CN103609089A - 防止基于近邻发现的拒绝服务攻击 - Google Patents
防止基于近邻发现的拒绝服务攻击 Download PDFInfo
- Publication number
- CN103609089A CN103609089A CN201280030522.5A CN201280030522A CN103609089A CN 103609089 A CN103609089 A CN 103609089A CN 201280030522 A CN201280030522 A CN 201280030522A CN 103609089 A CN103609089 A CN 103609089A
- Authority
- CN
- China
- Prior art keywords
- main frame
- router
- network element
- subnet
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了一种用于防止附连到子网(150)的主机(120)上的拒绝服务攻击的方法,其中攻击由远程节点(139)通过外部网络(160)发起。所述方法由在外部网络(160)和子网(150)之间转发分组的路由器(110)执行。路由器(110)接收分组用于转发到根据IPv6协议的子网(150)的地址空间中的目的地地址,并且在近邻发现ND表(170)中查找目的地地址。ND表(170)由在接收分组之前被完成的子网(150)上的操作填充。ND表(170)中的条目存储已经由路由器(110)验证为活动的主机(120)的地址信息。如果目的地地址被存储在ND表(170)中,则路由器(110)转发分组到目的地地址。否则,分组被丢弃。
Description
技术领域
本发明的实施例涉及用于防止拒绝服务攻击的方法和***,其中攻击基于因特网协议版本6(IPv6)的近邻发现协议。
背景技术
因特网协议版本6(IPv6)设计成解决因特网协议版本4(IPv4)中的地址耗尽的问题。连同将地址空间从32位扩张到128位,IPv6引入许多改变。例如,IPv6增加用于计数子网中的主机的位的数量,并且从基于媒体的地址解析协议(ARP)移动到基于IP的近邻发现协议。IPv6子网由标准限定为具有至少64位用于计数主机,其中以前子网可能具有6到12位用于计数主机。
运营商和安全分析师已经注意到新的较大子网的有问题的影响。子网的计数空间现在是16百万的三次方的条目。显然,没有子网将使用这些条目的任何引人注意的部分。
较大子网的一个问题是远程攻击者可以发送一系列的分组给子网,定址到不同的随机选择的潜在主机。在当前实践中,这将引起边界路由器将近邻发现分组的流发送到子网中,并且创建这个信息的高速缓存条目。因为路由器中的表空间是有限的,这个攻击可以容易地超出可用的表空间,并且引起路由器丢失实际主机的踪迹,并且防止新的合法主机进行注册。
在某些情况中,存在纠正这个攻击的现有技术,例如当子网是使用以太网上点对点协议(PPPoE)的订户子网时。然而,不存在用于防止攻击的通用的预防方法。
发明内容
提供一种方法以防止附连到子网的主机上的拒绝服务攻击,其中攻击由远程节点通过外部网络发起。该方法由在外部网络和子网之间转发分组的路由器执行。该方法包括:由路由器接收分组用于转发给根据IPv6协议的子网的地址空间中的目的地地址,并且在由路由器维护的近邻发现(ND)表中查找目的地地址。ND表由在接收分组之前被完成的子网上的操作填充。ND表包括条目,其中每个条目存储已经由路由器验证为活动的主机中的一个主机的地址信息。该方法还包括:转发分组到目的地地址以响应于确定目的地地址被存储在ND表中;并且丢弃分组以响应于确定目的地地址没有被存储在ND表中。
提供一种网络元件以防止附连到子网的主机上的拒绝服务攻击,其中攻击由远程节点通过外部网络发起。该网络元件配置成在外部网络和子网之间转发分组。该网络元件包括:存储近邻发现(ND)表的存储器,ND表包括条目并且每个条目存储已经由网络元件验证为活动的主机中的一个主机的地址信息;通信耦合到存储器的网络处理器,所述网络处理器配置成执行目的地确定模块和转发模块。目的地确定模块配置成在由在接收分组之前被完成的子网上的操作填充的ND表中,查找由网络元件接收的分组的目的地地址,其中目的地地址在根据IPv6协议的子网的地址空间中。如果目的地地址被存储在ND表中,则转发模块配置成转发分组到目的地地址,并且如果目的地地址没有被存储在ND表中,则丢弃分组。
附图说明
在其中相同的参考指示相同的元素的附图的图中,通过示例的方式而不是通过限制的方式来图示本发明。应该注意到这个公开中对“一”或“一个”实施例的不同提及不一定是对相同的实施例,并且这样的提及意指至少一个。此外,当结合实施例描述特定的特征、结构或特性时,认为结合无论是否被明确描述的其它实施例来实现这样的特征、结构或特性是在本领域技术人员的知识内。
图1是图示网络配置的一个实施例的框图。
图2是图示例如路由器的网络元件的实施例的框图。
图3是由路由器执行用于防止基于近邻发现的攻击的方法的一个实施例的流程图。
图4是由路由器执行用于维护近邻发现表的方法的一个实施例的流程图。
图5是子网上路由器和主机之间的消息流的第一实施例的图。
