CN102137073B - 一种防止仿冒ip地址进行攻击的方法和接入设备 - Google Patents
一种防止仿冒ip地址进行攻击的方法和接入设备 Download PDFInfo
- Publication number
- CN102137073B CN102137073B CN 201010103859 CN201010103859A CN102137073B CN 102137073 B CN102137073 B CN 102137073B CN 201010103859 CN201010103859 CN 201010103859 CN 201010103859 A CN201010103859 A CN 201010103859A CN 102137073 B CN102137073 B CN 102137073B
- Authority
- CN
- China
- Prior art keywords
- message
- list item
- binding list
- address
- access device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种防止仿冒IP地址进行攻击的方法和接入设备。接入设备从用户侧端口接收到携带待检测IP地址的重复地址检测邻居请求(DAD NS)报文或地址确定(Confirm)报文时,生成包含待检测IP地址的绑定表项,并通过网络侧端口发送携带待检测IP地址的DAD NS报文;接入设备如果在设定DAD检测时间内从网络侧端口收到携带待检测IP地址的NA报文,对该NA报文中附加的认证信息进行认证,如果认证通过,则删除包含待检测IP地址的绑定表项;其中,认证信息是与接入设备处于同一链路中的其它接入设备从用户侧端口收到携带待检测IP地址的NA报文时在该NA报文中附加的。本发明能够有效防止非法用户仿冒IP地址进行攻击。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种防止仿冒IP地址进行攻击的方法和接入设备。
背景技术
IPv6邻居发现(ND)协议使用五种类型的网际控制报文协议(ICMPv6)报文:邻居请求(NS)报文、邻居通告(NA)报文、路由器请求(RS)报文、路由器通告报文(RA)和重定向(Redirect)报文。上述五种类型的ICMPv6报文可以用于实现地址解析、验证邻居是否可达、重复地址检测、路由器发现、地址自动配置和重定向等功能。
由于在ND协议中报文发送方式为明文发送,因此在同一链路(例如同一VLAN)中,可能存在伪造使用仿冒IP地址的报文从而进行攻击的问题。为了解决这一问题,可以采用接入设备侦听DHCPv6地址分配过程或者侦听ND无状态地址配置过程,生成安全表项的方式,具体为:在各接入设备上,侦听用户终端的DHCPv6地址分配过程或ND无状态地址配置过程,根据侦听结果生成包含IP地址、链路地址和接入端口的绑定表项,根据该绑定表项进行后续控制报文或数据报文的转发。即只有完全与绑定表项匹配的报文才能被转发,不匹配的报文则丢弃。
然而上述过程中当有多台接入设备处于同一链路时,各个接入设备之间会进行表项同步,使每个接入设备上都维护了该链路中针对所有用户终端的绑定表项,这必定会占用大量的设备资源。因此,现有技术中又提供了一种防止仿冒IP地址进行攻击的方法,各接入设备仅针对接入该设备自身的用户终端生成绑定表项,具体为:仅利用通过用户侧端口侦听到的报文生成绑定表项。但是这种方式中,也会产生仿冒IP地址攻击的漏洞。
如图1所示,接入设备(NAS)1上接入了用户终端PC1,假设PC1的IP地址为IP Address1,链路地址为LA1,接入端口为用户侧端口1,则在接入设备NAS1上存在包含IP Address1、LA1和用户侧端口1的绑定表项。NAS1和NAS2处于同一链路,如果此时非法用户设备PC2仿冒IP Address1接入NAS2,在NAS2上生成包含IP Address1、VPN1和用户侧端口2的绑定表项,即便PC1侦听到有人使用自己的IP地址,回应包含该IP Address1的NA报文,PC2仅需要将该NA报文丢弃即可继续使用该IP地址上网,甚至进行非法操作。并且,当PC1从NAS1迁移到NAS2后,NAS2侦听到PC1的接入,但由于NAS2中已经存在包含该IP Address1的绑定表项,因此,PC1便不能使用该IP Address1通过NAS2接入网络。
发明内容
有鉴于此,本发明提供了一种防止仿冒IP地址进行攻击的方法和接入设备,以便于有效地防止非法用户仿冒IP地址进行攻击。
一种防止仿冒IP地址进行攻击的方法,该方法包括:
所述接入设备从用户侧端口接收到携带待检测IP地址的重复地址检测邻居请求DAD NS报文或地址确定Confirm报文时,生成包含所述待检测IP地址的绑定表项,并通过网络侧端口发送携带所述待检测IP地址的DAD NS报文;
所述接入设备如果在设定DAD检测时间内从网络侧端口收到携带所述待检测IP地址的NA报文,对该NA报文中附加的认证信息进行认证,如果认证通过,则删除包含所述待检测IP地址的绑定表项;
其中,所述认证信息是与所述接入设备处于同一链路中的其它接入设备从用户侧端口收到携带所述待检测IP地址的NA报文时在该NA报文中附加的。
一种接入设备,该接入设备包括:表项生成单元、报文处理单元、认证处理单元和表项处理单元;
所述表项生成单元,用于在该接入设备从用户侧端口接收到待检测IP地址的DAD NS报文或Confirm报文时,生成包含所述待检测IP地址的绑定表项,并向报文处理单元发送第一通知;
所述报文处理单元,用于接收到第一通知时,通过网络侧端口发送携带所述待检测IP地址的DAD NS报文;
所述认证处理单元,用于该接入设备在设定DAD检测时间内从网络侧端口收到携带所述待检测IP地址的NA报文时,对该NA报文中附加的认证信息进行认证,如果认证通过,则向所述表项处理单元发送删除通知;该接入设备从用户侧端口接收到携带待检测IP地址的NA报文时,在该NA报文中附加认证信息;
所述表项处理单元,用于接收到删除通知后,删除包含所述待检测IP地址的绑定表项。
由以上技术方案可以看出,本发明中通过在从用户侧端口收到的NA报文中附加认证信息,使得接入设备能够对从网络侧端口收到的携带待检测IP地址的NA中的认证信息进行认证,在认证通过时确定待检测的IP地址已经有合法用户在同一链路的其它接入设备上使用,在本地通过DAD NS报文或Confirm报文生成的该待检测IP地址所对应绑定表项可能是针对攻击用户的,则将本地包含该待检测IP地址的绑定表项删除,从而在接入设备仅针对接入本接入设备的用户终端建立绑定表项的场景下,有效地避免非法用户仿冒IP地址进行的攻击。
附图说明
图1为非法用户仿冒IP地址进行攻击的示意图;
图2为本发明实施例一提供的方法流程图;
图3为携带认证信息的Option字段格式图;
图4为本发明实施例二提供的方法流程图;
图5为本发明提供的接入设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明提供的方法主要包括:接入设备从用户侧端口接收到携带待检测IP地址的DAD NS报文或地址确定(Confirm)报文时,生成包含所述待检测IP地址的绑定表项,并通过网络侧端口发送携带待检测IP地址的DAD NS报文;如果在设定DAD检测时间内从网络侧端口收到携带该待检测IP地址的NA报文,对该NA报文中附加的认证信息进行认证,如果认证通过,则删除包含上述待检测IP地址的绑定表项;其中,认证信息是与该接入设备处于同一链路中的其它接入设备从用户侧端口收到携带所述待检测IP地址的NA报文时在该NA报文中附加的。
上述方法中涉及的同一链路可以是同一虚拟局域网(VLAN),也可以同一非组播多路访问网络(NBMA)等。
其中,上述DAD NS报文是ND协议中的报文,Confirm报文是DHCPv6协议中的报文,下面通过具体的实施例针对这两种协议报文对上述方法进行详细描述。
实施例一、仍以图1所示结构为例,假设用户终端PC1为IP Address1的合法用户,其链路地址为LA1,PC1接入NAS1,此时,在NAS1中已生成包含该IP Address1、LA1和用户侧端口1的绑定表项。如果此时,非法用户PC2接入NAS2并冒充IP Address1发送DAD NS报文,则按照本发明所提供的方法可以如图2所示,包括以下步骤:
步骤201:NAS2从用户侧端口2接收到PC2发送的携带IP Address1的DAD NS报文,则生成包含该IP Address1、用户侧端口2和PC2的链路地址的绑定表项,并转发该DAD NS报文。
实际上,在NAS2接收到DAD NS报文后,会首先判断本地是否已经生成包含该IP Address1的绑定表项,如果是,进一步判断该DAD NS报文是否与NAS2本地中包含IP Address1的绑定表项完全匹配,也就是说,判断PC2的链路地址和用户侧端口2是否与该绑定表项中的内容一致,如果是,说明该PC2是与绑定表项匹配的用户终端,则转发该DAD NS报文;否则,说明已经存在接入NAS2且使用该IP Address 1的其它用户终端,丢弃该DAD NS报文。在本实施例中,NAS2中尚没有包含该IP Address1的绑定表项,因此,NAS2生成包含该IP Address1、用户侧端口2和PC2的链路地址的绑定表项。
