安全检测方法、装置和网络侧设备的制作方法

专利名称：安全检测方法、装置和网络侧设备的制作方法
技术领域：
本发明涉及通信技术领域，尤其涉及一种安全检测方法、装置和网络侧设备。
背景技术：
拒绝服务攻击(Denial of Service Attack ；以下简称D0S)是通过耗尽被攻击者 (一般是服务器)的网络带宽或处理能力，使其停止服务，达到攻击目的。随着网络带宽的 提升和服务器处理能力的提升，一个攻击设备不足以使服务器停止服务，因此出现了分布 式拒绝服务攻击(DistributedReflection Denial of Service Attack ；以下简称DD0S)， 实施DDOS攻击，攻击者必须先通过植入木马等方式控制大量的傀儡机，操作傀儡机同时发 起攻击。控制傀儡机对攻击者的技术要求很高，同时随着用户防木马意识的增强，DDOS攻击 越来越难以实施，因此出现了分布式反射拒绝服务攻击(Distributed Reflection Denial of Service Attack ；以下简称DRD0S)，DRDOS通过伪造被攻击者的因特网协议(Internet Protocol ；以下简称IP)地址，选择特定的反射源，将攻击报文数量层层反射放大，最终大 量的报文根据伪造的IP地址反射到被攻击者，使其停止服务。该类攻击不需要很高的技 术，也不需要控制傀儡机，还完全隐藏攻击者，使其无法被追踪、隔离，因此DRDOS攻击行为 越来越多，而且很难防御。网关是一个子网的关键节点，承担着跨网段传输数据的职责，是子网与外界通讯 的枢纽，因此常常成为被攻击的目标。最常见的攻击是网关地址欺骗攻击攻击者假冒网关 的IP地址发送地址解析报文，在该类报文中用自己的链路层地址替代网关的链路层地址， 这样接收者学习到的是网关的IP地址和攻击者的链路层地址的映射关系，发往网关的报 文就会被二层转发到攻击者的设备上，攻击者就可以实施各种非法活动。针对上述问题，因特网协议版本4(Internet Protocol version 4;以下简称 IPv4)网络中有较为成熟的解决方案将用户的IP地址和端口进行绑定，这样接入设备就 无法发出携带非法IP地址的报文，目前因特网协议版本6(Internet Protocol version 6 ； 以下简称IPv6)也沿用该解决方案，具体如下静态IPv6地址分配方案在二层交换机上静态的将用户IPv6地址绑定到端口，端 口只转发源IPv6地址匹配端口 IPv6用户列表的IPv6报文。动态主机设置协议(DynamicHost Configuration Protocol ；以下简称DHCP) IPv6地址分配方案二层交换机监听接入设备的DHCP过程，从中动态的获取端口和IPv6 地址的对应关系，然后将其绑定到端口 ；端口只转发源IPv6地址匹配端口 IPv6用户列表的 IPv6报文。但是，现有的上述方案存在以下问题IPv6相比IPv4新增加了一种地址分配方 式无状态IPv6地址自动配置。在这种模式下，用户的IPv6地址的主机部分可以是随机生 成的，即同一个用户每次接入的IPv6地址可能是不同的，因此静态IPv6地址分配方案在该 配置模式下不适用；另外，在该配置模式下，IPv6地址的分配不需要服务器支持，因此通过 监听接入设备与服务器之间的交互过程获取IPv6地址与端口对应关系的DHCP IPv6地址
5分配方案也不再适用。因此套用IPv4网络的解决方案无法适用于无状态IPv6地址自动配置场景，而现 有技术也没有提供一种能够在无状态IPv6地址自动配置场景中防止DRDOS攻击和网关欺 骗攻击的方案。

发明内容
本发明实施例提供一种安全检测方法、装置和网络侧设备，以实现在无状态IPv6 地址自动配置场景中，防御DRDOS攻击和网关欺骗攻击。本发明实施例提供一种安全检测方法，包括在网络侧设备的网关连接口上监听IPv6路由器公告报文；根据监听到的IPv6路由器公告报文配置所述网络侧设备的安全检查口上的IPv6 数据表；在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所 述表项对所述匹配的报文执行相应的操作。本发明实施例还提供一种安全检测装置，包括监听模块，用于在所述安全检测装置的网关连接口上监听IPv6路由器公告报文；配置模块，用于根据所述监听模块监听到的IPv6路由器公告报文配置所述安全 检测装置的安全检查口上的IPv6数据表；操作执行模块，用于在所述安全检查口检测到与所述IPv6数据表中的表项匹配 的报文之后，根据所述表项对所述匹配的报文执行相应的操作。本发明实施例还提供一种网络侧设备，包括上述安全检测装置。