[发明专利]一种防止IPv6地址重复检测攻击的方法及系统

说明书

技术领域

本发明涉及数据通信领域，尤其涉及一种防止IPv6地址重复检测攻击的方法及系统。

背景技术

随着IPv4地址的日益枯竭，IPv6网络的大量部署逐渐被提上日程，其安全问题也逐渐被提出来。虽然普遍认为IPv6因为有IPsec而比IPv4更安全，单是在实际部署的时候，由于技术能力不够或者安全基础设施不足等原因，使得IPv6网络往往没有采取任何安全措施。而且IPv6网络传输的基本机制和IPv4相同，所以IPv6网络并不比IPv4网络安全。

IPv6网络的安全性总体上分为四类：实现和部署上的漏洞和不足、非IP层攻击、过渡时期的安全脆弱性和IPv6网络特有的安全性。IPv6特有的安全性方面，针对IPv6地址重复检测的攻击，后果比较严重，特别是基于无状态地址自动配置的攻击，攻击后果尤其严重。无状态地址配置，简单来说，就是设备在接口协议up(处于工作状态)时自动生成一个link local(链路本地)地址，并发起地址重复检测，检测地址是否重复。这个功能虽然方便了用户使用IPv6网络，也使得非法用户可以更容易的介入和使用网络。无状态地址攻击就是攻击者对地址检测报文进行回复，这样被攻击的设备就认为地址冲突而放弃使用该配置的地址。根据RFC2461规定，如果接口的link local地址冲突了，这个接口就不应该处理任何IPv6报文，这样该接口就相当于失去了IPv6功能。同样对于普通IPv6地址，手工配置完了也需要DAD(Duplicate AddressDetection，重复地址检测)检测，也会遭到这种攻击。如果攻击严重，会导致设备整个IPv6功能失效。

DAD检测的工作原理为：节点新配置IPv6地址以后，发送一个NS(邻居请求)报文，该报文的目标地址是当前配置的地址，源IP是0，目的IP是一个IPv6的请求组播地址，如果在发送用于检测重复地址的NS(邻居请求)报文前，收到针对同一个目标地址的NS报文，则说明地址重复；在发送用于检测重复地址的NS后，收到的针对同一个目标地址的NS报文比预期的多则说明地址重复；收到针对目标地址的NA(邻居通告)则说明地址重复；否则地址就是有效的。如附图1所示，是IPv6 DAD检测原理图，设备A配置IPv6地址后，设备B返回NA/NS报文，设备A根据上述原理进行判断。网络攻击主要是针对后边两种的情况，就是攻击设备在收到网络节点设备DAD检测的NS报文后，构造一个针对该地址的NA报文或者NS报文，回复回来，使网络设备误认为自己配置的地址不可用，从而不能正常工作，造成网络攻击。

发明内容

针对上述缺陷，本发明解决的技术问题在于，提供了一种防止IPv6地址重复检测攻击的方法，该方法能够应对重复检测攻击，保护网络设备。本发明同时提供了一种防止IPv6地址重复检测攻击的系统。

本发明提供了一种防止IPv6地址重复检测攻击的方法，所述方法包括，

节点设备发出地址重复检测的邻居请求报文，在收到针对地址重复检测回应的邻居公告NA/邻居请求NS报文后，记录下该报文的源Mac，指定收到邻居公告NA/邻居请求NS报文的源地址为报文目标地址，发送邻居请求NS单播可达性探测报文，并判断是否收到应答报文，若有应答报文，则将配置的IPv6地址置为重复状态，否则将配置的IPv6地址状态置为可用状态。

优选地，所述邻居公告NA/邻居请求NS报文的源地址为源IPv6地址。

优选地，所述指定收到邻居公告NA/邻居请求NS报文的源地址为报文目标地址具体为，

将收到邻居公告NA/邻居请求NS报文的源IPv6地址和源Mac地址发送给邻居发现模块，邻居发现模块指定源IPv6地址为目标IPv6地址。

优选地，所述发送邻居请求NS单播可达性探测报文具体为，

邻居发现模块指定邻居公告NA/邻居请求NS报文的源Mac做为可达性探测报文的目的Mac，封装所述邻居请求NS单播可达性探测报文进行发送。

优选地，若报文目标地址为链路本地地址，则选择所述节点设备上产生链路本地地址接口即本接口之外其他接口的可用的链路本地地址；

若报文目标地址是全局地址，则优先选择本接口的链路本地地址；若本接口链路本地地址不可用，再选择所述节点设备上其他接口的可用的链路本地地址。

本发明还提供了一种防止IPv6地址重复检测攻击的系统，其特征在于，所述系统包括，

命令配置模块，用于防护命令的配置；