图6是自网上路由器和主机之间的消息流的第二实施例的图。
图7是自网上路由器和主机之间的消息流的第三实施例的图。
具体实施方式
在下面的描述中阐述了许多具体的细节。然而,理解的是在没有这些具体细节的情况下也可以实践本发明的实施例。在其它实例中,为了不使这个描述的理解变得模糊,未详细示出众所周知的电路、结构和技术。然而,本领域技术人员将理解的是,在没有这样的具体细节的情况下也可以实践本发明。在没有不适当的实验的情况下,本领域普通技术人员将能够用被包括的描述来实现适当的功能性。
本发明的实施例提供避免现有技术的缺点的方法和***。如上面描述,现有技术不能有效地防止基于IPv6的近邻发现协议的拒绝服务攻击。通过提供攻击防止技术以及在网络元件(例如,一个或多个路由器)中保持信息正确所需的相关的行为改变,发明的实施例克服了现有技术的这些缺点。
图1是示出网络配置100的一个实施例的框图。在这个实施例中,网络配置100包括但不限于经由一个或多个路由器(例如,路由器110)附连到网络160的子网150(例如,局域网(LAN))。许多主机120被附连到子网150并且具有子网150上的因特网协议(IP)地址。每个主机120可以是服务器、个人计算机、膝上型装置、游戏控制台、便携式装置、器具或可以通过网络160传送和/或接收数据的任何装置或部件。路由器110存储对于附连到路由器110的每个子网将主机的子网上的IP地址映射到那个主机的媒体接入控制(MAC)地址的数据结构(被称为近邻发现(ND)表170)。
网络配置100还包括经由路由器110接入主机120的许多远程网络节点(“远程节点”)130。在一些情况下,远程节点130中的一个可以发起主机120上的攻击。攻击可以包括发送大量消息给分配给子网150的不同地址。在大量的可能地址值(例如,16百万的三次方的值)的情况下,很有可能随机选择的地址值实际上不选定主机120中的任何一个。当由路由器110接收具有这样的随机选择的地址的分组并且那个地址没有被记录在ND表170中时,常规的路由器将发送近邻征求(solicitation)消息到子网150上并且在ND表170中创建未决条目,指示(例如,用标记)在目的地主机回复之后条目将被填入。然而,主机120中没有一个具有分组中规定的地址,并且,因此从目的地主机将接收不到回复。因而,在短时间内发送的这样的分组的流将溢出ND表170,使得路由器110不能响应主机120的合法请求。如果攻击者继续攻击足够长的一段时间,这个攻击可以防止子网150上的主机120被到达。
根据本发明的实施例,当从本地附连的子网的外部接收分组时,路由器110检查目的地地址(具体地,目的地主机)是否是已知的。如果主机具有ND表170中的对应条目,则主机为路由器110所知。如果主机不为路由器110已知,则路由器110丢弃分组。因此,ND表170将不由攻击来装填。
在一些实施例中,ND表170可以根据由子网150上的主机120发送的消息/分组来装填。在一些实施例中,ND表170可以存储在主机120不发送任何消息/分组的情况下被创建的静态条目。以未征求的方式,或者响应于来自子网150上的其它主机120或来自路由器110的查询,由主机120发送这些消息/分组。ND表170中的条目具有使用期(lifetime),并且当它们超时的时候被移除。
根据本发明的实施例,当ND表170的条目接近到期时,路由器110将重新验证它们。对于(分出分组的)主要机制工作来说,这个重新验证是必须的,因为它确保活动的主机120的表条目保留在ND表170中并且将不会在一旦到期时被删除。因此,路由器110可以依靠ND表170来过滤出可能来自攻击者的进入的分组。因此,远程攻击者不能用近邻征求消息来装填子网150,也不能用攻击者意图使用其来防止有效的条目被创建和使用的未决条目来装填ND表170。
可以用多种方法来实现ND表170(使用完整的128位地址或仅仅较低的64位;使用哈希表、三重内容可寻址存储器(TCAM)、二叉树(btree)或其它查找结构)。本发明的实施例可以应用于所有这样的构造,并且这些实施的差别将在剩余的描述中被忽略。
图2是图示例如图1的路由器110的网络元件的实施例的框图。在一个实施例中,路由器110包括但不限于耦合到存储器250的网络处理器280。存储器250存储近邻发现(ND)表170,对于附连到路由器110的每个子网,近邻发现(ND)表170将主机的子网上的IP目的地地址251映射到那个主机的媒体接入控制(MAC)地址。路由器110包括表填充模块230,其用从子网150上的操作提取的主机地址信息填充ND表170;例如,从由主机120以未征求的方式发送的分组、从由主机120响应于来自子网150上的其它主机120或来自路由器110的查询而发送的分组。
在一个实施例中,路由器110包括目的地确定模块210和转发模块220。当具有IPv6格式的进入分组到达路由器110用于转发到子网150中时,目的地模块210在ND表170中查找在分组中规定的目的地地址。如果目的地确定模块210不能在ND表170中找到具有目的地地址的条目,则它简单地分出分组。在ND表170中不为这个分组创建未决条目。
在一个实施例中,当路由器110分出分组时,它可以发回通知给源,或者备选地,因为这些分组经常是攻击消息,路由器110可以不发送响应或以有限的速率发送响应。