通过本发明实施例，网络侧设备根据在该网络侧设备的网关连接口上监听到的 IPv6路由器公告报文，配置该网络侧设备的安全检查口上的IPv6数据表，在该安全检查口 检测到与IPv6数据表中的表项匹配的报文之后，根据该表项对匹配的报文执行相应的操 作；从而实现了在无状态IPv6地址自动配置场景中，防御DRDOS攻击和网关欺骗攻击，提升 了网络的安全性。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发 明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根 据这些附图获得其他的附图。图1为本发明安全检测方法一个实施例的流程图；图2为本发明端口属性设置一个实施例的示意图；图3为本发明安全检测方法另一个实施例的流程图；图4为本发明安全检测装置一个实施例的结构示意图；图5为本发明安全检测装置另一个实施例的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例 中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是 本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员 在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。图1为本发明安全检测方法一个实施例的流程图，如图1所示，该安全检测方法可 以包括步骤101，在网络侧设备的网关连接口上监听IPv6路由器公告报文。步骤102，根据监听到的IPv6路由器公告报文配置该网络侧设备的安全检查口上 的IPv6数据表。步骤103，在安全检查口检测到与该IPv6数据表中的表项匹配的报文之后，根据 上述表项对匹配的报文执行相应的操作。本实施例中，网络侧设备使用首次命中算法，即遍历上述IPv6数据表，在接收到 的报文首次与IPv6数据表中的表项匹配时，就停止遍历操作，根据匹配的表项对该报文执 行相应的操作；对没有匹配任何表项的报文，该网络侧设备默认执行通过操作。具体地，本实施例中，网络侧设备可以在安全检查口的IPv6数据表中添加与IPv6 因特网控制报文协议(IPv6 Internet Control Message Protocol ；以下简称IPv6 ICMP) 类型对应的表项，并在该IPv6 ICMP类型对应的表项中添加对匹配上述IPv6 ICMP类型对 应表项的报文执行的操作；这时，网络侧设备可以在安全检查口检测到IPv6 ICMP类型为路由器公告的IPv6 报文之后，对该IPv6报文执行丢弃操作。进一步地，在该IPv6 ICMP类型对应的表项中添加对匹配上述IPv6ICMP类型对 应表项的报文执行的操作之后，网络侧设备可以解析在该网络侧设备的网关连接口上监听 到的IPv6路由器公告报文，获得该IPv6路由器公告报文中携带的网关IPv6地址信息，在 IPv6数据表中添加与网关IPv6地址信息对应的表项，并在该网关IPv6地址信息对应的表 项中添加对匹配上述网关IPv6地址信息对应表项的报文执行的操作；这时，网络侧设备可以在安全检查口检测到IPv6源IP地址(IPv6 SourceInternet Protocol ；以下简称IPv6 SIP)为网关IPv6地址的报文之后，对IPv6SIP 为网关IPv6地址的报文执行丢弃操作；或者，网络侧设备可以在安全检查口检测到目标IP地址为网关IPv6地址的IPv6邻居 公告报文之后，对该IPv6邻居公告报文执行丢弃操作。进一步地，在该网关IPv6地址信息对应的表项中添加对匹配上述网关IPv6地址 信息对应表项的报文执行的操作之后，网络侧设备可以在IPv6数据表中添加与IPv6本地 网段信息对应的表项，并在该IPv6本地网段信息对应的表项中添加对匹配上述IPv6本地 网段信息对应表项的报文执行的操作；这时，网络侧设备可以在安全检查口检测到携带IPv6本地网段地址的IPv6报文 之后，对携带IPv6本地网段地址的IPv6报文执行通过操作。进一步地，在该IPv6本地网段信息对应的表项中添加对匹配上述IPv6本地网段 信息对应表项的报文执行的操作之后，网络侧设备可以继续解析在网关连接口上监听到的IPv6路由器公告报文，获得IPv6路由器公告报文中携带的IPv6非本地网段信息，在IPv6 数据表中添加与IPv6非本地网段信息对应的表项，并在该IPv6非本地网段信息对应的表 项中添加对匹配上述IPv6非本地网段信息对应表项的报文执行的操作；这时，网络侧设备可以在安全检查口检测到IPv6 SIP属于IPv6路由器公告报文 公告的IPv6非本地网段地址的IPv6报文之后，对该IPv6 SIP属于IPv6路由器公告报文 公告的IPv6非本地网段地址的IPv6报文执行通过操作；本实施例中，IPv6 SIP属于IPv6 