专利名称:一种网络中防止地址冲突检测欺骗的方法
技术领域:
本发明涉及计算机网络通信领域,尤其涉及一种IPV6网络中.防止地址 冲突检测欺骗的方法。
背景技术:
随着因特网规^莫的日趋扩大,IP(InternetProtocol网络之间互连的协议) 业务的迅速增长,IP网络上的应用也在不断增加,原有的IP网络越来越力 不从心。目前使用的IP协议是IPV4(Internet Protocol Version 4互联网协议 第四版),是70年代制定的协议,随着全球IP网络规;f莫的不断扩大和用户 数目的迅速增长,IPV4协议已不能适应IP网络发展的需要,IP网络正在向 下一代的网络演进,其网络协议也应产生重大变化。早在卯年代初,有关专家就预见到IP协议换代的必然性。因为IPV4 地址资源日见紧张,大约只有43亿个地址,估计在2005 ~ 2010年间将被 分配完毕,已有逐渐耗尽的趋势,针对这一现象,因特网工程任务组(IETF: Internet Engineering Task Force )准备开发一种IPV6协议来取代IPV4协议。 IPV6(Intemet Protocol Version 6)是1992年提出的,主要起因是由于环球网 (Web)的出现导致了 IP网的爆炸性发展,IP网用户迅速增加,IP地址空前 紧张,由于IPV4协议采用32位二进制数来表示地址,地址空间很狭小, IP网将会因为地址耗尽而无法继续发展,所以IPV6协议首先要解决的问题 是扩大地址空间。IPV6协议采用128位地址长度,几乎可以不受限制地提 供地址。按保守方法估算,IPV6实际可分配的地址,整个地球的每平方米 面积上仍可分配1000多个地址。当一台安装有IPV6协议的主机第一次连接到链路上时,它能够自动配 .置自身的接口地址。对于广播型的接口,使用一种称为MAC-to-EUI64的转 换法,利用MAC(Macintosh)地址导出接口的ID(Identification),再加上适当 的前缀构成完整的IPV6地址。虽然大多数情况下都可以保证,在任何范围 内获取一个唯一的地址,但是确保地址的唯一性无疑是明知的。所以不管 一台设备是如何获取一个地址的,在使用这个地址之前都必需要进行地址 冲突;f企测(DAD: Duplicate Address Detection)程序。对已经获取一个新地址的节点,系统会把这个新的地址归类为临时状 态的地址。在地址冲突检测操作没有完成并确认该链路上没有其他节点使 .用这个地址之前,该地址还不能被使用。这个节点会把目标地址字段设置 为该地址的邻居请求消息,并发送这个邻居请求消息来验该证地址是否沖 突。这个邻居请求消息的源地址是未指定地址,而它的目的地址是纟皮请求 节点的多播地址。如果一个节点收到一个邻居请求消息,并且它的目标地址与该节点所 分配的其中一个地址匹配,它就会发送一个目标地址和目的地址都为试探地址的邻居通告消息,发起这个邻居请求消息的节点就会知道这个试探地址是冲突的,并且不能使用。IPV6的邻居请求消息格式中的目标地址使用的是本地链路地址。使用 这类地址的消息只在单条链路上传递,不会被IPV6路由器转发,但会被二 层设备例如交换机,在本地链路的所有端口上转发。上述的地址冲突检测机制很容易造成给恶意主机在IPV6网络中开放漏 洞。某个恶意的节点可以伪造数据包对所有地址冲突检测的邻居请求报文 给予应答,这将拥塞该条链路上的所有节点无法正常完成地址冲突检测, 从而导致本地链路瘫痪。因此,现有技术存在缺陷,尚有待改进和发展。发明内容本发明要解决的问题是,提供一种网络中防止地址冲突检测欺骗的方 法,以防止由于恶意节点的地址冲突检测欺骗报文造成的链路瘫痪。