址，源MAC地址为攻击者A的MAC地址。

步骤302：网关接收RS报文，查找与该报文的源IP地址对应的ND表项，若未查找到，则根据报文的源IP地址、源MAC地址等，建立新的ND表项；若查找到，但ND表项中的MAC地址与报文的源MAC地址不一致，则以报文的源MAC地址更新该ND表项中的MAC地址。

步骤303：网关向合法用户B发送报文，报文的目的IP地址为合法用户B的IP地址，目的MAC地址为ND表项中的攻击者A的MAC地址，则报文被发送到攻击者A。

另外，攻击者A还可伪造路由器通告(RA，Router Advertisement)报文，报文的源IP地址为网关IP地址，源MAC地址为攻击者A的MAC地址，合法用户B收到RA报文时会建立或更新网关对应的ND表项，导致合法用户B发往网关的报文被攻击者A截获。