專利名稱:一種地址檢測(cè)報(bào)文的處理方法和交換設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����,特別涉及一種地址檢測(cè)報(bào)文的處理方法 和交換設(shè)備。
背景技術(shù):
IPv6是IPv4的下一代網(wǎng)絡(luò)協(xié)議����,解決了 IPv4地址匱乏的問題���,與IPv4 相比,具有固定長(zhǎng)度的簡(jiǎn)潔報(bào)文頭和內(nèi)置的安全性�,提供更好的服務(wù)質(zhì)量 (QoS)支持和移動(dòng)性支持。鄰居發(fā)現(xiàn)(ND)協(xié)議作為IPv6的基礎(chǔ)協(xié)議�, 提供了地址解析、路由器發(fā)現(xiàn)��、鄰居不可達(dá)檢測(cè)����、重復(fù)地址檢測(cè)等功能�����。
但是ND協(xié)議報(bào)文容易稱為攻擊者偽造的對(duì)象���,被用于進(jìn)行網(wǎng)絡(luò)攻擊����。 如圖1所示的網(wǎng)絡(luò)架構(gòu)中��,交換機(jī)可以接收到與其直連的所有主機(jī)發(fā)送的 ND協(xié)議報(bào)文,當(dāng)主才幾需要使用 一個(gè)IP地址時(shí)�����,將該IP地址攜帶在ND地 址檢測(cè)報(bào)文中發(fā)送給交換機(jī)��,交換機(jī)將該ND地址檢測(cè)報(bào)文進(jìn)行轉(zhuǎn)發(fā)���,如果 在設(shè)定時(shí)間內(nèi)沒有接收到指示該IP地址已被使用的報(bào)文����,則認(rèn)為該IP地址 尚未被使用��,是有效的���,交換機(jī)存儲(chǔ)包含ND地址檢測(cè)報(bào)文攜帶的IP地址���、 源媒體接入控制(MAC )地址和入端口信息的表項(xiàng)用于后續(xù)對(duì)該主機(jī)的報(bào) 文轉(zhuǎn)發(fā)。如果攻擊者在接收到交換機(jī)轉(zhuǎn)發(fā)的ND地址檢測(cè)報(bào)文后�,仿冒發(fā)送 指示該ND地址檢測(cè)報(bào)文所請(qǐng)求的IP地址已被使用的報(bào)文,則會(huì)造成所請(qǐng) 求使用的IP地址對(duì)應(yīng)的表項(xiàng)無法生效��,請(qǐng)求使用該IP地址的主機(jī)無法正常 通信���。例如����,在主機(jī)A發(fā)送包含IP_A的ND地址檢測(cè)報(bào)文后,如果主機(jī)B 是攻擊者�,則主機(jī)B在接收到交換機(jī)轉(zhuǎn)發(fā)的ND地址檢測(cè)報(bào)文后,仿冒發(fā)送 指示該IP—A已被使用的4艮文�����,則會(huì)導(dǎo)致主機(jī)A請(qǐng)求的IP地址無法生效�����, 主機(jī)A無法進(jìn)行正常的通信����。針對(duì)上述安全攻擊��,現(xiàn)有技術(shù)中提供了 一種對(duì)ND協(xié)議報(bào)文進(jìn)行加密的 方式��,需要通信的網(wǎng)絡(luò)節(jié)點(diǎn)之間實(shí)現(xiàn)加密和解密的處理�。這就需要在組網(wǎng)時(shí) 對(duì)各網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行加密解密的相關(guān)配置,使用復(fù)雜度較高�����。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供了 一種地址纟全測(cè)報(bào)文的處理方法和交換設(shè)備�����,以 便于更加簡(jiǎn)單地防止通過仿冒指示IP地址已被使用的報(bào)文進(jìn)行的安全攻擊�����。
一種地址檢測(cè)4艮文的處理方法��,該方法包括
A����、 交換設(shè)備接收到鄰居發(fā)現(xiàn)ND地址檢測(cè)報(bào)文后,不將所述ND地址檢測(cè) 報(bào)文轉(zhuǎn)發(fā)給主機(jī)�;
B、 獲取所述ND地址檢測(cè)報(bào)文的源媒體接入控制MAC地址�、入端口信息 和所i青求的IP地址;
C��、 判斷該交換設(shè)備是否已經(jīng)存儲(chǔ)包含所述IP地址的安全表項(xiàng)���,如果是�, 執(zhí)行步驟D;否則,執(zhí)行步驟E;