PC2的链路地址可以从DAD NS报文的源链路地址中获取,链路地址可以是MAC地址、永久虚链路(PVC)地址等,与具体的链路类型对应。
步骤202:NAS1从网络侧端口接收到携带IP Address1的DAD NS报文后,转发该DAD NS报文。
在本步骤中,NAS1从网络侧端口接收到DAD NS报文后,可以首先判断本地是否已经生成包含IP Address1的绑定表项,如果否,转发该DAD NS报文;如果是,进一步匹配该DAD NS携带的源链路地址是否与本地包含IP Address1的绑定表项匹配,如果匹配且该绑定表项已经启动了老化进程,则NAS1认为是原来接入NAS1的合法用户终端PC1发生了迁移,例如迁移到了NAS2,此时NAS1将本地包含IP Address1的绑定表项删除。如果不匹配,或者匹配但该绑定表项没有启动老化进程,则转发该DAD NS报文,继续侦听NA报文,本实施例中对应该不匹配的情况。其中,对于老化进程的启动将在后续进行具体描述。
步骤203:NAS1从用户侧端口1接收到PC1返回的携带IP Address1的NA报文后,在该NA报文中附加认证信息,然后通过网络侧端口转发该NA报文。
由于PC1接收到携带IP Address1的DAD NS报文后,确定自身已经使用该IP Address1,因此会单播回复携带IP Address1的NA报文。
NAS1在NA报文中附加的认证信息可以是按照NAS1和NAS2所在链路约定的方式生成的认证信息,该认证信息可以通知NAS2该NA报文的合法性,并将NAS2上对应的绑定表项删除,以避免非法用户的仿冒攻击。
该认证信息可以附加在NA报文中的选项(Option)字段中,其格式可以如图3所示。其中,类型(Type)字段用于指示该Option携带认证信息,长度(Length)字段用于指示该Option的长度,值(value)字段用于携带具体认证信息。
步骤204:NAS2从网络侧端口接收到携带IP Address1的NA报文后,对该NA报文中携带的认证信息进行认证,如果认证成功,则删除NAS2中包含该IP Address1的绑定表项。
在NAS2接收到携带IP Address1的NA报文后,可以首先判断该NA报文中是否携带认证信息,如果没有携带认证信息,则丢弃该NA报文;如果携带认证信息,则对该认证信息进行认证,如果认证失败,则丢弃该NA报文;本实施例中认证成功,则说明在同一链路中已经有用户使用IPAddress1,说明接入该NAS2的PC2是该IP Address1的非法使用者,因此,将本地包含IP Address1的绑定表项删除,以禁止PC2使用IP Address1接入网络。另外,在认证成功后,还可以将删除的绑定表项信息上报网管,以便网管根据绑定表项中的信息确定攻击者。
实施例二、
在用户终端从一个接入设备迁移到另一个接入设备,或者从接入设备的一个用户侧端口迁移到另一个用户侧端口时,会向迁移后的接入设备发送携带待检测IP地址的Confirm报文,以检测该IP地址是否能够继续使用。而非法用户也可以通过在同一链路中的其它接入设备上发送Confirm报文来使用仿冒的IP地址接入网络,针对这种情况在本实施例中进行描述。仍以图1所示结构为例,假设用户终端PCI为IP Address1的合法用户,其链路地址为LA1,PC1接入NAS1,此时,在NAS1中已生成包含该IP Address1、LA1和用户侧端口1的绑定表项。如果此时,非法用户PC2接入NAS2并冒充IP Address1发送confirm报文,则按照本发明所提供的方法可以如图4所示,包括以下步骤:
步骤401:NAS2从用户侧端口2接收到PC2发送的携带IP Address1的Confirm报文,则生成包含该IP Address1、用户侧端口2和PC2的链路地址的绑定表项,并生成携带IP Address1的DAD NS报文进行发送。
在本步骤中,在NAS2接收到Confirm报文后,会首先判断本地是否已经生成包含该IP Address1的绑定表项,如果是,进一步判断该用户侧端口2以及Confirm报文的源链路地址是否与NAS2本地中包含IP Address1的绑定表项匹配,如果不匹配,向已有绑定表项中的用户侧端口发送探测报文,探测原有用户终端是否尚在,如果尚在,则回复PC2该IP Address1不可用,如果已经不存在,则PC2可能是原有的合法用户且从NAS2的一个用户侧端口迁移到另一个用户侧端口,此时,将利用该Confirm报文更新包含IPAddress1的绑定表项。在本实施例中,NAS2中尚没有包含该IP Address1的绑定表项,NAS2生成包含该IP Address1、用户侧端口2和PC2的链路地址的绑定表项。
