[发明专利]一种网络中防止地址冲突检测欺骗的方法有效
申请号: | 200810067054.4 | 申请日: | 2008-04-30 |
公开(公告)号: | CN101267312A | 公开(公告)日: | 2008-09-17 |
发明(设计)人: | 杨凡 | 申请(专利权)人: | 中兴通讯股份有限公司 |
主分类号: | H04L9/36 | 分类号: | H04L9/36;H04L29/06 |
代理公司: | 深圳市君胜知识产权代理事务所 | 代理人: | 王永文 |
地址: | 518057广东省深圳市南山*** | 国省代码: | 广东;44 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 网络 防止 地址 冲突 检测 欺骗 方法 | ||
技术领域
本发明涉及计算机网络通信领域,尤其涉及一种IPV6网络中防止地址冲突检测欺骗的方法。
背景技术
随着因特网规模的日趋扩大,IP(Internet Protocol网络之间互连的协议)业务的迅速增长,IP网络上的应用也在不断增加,原有的IP网络越来越力不从心。目前使用的IP协议是IPV4(Internet Protocol Version 4互联网协议第四版),是70年代制定的协议,随着全球IP网络规模的不断扩大和用户数目的迅速增长,IPV4协议已不能适应IP网络发展的需要,IP网络正在向下一代的网络演进,其网络协议也应产生重大变化。
早在90年代初,有关专家就预见到IP协议换代的必然性。因为IPV4地址资源日见紧张,大约只有43亿个地址,估计在2005~2010年间将被分配完毕,已有逐渐耗尽的趋势,针对这一现象,因特网工程任务组(IETF:Internet Engineering Task Force)准备开发一种IPV6协议来取代IPV4协议。IPV6(Internet Protocol Version 6)是1992年提出的,主要起因是由于环球网(Web)的出现导致了IP网的爆炸性发展,IP网用户迅速增加,IP地址空前紧张,由于IPV4协议采用32位二进制数来表示地址,地址空间很狭小,IP网将会因为地址耗尽而无法继续发展,所以IPV6协议首先要解决的问题是扩大地址空间。IPV6协议采用128位地址长度,几乎可以不受限制地提供地址。按保守方法估算,IPV6实际可分配的地址,整个地球的每平方米面积上仍可分配1000多个地址。
当一台安装有IPV6协议的主机第一次连接到链路上时,它能够自动配置自身的接口地址。对于广播型的接口,使用一种称为MAC-to-EUI64的转换法,利用MAC(Macintosh)地址导出接口的ID(Identification),再加上适当的前缀构成完整的IPV6地址。虽然大多数情况下都可以保证,在任何范围内获取一个唯一的地址,但是确保地址的唯一性无疑是明知的。所以不管一台设备是如何获取一个地址的,在使用这个地址之前都必需要进行地址冲突检测(DAD:Duplicate Address Detection)程序。
对已经获取一个新地址的节点,系统会把这个新的地址归类为临时状态的地址。在地址冲突检测操作没有完成并确认该链路上没有其他节点使用这个地址之前,该地址还不能被使用。这个节点会把目标地址字段设置为该地址的邻居请求消息,并发送这个邻居请求消息来验该证地址是否冲突。这个邻居请求消息的源地址是未指定地址,而它的目的地址是被请求节点的多播地址。
如果一个节点收到一个邻居请求消息,并且它的目标地址与该节点所分配的其中一个地址匹配,它就会发送一个目标地址和目的地址都为试探地址的邻居通告消息,发起这个邻居请求消息的节点就会知道这个试探地址是冲突的,并且不能使用。
IPV6的邻居请求消息格式中的目标地址使用的是本地链路地址。使用这类地址的消息只在单条链路上传递,不会被IPV6路由器转发,但会被二层设备例如交换机,在本地链路的所有端口上转发。
上述的地址冲突检测机制很容易造成给恶意主机在IPV6网络中开放漏洞。某个恶意的节点可以伪造数据包对所有地址冲突检测的邻居请求报文给予应答,这将拥塞该条链路上的所有节点无法正常完成地址冲突检测,从而导致本地链路瘫痪。
因此,现有技术存在缺陷,尚有待改进和发展。
发明内容
本发明要解决的问题是,提供一种网络中防止地址冲突检测欺骗的方法,以防止由于恶意节点的地址冲突检测欺骗报文造成的链路瘫痪。
本发明的技术方案如下:
一种网络中防止地址冲突检测欺骗的方法,其包括以下步骤:
A、运行监控子模块用于侦听以太网链路内各个端口,二层设备随时监控本链路上的所有邻居通告消息,并统计每个消息来源的源端口;当侦听发现端口的邻居通告消息数量超过所设定的门限值,则判断该端口可能异常,调用模拟地址冲突检测子模块对该端口分支中是否存在恶意节点进行验证;所述模拟地址冲突检测子模块针对可能异常的端口分支发送模拟地址冲突检测报文,如果该分支返回了与模拟地址冲突检测报文相应的邻居通告消息,则判定存在恶意节点,端口异常;
B、调用防御子模块,针对模拟地址冲突检测子模块判断的异常端口,执行对该异常端口的半关闭动作直至端口正常,所述半关闭动作包括:只允许从二层设备往异常端口发数据包,禁止异常端口发出的数据包扩散至链路的其他分支。
所述的方法,其中,所述步骤A中所述监控子模块的侦听过程还包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中兴通讯股份有限公司,未经中兴通讯股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200810067054.4/2.html,转载请声明来源钻瓜专利网。
- 上一篇:插入椎间盘假体的仪器和方法
- 下一篇:热熔断器及其制造方法