D����、 向接收所述ND地址檢測(cè)報(bào)文所使用的端口回復(fù)指示所述IP地址已被 使用的報(bào)文,結(jié)束流程�;
E、 將步驟B獲取的源MAC地址�、入端口信息和所請(qǐng)求的IP地址存儲(chǔ)為 項(xiàng),
一種交換設(shè)備�,該交換設(shè)備包括報(bào)文接收單元、報(bào)文處理單元����、第一判 斷單元和表項(xiàng)存儲(chǔ)單元;
所述報(bào)文接收單元�����,用于接收?qǐng)?bào)文�;
所述報(bào)文處理單元,用于在所述報(bào)文接收單元接收到ND地址檢測(cè)報(bào)文時(shí)�, 不將所述ND地址檢測(cè)報(bào)文轉(zhuǎn)發(fā)給主機(jī)���,獲取所述ND地址檢測(cè)報(bào)文的源MAC 地址��、入端口信息和所請(qǐng)求的IP地址�;接收到回復(fù)通知后,向接收所述ND地 址檢測(cè)報(bào)文所使用的端口回復(fù)指示所述IP地址已被使用的報(bào)文����;
所述第一判斷單元,用于判斷該交換設(shè)備是否已經(jīng)存儲(chǔ)包含所述IP地址的 安全表項(xiàng)�,如果是,向報(bào)文處理單元發(fā)送回復(fù)通知�;否則,向所述表項(xiàng)存儲(chǔ)單
6元發(fā)送存卡者通^P;
所述表項(xiàng)存儲(chǔ)單元�,用于接收到存儲(chǔ)通知后,將所述報(bào)文處理單元獲取的
源MAC地址��、入端口信息和所請(qǐng)求的IP地址存儲(chǔ)為安全表項(xiàng)用于除ND地址 檢測(cè)報(bào)文之外的其它報(bào)文的轉(zhuǎn)發(fā)�����。
由以上技術(shù)方案可以看出��,在本發(fā)明中�����,交換設(shè)備接收到ND地址;險(xiǎn)測(cè) 報(bào)文后,不再將ND地址檢測(cè)報(bào)文轉(zhuǎn)發(fā)給主機(jī)��,且不再依賴ND地址檢測(cè)報(bào) 文的回復(fù)結(jié)果來建立安全表項(xiàng)�,而是通過判斷交換設(shè)備是否已經(jīng)存儲(chǔ)包含所 請(qǐng)求IP地址的安全表項(xiàng)來確定是否建立安全表項(xiàng)用于除ND地址;險(xiǎn)測(cè)凈艮文 之外的其它報(bào)文轉(zhuǎn)發(fā),即判斷該交換設(shè)備是否已經(jīng)存儲(chǔ)包含該IP地址的安 全表項(xiàng)����,如果是,向接收該ND地址檢測(cè)報(bào)文所使用的端口回復(fù)指示該IP 地址已被使用的報(bào)文�����;否則將ND地址檢測(cè)報(bào)文的源MAC地址�、入端口信 息和所請(qǐng)求的IP地址存儲(chǔ)為安全表項(xiàng)。通過這種方式�����,交換設(shè)備將主機(jī)發(fā) 送的ND地址檢測(cè)報(bào)文進(jìn)行阻截和處理��,攻擊者對(duì)于指示IP地址已被使用 的報(bào)文進(jìn)行的仿冒不能夠千涉安全表項(xiàng)的生成����,且相比較對(duì)ND協(xié)議報(bào)文進(jìn) 行加密和解密的處理方式,更加筒單地防止了通過仿冒指示IP地址已被使 用的報(bào)文進(jìn)行的安全攻擊�����。
圖1為攻擊者進(jìn)行網(wǎng)絡(luò)攻擊的示意圖2為本發(fā)明實(shí)施例提供的詳細(xì)方法流程圖3為ND地址;險(xiǎn)測(cè)報(bào)文的沖各式圖4為NA報(bào)文的沖各式圖5為多個(gè)交換機(jī)相連的組網(wǎng)架構(gòu)圖6為本發(fā)明實(shí)施例提供的交換設(shè)備組成示意圖�。
具體實(shí)施例方式
為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面結(jié)合附圖和具體
7實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。
本發(fā)明所提供的方法可以主要包括交換設(shè)備接收到主機(jī)發(fā)送的ND地 址才全測(cè)l艮文后�����,不將該ND地址才全測(cè)凈艮文轉(zhuǎn)發(fā)給其它主才幾�����;獲耳又ND地址氺全 測(cè)報(bào)文的源MAC地址��、入端口信息和所請(qǐng)求的IP地址����;判斷該交換設(shè)備是 否已經(jīng)存儲(chǔ)包含該IP地址的安全表項(xiàng),如果是���,向接收該ND地址檢測(cè)報(bào) 文所使用的端口回復(fù)指示該IP地址已被使用的報(bào)文�����;否則�,將獲取的源MAC 地址、入端口信息和所請(qǐng)求的IP地址存儲(chǔ)為安全表項(xiàng)用于除ND地址纟全測(cè) 報(bào)文之外的其它報(bào)文的轉(zhuǎn)發(fā)���。