路由器公告报文公告的IPv6非本地网段地址的IPv6报文为合法的IPv6非本地网段地址 的IPv6报文；或者，网络侧设备可以在安全检查口检测到IPv6 SIP不属于IPv6本地网段地址的IPv6 报文，或者IPv6 SIP不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文 之后，对上述IPv6 SIP不属于IPv6本地网段地址的IPv6报文，或者IPv6 SIP不属于IPv6 路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行丢弃操作；本实施例中，IPv6 SIP不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文为非法的携带 IPv6非本地网段地址的IPv6报文。另外，在IPv6路由器公告报文中携带的网关IPv6地址信息和IPv6非本地网段信 息发生改变之后，网络侧设备还可以将网关IPv6地址信息对应表项中的网关IPv6地址信 息更新为发生改变之后的网关IPv6地址，并将IPv6非本地网段信息对应表项中的IPv6非 本地网段信息更新为发生改变之后的IPv6非本地网段。本实施例中的网络侧设备可以为二层交换机，也可以为其他网络侧设备，例如路 由器等，本实施例对此不作限定。上述实施例中，网络侧设备根据在该网络侧设备的网关连接口上监听到的IPv6 路由器公告报文，配置该网络侧设备的安全检查口上的IPv6数据表，在该安全检查口检测 到与IPv6数据表中的表项匹配的报文之后，根据该表项对匹配的报文执行相应的操作；从 而实现了在无状态IPv6地址自动配置场景中，防御DRDOS攻击和网关欺骗攻击，提升了网 络的安全性。本发明实施例提供的安全检测方法可以在无状态IPv6地址自动配置场景中，防 御DRDOS攻击和网关欺骗攻击；可以从源头上过滤主要的网络攻击行为，有效提升了网络 的安全性。无状态IPv6地址自动配置方式是IPv6引入的一种新的地址分配方式，无状态 IPv6地址自动配置方式不需要用户手工分配，也不需要服务器参与就可以给接入终端分 配IPv6地址，具有即插即用，可移动性等诸多优点。无状态IPv6地址自动配置方式依赖 于IPv6邻居发现(IPv6Neighbor Discovery ；以下简称:IPv6ND)协议。IPv6ND协议需 重点关注4类报文:IPv6邻居请求(IPv6Neighbor Solicitation ；以下简称IPv6NS)报 文、IPv6 邻居公告(IPv6Neighbor Advertisement ；以下简称ΙΡν6 ΝΑ)报文、IPv6 路由 器请求(IPv6Router Solicitation ；以下简称:IPv6RS)报文和IPv6路由器公告(IPv6 RouterAdvertisement ；以下简称IPv6 RA)报文。IPv6NS 和 IPv6NA 报文类似 IPv4 的地址 解析协议(Address Resolution Protocol ；以下简称ARP)报文，用于交互IPv6地址与链 路层地址的对应关系。IPv6RS和IPv6RA报文则主要用于交互网络参数配置，例如子网前 缀，网关IPv6地址等。
在无状态IPv6地址自动配置场景下，IPv6地址由子网前缀+接口标识组成。其 中子网前缀是网关通过IPv6RA报文公告的，接口标识是接入终端自己生成的，该接口标识 可以采用随机方式生成。本发明实施例预先根据网络拓扑设置网络侧设备的端口属性。该网络侧设备中的 端口主要有两种属性网关连接口和安全检查口。网关连接口用于连接三层网关，从网关 连接口上获取的网络控制信息被认为是可信任的；安全检查口用于连接接入的用户终端， 例如个人电脑(Personal Computer ；以下简称PC)，对所有通过该端口的IPv6报文都要 进行安全检测；无特殊属性的端口用于连接可信任的终端，例如服务器；三层网关上配置 “无状态IPv6地址自动配置”的相关特性；具体如图2所示，图2为本发明端口属性设置一 个实施例的示意图，图2所示实施例中以网络侧设备为二层交换机为例进行说明。在设置网络侧设备的端口属性之后，网络侧设备可以在安全检查口配置IPv6数 据表，在安全检查口检测到与IPv6数据表中的表项匹配的报文之后，根据该表项对匹配的 报文执行相应的操作。图3为本发明安全检测方法另一个实施例的流程图，本实施例以网 络侧设备为二层交换机为例进行说明，本实施例中，二层交换机包括IPv6检查引擎，用于 对报文进行检测。如图3所示，该安全检测方法可以包括步骤301，二层交换机在网关连接口上监听IPv6RA报文。具体地，二层交换机可以在该网关连接口的IPv6数据表中添加如下仅在该网关 连接口上有效的表项，如表1所示。表 1 并在网关连接口上启动IPv6检查引擎，在网关连接口上监听到IPv6RA报文之后， IPv6检查引擎会匹配命中表项1，根据表项1中的匹配行为，二层交换机的IPv6检查引擎 会将该IPv6RA报文复制一份发送给该二层交换机的CPU。其他类型报文由于无匹配项则执 行默认操作，该默认操作为通过，即对其他类型报文默认执行通过操作。步骤302，二层交换机在IPv6数据表中添加与IPv6ICMP类型对应的表项，并在该 IPv6ICMP类型对应的表项添加对匹配上述IPv6ICMP类型对应表项的报文执行的操作。进行上述操作之后，安全检查口的IPv6数据表可以如表2所示。表2
9
步骤303，二层交换机解析在网关连接口上监听到的IPv6RA报文，获得该IPv6RA 报文携带的网关IPv6地址信息。本实施例中，二层交换机的CPU接收到IPv6检查引擎发送的IPv6RA报文之后，对 该IPv6RA报文进行解析，获得该IPv6RA报文携带的网关IPv6地址信息。步骤304，二层交换机在该二层交换机的安全检查口的IPv6数据表中添加与网关 IPv6地址信息对应的表项，并在网关IPv6地址信息对应的表项中添加对匹配网关IPv6地 址信息对应表项的报文执行的操作。进行上述操作之后，安全检查口的IPv6数据表可以如表3所示。表 3 步骤305，二层交换机在安全检查口的IPv6数据表中添加与IPv6本地网段信息对 应的表项，并在IPv6本地网段信息对应的表项中添加对匹配IPv6本地网段信息对应表项 的报文执行的操作。由于携带IPv6本地网段信息的IPv6报文不会跨网段传输，因此不会形成DDOS攻 击，同时携带IPv6本地(IPv6L0Cal)网段信息的IPv6报文是IPv6协议运行的基础，必须 要允许这类报文通过，否则整个IPv6网络将无法工作，因此需要在安全检查口的IPv6数据 表中添加与IPv6本地网段信息对应的表项，并在IPv6本地网段信息对应的表项中添加对 匹配IPv6本地网段信息对应表项的报文执行的操作。该步骤后，安全检查口的IPv6数据表可以如表4所示。
表 4 步骤306，二层交换机继续解析从网关连接口上监听到的IPv6RA报文，获得 IPv6RA报文携带的IPv6非本地网段信息，在安全检查口的IPv6数据表中添加与IPv6非本 地网段信息对应的表项，并在IPv6非本地网段信息对应的表项中添加对匹配IPv6非本地 网段信息对应表项的报文执行的操作。该步骤后，安全检查口的IPv6数据表可以如表5所示。表 5 步骤307，二层交换机在安全检查口的IPv6数据表中添加与IPv6SIP不属于IPv6 本地网段地址的IPv6报文，或者IPv6SIP不属于IPv6路由器公告报文公告的IPv6非本地 网段地址的IPv6报文对应的表项。本实施例中，由于不匹配表项4和表项5的所有IPv6报文都被认为是非法的，必 须丢弃，由于IPv6检查引擎执行的算法有首次命中特性，因此只需要最后将所有IPv6报文 丢弃即可。该步骤后，安全检查口的IPv6数据表可以如表6所示。表6
本实施例中，二层交换机会持续不断地在网关连接口上监听IPv6RA报文，若 IPvBRA报文中携带的网关IPv6地址信息和IPv6非本地网段信息发生改变，则二层交换机 可以将安全检查口的IPv6数据表中网关IPv6地址信息对应表项中的网关IPv6地址信息 更新为发生改变之后的网关IPv6地址，并将IPv6非本地网段信息对应表项中的IPv6非本 地网段信息更新为发生改变之后的IPv6非本地网段，其他表项和表项之间的顺序保持不 表，以保证二层交换机的自适应性。步骤308，二层交换机在安全检查口检测到与上述IPv6数据表中的表项匹配的报 文之后，根据上述表项对匹配的报文执行相应的操作。本实施例中，二层交换机的IPv6检查引擎使用首次命中算法，即IPv6检查引擎遍 历上述IPv6数据表，在IPv6检查引擎接收到的报文首次与IPv6数据表中的表项匹配时， IPv6检查引擎就停止遍历操作，根据匹配的表项对该报文执行相应的操作；对没有匹配任 何表项的报文，IPv6检查引擎默认执行通过操作。具体地，在安全检查口检测到IPv6ICMP类型=RA的IPv6报文之后，IPv6检查引 擎会首次匹配命中表项1，根据表项1，IPv6检查引擎对上述IPV6ICMP类型=RA的IPv6报 文执行丢弃操作，从而防止非法IPv6RA报文干扰安全控制表项的建立；或者，在安全检查口检测到IPv6SIP =网关IPv6地址的报文之后，IPv6检查引擎会首 次匹配命中表项2，根据表项2，IPv6检查引擎对该IPv6SIP =网关IPv6地址的报文执行 丢弃操作，从而防止假冒网关的非法的IPv6ND协议报文通过，防止使用非法的IPv6ND协议 报文进行网关欺骗攻击；或者，在安全检查口检测到目标IP地址=网关IPv6地址的IPv6NA报文之后，IPv6检 查引擎会首次匹配命中表项3，根据表项3，IPv6检查引擎对该IPv6NA报文执行丢弃操作， 从而防止假冒网关的IPv6NA报文通过，防止使用IPv6NA报文进行网关欺骗攻击；或者，在安全检查口检测到携带IPv6本地网段地址的IPv6报文时，IPv6检查引擎会首次匹配命中表项4，根据表项4，IPv6检查引擎对携带IPv6本地网段地址的IPv6报文执 行通过操作，从而保证整个IPv6网络运行正常；需要说明的是，网关IPv6地址也可以使用 IPv6本地网段地址，但是携带网关IPv6地址的IPv6报文会优先匹配表项2或表项3而被 丢弃，因此不会因表项4而被误放过；或者，在安全检查口检测到IPv6SIP属于IPv6RA报文公告的IPv6非本地网段地址 的IPv6报文之后，IPv6检查引擎会首次匹配命中表项5，根据表项5，IPv6检查引擎对该 IPv6SIP属于IPv6RA报文公告的IPv6非本地网段地址的IPv6报文执行通过操作，从而保 证合法的IPv6报文能够被传输；本实施例中，IPv6SIP属于IPv6RA报文公告的IPv6非本 地网段地址的IPv6报文为合法的携带IPv6非本地网段地址的IPv6报文；或者，在安全检查口检测到IPv6SIP不属于IPv6RA报文公告的IPv6非本地网段地址 的IPv6报文之后，IPv6检查引擎会首次匹配命中表项6，根据表项6，IPv6检查引擎对该 IPv6SIP不属于IPv6RA报文公告的IPv6非本地网段地址的IPv6报文执行丢弃操作，从而 过滤非法IPv6报文，从源头上避免了 DDOS攻击；本实施例中，IPv6SIP不属于IPv6RA报文 公告的IPv6非本地网段地址的IPv6报文为非法的携带IPv6非本地网段地址的IPv6报文。上述实施例中，二层交换机配置该二层交换机的安全检查口上的IPv6数据表，在 该安全检查口检测到与IPv6数据表中的表项匹配的报文之后，根据该表项对匹配的报文 执行相应的操作；从而实现了在无状态IPv6地址自动配置场景中，防御DRDOS攻击和网 关欺骗攻击，提升了网络的安全性；另外，本发明实施例中资源的消耗与用户的接入规模无 关，从而可以支持大规模的网络；并且本发明实施例提供的安全检测方法不需要改变网络 中其他节点的配置和行为，例如不需要额外添加服务器，不需要接入终端上安装各类安全 软件，以及不需要改变路由器的配置。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序 在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。图4为本发明安全检测装置一个实施例的结构示意图，本实施例中的安全检测装 置可以作为网络侧设备，或网络侧设备的一部分，实现本发明图1所示实施例的流程。如图4所示，该安全检测装置可以包括监听模块41、配置模块42和操作执行模 块43 ；其中，监听模块41，用于在该安全检测装置的网关连接口上监听IPv6路由器公告 报文；配置模块42，用于根据监听模块41监听到的IPv6路由器公告报文配置该安全检 测装置的安全检查口上的IPv6数据表；操作执行模块43，用于在安全检查口检测到与IPv6数据表中的表项匹配的报文 之后，根据上述表项对匹配的报文执行相应的操作。本实施例中的网络侧设备可以为二层交换机，也可以为其他网络侧设备，例如路 由器等，本实施例对此不作限定。上述实施例中，配置模块42根据监听模块41在安全检测装置的网关连接口上监 听到的IPv6路由器公告报文，配置该安全检测装置的安全检查口上的IPv6数据表，在该安全检查口检测到与IPv6数据表中的表项匹配的报文之后，操作执行模块43根据该表项对 匹配的报文执行相应的操作；从而实现了在无状态IPv6地址自动配置场景中，防御DRDOS 攻击和网关欺骗攻击，提升了网络的安全性。图5为本发明安全检测装置另一个实施例的结构示意图，与图4所示的安全检测 装置相比，不同之处在于，图5所示安全检测装置的一种实现方式中，配置模块42可以包 括第一添加子模块421，用于在IPv6数据表中添加与IPv6ICMP类型对应的表项，并 在该IPv6ICMP类型对应的表项中添加对匹配上述IPv6ICMP类型对应表项的报文执行的操 作；对应地，操作执行模块43可以包括第一丢弃子模块431，用于在安全检查口检测到IPv6ICMP类型为路由器公告的 IPv6报文之后，对该IPv6报文执行丢弃操作。