本发明的实施例确保ND表170记录子网120上的所有活动主机120的正确信息。这意味着表170不应该用旧的、可能是错误的信息来装填。在一个实施例中,路由器110包括负责维护ND表170中的所有活动主机120的正确信息的计时器模块240和验证模块260。计时器模块240在ND表170中检测接近它的使用期阈值的条目。当条目的逝去使用期到达使用期阈值时,条目到期。在一个实施例中,条目的逝去使用期从条目被添加到ND表170的时间起被测量(如果条目还未在ND表170中的话)。在一个实施例中,在条目被添加到ND表170中之后,一旦接收到来自在条目中被标识的主机120的任何数据流量,它的逝去使用期可以被复位。在另一个实施例中,在条目被添加到ND表170之后,一旦接收到来自在条目中被标识的主机120的任何控制流量,它的逝去使用期可以被复位。
在一个实施例中,计时器模块240和验证模块260用下面的操作维护ND表170中所有活动主机120的正确信息。当条目到期时,为了防止条目的不适当的移除,当条目接近它的使用期阈值(也就是说,将要到期)时,计时器模块240发信号给验证模块260。在一个实施例中,当条目被添加到ND表170时,计时器模块240给每个条目打上时间戳,并且(例如,周期性地)检查条目的逝去使用期以确定逝去使用期是否大于另一个预定阈值(“验证阈值”)。选择验证阈值以指示标识主机将要到期但在条目实际上到期之前仍有足够的时间来验证主机的状态的条目。在一个实施例中,条目的验证阈值可以被设置成那个条目的使用期阈值的三分之二。在一个实施例中,ND表170包括超时域253,其存储条目的时间戳,条目是否已达到验证阈值的指示,和/或条目的其它时间相关的信息。
在一些实施例中,一旦接收到指示条目已到达它的验证阈值(也就是说,条目正接近到期但是还未到期)的来自计时器模块240的信号,验证模块260可以发送前往该条目的IP地址的近邻征求消息。如果具有那个IP地址的主机120仍然有效并且正运行,则主机120将响应该征求。来自那个主机120的响应延长了该条目的使用期(例如,复位该条目的逝去使用期)。因此,该条目可以保留在ND表170中。如果具有那个IP地址的主机120未响应,则当该条目到期(即,当该条目到达它的使用期阈值)时,该条目将从ND表170被移除。
在下面的描述中,将关于图1和图2的示例性实施例来描述图3和图4的流程图的操作。然而,应该理解可以由除了关于图1和图2讨论的那些之外的发明的实施例来执行流程图的操作,并且关于图1和图2讨论的实施例可以执行与关于图3和图4的流程图讨论的那些不同的操作。
图3是由路由器110执行用于防止基于近邻发现的攻击的方法300的一个实施例的流程图。在一个实施例中,路由器110接收分组用于转发给根据IPv6协议的子网150的地址空间中的目的地地址(框310)。路由器110查找ND表170中的目的地地址(框320)。ND表170由在接收分组之前被完成的子网150上的操作来填充。ND表170的每个条目存储已经由路由器110验证为活动的主机120中的一个的地址信息。如果目的地地址被存储在ND表170中,则路由器110转发分组到目的地地址(框330)。如果目的地地址没有被存储在ND表170中,则路由器110丢弃分组(框340)。
图4是由路由器110执行用于维护ND表170的方法400的一个实施例的流程图。在一个实施例中,路由器110检测表示给定的主机的ND表中的条目具有到达阈值(即,验证阈值)的逝去使用期(框410)。一旦检测到,路由器110就发送近邻征求消息到给定的主机(框420)。如果路由器110接收来自给定主机的回复(框430),则那个给定的主机的条目的使用期被延长(例如,通过延长它的使用期阈值或复位它的逝去使用期)(框440)。因为路由器110等待回复(框450),路由器110在该条目的逝去使用期上执行周期性的检查以确定该条目是否到期(即,到达使用期阈值)(框460)。如果该条目已经到期,则路由器110从ND表170删除该条目(框470)。如果该条目还未到期,则路由器110等待一段时间(框465)以重新传送另一个近邻征求消息(框420),如果响应的缺乏是归于由网络问题引起的错误的话。路由器110重复框420、430、450、460和465的操作,直到接收回复或该条目到期为止。
上面的描述涉及其中一个路由器110提供到子网150的连接性,或当提供连接性的所有路由器110同时出现的情况。在后者的情况下,因为路由器110中的所有基本上在相同时间出现,它们全部看见来自主机120的通告并且在它们各自的ND表170中具有正确的信息。
在当存在多个路由器(例如,图1的多个路由器110),并且一个路由器比其它路由器显著地更晚出现(例如,归于路由器被单独地重启)的另一个情况下,则那个较晚的路由器将不会看见来自子网150上的主机120的通告,并且将不具有信息以填充它的ND表。在结合图5-7的下面的描述中,较早出现的路由器被称为第一路由器110A并且显著较晚出现的路由器被称为第二路由器110B。路由器110A和110B中的每个在内部维护ND表(例如,图1和2的ND表170)。此外,虽然示出一个主机120,理解的是子网150上的主机120中的任何一个可以执行以下将结合图5-7描述的操作。