其中��,上述交換設(shè)備可以是交換機(jī)���、路由器等二層接入設(shè)備或三層轉(zhuǎn)發(fā) 設(shè)備。
下面對(duì)本發(fā)明提供的上述方法進(jìn)行詳細(xì)描述�����。圖2為本發(fā)明實(shí)施例提供 的詳細(xì)方法流程圖��,該實(shí)施例中以交換才幾和主才幾構(gòu)成的局域網(wǎng)為例進(jìn)4亍描 述����,如圖2所示,該方法可以包^^以下步驟
步驟201:交換機(jī)接收到主機(jī)發(fā)送的ND地址檢測(cè)4艮文后���,不將該ND 地址纟全測(cè)報(bào)文轉(zhuǎn)發(fā)給其它主機(jī)���。
在ND協(xié)議中����,主機(jī)在使用任何單播地址之前均需要檢測(cè)IP地址是否 有效��,該檢測(cè)IP地址是否有效的報(bào)文為ND地址檢測(cè)報(bào)文����;通常����,ND地址 檢測(cè)報(bào)文的源地址為未指定地址(即全0的地址)的ND協(xié)議報(bào)文,交換設(shè) 備接收到源地址為未指定地址的ND協(xié)議報(bào)文時(shí)�,確定該報(bào)文為ND地址檢 測(cè)報(bào)文。當(dāng)主機(jī)需要使用 一個(gè)IP地址時(shí)��,需要將攜帶該IP地址的ND地址 檢測(cè)報(bào)文在網(wǎng)絡(luò)中廣播�����,并進(jìn)行重復(fù)地址檢測(cè)����。
為了防止攻擊者仿冒指示IP地址已被使用的報(bào)文���,例如ND地址檢測(cè) 報(bào)文的回復(fù)(NA)報(bào)文,本發(fā)明中�,交換機(jī)不再將接收到的主機(jī)發(fā)送的ND 地址檢測(cè)報(bào)文轉(zhuǎn)發(fā)給其它主機(jī),而是采用以下步驟中所描述的方式生成安全 表項(xiàng)����。
步驟202:獲取ND地址檢測(cè)報(bào)文的源MAC地址、入端口信息和所請(qǐng) 求的IP地址��。ND地址檢測(cè)報(bào)文的格式可以如圖3所示���,其中類型(Type)字段的內(nèi) 容為135��,主機(jī)請(qǐng)求的IP地址攜帶在ND地址檢測(cè)報(bào)文的目標(biāo)地址(Target Address)字l殳中����。
其中�,入端口信息可以是虛擬局域網(wǎng)(VLAN)接口與二層物理端口的 結(jié)合;也可以是三層以太網(wǎng)接口�����。
步驟203:交換機(jī)判斷是否已經(jīng)存儲(chǔ)包含所請(qǐng)求IP地址的安全表項(xiàng)���, 如果是���,執(zhí)行步驟204;否則����,執(zhí)行步驟209����。
步驟204:判斷包含該IP地址的安全表項(xiàng)的內(nèi)容是否與步驟202獲取 的源MAC地址���、入端口信息和IP地址相同��,如果是����,執(zhí)行步驟208;否則���, 執(zhí)行步驟205�����。
如果交換機(jī)已經(jīng)存儲(chǔ)包含所請(qǐng)求IP地址的安全表項(xiàng)�����,則在本步驟中進(jìn) 一步確定存儲(chǔ)的安全表項(xiàng)內(nèi)容是否與ND地址4全測(cè)報(bào)文的入端口和源MAC 地址完全一致����。如果完全一致,則說明該IP地址已被使用�����,不能再被發(fā)送 該ND地址檢測(cè)報(bào)文的主機(jī)使用��。如果不完全一致��,則有可能是原來使用該 IP地址的主機(jī)更換了端口或MAC地址��,則按照原有的表項(xiàng)構(gòu)造ND地址才全 測(cè)報(bào)文進(jìn)行發(fā)送檢測(cè)原有主機(jī)是否仍再使用該IP地址����,即執(zhí)行步驟205。
步驟205:向包含該IP地址的安全表項(xiàng)所記錄的端口發(fā)送攜帶該IP地 址的ND ;也址4全測(cè)才艮文��。
步驟206:判斷在設(shè)定時(shí)間內(nèi)是否接收到指示該IP地址已被使用的報(bào) 文�,如果是,執(zhí)行步驟208。否則��,執(zhí)行步驟207��。