另外,NAS2生成绑定表项后,需要进一步验证该绑定表项的合法性,因此,可以在本地构造一个携带IP Address1的DAD NS报文,并通过网络侧端口发送。
后续步骤402至404与实施例一中的步骤202至204相同,不再赘述。
在上述两个实施例中,对于绑定表项来说,存在一套老化机制,具体包括:如果接入设备的用户侧端口Down,或者在设定时间内没有从用户侧端口接收到与该绑定表项完全匹配的ND报文,则说明通过该用户侧端口接入的用户设备可能发生了迁移,启动对应绑定表项的老化进程。如果接入设备通过用户侧端口接收到与本地的绑定表项完全匹配的ND报文,则说明该绑定表项对应的用户设备仍然存在,取消该绑定表项的老化进程。如果绑定表项进入老化进程后到达老化时间,则删除该绑定表项。如果接入设备从网络侧端口接收到与绑定表项中的IP地址和链路地址匹配的DAD NS报文,且绑定表项启动了老化进程,则说明该绑定表项对应的用户设备确实发生了迁移,删除该绑定表项。
需要说明的是,上述网络侧端口可以是接入设备与上一级交换设备连接的端口,也可以是与其它接入设备连接的端口。
以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的接入设备进行详细描述。如图5所示,该接入设备可以包括:表项生成单元501、报文处理单元502、认证处理单元503和表项处理单元504。
表项生成单元501,用于在该接入设备从用户侧端口接收到待检测IP地址的DAD NS报文或Confirm报文时,生成包含待检测IP地址的绑定表项,并向报文处理单元502发送第一通知。
报文处理单元502,用于接收到第一通知时,通过网络侧端口发送携带待检测IP地址的DAD NS报文。
认证处理单元503,用于该接入设备在设定DAD检测时间内从网络侧端口收到携带待检测IP地址的NA报文时,对该NA报文中附加的认证信息进行认证,如果认证通过,则向表项处理单元504发送删除通知;该接入设备从用户侧端口接收到携带待检测IP地址的NA报文时,在该NA报文中附加认证信息。
表项处理单元504,用于接收到删除通知后,删除包含待检测IP地址的绑定表项。
其中,上述认证信息是处于同一链路中的接入设备共同约定产生的,只有处于同一链路中的接入设备能够获知。
针对接入设备从用户侧端口接收到DAD NS报文的情况,该接入设备还可以包括:第一判断单元505,用于在该接入设备从用户侧端口接收到待检测IP地址的DAD NS报文时,判断该接入设备本地是否已经存在包含待检测IP地址的绑定表项,如果否,允许表项生成单元501生成包含待检测IP地址的绑定表项;如果是,进一步判断接收DAD NS报文的用户侧端口以及DAD NS报文的源链路地址是否与已经存在的包含待检测IP地址的绑定表项匹配,如果匹配,通知报文处理单元502转发接收到的DAD NS报文,并禁止表项生成单元501生成包含待检测IP地址的绑定表项;如果不匹配,通知报文处理单元502丢弃接收到的DAD NS报文,并禁止表项生成单元501生成包含待检测IP地址的绑定表项。
针对接入设备从用户侧端口接收到DAD NS报文的情况,该接入设备还可以包括:第二判断单元506和终端探测单元507。
第二判断单元506,用于在该接入设备从用户侧端口接收到待检测IP地址的Confirm报文时,判断该接入设备本地是否已经存在包含待检测IP地址的绑定表项,如果否,允许表项生成单元501生成包含待检测IP地址的绑定表项;如果是,进一步判断接收Confirm报文的用户侧接口以及Confirm报文的源链路地址是否与已经存在的包含待检测IP地址的绑定表项匹配,如果不匹配,则向终端探测单元507发送探测通知,并禁止表项生成单元501生成包含待检测IP地址的绑定表项。
终端探测单元507,用于接收到探测通知后,利用包含待检测IP地址的绑定表项发送探测报文,探测到已经存在的绑定表项对应的用户终端尚在,则通过接收Confirm报文的用户侧端口回复待检测IP地址不可用;如果探测到已经存在的绑定表项对应的用户终端已经不存在,则通知表项处理单元504利用Confirm报文更新本地已经存在的包含待检测IP地址的绑定表项。
此时,报文处理单元502接收到第一通知时,在接入设备本地生成携带待检测IP地址的DAD NS报文,并通过网络侧端口发送该DAD NS报文。
由于接入设备还可能从网络侧端口接收到其它接入设备发送来的DAD NS报文,因此该接入设备还可以包括:第三判断单元508,用于在该接入设备从网络侧端口接收到携带待检测IP地址的DAD NS报文后,判断该接入设备本地是否已经存在包含待检测IP地址的绑定表项,如果否,则通知报文处理单元502转发DAD NS报文。
