[发明专利]适用于SEND协议的DAD过程恶意NA报文抑制方法

说明书

本发明涉及到一种适用于SEND协议的DAD过程恶意NA报文抑制方法，包括控制器、交换机、主机；新增MSDAD‑Request报文、MSDAD‑Reply应答报文和MSDAD‑Feedback报文；控制器增加包含监听表、查询表、反馈表的反馈模块；控制器向交换机下发流表，对DAD过程的NS和NA报文监听，接收MSDAD‑Request报文和MSDAD‑Reply应答报文；主机进行地址真伪计算，并发送反馈报文给交换机，交换机发送消息至控制器。本发明利用主机的计算能力将恶意节点的攻击行为反馈给控制器，控制器可以根据反馈结果对恶意攻击进行源头抑制，避免验证无意义的CGA参数验证而消耗主机CPU资源。

技术领域

本发明涉及计算机技术领域，特别与一种适用于SEND协议的 DAD过程恶意NA报文抑制方法有关。

背景技术

为了防止地址欺骗，IETF(国际互联网工程任务组)提出了SEND 协议。SEND协议作为NDP(Neighbor Discovery Protocol，邻居发现协议)的增强机制，它使用加密地址生成(Cryptographically Generated Address，CGA)，数字签名，时间戳等方法来保护NDP报文，并防止IP地址盗用。CGA是SEND特有的地址格式，产生方法为由子网前缀(Subnet Prefix)、公钥(Public Key)、碰撞次数(Collision Count)、Modifier(调节参数)经过多次hash运算找到合适的Modifier 值，然后再进行二次hash运算，然后取160位hash值的前64位，再结合Sec(Security Level)值与其他参数共同形成最终地址。

理论上，CGA可以有效地防止地址欺骗。因为hash函数具有单向性的特点，也就是说对于给定的y，找到一个x使得x满足hash(x)＝y 在计算上是不可行的，同时还有RSA选项对消息进行保护。因此，在SEND协议中，恶意节点是无法通过伪造参数来盗用其他节点的地址。但由于CGA对于错误的参数经过验证后需要丢弃，由此恶意的节点可以发送大量含有错误CGA参数的NA来消耗目标节点的计算资源，从而形成DoS，因此如何防止恶意NA攻击，降低主机CPU 资源消耗是CGA面临的一大挑战。

因此，本发明人针对这一问题设计了一种适用于SEND协议的 DAD过程恶意NA报文抑制方法，本案由此产生。

发明内容

本发明的目的是提供一种适用于SEND协议的DAD过程恶意 NA报文抑制方法，对于恶意节点使用虚假的CGA参数构造的，而网络设备又无法分辨的NA应答，通过主机计算来进行验证，辨别真伪，从而实现恶意NA报文抑制，避免验证无意义的CGA参数验证而消耗主机CPU资源，称这种方法为MSDAD(DAD with Malicious neighbor advertisementSuppression)。

为实现上述目的，本发明采用的技术方案如下：

一种适用于SEND协议的DAD过程恶意NA报文抑制方法，包括控制器、交换机、主机；设计三种报文，MSDAD-Request报文、 MSDAD-Reply应答报文和MSDAD-Feedback报文；控制器内增加反馈模块，反馈模块中包含3个表，监听表、查询表、反馈表；控制器向交换机下发流表，对DAD过程中的NS和NA报文监听，同时接收MSDAD-Request报文和MSDAD-Reply应答报文；主机进行地址真伪计算，并发送反馈报文给交换机，交换机发送消息至控制器。

所述的三种报文，其ICMPv6协议Type字段值为200，并采用如表1所示的Option结构格式，Option中各字段含义见表2，

表1

表2

所述的监听表格式如表3、查询表格式如表4、反馈表格式如表 5：

表3