本发明的4支术方案如下一种网络中防止地址冲突检测欺骗的方法,其包括以下步骤A、 运行监控子模块用于侦听以太网链路内各个端口,发现端口可能异 常时,调用模拟地址冲突检测子模块对该端口进行验证;B、 判定该端口异常时,调用防御子模块,半关闭异常端口直至端口正.常。所述的方法,其中,所述步骤B中半关闭动作包4舌允许往异常端口 发数据包,禁止异常端口发出的数据包扩散至链路的其他分支。所述的方法,其中,所述步骤A中所述监控子模块的侦听过程还包括 Al、监控来自于链路上的邻居通告消息; A2、统计邻居通告消息的源端口 。所述的方法,其中,所述步骤A中的监控子模块、模拟地址冲突检测 子模块和防御子模块中还包含二层设备。所述的方法,其中,所述步骤A1还包括 Al 1 、接收来自本链路上的所有数据包;A12、判断所述数据包类型是否属于邻居通告消息,是则转步骤A2, 否则转步骤All。所述的方法,其中,所述步骤A2还包括A21、将所收到邻居通告消息的源端口相应统计量计数器加1;A22、判断所述统计量是否超过设定的门限值,是则转步骤A23,否则 转步骤A21;A23、复位所述统计量计数器,返回该端口可能异常。 所述的方法,其中,所述步骤B还包括Bl、生成一个地址冲突检测报文,并从所述可能异常端口发送出该报文;B2、等待是否收到相应的邻居通告消息,是则返回端口异常,否则返 回端口正常。所述的方法,其中,所述步骤B1中所述地址冲突检测报文中的目标地 址随机且合法。所述的方法,其中,所述步骤B2中在返回端口异常后还包括 B3、 判断是否还设置有精确判定程序,是则转步骤B4,否则返回端口 异常;B4、重复一次步骤B1和步骤B2的处理,并且所述地址冲突检测报文 中的目标地址非法。所述的方法,其中,所述步骤B之后还包括Cl、调用模拟地址冲突检测子模块检测该端口是否正常,是则转步骤 C3,否则转步骤C2;C2、等待超过预定时间后转步骤C1; C3、解除半关闭状态,恢复端口正常。本发明所提供的 一种网络中防止地址沖突检测欺骗的方法,由于采取 了半关闭异常端口直至端口正常的防御手段,有效地防止了因恶意节点的 .地址冲突检测欺骗报文造成的链路瘫痪,弥补了现有技术中没有针对地址 冲突检测欺骗报文采取有效措施的漏洞,从而提高了系统运行的安全性和 稳定性。
图l是本发明的主流程示意图;图2是本发明的监控子模块流程示意图;图3是本发明的模拟地址冲突检测子模块流程示意图;图4是本发明的防御子模块流程示意图。
具体实施方式
以下将结合附图所示,对本发明IPV6网络中防止地址冲突检测欺骗方 法的具体实施方式
加以详细说明。本发明IPV6网络中防止地址冲突检测欺骗方法的具体实施方式
,主要 核心点在于,监控子模块发现端口可能异常并经模拟地址沖突检测子模块 (以下简称模拟DAD子模块)验证端口异常时,通过防御子模块半关闭 异常端口直至该端口正常,至于支持组播的以太网链路内主机和二层设备 的安装调试以及IPV6协议网络应用过程为现有技术所熟知,在此不再赘述。本发明IPV6网络中防止地址冲突检测欺骗方法的具体实施方式
基于包 含IPV6协议二层设备的支持组播的以太网链路。二层设备例如交换机等通 过对以太网链路内各个端口的侦听,以发现是否有可能存在恶意节点接入 的分支,是则交由模拟DAD子模块对该端口进行验证,如果确认该分支上 存在恶意节点,则主动断开该分支的链接,以确保本链路的其他分支能正 常工作。.曰月IPV6网丝 以下几个子才莫块1、 监控子模块二层设备随时监控来自于本链路上的所有邻居通告消 息,同时统计每个消息来源的源端口。 一旦发现某端口的邻居通告消息数.量超过所设定的门限值,则发现该端口可能异常,随即调用模拟DAD子模 块以验证该端口分支是否存在恶意节点。2、 模拟DAD子模块针对上述特定的可能异常的端口分支,该子模 块可发送模拟的DAD报文,报文中所使用的目标地址为二层设备随机生成(甚至是非法报文)。然后检查该分支是否有返回这些DAD报文相应的邻 居通告消息。如果有,则判定该分支上存在恶意节点,随即调用防御子模块进行防御。较好的是,在生成DAD报文时还采用了分级的手段。首先产 生一个随机且合法的目标地址DAD报文进行验证。如果失败,再根据系统 配置,生成又一个非法的目标地址DAD l艮文进行-睑证。3、防御子模块针对模拟DAD子模块判定出来的恶意节点所在分支, 半关闭二层设备上相对应的端口 ,以阻止该恶意节点所在分支对本链路其 他分支造成的破坏。所谓的半关闭,是指只允许从二层设备往异常端口发 数据包,但不允许异常端口发出的数据包扩散到链路的其他分支上去。还 可以预定时间周期反复调用DAD子模块对该异常端口进行测试,直至发现 该端口上的恶意节点消失后,解除防御状态,重新开放该端口。如图1所示为本发明的主流程示意图步骤S11:系统运行监控子模块,监控来自于链路上的邻居通告消息, 统计邻居通告消息的源端口 ;步骤S12:系统是否发现某端口存在可能异常,是则转入步骤S13,否 则返回步骤S11;步骤S13:系统针对该可能异常端口调用DAD子模块进行验证;步骤S14:系统如果判定该端口确实异常,转入步骤S15,否则返回步 骤S11;步骤S15:系统调用防御子模块半关闭已证实的该异常端口,禁止该异 常端口发出的数据包扩散到链路的其他分支上去,但允许从二层设备往该 异常端口发数据包;步骤S16:系统调用DAD子模块对该异常端口检测; 步骤S17:系统按最新检测结果检测该端口是否恢复正常,是则转入步 骤S18,否则返回步骤S16;步骤S18:系统解除半关闭防御,恢复该端口正常状态。2)如图2所示为监控子模块流程示意图步骤S21:系统随时接收来自本链路上的所有数据包;步骤S22:系统判断所述数据包类型是否属于邻居通告消息,是则入转步骤S23,否则转入步骤S21;步骤S23:系统将收到该数据包的端口相应统计量计数器数目加1; 步骤S24:系统判断该统计量计数器是否超过所设定的门P艮值,是则转入步骤S25,否则转入步骤S21;步骤S25:系统复位该统计量计数器,返回该端口可能异常。3 )如图3所示为模拟DAD子模块流程示意图步骤S31:系统自动生成一个DAD报文,其中的目标地址随机且合法;步骤S32:系统从相应的可能异常端口发送该DAD报文;步骤S33:系统等待接收相应目标地址的邻居通告消息;步骤S34:系统是否收到所述邻居通告消息,是则转入步骤S35,否则返回端口正常;步骤S35:系统检查是否还设置了精确判定程序,是则转入步骤S36,否则返回端口异常;步骤S36:系统自动生成又一个DAD才艮文,此时其中的目标地址非法; 步骤S37:系统乂X^目应的可能异常端口再次发送该DAD报文; 步骤S38:系统等待接收相应目标地址的邻居通告消息; 步骤S39:系统是否收到所述邻居通告消息,是则返回端口异常,否则返回端口正常。4)如图4所示为防御子模块流程示意图步骤S41:系统半关闭相应端口,包括允许从二层i殳备往异常端口发 数据包,禁止异常端口发出的数据包扩散至链路的其他分支;步骤S42:系统调用DAD子模块对该异常端口实施4企测;步骤S43:系统最新检测的结果是否出现端口正常,是则转入步骤S45, 否则转入步骤S44;步骤S44:系统等待超过设定时间后转入步骤S42;步骤S45:系统解除半关闭防御,恢复端口状态,结束流程。 本发明具体实施方式
所描述IPV6网络中防止地址冲突检测欺骗方法, 根据实际应用还可以采用现有各种可能的方案,其基本手段为本领域技术 人员所熟知,在此不再赘述。本发明IPV6网络中防止地址冲突检测欺骗方法的具体实施方式
中,由 于采取了半关闭异常端口直至端口正常的防御手段,有效地防止了因恶意 节点的地址冲突检测欺骗报文造成的链路瘫痪,弥补了现有技术中没有针 对地址冲突^r测欺骗^J:采取有效措施的漏洞,从而提高了系统运行的安 全性和稳定性。应当理解的是,对本领域普通技术人员来说,可以根据上述方案的说 明加以改进或变换,例如防止欺骗的手段变化等,而所有这些改进和变换 都本应属于本发明所附权利要求的保护范围。
权利要求
1. 一种网络中防止地址冲突检测欺骗的方法,其包括以下步骤A、运行监控子模块用于侦听以太网链路内各个端口,发现端口可能异常时,调用模拟地址冲突检测子模块对该端口进行验证;B、判定该端口异常时,调用防御子模块,半关闭异常端口直至端口正常。
2、 根据权利要求1所述的方法,其特征在于,所述步骤B中半关闭动 作包括允许往异常端口发数据包,禁止异常端口发出的数据包扩散至链 路的其他分支。
3、 根据权利要求2所述的方法,其特征在于,所述步骤A中所述监控子模块的侦听过程还包括Al、监控来自于链路上的邻居通告消息; A2、统计邻居通告消息的源端口。
4、 根据权利要求2所述的方法,其特征在于,所述步骤A中的监控子 模块、模拟地址冲突检测子模块和防御子模块中还包含二层设备。
5、 根据权利要求3所述的方法,其特征在于,所述步骤A1还包括 All、接收来自本链路上的所有数据包;A12、判断所述数据包类型是否属于邻居通告消息,是则转步骤A2, 否则转步骤All。
6、 根据权利要求3所述的方法,其特征在于,所述步骤A2还包括 A21、将所收到邻居通告消息的源端口相应统计量计数器加1;A22、判断所述统计量是否超过设定的门限值,是则转步骤A23,否则转步骤A21;A23、复位所述统计量计数器,返回该端口可能异常。
7、 根据权利要求2所述的方法,其特征在于,所述步骤B还包括 Bl、生成一个地址冲突检测^JL,并从所述可能异常端口发送出该报文;B2、等待是否收到相应的邻居通告消息,是则返回端口异常,否则返 回端口正常。
8、 根据权利要求7所述的方法,其特征在于,所述步骤B1中所述地 址冲突检测才艮文中的目标地址随才几且合法。
9、 根据权利要求8所述的方法,其特征在于,所述步骤B2中在返回 端口异常后还包括B3、判断是否还设置有精确判定程序,是则转步骤B4,否则返回端口异常;B4、重复一次步骤B1和步骤B2的处理,并且所述地址冲突4企测报文 中的目标地址非法。
10、 根据权利要求2所述的方法,其特征在于,所述步骤B之后还包括Cl、调用模拟地址冲突检测子模块检测该端口是否正常,是则转步骤 C3,否则转步骤C2;C2、等待超过预定时间后转步骤C1; C3、解除半关闭状态,恢复端口正常。
全文摘要
本发明公开了一种网络中防止地址冲突检测欺骗的方法,其包括以下步骤运行监控子模块用于侦听以太网链路内各个端口,发现端口可能异常时,调用模拟地址冲突检测子模块对该端口进行验证;判定该端口异常时,调用防御子模块,半关闭异常端口直至端口正常。由于采取了半关闭异常端口直至端口正常的防御手段,有效地防止了因恶意节点的地址冲突检测欺骗报文造成的链路瘫痪,弥补了现有技术中没有针对地址冲突检测欺骗报文采取有效措施的漏洞,从而提高了系统运行的安全性和稳定性。
文档编号H04L29/06GK101267312SQ20081006705
公开日2008年9月17日 申请日期2008年4月30日 优先权日2008年4月30日
发明者凡 杨 申请人:中兴通讯股份有限公司