更进一步地,该接入设备还可以包括:第四判断单元509,用于该接入设备在设定DAD检测时间内从网络侧端口收到携带待检测IP地址的NA报文时,判断NA报文中是否携带认证信息,如果否,通知报文处理单元502丢弃NA报文;如果是,通知认证处理单元503对该NA报文中附加的认证信息进行认证。
认证处理单元503如果对NA报文中附加的认证信息认证失败,则通知报文处理单元502丢弃NA报文。
另外,绑定表项的老化机制体现在:表项处理单元504,如果该接入设备中所述绑定表项对应的用户侧端口Down,或者该接入设备在设定时间内没有从用户侧端口接收到与所述绑定表项完全匹配的ND报文,则启动所述绑定表项的老化进程;如果该接入设备通过用户侧端口接收到与所述绑定表项完全匹配的ND报文,则取消所述绑定表项的老化进程;如果所述绑定表项进入老化进程后到达老化时间,则删除所述绑定表项;如果该接入设备通过网络侧端口接收到与所述绑定表项中的IP地址和链路地址匹配的DAD NS报文,且所述绑定表项启动了老化进程,则删除所述绑定表项。
由以上描述可以看出,本发明中通过在从用户侧端口收到的NA报文中附加认证信息,使得接入设备能够对从网络侧端口收到的携带待检测IP地址的NA中的认证信息进行认证,在认证通过时确定待检测的IP地址已经有合法用户在同一链路的其它接入设备上使用,在本地通过DAD NS报文或Confirm报文生成的该待检测IP地址所对应绑定表项可能是针对攻击用户的,则将本地包含该待检测IP地址的绑定表项删除,从而在接入设备仅针对接入本接入设备的用户终端建立绑定表项的场景下,有效地避免非法用户仿冒IP地址进行的攻击。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种防止仿冒IP地址进行攻击的方法,其特征在于,该方法包括:
接入设备从用户侧端口接收到携带待检测IP地址的重复地址检测邻居请求DAD NS报文或地址确定Confirm报文时,生成包含所述待检测IP地址的绑定表项,并通过网络侧端口发送携带所述待检测IP地址的DAD NS报文;
所述接入设备如果在设定DAD检测时间内从网络侧端口收到携带所述待检测IP地址的NA报文,对该NA报文中附加的认证信息进行认证,如果认证通过,则删除包含所述待检测IP地址的绑定表项;
其中,所述认证信息是与所述接入设备处于同一链路中的其它接入设备从用户侧端口收到携带所述待检测IP地址的NA报文时在该NA报文中附加的。
2.根据权利要求1所述的方法,其特征在于,所述接入设备从用户侧端口接收到携带待检测IP地址的DAD NS报文时,在生成包含所述待检测IP地址的绑定表项之前,还包括:所述接入设备判断本地是否已经存在包含所述待检测IP地址的绑定表项,如果否,继续执行所述生成包含所述待检测IP地址的绑定表项;如果是,进一步判断接收该DAD NS报文的用户侧端口以及DAD NS报文的源链路地址是否与已经存在的包含所述待检测IP地址的绑定表项匹配,如果匹配,转发接收到的DAD NS报文,结束流程;如果不匹配,丢弃接收到的DAD NS报文,结束流程。
3.根据权利要求1所述的方法,其特征在于,所述接入设备从用户侧端口接收到携带待检测IP地址的Confirm报文时,在生成包含所述待检测IP地址的绑定表项之前,还包括:所述接入设备判断本地是否已经存在包含所述待检测IP地址的绑定表项,如果否,继续执行所述生成包含所述待检测IP地址的绑定表项;
如果是,进一步判断接收该Confirm报文的用户侧端口以及Confirm报文的源链路地址是否与已经存在的包含所述待检测IP地址的绑定表项匹配,如果不匹配,则利用包含所述待检测IP地址的绑定表项发送探测报文,探测到已经存在的绑定表项对应的用户终端尚在,则通过接收所述Confirm报文的用户侧端口回复所述待检测IP地址不可用,结束流程;如果探测到已经存在的绑定表项对应的用户终端已经不存在,则利用所述Confirm报文更新本地已经存在的包含所述待检测IP地址的绑定表项;
所述通过网络侧端口发送携带所述待检测IP地址的DAD NS报文具体包括:所述接入设备生成携带所述待检测IP地址的DAD NS报文,并通过网络侧端口发送该DAD NS报文。
4.根据权利要求1至3任一权项所述的方法,其特征在于,该方法还包括:所述其它接入设备从网络侧端口接收到携带所述待检测IP地址的DAD NS报文后,判断本地是否已经存在包含所述待检测IP地址的绑定表项,如果否,转发所述DAD NS报文。
5.根据权利要求1至3任一权项所述的方法,其特征在于,在所述对该NA报文中附加的认证信息进行认证之前,还包括:判断所述NA报文中是否携带认证信息,如果否,则丢弃所述NA报文;如果是,继续执行所述对该NA报文中附加的认证信息进行认证;