如果在設(shè)定時(shí)間內(nèi)接收到指示該IP地址已被使用的報(bào)文�,則說明該IP 地址仍被原有主機(jī)使用,即包含該IP地址的安全表項(xiàng)仍有效�����,發(fā)送ND地 址檢測(cè)報(bào)文的主機(jī)不能使用該IP地址����。如果在設(shè)定時(shí)間內(nèi)沒有接收到指示 該IP地址已被使用的報(bào)文,則說明包含該IP地址的安全表項(xiàng)已經(jīng)無效��,則 發(fā)送ND地址檢測(cè)報(bào)文的主機(jī)可以使用該IP地址�����,交換機(jī)執(zhí)行步驟207����。
步驟207:將包含該IP地址的安全表項(xiàng)內(nèi)容替換為步驟202獲取的源 MAC地址���、入端口信息和所請(qǐng)求的IP地址��,結(jié)束流程���。步驟208:向接收ND地址4企測(cè)4艮文所4吏用的端口回復(fù)指示該IP地址已 被使用的報(bào)文��,結(jié)束流程���。
本步驟中指示該IP地址已被使用的報(bào)文可以為NA報(bào)文,NA報(bào)文的格 式可以如圖4所示�����,類型字段為136, IP地址攜帶在目標(biāo)地址(Target Address ) 字段中��,發(fā)送ND地址檢測(cè)報(bào)文的主機(jī)接收到該NA報(bào)文后���,從目標(biāo)地址字 段中獲取該IP地址����,確定該IP地址不能使用�����。
步驟209:將步驟202獲取的源MAC地址、入端口信息和所請(qǐng)求的IP 地址存儲(chǔ)為安全表項(xiàng)��,結(jié)束流程��。
另外��,在如圖5所示的組網(wǎng)環(huán)境中可能存在多個(gè)交換機(jī)相連�,為了保證 與交換機(jī)1相連的主機(jī)可以通過交換機(jī)2進(jìn)行正常的報(bào)文轉(zhuǎn)發(fā),同時(shí)保證與 交換機(jī)2相連的主機(jī)可以通過交換機(jī)1進(jìn)行正常的報(bào)文轉(zhuǎn)發(fā)�,需要在交換機(jī) 1和交換機(jī)2上都按照本發(fā)明提供的方法對(duì)ND地址檢測(cè)報(bào)文進(jìn)行處理,并 建立表項(xiàng)�。因此,更優(yōu)地���,交換機(jī)接收到ND檢測(cè)報(bào)文后可以通過預(yù)設(shè)的信 任端口轉(zhuǎn)發(fā)給與其相連的其它交換機(jī)����。如圖5所示��,將交換機(jī)1和交換機(jī)2 之間的端口設(shè)置為信任端口 �,交換機(jī)1接收到ND地址檢測(cè)報(bào)文后�,僅通過 信任端口進(jìn)行轉(zhuǎn)發(fā),不通過其它端口轉(zhuǎn)發(fā)����。在交換機(jī)2通過信任端口接收到 ND地址4全測(cè)報(bào)文后���,對(duì)該ND地址;險(xiǎn)測(cè)l艮文的處理方式如圖2所示的流程 相同。
更進(jìn)一步地�����,為了防止有些主機(jī)已經(jīng)不再使用某些IP地址���,即交換機(jī) 存儲(chǔ)的安全表項(xiàng)中有些可能是失效的����,交換機(jī)可以每隔固定時(shí)間對(duì)存儲(chǔ)的各 安全表項(xiàng)進(jìn)行有效性;險(xiǎn)測(cè)�����。4企測(cè)的具體方式可以為向安全表項(xiàng)記錄的端口 發(fā)送攜帶該安全表項(xiàng)所記錄IP地址的ND地址4全測(cè)報(bào)文��,判斷在設(shè)定時(shí)間 內(nèi)是否接收到指示該IP地址已被使用的報(bào)文�,如果是,則保留該安全表項(xiàng)����, 否則刪除該安全表項(xiàng)��。
在交換機(jī)對(duì)安全表項(xiàng)進(jìn)行有效性一全測(cè)時(shí)���,如果有主機(jī)正在^f吏用該安全表 項(xiàng)所使用的IP地址,則會(huì)回復(fù)指示該IP地址已被使用的報(bào)文�����,交換機(jī)接收 到該報(bào)文后�����,確定該安全表項(xiàng)仍有效��,因此���,保留該安全表項(xiàng)�。如果在設(shè)定時(shí)間內(nèi)沒有接收到指示該IP地址已被使用的報(bào)文���,說明該安全表項(xiàng)已經(jīng)沒 有被使用���,該安全表項(xiàng)無效��,可以刪除該安全表項(xiàng)。
通過上述方式建立放入安全表項(xiàng)用于指導(dǎo)交換機(jī)進(jìn)行除ND地址檢測(cè)
報(bào)文之外的其它報(bào)文的轉(zhuǎn)發(fā)���,可以具體為交換機(jī)接收到除ND地址檢測(cè)報(bào) 文之外的其它報(bào)文后�����,判斷是否存儲(chǔ)與接收到的該其它報(bào)文的源IP地址��、 入端口信息和源MAC地址一致的安全表項(xiàng)�����,如果是���,轉(zhuǎn)發(fā)該其它報(bào)文;否 則丟棄該其它報(bào)文�。
以上是對(duì)本發(fā)明提供的方法進(jìn)行的詳細(xì)描述,下面對(duì)本發(fā)明所提供的交 換設(shè)備進(jìn)行詳細(xì)描述��。圖6為本發(fā)明實(shí)施例提供的交換設(shè)備組成示意圖��,如 圖6所示��,該交換設(shè)備可以包括報(bào)文接收單元601�、報(bào)文處理單元602��、 第一判斷單元603和表項(xiàng)存儲(chǔ)單元604���。
報(bào)文接收單元601 ,用于接收?qǐng)?bào)文����。
報(bào)文處理單元602,用于在報(bào)文接收單元601接收到ND地址檢測(cè)報(bào)文 時(shí),不將該ND地址檢測(cè)報(bào)文轉(zhuǎn)發(fā)給主機(jī)�,獲取該ND地址檢測(cè)報(bào)文的源 MAC地址、入端口信息和所請(qǐng)求的IP地址��;接收到回復(fù)通知后�����,向接收該 ND地址檢測(cè)報(bào)文所使用的端口回復(fù)指示該IP地址已被使用的報(bào)文��。
第一判斷單元603,用于判斷該交換設(shè)備是否已經(jīng)存儲(chǔ)包含報(bào)文處理單 元602獲取的IP地址的安全表項(xiàng)����,如果是,向報(bào)文處理單元602發(fā)送回復(fù) 通知����;否則��,向表項(xiàng)存儲(chǔ)單元604發(fā)送存儲(chǔ)通知。
表項(xiàng)存儲(chǔ)單元604,用于接收到存儲(chǔ)通知后��,將報(bào)文處理單元602獲取 的源MAC地址�����、入端口信息和所請(qǐng)求的IP地址存儲(chǔ)為安全表項(xiàng)用于除ND 地址檢測(cè)報(bào)文之外的其它4艮文的轉(zhuǎn)發(fā)��。
上述的報(bào)文處理單元602���、第一判斷單元603和表項(xiàng)存儲(chǔ)單元604均可 以由交換設(shè)備的CPU實(shí)現(xiàn)�����,本發(fā)明中交換設(shè)備對(duì)于接收到的ND地址檢測(cè) 報(bào)文直接上送CPU進(jìn)行處理��,不進(jìn)行針對(duì)主機(jī)的硬件轉(zhuǎn)發(fā)�����。但是����,報(bào)文處 理單元602可以將ND地址纟全測(cè)4艮文通過預(yù)設(shè)的信任端口轉(zhuǎn)發(fā)給其它交換i殳 備。以使得其它交換設(shè)備也能夠存儲(chǔ)安全表項(xiàng)以完成各主機(jī)的報(bào)文轉(zhuǎn)發(fā)工作����。
更優(yōu)地,該交換設(shè)備還可以包括第一檢測(cè)單元605,用于每隔預(yù)設(shè)時(shí) 間對(duì)各存儲(chǔ)表項(xiàng)分別進(jìn)行有效性檢測(cè)�,可以具體為向安全表項(xiàng)記錄的端口 發(fā)送攜帶該安全表項(xiàng)所記錄IP地址的ND地址檢測(cè)報(bào)文;判斷報(bào)文接收單 元601在設(shè)定時(shí)間內(nèi)是否接收到指示該IP地址已被使用的報(bào)文���,如果否�, 指示表項(xiàng)存儲(chǔ)單元604刪除該安全表項(xiàng)��。
更優(yōu)地�,在第一判斷單元603和報(bào)文處理單元602之間還可以包括第 二判斷單元606和第二4t測(cè)單元607。
第二判斷單元���,用于接收第一判斷單元603發(fā)送的回復(fù)通知�,判斷包含 上述所請(qǐng)求的IP地址的安全表項(xiàng)的內(nèi)容是否與報(bào)文處理單元602獲取的源 MAC地址���、入端口信息和所請(qǐng)求的IP地址相同�,如果是��,將回復(fù)通知轉(zhuǎn)發(fā) 給報(bào)文處理單元602;否則將回復(fù)通知轉(zhuǎn)發(fā)給第二^r測(cè)單元607。
第二;f企測(cè)單元607,用于4妻收到回復(fù)通知后���,向包含該IP地址的安全 表項(xiàng)所記錄的端口發(fā)送攜帶該IP地址的ND地址檢測(cè)報(bào)文���,如果報(bào)文接收 單元601在i殳定時(shí)間內(nèi)接收到指示該IP地址已被使用的報(bào)文,則將回復(fù)通 知轉(zhuǎn)發(fā)給報(bào)文處理單元602;否則通知表項(xiàng)存儲(chǔ)單元604將包含該IP地址的 安全表項(xiàng)內(nèi)容替換為才艮文處理單元602獲取的源MAC地址�����、入端口信息和 所請(qǐng)求的IP地址�����。
對(duì)于除ND地址檢測(cè)報(bào)文之外的其它報(bào)文�����,交換設(shè)備可以根據(jù)存儲(chǔ)的安 全表項(xiàng)進(jìn)行硬件轉(zhuǎn)發(fā)處理��,此時(shí)�,交換設(shè)備還可以包括第三判斷單元608 和硬件轉(zhuǎn)發(fā)單元609��。
第三判斷單元608在報(bào)文接收單元601接收到除ND地址檢測(cè)報(bào)文之外 的其它報(bào)文時(shí)����,判斷該交換設(shè)備是否已經(jīng)存儲(chǔ)與其它報(bào)文的源IP地址��、入 端口信息和源MAC地址一致的安全表項(xiàng)�����,如果是���,通知硬件轉(zhuǎn)發(fā)單元609 轉(zhuǎn)發(fā)該其它報(bào)文;否則���,通知硬件轉(zhuǎn)發(fā)單元609丟棄該其它報(bào)文���。
其中,除ND地址斗企測(cè)報(bào)文之外的其它報(bào)文可以是IPv6數(shù)據(jù)4艮文��,也 可以是除ND地址;險(xiǎn)測(cè)報(bào)文之外的其它ND協(xié)議4艮文等�。
12由以上描述可以看出,本發(fā)明提供的方法和交換設(shè)備具有以下優(yōu)點(diǎn)
1 )在本發(fā)明中���,交換設(shè)備接收到ND地址檢測(cè)報(bào)文后����,不再將ND地 址檢測(cè)4艮文轉(zhuǎn)發(fā)給主^L,且不再依賴ND地址檢測(cè)報(bào)文的回復(fù)報(bào)文來建立安 全表項(xiàng)����,而是通過判斷交換設(shè)備是否已經(jīng)存儲(chǔ)包含所請(qǐng)求IP地址的安全表 項(xiàng)來確定是否建立安全表項(xiàng)用于除ND地址檢測(cè)報(bào)文之外的其它報(bào)文轉(zhuǎn)發(fā), 即判斷該交換設(shè)備是否已經(jīng)存儲(chǔ)包含該IP地址的安全表項(xiàng)���,如果是����,向接 收該ND地址4全測(cè)才艮文所使用的端口回復(fù)指示該IP地址已#1使用的才艮文���; 否則將ND地址檢測(cè)報(bào)文的源MAC地址、入端口信息和所請(qǐng)求的IP地址存 儲(chǔ)為安全表項(xiàng)��。通過這種方式�,交換設(shè)備將主機(jī)發(fā)送的ND地址纟全測(cè)報(bào)文進(jìn) 行阻截和處理,攻擊者對(duì)于指示IP地址已被使用的報(bào)文進(jìn)行的仿冒不能夠 干涉安全表項(xiàng)的生成�����,且相比較對(duì)ND協(xié)議報(bào)文進(jìn)行加密和解密的處理方式���, 更加簡(jiǎn)單地防止了通過仿冒指示IP地址已被使用的報(bào)文進(jìn)行的安全攻擊����。
2) 本發(fā)明在建立安全表項(xiàng)之前不會(huì)將接收到的ND地址檢測(cè)報(bào)文轉(zhuǎn)發(fā) 給主機(jī),從而避免了諸如MAC地址�、入端口等用戶信息的泄漏,更進(jìn)一步 保障了用戶的安全�。
3) 本發(fā)明配置簡(jiǎn)單,僅需要在交換設(shè)備上進(jìn)行簡(jiǎn)單的特性使能����,具體 擊的防雄卩。
以上所述僅為本發(fā)明的較佳實(shí)施例而已�,并不用以限制本發(fā)明,凡在本 發(fā)明的精神和原則之內(nèi)����,所做的任何修改、等同替換��、改進(jìn)等���,均應(yīng)包含在 本發(fā)明保護(hù)的范圍之內(nèi)��。
權(quán)利要求
1��、一種地址檢測(cè)報(bào)文的處理方法��,其特征在于�����,該方法包括A�����、交換設(shè)備接收到鄰居發(fā)現(xiàn)ND地址檢測(cè)報(bào)文后���,不將所述ND地址檢測(cè)報(bào)文轉(zhuǎn)發(fā)給主機(jī)��;B�����、獲取所述ND地址檢測(cè)報(bào)文的源媒體接入控制MAC地址、入端口信息和所請(qǐng)求的IP地址��;C�、判斷該交換設(shè)備是否已經(jīng)存儲(chǔ)包含所述IP地址的安全表項(xiàng),如果是�,執(zhí)行步驟D;否則����,執(zhí)行步驟E�;D��、向接收所述ND地址檢測(cè)報(bào)文所使用的端口回復(fù)指示所述IP地址已被使用的報(bào)文��,結(jié)束流程�;E、將步驟B獲取的源MAC地址���、入端口信息和所請(qǐng)求的IP地址存儲(chǔ)為安全表項(xiàng)用于除ND地址檢測(cè)報(bào)文之外的其它報(bào)文的轉(zhuǎn)發(fā)��。
2��、 根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述步驟A還包括將接 收到的所述ND地址檢測(cè)報(bào)文通過預(yù)設(shè)的信任端口轉(zhuǎn)發(fā)給其它交換設(shè)備���。
3�、 根據(jù)權(quán)利要求1所述的方法,其特征在于�,該方法還包括所述交換設(shè)向安全表項(xiàng)記錄的端口發(fā)送攜帶該安全表項(xiàng)所記錄IP地址的ND地址;險(xiǎn)測(cè) 報(bào)文;判斷在設(shè)定時(shí)間內(nèi)是否接收到指示該IP地址已被使用的報(bào)文�,如果是,保 留該安全表項(xiàng)����;否則,刪除該安全表項(xiàng)���。
4�����、 根據(jù)權(quán)利要求1所述的方法��,其特征在于���,在所述步驟C和步驟D之 間還包括地址、入端口信息和所請(qǐng)求的IP地址相同��,如果是����,執(zhí)行步驟D;否則執(zhí)行步 驟C2;C2、向包含所述IP地址的安全表項(xiàng)所記錄的端口發(fā)送攜帶所述IP地址的ND地址檢測(cè)報(bào)文����,如果在設(shè)定時(shí)間內(nèi)接收到指示所述IP地址已被使用的報(bào)文,則執(zhí)行步驟D,否則執(zhí)行步驟C3;C3 ��、將包含所述IP地址的安全表項(xiàng)內(nèi)容替換為步驟B獲取的源MAC地址���、 入端口信息和所請(qǐng)求的IP地址�。
5�、 根據(jù)權(quán)利要求1至4任一權(quán)項(xiàng)所述的方法,其特征在于��,該方法還包括 所述交換設(shè)備接收到除ND地址檢測(cè)報(bào)文之外的其它報(bào)文時(shí)�,判斷是否存儲(chǔ)與 接收到的所述其它報(bào)文的源IP地址、入端口信息和源MAC地址一致的安全表 項(xiàng)�,如果是,則轉(zhuǎn)發(fā)所述其它報(bào)文��,否則丟棄所述其它報(bào)文�����。
6��、 一種交換設(shè)備,其特征在于��,該交換設(shè)備包括報(bào)文接收單元����、報(bào)文處 理單元、第一判斷單元和表項(xiàng)存儲(chǔ)單元���;所述報(bào)文接收單元�����,用于接收?qǐng)?bào)文�;所述報(bào)文處理單元�����,用于在所述報(bào)文接收單元接收到ND地址檢測(cè)報(bào)文時(shí)����, 不將所述ND地址檢測(cè)報(bào)文轉(zhuǎn)發(fā)給主機(jī),獲取所述ND地址檢測(cè)報(bào)文的源MAC 地址���、入端口信息和所請(qǐng)求的IP地址���;接收到回復(fù)通知后,向4姿收所述ND地 址檢測(cè)l艮文所使用的端口回復(fù)指示所述IP地址已^皮使用的凈艮文�;所述第一判斷單元,用于判斷該交換設(shè)備是否已經(jīng)存儲(chǔ)包含所述IP地址的 安全表項(xiàng)����,如果是,向報(bào)文處理單元發(fā)送回復(fù)通知��;否則����,向所述表項(xiàng)存儲(chǔ)單 元發(fā)送存々者通知;所述表項(xiàng)存儲(chǔ)單元����,用于接收到存儲(chǔ)通知后,將所述報(bào)文處理單元獲取的 源MAC地址����、入端口信息和所請(qǐng)求的IP地址存^f渚為安全表項(xiàng)用于除ND地址 檢測(cè)報(bào)文之外的其它報(bào)文的轉(zhuǎn)發(fā)。
7��、 根據(jù)權(quán)利要求6所述的交換設(shè)備,其特征在于��,所述報(bào)文處理單元����,還 用于將所述ND地址檢測(cè)報(bào)文通過預(yù)設(shè)的信任端口轉(zhuǎn)發(fā)給其它交換設(shè)備。
8���、 根據(jù)權(quán)利要求6所述的交換設(shè)備�����,其特征在于����,該交換設(shè)備還包括第 一檢測(cè)單元���,用于每隔預(yù)設(shè)時(shí)間對(duì)各存儲(chǔ)表項(xiàng)分別進(jìn)行有效性檢測(cè)����,具體為 向安全表項(xiàng)記錄的端口發(fā)送攜帶該安全表項(xiàng)所記錄IP地址的ND地址^:測(cè)才艮 文���;判斷所述報(bào)文接收單元在設(shè)定時(shí)間內(nèi)是否接收到指示該IP地址已被使用的報(bào)文��,如果否�����,指示所述表項(xiàng)存儲(chǔ)單元?jiǎng)h除該安全表項(xiàng)���。
9、 根據(jù)權(quán)利要求6所述的交換設(shè)備���,其特征在于�,該交換設(shè)備還包括第 二判斷單元和第二檢測(cè)單元��;所述第二判斷單元����,用于接收所述第一判斷單元發(fā)送的回復(fù)通知,判斷包址��、入端口信息和所請(qǐng)求的IP地址相同���,如果是�,將所述回復(fù)通知轉(zhuǎn)發(fā)給所述 報(bào)文處理單元���;否則將所述回復(fù)通知轉(zhuǎn)發(fā)給所述第二檢測(cè)單元���;所述第二檢測(cè)單元��,用于接收到回復(fù)通知后���,向包含所述IP地址的安全表 項(xiàng)所記錄的端口發(fā)送攜帶所述IP地址的ND地址檢測(cè)報(bào)文,如果所述報(bào)文接收 單元在設(shè)定時(shí)間內(nèi)接收到指示所述IP地址已被使用的報(bào)文�����,則將回復(fù)通知轉(zhuǎn)發(fā) 給所述報(bào)文處理單元���;否則通知所述表項(xiàng)存儲(chǔ)單元將包含所述IP地址的安全表 項(xiàng)內(nèi)容替換為所述報(bào)文處理單元獲取的源MAC地址�、入端口信息和所請(qǐng)求的 IP地址�����。
10�����、 根據(jù)權(quán)利要求6至9任一權(quán)項(xiàng)所述的交換設(shè)備���,其特征在于���,該交換 設(shè)備還包括第三判斷單元和硬件轉(zhuǎn)發(fā)單元��;所述第三判斷單元����,用于在所述報(bào)文接收單元接收到除ND地址檢測(cè)報(bào)文 之外的其它報(bào)文時(shí)�����,判斷該交換設(shè)備是否已經(jīng)存儲(chǔ)與所述其它報(bào)文的源IP地 址�����、入端口信息和源MAC地址一致的安全表項(xiàng)���,如果是,通知所述硬件轉(zhuǎn)發(fā) 單元轉(zhuǎn)發(fā)所述其它報(bào)文�;否則,通知所述硬件轉(zhuǎn)發(fā)單元丟棄所述其它報(bào)文�����。
全文摘要
本發(fā)明提供了一種地址檢測(cè)報(bào)文的處理方法和交換設(shè)備,其中�,方法包括交換設(shè)備接收到鄰居發(fā)現(xiàn)(ND)地址檢測(cè)報(bào)文后,不再將該ND地址檢測(cè)報(bào)文轉(zhuǎn)發(fā)給主機(jī)�����;獲取所述ND地址檢測(cè)報(bào)文的源媒體接入控制(MAC)地址��、入端口信息和所請(qǐng)求的IP地址�����;判斷該交換設(shè)備是否已經(jīng)存儲(chǔ)包含所述IP地址的安全表項(xiàng)�����,如果是向接收所述ND地址檢測(cè)報(bào)文所使用的端口回復(fù)指示所述IP地址已被使用的報(bào)文���;否則��,將獲取的源MAC地址�����、入端口信息和所請(qǐng)求的IP地址存儲(chǔ)為安全表項(xiàng)��。本發(fā)明能夠更加簡(jiǎn)單地防止通過仿冒指示IP地址已被使用的報(bào)文進(jìn)行的安全攻擊�����。
文檔編號(hào)H04L12/56GK101552677SQ200910084018
公開日2009年10月7日 申請(qǐng)日期2009年5月12日 優(yōu)先權(quán)日2009年5月12日
發(fā)明者周立萍, 王珍異 申請(qǐng)人:杭州華三通信技術(shù)有限公司