一种防止IPv6地址仿冒拒绝服务攻击的设备及传输方法与流程

本发明涉及一种防止ipv6地址仿冒拒绝服务攻击的设备及传输方法，属于网络安全。

背景技术：

1、ipv6(internet protocol version 6，互联网协议版本6)是网络层协议的第二代标准协议，是ipv4的升级版本。ipv6是互联网升级演进的必然趋势、网络技术创新的重要方向、网络强国建设的基础支撑。云计算、物联网、工业互联网、人工智能等新兴产业的发展，对网络基础技术提出了新的需求，基于ipv6进行创新是这些新兴产业的必然需求。

2、ipv6邻居发现协议是ipv6的一个关键协议，协议集成了以前ipv4中一些协议的功能，如ipv4地址解释协议(arp)、icmp路由发现功能和icmp重定向功能，并增加了一些新的功能。ipv6邻居发现协议功能强大，但是却没有任何安全机制，在现实的网络中面临很多安全威胁，容易被攻击者利用。现有的防ipv6地址仿冒攻击的方法，主要是有在设备上配置固定时间间隔，如果在指定时间内没有收到响应则认为该地址可用；在设备上配置固定重复次数，如果没收到响应则继续发送邻居请求消息请求，当时发送的次数达到设置的阈值，仍未收到响应，则认为该地址可用。

3、现有公开号为cn103297563a的发明专利公开了一种基于身份认证的防止重复地址检测攻击的方法，涉及网络安全技术领域。此发明通过在第三方的验证模块处备份网络设备的地址信息，并且与验证模块间共享对称密钥，来验证发出地址重复信息的设备的身份，从而防止非法用户仿冒ip地址进行攻击，并通过定时的更换会话密钥和更新映射表，来保证系统的安全性。

4、上述现有技术存在对地址检测中收到的邻居广播消息报文没有做安全校验，容易使主机遭受拒绝服务攻击，设置固定的重复检测次数无法防止攻击者的洪水攻击的问题，对此本发明提供一种防止ipv6地址仿冒拒绝服务攻击的设备及传输方法解决现有技术存在的问题。

技术实现思路

1、本发明的目的是提供一种防止ipv6地址仿冒拒绝服务攻击的设备及传输方法，通过在邻居请求消息报文和邻居广播消息报文中添加标志位和选项字段，以及利用crc32函数进行计算和验证，来实现对报文的真实性和地址的唯一性的检测，从而有效地防止非法用户仿冒ip地址进行攻击，本发明是采用下述技术方案实现的。

2、本发明提供一种防止ipv6地址仿冒拒绝服务攻击的传输方法，包括：

3、在邻居请求消息和邻居广播消息报文中增加一个flag字段，用来标识是否执行安全的地址仿冒检查交互过程；

4、在所述邻居请求消息报文中增加一个选项2字段，用来携带一个随机数

5、在所述邻居广播消息报文中增加一个选项2字段，用来携带一个crc32值；

6、利用所述邻居请求消息报文中的目的ipv6地址、源mac地址和选项2的随机数三个值作为crc32函数的输入变量，计算出32位的crc32值，并将所述crc32值记录到本地缓存中；

7、利用所述邻居广播消息报文中的目的mac地址、源ipv6地址和所述邻居请求消息报文中的选项2的随机数三个值作为crc32函数的输入变量，计算出32位的crc32值，并填充到所诉邻居广播消息报文的选项2字段中；

8、对比收到的所述邻居广播消息报文中的crc32值是否和所述本地缓存中的crc32值相等，如果相等，判定该邻居广播消息报文是可信的报文，如果不相等，判定所述邻居广播消息报文是伪造的报文。

9、优选地，所述的邻居请求消息报文flag字段为第5字节的中的第一个比特位，所述邻居广播消息报文的flag字段为第5字节中的最后一个比特位，当flag为1时，执行安全的地址仿冒检查交互过程，当flag为0时，执行真普通的地址仿冒检查交互过程。

10、优选地，所述安全的地址仿冒检查交互过程和普通的地址仿冒检查交互过程区别在于，安全的地址仿冒检查交互过程增加了所述crc32值的检验。

11、优选地，所述安全的地址仿冒检查交互过程还包括：

12、当判定收到的邻居广播消息报文是伪造的报文时，记录ipv6地址仿冒攻击的日志信息。

13、本发明提供一种防止ipv6地址仿冒拒绝服务攻击的设备，包括：

14、发送模块，用于在配置新的全球单播地址时，向该地址对应的组播地址发送邻居请求消息报文；在收到邻居请求消息报文时回复邻居广播消息报文；

15、计算模块，利用邻居请求消息报文和邻居广播消息报文中的不同字段作为输入变量，计算crc32值；

16、接收模块，用于邻居请求消息报文和邻居广播消息报文；

17、判断模块，用于对比收到的邻居广播消息报文的选项2字段的crc32值和本地缓存中的crc32值。

18、优选地，所述发送模块在发送邻居请求消息报文时，在所述邻居请求消息报文中增加一个flag字段和一个选项2字段，调用所述计算模块，将计算得到crc32值保存到本地缓存中；

19、优选地，所述发送模块在发送邻居广播消息报文时，在所述邻居广播消息报文中增加一个flag字段和一个选项2字段，调用所述计算模块，将计算得到crc32值填充到所述选项2字段中。

20、优选地，当所述邻居请求消息报文和所述邻居广播消息报文中的flag字段为1时，执行安全的地址仿冒检查交互过程，当所述邻居请求消息报文和所述邻居广播消息报文中的flag字段为0时，执行普通的地址仿冒检查交互过程。

21、优选地，所述接收模块接收所述邻居广播消息报文时，提取所述邻居广播消息报文中的crc32值，调用判断模块。

22、优选地，所述计算模块的输入变量包括：

23、邻居请求消息报文中的目的ipv6地址、源mac地址和选项2的随机数；

24、邻居广播消息报文中的源ipv6地址、目的mac地址和接收到的邻居请求消息报文中的选项2的随机数。

25、优选地，所述判断模块判断所述接收模块收到的邻居广播消息报文中的crc32值是否和本地缓存中的crc32值相等，如果相等则判定所诉邻居广播消息报文是可信报文，如果不相等则判定所述邻居广播消息报文为伪造报文。

26、与现有技术相比，本发明所达到的有益效果：

27、1.本发明通过定义用于校验的crc32值，有效地验证了报文的真实性和地址的唯一性，从而防止非法用户仿冒ip地址进行攻击；

28、2.本发明通过安全的地址仿冒检查交互过程，能有效地检测和消除重复的或被仿冒的ip地址，从而保证网络的可靠性和安全性；

29、3.本发明通过增加二次校验过程，利用crc32值确认交互过程的可信的方法来防止ipv6地址仿冒攻击，能有效地识别攻击者伪造的报文，从而提高网络的效率和性能。

技术特征：

1.一种防止ipv6地址仿冒拒绝服务攻击的传输方法，其特征在于，包括：

2.根据权利要求1所述的一种防止ipv6地址仿冒拒绝服务攻击的传输方法，其特征在于，包括：

3.根据权利要求2所述的一种防止ipv6地址仿冒拒绝服务攻击的传输方法，其特征在于，包括：

4.根据权利要求3所述的一种防止ipv6地址仿冒拒绝服务攻击的传输方法，其特征在于，所述安全的地址仿冒检查交互过程还包括：

5.一种防止ipv6地址仿冒拒绝服务攻击的设备，根据权利要求4所述的方法，其特征在于，包括：

6.一种防止ipv6地址仿冒拒绝服务攻击的设备，根据权利要求5所述的方法，其特征在于，包括：

7.一种防止ipv6地址仿冒拒绝服务攻击的设备，根据权利要求6所述的方法，其特征在于，包括：

8.一种防止ipv6地址仿冒拒绝服务攻击的设备，根据权利要求5所述的方法，其特征在于，包括：

9.一种防止ipv6地址仿冒拒绝服务攻击的设备，根据权利要求5所述的方法，其特征在于，所述计算模块的输入变量包括：

10.一种防止ipv6地址仿冒拒绝服务攻击的设备，根据权利要求5所述的方法，其特征在于，包括：

技术总结
本发明提出一种防止IPv6地址仿冒拒绝服务攻击的设备及传输方法，用于解决现有防IPV6地址仿冒攻击技术中缺乏邻居广播消息报文检验，容易使主机遭受拒绝服务攻击；设置固定的重复检测次数无法防止攻击者洪水攻击的问题，属于网络安全技术领域。本发明通过在邻居请求消息报文和邻居广播消息报文中添加标志位和选项字段，以及利用CRC32函数进行计算和验证，来实现对报文的真实性和地址的唯一性的检测，从而有效地防止非法用户仿冒IP地址进行攻击。

技术研发人员：白雁飞,谭近,杨顺风,孙畅,王光廷
受保护的技术使用者：天翼云科技有限公司
技术研发日：
技术公布日：2024/4/17