如果对所述NA报文中附加的认证信息认证失败,则丢弃所述NA报文。
6.根据权利要求1至3任一权项所述的方法,其特征在于,该方法还包括:
如果接入设备中所述绑定表项对应的用户侧端口Down,或者在设定时间内没有从用户侧端口接收到与所述绑定表项完全匹配的ND报文,则启动所述绑定表项的老化进程;
如果接入设备通过用户侧端口接收到与所述绑定表项完全匹配的ND报文,则取消所述绑定表项的老化进程;
如果所述绑定表项进入老化进程后到达老化时间,则删除所述绑定表项;
如果从网络侧端口接收到与所述绑定表项中的IP地址和链路地址匹配的DAD NS报文,且所述绑定表项启动了老化进程,则删除所述绑定表项。
7.一种接入设备,其特征在于,该接入设备包括:表项生成单元、报文处理单元、认证处理单元和表项处理单元;
所述表项生成单元,用于在该接入设备从用户侧端口接收到待检测IP地址的DAD NS报文或Confirm报文时,生成包含所述待检测IP地址的绑定表项,并向报文处理单元发送第一通知;
所述报文处理单元,用于接收到第一通知时,通过网络侧端口发送携带所述待检测IP地址的DAD NS报文;
所述认证处理单元,用于该接入设备在设定DAD检测时间内从网络侧端口收到携带所述待检测IP地址的NA报文时,对该NA报文中附加的认证信息进行认证,如果认证通过,则向所述表项处理单元发送删除通知;该接入设备从用户侧端口接收到携带待检测IP地址的NA报文时,在该NA报文中附加认证信息;
所述表项处理单元,用于接收到删除通知后,删除包含所述待检测IP地址的绑定表项。
8.根据权利要求7所述的接入设备,其特征在于,该接入设备还包括:第一判断单元,用于在该接入设备从用户侧端口接收到待检测IP地址的DAD NS报文时,判断该接入设备本地是否已经存在包含所述待检测IP地址的绑定表项,如果否,允许所述表项生成单元生成包含所述待检测IP地址的绑定表项;如果是,进一步判断接收DAD NS报文的用户侧端口以及DAD NS报文的源链路地址是否与已经存在的包含所述待检测IP地址的绑定表项匹配,如果匹配,通知所述报文处理单元转发接收到的DAD NS报文,并禁止所述表项生成单元生成包含所述待检测IP地址的绑定表项;如果不匹配,通知所述报文处理单元丢弃所述接收到的DAD NS报文,并禁止所述表项生成单元生成包含所述待检测IP地址的绑定表项。
9.根据权利要求7所述的接入设备,其特征在于,该接入设备包括:第二判断单元和终端探测单元;
所述第二判断单元,用于在该接入设备从用户侧端口接收到待检测IP地址的Confirm报文时,判断该接入设备本地是否已经存在包含所述待检测IP地址的绑定表项,如果否,允许所述表项生成单元生成包含所述待检测IP地址的绑定表项;如果是,进一步判断接收所述Confirm报文的用户侧接口以及Confirm报文的源链路地址是否与已经存在的包含所述待检测IP地址的绑定表项匹配,如果不匹配,则向所述终端探测单元发送探测通知,并禁止所述表项生成单元生成包含所述待检测IP地址的绑定表项;
所述终端探测单元,用于接收到所述探测通知后,利用包含所述待检测IP地址的绑定表项发送探测报文,探测到已经存在的绑定表项对应的用户终端尚在,则通过接收所述Confirm报文的用户侧端口回复所述待检测IP地址不可用;如果探测到已经存在的绑定表项对应的用户终端已经不存在,则通知所述表项处理单元利用所述Confirm报文更新本地已经存在的包含所述待检测IP地址的绑定表项;
所述报文处理单元接收到所述第一通知时,生成携带所述待检测IP地址的DAD NS报文,并通过网络侧端口发送该DAD NS报文。
10.根据权利要求7至9任一权项所述的接入设备,其特征在于,该接入设备还包括:第三判断单元,用于在该接入设备从网络侧端口接收到携带所述待检测IP地址的DAD NS报文后,判断该接入设备本地是否已经存在包含所述待检测IP地址的绑定表项,如果否,则通知所述报文处理单元转发所述DAD NS报文。
11.根据权利要求7至9任一权项所述的接入设备,其特征在于,该接入设备还包括:第四判断单元,用于该接入设备在设定DAD检测时间内从网络侧端口收到携带所述待检测IP地址的NA报文时,判断所述NA报文中是否携带认证信息,如果否,通知所述报文处理单元丢弃所述NA报文;如果是,通知所述认证处理单元对该NA报文中附加的认证信息进行认证;
所述认证处理单元如果对所述NA报文中附加的认证信息认证失败,则通知所述报文处理单元丢弃所述NA报文。