在本实施例的另一种实现方式中，配置模块42还可以包括第一解析子模块422，用于解析监听到的IPv6路由器公告报文，获得IPv6路由器 公告报文中携带的网关IPv6地址信息；第二添加子模块423，用于在IPv6数据表中添加与第一解析子模块422获得的网 关IPv6地址信息对应的表项，并在网关IPv6地址信息对应的表项中添加对匹配上述网关 IPv6地址信息对应表项的报文执行的操作；对应地，操作执行模块43还可以包括第二丢弃子模块432，用于在安全检查口检测到IPv6SIP地址为网关IPv6地址的 报文之后，对IPv6SIP地址为网关IPv6地址的报文执行丢弃操作；或者，在安全检查口检测 到目标IP地址为网关IPv6地址的IPv6邻居公告报文之后，对该IPv6邻居公告报文执行 丢弃操作。在本实施例的再一种实现方式中，配置模块42还可以包括第三添加子模块424，用于在IPv6数据表中添加与IPv6本地网段信息对应的表 项，并在该IPv6本地网段信息对应的表项中添加对匹配上述IPv6本地网段信息对应表项 的报文执行的操作；对应地，操作执行模块43还可以包括第一通过子模块433，用于在安全检查口检测到携带IPv6本地网段地址的IPv6报 文之后，对携带IPv6本地网段地址的IPv6报文执行通过操作。在本实施例的再一种实现方式中，配置模块42还可以包括第二解析子模块425，用于解析监听到的IPv6路由器公告报文，获得IPv6路由器 公告报文中携带的IPv6非本地网段信息；第四添加子模块426，用于在IPv6数据表中添加与第二解析子模块425获得的 IPv6非本地网段信息对应的表项，并在该IPv6非本地网段信息对应的表项中添加对匹配 上述IPv6非本地网段信息对应表项的报文执行的操作；对应地，操作执行模块43还可以包括第二通过子模块434，用于在安全检查口检测到IPv6SIP地址属于IPv6路由器公 告报文公告的IPv6非本地网段地址的IPv6报文之后，对IPv6源IP地址属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行通过操作；第三丢弃子模块435，用于在安全检查口检测到IPv6SIP地址不属于IPv6本地网 段地址的IPv6报文，或者IPv6SIP地址不属于IPv6路由器公告报文公告的IPv6非本地网 段地址的IPv6报文之后，对上述IPv6SIP地址不属于IPv6本地网段地址的IPv6报文，或 者IPv6SIP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执 行丢弃操作。另外，本实施例中的配置模块42还可以包括更新子模块427，用于在IPv6路由 器公告报文中携带的网关IPv6地址信息和IPv6非本地网段信息发生改变之后，将网关 IPv6地址信息对应表项中的网关IPv6地址信息更新为发生改变之后的网关IPv6地址，并 将IPv6非本地网段信息对应表项中的IPv6非本地网段信息更新为发生改变之后的IPv6 非本地网段。本实施例中的配置模块42可以只包括第一添加子模块421，对应地，操作执行模 块43可以只包括第一丢弃子模块431 ；或者，配置模块42可以包括第一添加子模块421、 第一解析子模块422、第二添加子模块423和更新子模块427，对应地，操作执行模块43可 以包括第一丢弃子模块431和第二丢弃子模块432 ；或者，配置模块42可以包括第一添加 子模块421、第一解析子模块422、第二添加子模块423、第三添加子模块424和更新子模块 427，对应地，操作执行模块43可以包括第一丢弃子模块431、第二丢弃子模块432和第一通 过子模块433 ；或者，配置模块42可以包括第一添加子模块421、第一解析子模块422、第二 添加子模块423、第三添加子模块424、第二解析子模块425、第四添加子模块426和更新子 模块427，对应地，操作执行模块43可以包括第一丢弃子模块431、第二丢弃子模块432、第 一通过子模块433、第二通过子模块434和第三丢弃子模块435。图5示出的是配置模块42包括第一添加子模块421、第一解析子模块422、第二添 加子模块423、第三添加子模块424、第二解析子模块425、第四添加子模块426和更新子模 块427，对应地，操作执行模块43包括第一丢弃子模块431、第二丢弃子模块432、第一通过 子模块433、第二通过子模块434和第三丢弃子模块435的这种实现方式。上述实施例中的网络侧设备实现了在无状态IPv6地址自动配置场景中，防御 DRDOS攻击和网关欺骗攻击，提升了网络的安全性；另外，上述网络侧设备可以安放在网络 接入层的任何位置，例如不需要和接入终端直连。本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流 程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分 布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。最后应说明的是以上实施例仅用以说明本发明的技术方案，而非对其限制；尽 管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替 换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