图5是第一路由器110A、第二路由器110B与主机120之间的消息流的第一实施例的图,其使得第二路由器110B能够获得信息用于填充它的ND表。在一个实施例中,第一路由器110A变成活动的(框510),随后,第二路由器110B变成活动的(框520)。第二路由器110B发出指示它已经变成活动的路由器通告(框530)。路由器通告用于通知第一路由器110A它具有新的近邻。当第一路由器110A接收路由器通告时(框540),它给子网150上的每个主机120发送具有未规定的源地址的近邻征求消息(框550)。当每个主机120接收近邻征求消息时(框560),它多播回复(框570)。第二路由器110B接收来自主机120的回复并且基于回复填充它的ND表(“第二ND表”)(框580)。
图6是第一路由器110A、第二路由器110B与主机120之间的消息流的第二实施例的图,其使得第二路由器110B能够获得信息用于填充它的ND表。在一个实施例中,第一路由器110A变成活动的(框610),随后,第二路由器110B变成活动的(框620)。第二路由器110B发送对数据交换的请求给第一路由器110A(框630)。当第一路由器110A接收该请求时(框640),它使用数据交换协议(例如,服务器高速缓存同步协议(SCSP)或其它类似的协议)来发送它的ND表中的数据(框650)。第二路由器110B接收数据并使用数据来填充它的ND表(框660)。
图7是第一路由器110A、第二路由器110B与主机120之间的消息流的第三实施例的图,其使得第二路由器110B能够获得信息用于填充它的ND表。在一个实施例中,第一路由器110A变成活动的(框710),随后,第二路由器110B变成活动的(框720)。第二路由器110B发送一个或多个路由器通告消息给子网150上的主机120,每个消息包括标记(框730)。每个主机120接收路由器通告消息(框740)。然后主机120重新发送或回复以通告主机的地址信息(例如,IPv6和MAC地址)的消息(框750)。第二路由器110B接收来自主机120的消息并基于消息来填充它的ND表(框760)。因为主机120中的一个或多个可能错过请求,或响应可能丢失,第二路由器110B可以多次发送具有标记的路由器通告以改进可靠性。
在其中存在提供到子网150的连接性的多于两个路由器的又一情况中,可以关于前两个实施例做出进一步的改进,以便不引起子网150上过多重复的传送。
因此,已经描述了用于防止拒绝服务攻击的方法、***和装置。将理解的是可以使用在一个或多个电子装置(例如,端站、网络元件,等等)上存储并执行的代码和数据来实现图中示出的技术。这样的电子装置使用非暂时性机器可读或计算机可读媒体,例如非暂时性机器可读或计算机可读存储媒体(例如,磁盘、光盘、随机存取存储器、只读存储器、闪速存储器装置以及相变存储器),来存储和(内部地和/或通过网络与其它电子装置)通信代码和数据。此外,这样的电子装置通常包括耦合到一个或多个其它部件的一个或多个处理器的集合,所述一个或多个其它部件例如一个或多个存储装置、用户输入/输出装置(例如,键盘、触摸屏、和/或显示器)以及网络连接。处理器的集合与其它部件的耦合通常是通过一个或多个总线和网桥(还被称为总线控制器)。存储装置表示一个或多个非暂时性机器可读或计算机可读存储媒体以及非暂时性机器可读或计算机可读通信媒体。因此,给定的电子装置的存储装置通常存储代码和/或数据用于在那个电子装置的一个或多个处理器的集合上的执行。当然,可以使用软件、固件和/或硬件的不同组合来实现本发明的实施例的一个或多个部分。
如本文使用的,网络元件(例如,路由器、交换机、网桥,等等)是一件连网设备,包括通信地互连网络上的其它设备的硬件和软件(例如,其它网络元件、端站,等等)。一些网络元件是提供用于多连网功能(例如,路由、桥接、交换、第2层聚合、会话边界控制、多播、和/或订户管理)的支持的“多服务网络元件”,和/或提供用于多应用服务(例如,数据、语音和视频)的支持。订户端站(例如,服务器、工作站、膝上型计算机、掌上设备、移动电话、智能电话、多媒体电话、因特网协议语音(VOIP)电话、便携式媒体播放器、GPS单元、游戏***、机顶盒(STB),等等)接入通过因特网提供的内容/服务和/或覆盖在因特网上的虚拟私人网络(VPN)上提供的内容/服务。内容和/或服务通常由属于服务或内容提供商的一个或多个端站(例如,服务器端站)或参与点对点服务的端站来提供,并且可包括公共网页(例如,免费内容、铺面、搜索服务,等等)、私人网页(例如,提供电子邮件服务的用户名/密码接入网页)、通过VPN的公司网络、IPTV,等等。通常,订户端站耦合(例如,通过(有线或无线地)耦合到接入网络的用户预定设备)到边缘网络元件,所述边缘网络元件耦合(例如,通过一个或多个核心网络元件到其他边缘网络元件)到其它端站(例如,服务器端站)。
将理解的是上面的描述意图是说明性的而非约束性的。一旦阅读并理解上面的描述,对于本领域技术人员来说,许多其它的实施例将是显而易见的。因此,本发明的范围应该参考附加的权利要求连同这些权利要求被授权的等同物的完整范围来确定。
Claims (16)
1. 一种防止附连到子网的主机上的拒绝服务攻击的方法,所述攻击由远程节点通过外部网络发起,所述方法由在所述外部网络和所述子网之间转发分组的路由器来执行,所述方法包括以下步骤:
由所述路由器接收用于转发给根据IPv6协议的所述子网的地址空间中的目的地地址的分组;
在所述路由器维护的近邻发现(ND)表中查找所述目的地地址,其中所述ND表由在接收所述分组之前被完成的所述子网上的操作来填充,所述ND表包括条目,其中每个条目存储已经由所述路由器验证为活动的主机中的一个主机的地址信息;
转发所述分组到所述目的地地址以响应于确定所述目的地地址被存储在所述ND表中;以及
丢弃所述分组以响应于确定所述目的地地址没有被存储在所述ND表中。
2. 如权利要求1所述的方法,还包括以下步骤:
检测到表示所述主机中的给定的一个主机的所述条目中的给定的一个条目具有到达验证阈值的逝去使用期;
验证所述给定的主机是活动的;
延长所述ND表中的所述给定的条目的使用期以响应于确定所述给定的主机是活动的;以及
当所述给定的条目到期时,从所述ND表删除所述给定的条目以响应于确定所述给定的主机不是活动的。
3. 如权利要求2所述的方法,其中验证的步骤还包括以下步骤:
发送近邻征求消息到所述给定的主机;以及
延长所述给定的条目的使用期以响应于对所述ND征求消息的回复。
4. 如权利要求2所述的方法,其中检测的步骤还包括以下步骤:
将所述验证阈值设置为所述给定的条目到期所在的使用期阈值的三分之二。
5. 如权利要求1所述的方法,其中所述子网包括具有未被填充的第二ND表的第二路由器,所述方法还包括以下步骤:
由所述路由器接收来自所述第二路由器的指示所述第二路由器已经变成活动的通告;以及
由所述路由器向所述子网上的所述主机中的每个主机发送近邻征求消息,在所述消息中具有未规定的源地址,这引起接收所述消息的所述主机中的每个主机多播回复,从而允许所述第二路由器基于所述回复来填充所述第二ND表。
6. 如权利要求1所述的方法,其中所述子网包括具有未被填充的第二ND表的第二路由器,所述方法还包括以下步骤:
一旦所述第二路由器激活,就由所述路由器接收来自所述第二路由器的对数据交换的请求;以及
使用数据交换协议将所述ND表提供给所述第二路由器。
7. 如权利要求1所述的方法,其中所述子网包括具有未被填充的第二ND表的第二路由器,所述方法还包括以下步骤:
由所述第二路由器发送一个或多个路由器通告消息给所述子网上的所述主机,所述路由器通告消息中的每个包括标记,所述标记被定义为提示所述主机中的每个主机重新发送通告其地址信息的消息;以及
由所述第二路由器基于来自所述主机中的每个主机的所述消息来填充所述第二ND表。
8. 一种用于防止附连到子网的主机上的拒绝服务攻击的网络元件,所述攻击由远程节点通过外部网络发起,所述网络元件配置成在所述外部网络和所述子网之间转发分组,所述网络元件包括:
存储近邻发现(ND)表的存储器,所述ND表包括条目并且每个条目存储已经由所述网络元件验证为活动的主机中的一个主机的地址信息;
通信地耦合到所述存储器的网络处理器,所述网络处理器配置成执行目的地确定模块和转发模块,
所述目的地确定模块配置成在所述ND表中查找由所述网络元件接收的分组的目的地地址,所述ND表由在接收所述分组之前被完成的所述子网上的操作来填充,其中所述目的地地址在根据IPv6协议的所述子网的地址空间中,以及
所述转发模块配置成,如果所述目的地地址被存储在所述ND表中,则转发所述分组到所述目的地地址,并且如果所述目的地地址没有被存储在所述ND表中,则丢弃所述分组。
9. 如权利要求8所述的网络元件,其中所述网络处理器还配置成执行计时器模块和验证模块,
所述计时器模块配置成检测到表示所述主机中的给定的一个主机的所述条目中的给定的一个条目具有到达验证阈值的逝去使用期,
所述验证模块配置成验证当所述给定的条目的使用期到达所述验证阈值时所述给定的主机是活动的,以及
如果所述给定的主机是活动的,则所述计时器模块延长所述ND表中的所述给定的条目的使用期,并且如果所述给定的主机不是活动的,则一旦所述给定的条目到期,则从所述ND表删除所述给定的条目。
10. 如权利要求9所述的网络元件,其中所述验证模块还配置成发送近邻征求消息到所述给定的主机,从而验证所述给定的主机是否活动,并且延长所述给定的条目的使用期以响应于对所述ND征求消息的回复。
11. 如权利要求9所述的网络元件,其中所述验证阈值是所述给定的条目到期所在的使用期阈值的三分之二。
12. 如权利要求8所述的网络元件,其中所述子网包括具有未被填充的第二ND表的第二网络元件,所述网络元件还配置成
接收来自所述第二网络元件的通告消息,其中所述通告消息指示所述第二网络元件已经变成活动的,以及
发送近邻征求消息给所述子网上的所述主机中的每个,在所述消息中具有未规定的源地址,这将引起接收所述消息的所述主机中的每个主机多播回复,从而允许所述第二网络元件基于所述回复来填充所述第二ND表。
13. 如权利要求8所述的网络元件,其中所述子网包括具有未被填充的第二ND表的第二网络元件,所述网络元件还配置成一旦所述第二网络元件激活,就接收来自所述第二网络元件的对数据交换的请求,以及使用数据交换协议将所述ND表提供给所述第二网络元件。
14. 如权利要求8所述的网络元件,其中所述子网包括具有第一ND表的第二网络元件,并且在所述第二网络元件已变成活动的之后,所述网络元件将变成活动的,所述网络元件还配置成执行表填充模块,