12.根据权利要求7至9任一权项所述的接入设备,其特征在于,所述表项处理单元,如果该接入设备中所述绑定表项对应的用户侧端口Down,或者该接入设备在设定时间内没有从用户侧端口接收到与所述绑定表项完全匹配的ND报文,则启动所述绑定表项的老化进程;如果该接入设备通过用户侧端口接收到与所述绑定表项完全匹配的ND报文,则取消所述绑定表项的老化进程;如果所述绑定表项进入老化进程后到达老化时间,则删除所述绑定表项;如果该接入设备通过网络侧端口接收到与所述绑定表项中的IP地址和链路地址匹配的DAD NS报文,且所述绑定表项启动了老化进程,则删除所述绑定表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010103859 CN102137073B (zh) | 2010-01-22 | 2010-01-22 | 一种防止仿冒ip地址进行攻击的方法和接入设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010103859 CN102137073B (zh) | 2010-01-22 | 2010-01-22 | 一种防止仿冒ip地址进行攻击的方法和接入设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102137073A CN102137073A (zh) | 2011-07-27 |
| CN102137073B true CN102137073B (zh) | 2013-12-25 |
Family
ID=44296731
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010103859 Active CN102137073B (zh) | 2010-01-22 | 2010-01-22 | 一种防止仿冒ip地址进行攻击的方法和接入设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102137073B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102291441B (zh) * | 2011-08-02 | 2015-01-28 | 杭州迪普科技有限公司 | 一种防范SYN Flood攻击的方法及安全代理装置 |
| CN106230781A (zh) * | 2016-07-18 | 2016-12-14 | 杭州迪普科技有限公司 | 基于Web认证技术的防止网络攻击的方法及装置 |
| CN106254245A (zh) * | 2016-07-29 | 2016-12-21 | 杭州迪普科技有限公司 | 一种管理表项的方法及装置 |
| CN108848087B (zh) * | 2018-06-06 | 2020-11-27 | 浙江农林大学暨阳学院 | 适用于send协议的dad过程恶意na报文抑制方法 |
| CN110611678B (zh) * | 2019-09-24 | 2022-05-20 | 锐捷网络股份有限公司 | 一种识别报文的方法及接入网设备 |
| CN111064824B (zh) * | 2019-12-29 | 2022-05-13 | 苏州浪潮智能科技有限公司 | 一种交换机端口ip地址增删校验方法、装置、设备和介质 |
| CN114629689B (zh) * | 2022-02-24 | 2023-10-03 | 广东电网有限责任公司 | Ip地址欺诈行为识别方法、装置、计算机设备和存储介质 |
| CN115225612B (zh) * | 2022-06-29 | 2023-11-14 | 济南浪潮数据技术有限公司 | 一种k8s集群预留ip的管理方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006042392A1 (en) * | 2004-10-18 | 2006-04-27 | Entrust Limited | Method and apparatus for providing mutual authentication between a sending unit and a recipient |
| CN101052015A (zh) * | 2007-05-22 | 2007-10-10 | 中兴通讯股份有限公司 | 一种ip网络的用户接入方法 |
| CN101552783A (zh) * | 2009-05-20 | 2009-10-07 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和装置 |
| CN101572712A (zh) * | 2009-06-09 | 2009-11-04 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
