[发明专利]一种防止重复地址检测攻击的方法和装置

说明书

技术领域

本发明涉及计算机数据通信领域，尤其涉及一种防止重复地址检测攻击的方法和装置。

背景技术

版本号为6的互联网协议(Internet Protocol Version 6，IPV6)使用了重复地址检测技术，每个接口的IPv6地址在生成之初首先要进行重复地址检测，因此会在本链路内广播邻居请求报文，目标地址就是要检测的自身IPv6地址，如果重复发送邻居请求报文若干次后，没有收到相关邻居公告报文，则表明IPv6地址可用，将该IPv6地址的状态从临时状态变为有效状态，该主机节点可以使用该IPv6地址作为数据包源地址进行网络交通。但是，网络中如果有恶意节点针对每个进行重复地址检测的重复地址请求包都发送邻居公告报文，则发送邻居请求报文的节点将认为新生成地址已被其他节点使用，新地址将暂时处于临时状态，节点不能用该地址发起IPv6网络交通。

动态主机配置协议的IPv6版本(Dynamic Host Configuration Protocol Version 6，DHCPv6)是一个局域网的网络协议，使用用户数据包协议(User Datagram Protocol，UDP)工作。DHCPv6主要有两个用途：(1)给内部网络或网络服务供应商自动分配IPv6地址给用户；(2)给内部网络管理员作为对所有计算机作中央管理的手段。DHCPv6作为一种有状态的地址分配方式，在安全性和可管理性上均比使用无状态地址分配方式有大幅改善，在对安全性要求较高的网络中将被广泛使用。而且由于主机节点的IPv6地址由DHCPv6服务器统一分配，所以不会出现地址重复的情况，避免了无状态地址配置和手工配置节点接口IPv6地址可能带来的地址冲突问题。因此可以使用DHCPv6的相关功能来，防止恶意节点的重复地址检测攻击。

发明内容

针对上述技术问题，本发明的目的在于提供一种防止重复地址检测攻击的方法和装置，其有效的解决了IPv6网络中存在的重复地址检测攻击的问题。

为达到上述目的，本发明是通过以下技术方案来实现的：

一种防止重复地址检测攻击的方法，包括如下步骤：

A、接入交换机通过DHCPv6侦听(SNOOPING)来监听DHCPv6主机的DHCPv6请求过程，创建绑定信息，并将该绑定信息保存到DHCPv6绑定表中，其中，所述绑定信息的内容包括：DHCPv6主机的IP地址、源介质访问控制(MAC)地址、虚拟局域网标识号(VLAN ID)及端口信息；

B、接入交换机使能重复地址检测监听，解析收到的邻居公告报文，获取目标地址、源MAC地址、虚拟局域网标识号及端口信息；

C、接入交换机检测从所述邻居公告报文中解析出的目标地址、源MAC地址、虚拟局域网标识号及端口信息与所述DHCPv6绑定表中的绑定信息是否匹配，如果匹配，则转发所述邻居公告报文，如果不匹配，则丢弃所述邻居公告报文。

特别的，所述步骤A中接入交换机通过DHCPv6侦听来监听DHCPv6主机的DHCPv6请求过程包括：

接入交换机向交换芯片下发DHCPv6报文重定向至该交换机处理器的规则，在交换芯片收到DHCPv6报文后，不执行硬件转发行为，而是将所述报文重定向至接入交换机处理器，由处理器进行软件解析和转发。

特别的，所述步骤B中接入交换机使能重复地址检测监听包括：

接入交换机将邻居请求报文和邻居公告报文重定向至接入交换机处理器的规则下发至交换芯片，在交换芯片收到邻居请求报文或邻居公告报文后，不执行硬件转发行为，而是将该报文重定向至接入交换机处理器，由处理器进行软件解析和转发。

特别的，所述步骤B中接入交换机解析收到的邻居公告报文具体包括：

接入交换机从收到的邻居公告报文的以太网头部获取源MAC地址，从第六版互联网控制信息协议(ICMPv6)消息中获取目标地址，以及所述邻居公告报文的虚拟局域网标识号和端口信息。

本发明还公开了一种防止重复地址检测攻击的装置，所述装置为接入交换机，包括：

绑定信息创建单元，用于通过DHCPv6侦听来监听DHCPv6主机的DHCPv6请求过程，创建绑定信息，并将该绑定信息保存到DHCPv6绑定表中；

报文解析单元，用于使能重复地址检测监听，解析收到的邻居公告报文，获取目标地址、源MAC地址、虚拟局域网标识号及端口信息；