一种安全检测方法，其特征在于，包括在网络侧设备的网关连接口上监听IPv6路由器公告报文；根据监听到的IPv6路由器公告报文配置所述网络侧设备的安全检查口上的IPv6数据表；在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所述表项对所述匹配的报文执行相应的操作。
2.根据权利要求1所述的方法，其特征在于，所述根据监听到的IPv6路由器公告报文 配置所述网络侧设备的安全检查口上的IPv6数据表包括在所述IPv6数据表中添加与IPv6因特网控制报文协议类型对应的表项，并在所述 IPv6因特网控制报文协议类型对应的表项中添加对匹配所述IPv6因特网控制报文协议类 型对应表项的报文执行的操作；所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到IPv6因特网控制报文协议类型为路由器公告的IPv6报文之 后，对所述IPv6报文执行丢弃操作。
3.根据权利要求2所述的方法，其特征在于，所述在所述IPv6因特网控制报文协议类 型对应的表项中添加对匹配所述IPv6因特网控制报文协议类型对应表项的报文执行的操 作之后，还包括解析监听到的IPv6路由器公告报文，获得所述IPv6路由器公告报文中携带的网关 IPv6地址信息，在所述IPv6数据表中添加与所述网关IPv6地址信息对应的表项，并在所述 网关IPv6地址信息对应的表项中添加对匹配所述网关IPv6地址信息对应表项的报文执行 的操作；所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到IPv6源IP地址为网关IPv6地址的报文之后，对所述IPv6 源IP地址为网关IPv6地址的报文执行丢弃操作；或者，在所述安全检查口检测到目标IP地址为网关IPv6地址的IPv6邻居公告报文之后，对 所述IPv6邻居公告报文执行丢弃操作。
4.根据权利要求3所述的方法，其特征在于，所述在所述网关IPv6地址信息对应的表 项中添加对匹配所述网关IPv6地址信息对应表项的报文执行的操作之后，还包括在所述IPv6数据表中添加与IPv6本地网段信息对应的表项，并在所述IPv6本地网段 信息对应的表项中添加对匹配所述IPv6本地网段信息对应表项的报文执行的操作；所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到携带IPv6本地网段地址的IPv6报文之后，对所述携带IPv6 本地网段地址的IPv6报文执行通过操作。
5.根据权利要求4所述的方法，其特征在于，所述在所述IPv6本地网段信息对应的表 项中添加对匹配所述IPv6本地网段信息对应表项的报文执行的操作之后，还包括解析监听到的IPv6路由器公告报文，获得所述IPv6路由器公告报文中携带的IPv6非本地网段信息，在所述IPv6数据表中添加与所述IPv6非本地网段信息对应的表项，并在所 述IPv6非本地网段信息对应的表项中添加对匹配所述IPv6非本地网段信息对应表项的报 文执行的操作；所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到IPv6源IP地址属于IPv6路由器公告报文公告的IPv6非 本地网段地址的IPv6报文之后，对所述IPv6源IP地址属于IPv6路由器公告报文公告的 IPv6非本地网段地址的IPv6报文执行通过操作；或者，在所述安全检查口检测到IPv6源IP地址不属于IPv6本地网段地址的IPv6报文，或 者所述IPv6源IP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报 文之后，对所述IPv6源IP地址不属于IPv6本地网段地址的IPv6报文，或者所述IPv6源 IP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行丢弃操 作。
6.根据权利要求3-5任意一项所述的方法，其特征在于，还包括在所述IPv6路由器公告报文中携带的网关IPv6地址信息和IPv6非本地网段信息发 生改变之后，将所述网关IPv6地址信息对应表项中的网关IPv6地址信息更新为发生改变 之后的网关IPv6地址，并将所述IPv6非本地网段信息对应表项中的IPv6非本地网段信息 更新为发生改变之后的IPv6非本地网段。