所述表填充模块配置成发送通告消息到所述第二网络元件,其中所述通告消息指示所述网络元件已经变成活动的并且引起所述第二网络元件发送近邻征求消息给所述子网上的所述主机中的每个主机,在所述消息中具有未规定的源地址,
所述表填充模块还配置成接收由接收所述消息的所述主机中的每个主机多播的回复,并且基于所述回复来填充所述ND表。
15. 如权利要求8所述的网络元件,其中所述子网包括具有第二ND表的第二网络元件,并且在所述第二网络元件已经变成活动的之后,所述网络元件将变成活动的,所述网络元件还配置成执行表填充模块,
所述表填充模块配置成一旦所述网络元件激活,就根据数据交换协议发送对数据交换的请求到所述第二网络元件,以及
所述表填充模块还配置成接收来自所述第二网络元件的所述第二ND表并且基于所述第二ND表来填充所述ND表。
16. 如权利要求8所述的网络元件,其中所述子网包括具有第二ND表的第二网络元件,并且在所述第二网络元件已经变成活动的之后,所述网络元件将变成活动的,所述网络元件还配置成执行表填充模块,
所述表填充模块配置成发送一个或多个路由器通告消息给所述子网上的所述主机,所述路由器通告消息中的每个包括标记,所述标记被定义为提示所述主机中的每个主机重新发送通告其地址信息的消息,以及
所述表填充模块还配置成基于来自所述主机中的每个主机的所述消息来填充所述ND表。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/165,348 US9246939B2 (en) | 2011-06-21 | 2011-06-21 | Preventing neighbor-discovery based denial of service attacks |
| US13/165348 | 2011-06-21 | ||
| PCT/IB2012/052859 WO2012176087A1 (en) | 2011-06-21 | 2012-06-06 | Preventing neighbor-discovery based denial of service attacks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103609089A true CN103609089A (zh) | 2014-02-26 |
| CN103609089B CN103609089B (zh) | 2016-08-31 |
Family
ID=46384434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280030522.5A Active CN103609089B (zh) | 2011-06-21 | 2012-06-06 | 一种防止附连到子网的主机上拒绝服务攻击的方法及装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9246939B2 (zh) |
| EP (1) | EP2724508B1 (zh) |
| KR (1) | KR20140038535A (zh) |
| CN (1) | CN103609089B (zh) |
| WO (1) | WO2012176087A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991655A (zh) * | 2015-03-16 | 2016-10-05 | 思科技术公司 | 缓解基于邻居发现的拒绝服务攻击 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101888370B (zh) * | 2009-05-11 | 2013-01-09 | 中兴通讯股份有限公司 | 防止IPv6地址被欺骗性攻击的装置与方法 |
| US8625421B2 (en) | 2012-02-03 | 2014-01-07 | Telefonaktiebolaget L M Ericsson (Publ) | DAD-NS triggered address resolution for DoS attack protection |
| US9015852B2 (en) * | 2012-04-30 | 2015-04-21 | Cisco Technology, Inc. | Protecting address resolution protocol neighbor discovery cache against denial of service attacks |
| US20130332586A1 (en) * | 2012-06-08 | 2013-12-12 | Apple Inc. | Providing ipv6 connectivity through shared external interfaces on electronic devices |
| US9621581B2 (en) * | 2013-03-15 | 2017-04-11 | Cisco Technology, Inc. | IPV6/IPV4 resolution-less forwarding up to a destination |
| US9641417B2 (en) * | 2014-12-15 | 2017-05-02 | Cisco Technology, Inc. | Proactive detection of host status in a communications network |
| JP7139252B2 (ja) * | 2019-01-10 | 2022-09-20 | アラクサラネットワークス株式会社 | 転送装置 |
| CN110677439B (zh) * | 2019-11-18 | 2022-03-01 | 杭州迪普科技股份有限公司 | Nd攻击的防护方法和装置 |
| CN112887209B (zh) * | 2019-11-30 | 2023-06-20 | 华为技术有限公司 | 关于数据传输的表项建立方法及相关设备 |
| US11494062B2 (en) * | 2020-10-19 | 2022-11-08 | Arris Enterprises Llc | User friendly targeted methodology for satellite installation using mobile app |
| FR3119502B1 (fr) * | 2021-01-29 | 2024-03-15 | Sagemcom Broadband Sas | Procede de determination si une adresse ip est attribuee a un terminal dans un reseau de communication |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060072574A1 (en) * | 2004-10-04 | 2006-04-06 | Shinichi Akahane | Method for high speed search tables switching and packet forwarding apparatus |
| US20070280135A1 (en) * | 2006-06-01 | 2007-12-06 | Alcatel | Apparatus and method for monitoring status of a network element |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10354877B4 (de) * | 2003-11-24 | 2005-12-01 | Siemens Ag | Verfahren zur Herstellung einer Verbindung zwischen einem Dienstanforderer (Client) und einem Dienstanbieter (Server) in einem dezentralen Mobilfunknetz |
| EP1976195B1 (en) * | 2007-03-30 | 2014-05-07 | Alcatel-Lucent | Method and apparatus for Mac address learning |
-
2011
- 2011-06-21 US US13/165,348 patent/US9246939B2/en active Active
-
2012
- 2012-06-06 CN CN201280030522.5A patent/CN103609089B/zh active Active
- 2012-06-06 WO PCT/IB2012/052859 patent/WO2012176087A1/en unknown
- 2012-06-06 KR KR1020147001507A patent/KR20140038535A/ko not_active Application Discontinuation
- 2012-06-06 EP EP12730042.4A patent/EP2724508B1/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060072574A1 (en) * | 2004-10-04 | 2006-04-06 | Shinichi Akahane | Method for high speed search tables switching and packet forwarding apparatus |
| US20070280135A1 (en) * | 2006-06-01 | 2007-12-06 | Alcatel | Apparatus and method for monitoring status of a network element |
Non-Patent Citations (3)
| Title |
|---|
| NIKANDER P ET AL: ""IPV6 Neighbor Discovery(ND)Trust Models and Threats"", 《RFC 3756》, 1 May 2004 (2004-05-01) * |
| PARS MUTAF等: "compact neighbor discovery(A bandwidth defense through bandwidth optimization)", 《IEEE》, 13 March 2005 (2005-03-13), pages 2711 - 2719 * |
| T.NARTEN等: ""Neighbor Discovery for IP Version 6 (IPv6)"", 《RFC 2461》, 1 December 1998 (1998-12-01), pages 1 - 93 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991655A (zh) * | 2015-03-16 | 2016-10-05 | 思科技术公司 | 缓解基于邻居发现的拒绝服务攻击 |
| US10382397B2 (en) | 2015-03-16 | 2019-08-13 | Cisco Technology, Inc. | Mitigating neighbor discovery-based denial of service attacks |
| CN105991655B (zh) * | 2015-03-16 | 2020-01-07 | 思科技术公司 | 用于缓解基于邻居发现的拒绝服务攻击的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012176087A1 (en) | 2012-12-27 |
| EP2724508B1 (en) | 2019-08-14 |
| KR20140038535A (ko) | 2014-03-28 |
| EP2724508A1 (en) | 2014-04-30 |
| CN103609089B (zh) | 2016-08-31 |
| US20120331542A1 (en) | 2012-12-27 |
| US9246939B2 (en) | 2016-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103609089A (zh) | 防止基于近邻发现的拒绝服务攻击 | |
| CN109802985B (zh) | 数据传输方法、装置、设备及可读取存储介质 | |
| CN103179228B (zh) | 因特网协议地址解析方法及边缘节点 | |
| TWI516070B (zh) | 具有私人IPv4可達性之改良雙堆疊精簡方案 | |
| CA2713785C (en) | Method and apparatus for providing connectivity in a network with multiple packet protocols | |
| CN101621414A (zh) | 一种网络资源及拓扑的发现方法及装置 | |
| CN101026589A (zh) | 一种路由选择的方法和路由器 | |
| CN101052022B (zh) | 一种虚拟专用网用户访问公网的***和方法 | |
| US20120311185A1 (en) | Data transmission based on address translation | |
| CN101202664A (zh) | 上报设备信息的方法、获取设备信息的***和设备 | |
| CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
| CN109561111B (zh) | 一种攻击源的确定方法及装置 | |
| CN102546389A (zh) | 一种跨数据中心的流量托管方法和装置 | |
| CN109347670A (zh) | 路径追踪方法及装置、电子设备、存储介质 | |
| CN109240796A (zh) | 虚拟机信息获取方法及装置 | |
| CN104811380A (zh) | 一种发送引流路由信息的方法及清洗设备 | |
| CN102624750A (zh) | 抵御dns递归攻击的方法和*** | |
| CN104081749A (zh) | 用于dos攻击保护的dad-ns触发的地址解析 | |
| CN102325079B (zh) | 报文传输方法和出口路由器 | |
| CN102137109B (zh) | 一种访问控制方法、接入设备及*** | |
| CN102916897A (zh) | 一种实现vrrp负载分担的方法和设备 | |
| CN101009692A (zh) | 硬件地址解析方法及通信处理设备及报文处理方法 | |
| US20090307371A1 (en) | Communication device provided with arp function | |
| CN109089263A (zh) | 一种报文处理方法及装置 | |
| CN103856435A (zh) | 一种地址解析协议缓存及其缓存方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |