[发明专利]一种防止伪造报文攻击的方法和装置

说明书

技术领域

本发明涉及网络通信技术领域，尤指一种防止伪造报文攻击的方法和装置。 

背景技术

第6版本的互联网协议(IPv6，Internet Protocol Version 6)是互联网工程任务组(IETF，Internet Engineering Task Force)设计的用于替代现行版本IP协议(IPv4)的下一代IP协议。 

邻居发现(ND，Neighbor Discovery)协议是IPv6的基本组成部分。ND协议使用五种类型的第6版本互联网控制报文协议(ICMPv6，InternetControl Message Protocol Version 6)报文实现以下功能：地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现、地址自动配置和重定向等。ND协议使用的五种类型的ICMPv6报文及其作用如表1所示： 

表1 

下面对ND协议的五种类型的ICMPv6报文所实现的功能进行简单介绍： 

1、地址解析 

地址解析是获取同一链路上的邻居节点的链路层地址，通过邻居请求报文NS和邻居通告报文NA实现。 

图1是现有技术的地址解析过程的示意图。如图1所示，节点A要获取节点B的链路层地址，则节点A以组播方式发送NS报文，该NS报文的源地址是节点A的接口IPv6地址，目的地址是节点B的被请求节点组播地址，报文内容中包含了节点A的链路层地址；节点B收到NS报文后，判断其中的目的地址是否为自己的IPv6地址对应的被请求节点组播地址，如果是，则节点B学习节点A的链路层地址，并以单播方式向节点A返回NA报文，该NA报文中包含了节点B的链路层地址；节点A收到NA报文，从中获取节点B的链路层地址。 

2、验证邻居是否可达 

在获取到邻居节点的链路层地址后，通过NS报文和NA报文可以验证邻居节点是否可达。具体为：节点发送NS报文，其中的目的地址是邻居节点的IPv6地址，如果收到邻居节点的确认报文NA，则认为邻居节点可达，否则，认为邻居不可达。 

3、重复地址检测(DAD) 

当节点获取到一个IPv6地址后，需要使用重复地址检测功能确定该地址是否已被其他节点使用。 

图2是现有技术中的重复地址检测过程的示意图。如图2所示，节点A发送NS报文，该NS报文的源地址是未指定的地址，用“::”表示，目的地址是待检测的IPv6地址对应的被请求节点组播地址，NS报文的内容中包含了待检测的IPv6地址；如果节点B已经使用了这个待检测的IPv6地址，则会返回NA报文，该NA报文中包含了节点B自身的IPv6地址；节点A收到节点B发送的NA报文后，便知道该IPv6地址，反之，则说明该地址未 被使用，节点A可以使用该IPv6地址。 

4、路由器发现/前缀发现及无状态地址自动配置 

路由器发现/前缀发现时指节点从收到的RA报文中获取邻居路由器及所在网络的前缀，以及其他配置参数。 

无状态地址自动配置是指节点根据路由器发现/前缀发现所获取的信息，自动配置IPv6地址。 

路由器发现/前缀发现通过RS和RA报文来实现，具体过程如下：(1)节点启动时，通过RS报文向路由器发送请求，请求前缀和其他配置信息，以便用于节点的配置；(2)路由器返回RA报文，其中包括前缀信息选项；需要说明的是除了响应RS路由器也会周期性地发布RA报文；(3)节点利用路由器返回的RA报文中的地址前缀及其他配置参数，自动配置接口的IPv6地址及其他信息。在自动配置生成IPv6地址时，为了防止与现有网络中的其他设备或主机地址冲突，需要进行一次重复地址检测过程，检测没有重复地址，则地址生效。 

前缀信息选项中不仅包括地址前缀信息，还包括该地址前缀的首选生命期(preferred lifetime)和有效生命期(valid lifetime)。节点收到路由器周期性发送的RA报文后，会根据该报文更新前缀的首选生命期和有效生命期。在有效生命期内，自动生成的地址可以正常使用，有效生命期过期后，自动生成的地址将被删除。 

5、重定向功能 

当主机启动时，它的路由表中可能只有一条到缺省网关的缺省路由。当满足一定的条件时，缺省网关会向源主机发送ICMPv6重定向报文，通知主机选择更好的下一条进行后续报文的发送。设备在满足下列条件时会发送会主机重定向的ICMPv6重定向报文：