-
2010
- 2010-01-22 CN CN 201010103859 patent/CN102137073B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006042392A1 (en) * | 2004-10-18 | 2006-04-27 | Entrust Limited | Method and apparatus for providing mutual authentication between a sending unit and a recipient |
| CN101052015A (zh) * | 2007-05-22 | 2007-10-10 | 中兴通讯股份有限公司 | 一种ip网络的用户接入方法 |
| CN101552783A (zh) * | 2009-05-20 | 2009-10-07 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和装置 |
| CN101572712A (zh) * | 2009-06-09 | 2009-11-04 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102137073A (zh) | 2011-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102137073B (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
| US8875233B2 (en) | Isolation VLAN for layer two access networks | |
| CN109450841B (zh) | 一种基于云+端设备按需联动模式的抗大规模DDoS攻击的防御方法 | |
| CN100586106C (zh) | 报文处理方法、***和设备 | |
| CN101340293B (zh) | 一种报文安全检查方法和装置 | |
| CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
| CN101022394A (zh) | 一种实现虚拟局域网聚合的方法及汇聚交换机 | |
| CN103856436B (zh) | 用户设备选择网络层协议的方法、家庭网关和互联网网络 | |
| CN101635713A (zh) | 一种防止局域网arp欺骗攻击的方法及*** | |
| CN106878343B (zh) | 一种云计算环境下提供网络安全即服务的*** | |
| CN101764734A (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
| CN103491076B (zh) | 一种网络攻击的防范方法和*** | |
| CN101834870A (zh) | 一种防止mac地址欺骗攻击的方法和装置 | |
| CN101453495A (zh) | 防止授权地址解析协议信息丢失的方法、***和设备 | |
| CN101321102A (zh) | Dhcp服务器的检测方法与接入设备 | |
| CN100589434C (zh) | 在接入模式下实现业务服务器地址防欺骗的方法 | |
| CN110493366A (zh) | 一种接入点加入网络管理的方法及装置 | |
| CN102025734A (zh) | 一种防止mac地址欺骗的方法、***及交换机 | |
| JPWO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和*** | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN101330409A (zh) | 一种检测网络漏洞的方法和*** | |
| CN102347903A (zh) | 一种数据报文转发方法、装置及*** | |
| US11082309B2 (en) | Dynamic and interactive control of a residential gateway connected to a communication network | |
| CN104683500B (zh) | 一种安全表项生成方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |