[发明专利]一种数据报文转发方法、装置及系统

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种数据报文转发方法、装置及系统。

背景技术

互联网协议版本6(IPv6，Internet Protocol Version 6)在请求评论文档(RFC，Request For Comments)2460中定义，是下一代互联网设备互联的重要标准之一。目前大部分网络设备(包括交换机，路由器等)都支持IPv6协议。

相比IPv4，IPv6将地址长度由原先的32位增加到了128位，IPv6的地址总数大约有3.4*10E38个，以支持大规模数量的网络节点。平均到地球表面上，每平方米将获得6.5*10E23个地址。IPv6支持更多级别的地址层次，IPv6的设计者把IPv6的地址空间按照不同的地址前缀来划分，并采用了层次化的地址结构，以利于骨干网路由器对数据包的快速转发。

目前有一种利用IPv6数据报文对网络设备发起的拒绝服务(DoS，Denial of Service)攻击，攻击的方法和报文的主要特征如下：

(1)攻击者朝目标网络设备的某个IPv6接口持续发送大量的IPv6数据报文(攻击报文)。攻击报文的报文发送速率是随机调整的；

(2)攻击报文的源IPv6地址是随意的，目的IPv6地址在变化，且与目标网络设备的某一个接口地址(这个接口地址作为攻击报文目的IPv6地址的网关)在同一网段。

(3)目的IPv6地址所对应的主机可能存在，也可能不存在。

DoS攻击主要是针对目标网络设备CPU的负担来设计。对网络设备来说，如果目的IPv6地址存在，则IPv6数据报文会被网络设备直接转发，不会占用网络设备CPU的资源，而如果目的IPv6地址不存在，IPv6数据报文会送到网络设备CPU，由CPU通过邻居发现(ND，Neighbor Discovery)协议，发送邻居请求(NS，Neighbor Solicitation)报文，请求询问目的IPv6地址对应的介质访问控制(MAC，Media Access Control)地址，如果送到CPU的IPv6数据报文数量较多，网络设备会持续发送NS报文，消耗CPU资源。在IPv6数据报文的发送速率较大的情况下，网络设备的CPU忙于发送NS报文，使其他正常业务无法得到及时处理，造成网络转发不通，网络路由协议震荡等故障。

ND协议是IPv6中的一个关键协议，全称是IPv6版本的邻居发现(Neighbor Discovery for IP Version 6)，在RFC 2461中定义。ND协议的一个主要机制就是提供确定本地链路上节点链路层地址的方法，这种机制混合使用互联网控制消息协议第六版(ICMPv6，Internet Control Message Protocol Version 6)和IPv6的多播地址，有点类似IPv4的地址解析协议(ARP，Address ResolutionProtocol)。下面对ND协议中确定本地链路上节点链路层地址机制的原理做一个说明。

在IPv6中，对节点链路层地址的确定使用邻居请求消息(ICMPv6类型135)、邻居公告消息(ICMPv6类型136)和被请求节点多播地址的组合。

如图1所示，节点A和B的链路层地址分别是00:50:3e:e4:4c:00和00:50:3e:e4:4b:01。节点A要和节点B通信，需要获取节点B的链路层地址，具体的，可以通过以下步骤获取节点B的链路层地址：

步骤一：节点A发送一个类型为135的ICMPv6消息(该消息即NS报文)到本地链路，节点A的本地站点地址FEC0::1:0:0:1:A作为源地址，与节点B的本地站点地址FEC0::1:0:0:1:B对应的被请求节点多播地址FF02::1:FF01:B作为目的地址，发送节点A的源链路层地址00:50:3e:e4:4c:00作为ICMPv6消息的数据。

步骤二：侦听本地链路上多播地址的节点B获取这个邻居请求消息；

步骤三：节点B发送一个类型为136的ICMPv6消息(该消息即邻居公告消息(NA，Neighbor Advertisement)报文)作为应答报文，用节点B的本地站点地址FEC0::1:0:0:1:B作为源地址，节点A的本地站点地址FEC0::1:0:0:1:A作为目的地址，以节点B的链路层地址00:5e:3e:e4:4b:01作为消息的数据。

在节点A收到NA报文和节点B收到NS报文后，都知道了对端的链路层地址，并可以存放在自己的邻居发现列表中，此时，节点A和B可以进行通信。