7.一种安全检测装置，其特征在于，包括监听模块，用于在所述安全检测装置的网关连接口上监听IPv6路由器公告报文； 配置模块，用于根据所述监听模块监听到的IPv6路由器公告报文配置所述安全检测 装置的安全检查口上的IPv6数据表；操作执行模块，用于在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报 文之后，根据所述表项对所述匹配的报文执行相应的操作。
8.根据权利要求7所述的装置，其特征在于，所述配置模块包括第一添加子模块，用于在所述IPv6数据表中添加与IPv6因特网控制报文协议类型对 应的表项，并在所述IPv6因特网控制报文协议类型对应的表项中添加对匹配所述IPv6因 特网控制报文协议类型对应表项的报文执行的操作； 所述操作执行模块包括第一丢弃子模块，用于在所述安全检查口检测到IPv6因特网控制报文协议类型为路 由器公告的IPv6报文之后，对所述IPv6报文执行丢弃操作。
9.根据权利要求8所述的装置，其特征在于，所述配置模块还包括第一解析子模块，用于解析监听到的IPv6路由器公告报文，获得所述IPv6路由器公告 报文中携带的网关IPv6地址信息；第二添加子模块，用于在所述IPv6数据表中添加与所述第一解析子模块获得的网关 IPv6地址信息对应的表项，并在所述网关IPv6地址信息对应的表项中添加对匹配所述网 关IPv6地址信息对应表项的报文执行的操作； 所述操作执行模块还包括第二丢弃子模块，用于在所述安全检查口检测到IPv6源IP地址为网关IPv6地址的报文之后，对所述IPv6源IP地址为网关IPv6地址的报文执行丢弃操作；或者，在所述安全检 查口检测到目标IP地址为网关IPv6地址的IPv6邻居公告报文之后，对所述IPv6邻居公 告报文执行丢弃操作。
10.根据权利要求9所述的装置，其特征在于，所述配置模块还包括第三添加子模块，用于在所述IPv6数据表中添加与IPv6本地网段信息对应的表项，并 在所述IPv6本地网段信息对应的表项中添加对匹配所述IPv6本地网段信息对应表项的报 文执行的操作；所述操作执行模块还包括第一通过子模块，用于在所述安全检查口检测到携带IPv6本地网段地址的IPv6报文 之后，对所述携带IPv6本地网段地址的IPv6报文执行通过操作。
11.根据权利要求10所述的装置，其特征在于，所述配置模块还包括第二解析子模块，用于解析监听到的IPv6路由器公告报文，获得所述IPv6路由器公告 报文中携带的IPv6非本地网段信息；第四添加子模块，用于在所述IPv6数据表中添加与所述第二解析子模块获得的IPv6 非本地网段信息对应的表项，并在所述IPv6非本地网段信息对应的表项中添加对匹配所 述IPv6非本地网段信息对应表项的报文执行的操作；所述操作执行模块还包括第二通过子模块，用于在所述安全检查口检测到IPv6源IP地址属于IPv6路由器公告 报文公告的IPv6非本地网段地址的IPv6报文之后，对所述IPv6源IP地址属于IPv6路由 器公告报文公告的IPv6非本地网段地址的IPv6报文执行通过操作；第三丢弃子模块，用于在所述安全检查口检测到IPv6源IP地址不属于IPv6本地网段 地址的IPv6报文，或者所述IPv6源IP地址不属于IPv6路由器公告报文公告的IPv6非本 地网段地址的IPv6报文之后，对所述IPv6源IP地址不属于IPv6本地网段地址的IPv6报 文，或者所述IPv6源IP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的 IPv6报文执行丢弃操作。
12.根据权利要求9-11任意一项所述的装置，其特征在于，所述配置模块还包括更新子模块，用于在所述IPv6路由器公告报文中携带的网关IPv6地址信息和IPv6非本地网段信息发生改变之后，将所述网关IPv6地址信息对应表项中的网关IPv6地址信息 更新为发生改变之后的网关IPv6地址，并将所述IPv6非本地网段信息对应表项中的IPv6 非本地网段信息更新为发生改变之后的IPv6非本地网段。
13.—种网络侧设备，其特征在于，包括根据权利要求7-12任意一项所述的安全检测装置。
全文摘要
本发明实施例提供一种安全检测方法、装置和网络侧设备，该安全检测方法包括在网络侧设备的网关连接口上监听IPv6路由器公告报文；根据监听到的IPv6路由器公告报文配置所述网络侧设备的安全检查口上的IPv6数据表；在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所述表项对所述匹配的报文执行相应的操作。本发明实施例实现了在无状态IPv6地址自动配置场景中，防御DRDOS攻击和网关欺骗攻击，提升了网络的安全性。
文档编号H04L29/12GK101931627SQ20101026445
公开日2010年12月29日 申请日期2010年8月26日 优先权日2010年8月26日
发明者王肖军 申请人:福建星网锐捷网络有限公司