实现局域网IPv6流量旁路阻断的方法、设备及介质与流程

本公开涉及互联网，具体涉及网络数据传输领域，更具体地涉及一种实现局域网ipv6流量旁路阻断的方法、处理设备、电子设备及介质。

背景技术：

1、当前ipv4地址越来越稀缺，已经到了资源耗尽的地步，ipv6的普及必然是大势所趋，而基于ipv6的网络安全也越来越值得研究和管控，在ipv6的网络环境中，在实际应用中，我们常常需要对某些ipv6地址或者端口的数据进行管控，合法的放行，非法的阻断，对阻断的数据则可以采用发送tcp rst阻断包的技术实现。

2、然而，发送tcp rst阻断包对数据进行阻断是一种比较简单暴力的方式。当我们展示打开一个网站，通常会进行多次的网络数据之间的传输与交互，只有当这些数据全部传输完成，才会展示出一个完整的网站，因此阻断效率低。

技术实现思路

1、鉴于上述问题，本公开提供了实现局域网ipv6流量旁路阻断的方法、处理设备、电子设备及介质。

2、根据本公开的第一个方面，提供了一种实现局域网ipv6流量旁路阻断的方法，应用于处理设备，所述方法包括：步骤s1，获取从局域网内镜像过的流量；步骤s2，从所述镜像过的流量中筛选出待阻断的ipv6数据流，分析所述ipv6数据流中待阻断的网内ipv6地址；步骤s3，向所述网内ipv6地址发送伪造的ra数据包，破坏所述网内ipv6地址的默认路由，使所述网内ipv6地址的所有ipv6数据流被阻断；步骤s4，在达到解除阻断的条件后，停止向所述网内ipv6地址发送伪造的ra数据包。

3、根据本公开的实施例，所述步骤s1具体包括：在局域网内待阻断的网段的交换机上开启端口镜像配置，将所述镜像过的流量导入所述处理设备中。

4、根据本公开的实施例，在步骤s2，所述分析所述ipv6数据流中待阻断的网内ipv6地址，包括：针对所述待阻断的ipv6数据流，分析出目标元数据；按照局域网络安全管理策略继续分析所述目标元数据，确定所述ipv6数据流中待阻断的网内ipv6地址。

5、根据本公开的实施例，所述目标元数据包括：本地ipv6地址、对端通信地址、本地通讯端口和对端通讯端口。

6、根据本公开的实施例，在步骤s3，所述伪造的ra数据包包括：伪造的icmpv6路由器通告消息ra数据包；所述向所述网内ipv6地址发送伪造的ra数据包，破坏所述网内ipv6地址的默认路由，包括：利用所述伪造的icmpv6路由器通告消息ra数据包，将路由器生存时间设置为0，使所述网内ipv6地址的默认路由失效。

7、根据本公开的实施例，所述步骤s3还包括：所述处理设备持续不断发送所述伪造的ra数据包至所述网内ipv6地址，使所述网内ipv6地址保持被阻断状态。

8、根据本公开的实施例，所述处理设备持续不断发送伪造的ra数据包至所述网内ipv6地址，包括：所述处理设备跟踪记录路由设备发送至所述网内ipv6地址的真实的ra路由器生存时间数据包；在收到所述真实的ra路由器生存时间数据包后，所述处理设备发送所述伪造的ra数据包，使所述网内ipv6地址保持被阻断状态。

9、本公开的第二方面提供了一种处理设备，包括：镜像流量获取模块，用于获取从局域网内镜像过的流量；分析模块，用于从所述镜像过的流量中筛选出待阻断的ipv6数据流，分析所述ipv6数据流中待阻断的网内ipv6地址；阻断模块，用于向所述网内ipv6地址发送伪造的ra数据包，破坏所述网内ipv6地址的默认路由，使所述网内ipv6地址的所有ipv6数据流被阻断；阻断解除模块，用于在达到解除阻断的条件后，停止向所述网内ipv6地址发送伪造的ra数据包。

10、本公开的第三方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得一个或多个处理器执行上述实现局域网ipv6流量旁路阻断的方法。

11、本公开的第四方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述实现局域网ipv6流量旁路阻断的方法。

12、本公开的第五方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述实现局域网ipv6流量旁路阻断的方法。

技术特征：

1.一种实现局域网ipv6流量旁路阻断的方法，应用于处理设备，所述方法包括：

2.根据权利要求1所述的方法，其中，所述步骤s1具体包括：

3.根据权利要求1所述的方法，其中，在步骤s2，所述分析所述ipv6数据流中待阻断的网内ipv6地址，包括：

4.根据权利要求3所述的方法，其中，所述目标元数据包括：

5.根据权利要求1所述的方法，其中，在步骤s3，所述伪造的ra数据包包括：伪造的icmpv6路由器通告消息ra数据包；

6.根据权利要求1所述的方法，其中，所述步骤s3还包括：

7.根据权利要求6所述的方法，其中，所述处理设备持续不断发送伪造的ra数据包至所述网内ipv6地址，包括：

8.一种处理设备，包括：

9.一种电子设备，包括：

10.一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行根据权利要求1～7中任一项所述的方法。

技术总结
本公开提供了一种实现局域网IPv6流量旁路阻断的方法、设备及介质，涉及互联网技术领域。该方法应用于处理设备，方法包括：步骤S1，获取从局域网内镜像过的流量；步骤S2，从镜像过的流量中筛选出待阻断的IPv6数据流，分析IPv6数据流中待阻断的网内IPv6地址；步骤S3，向网内IPv6地址发送伪造的RA数据包，破坏网内IPv6地址的默认路由，使网内IPv6地址的所有IPv6数据流被阻断；步骤S4，在达到解除阻断的条件后，停止向网内IPv6地址发送伪造的RA数据包。

技术研发人员：宗烈烽,李星,吴建平,郑先伟,王飞,郝子剑,杜孟佳
受保护的技术使用者：赛尔网络有限公司
技术研发日：
技术公布日：2024/1/22