[发明专利]一种IPv6网络虚假源地址数据包追溯方法和装置

说明书

技术领域

本发明属于IP数据网络技术领域，涉及一种IPv6网络上虚假源地址IP数据包的追溯方法和装置。 

背景技术

伴随着科学技术的不断发展，互联网在人们的工作和生活中得到了越来越广泛的应用。但是IPv4地址只有32位，不能满足社会对于互联网应用的巨大需求，所以IPv4网络将逐渐被IPv6网络所取代。IPv6网络采用了128位长的网络地址，为互联网的可持续发展提供了资源保证。IPv6巨大地址空间可以有效阻挡黑客暴力扫描攻击，单纯依靠地址扫描进行传播的蠕虫病毒将不能进行有效传播；IPv6取消了广播地址，基于局部地址广播的DDos(分布式拒绝服务)攻击将不能实施。但是IPv4网络中地址欺骗等问题仍然将会困扰IPv6网络的运维工作。用户主机修改他们的源IP地址和目的地址端口，使他们发出的报文看似发自于另一台主机或另一个应用程序，这种欺骗攻击依然会十分流行。业界迫切需要一种适应IPv6网络的IP数据报追溯和安全应急处理机制，增强网络管控系统，从而保障IPv6网络的安全运行。 

目前对IP数据包追溯的解决思想主要有以下几种： 

1)包标记方法：基本思想是使用数据包中未被使用的空间记录路由器信息，受害者收集一定量被标记的数据包，提取出标记信息重构攻击路径，定位到攻击源。该技术具有很低的人工管理量，网络负担不大，能准确定位到攻击源，允许事后追踪。但是需要对IP报文头部进行修改，而且针对IPv4和IPv6的修改不同，虽然技术的实现相对比较容易，但也存在兼容性差的问题。数据包标记技术包括：IP数据包路径记录法、概率包标记方法(Probabilistic Packet Marking，PPM)、确定包标记方法(Deterministic Packet Marking，DPM)、入口包标记方法和代数多项式标记技术等。 

2)基于日志的方法：基本思想是在路由器上对上游链路的数据包进行日志记录，这些信息保存在路由器中，在攻击发生时或之后，受害者提取出攻击包的一些共有特征与保存在路由器中的日志信息比较，逐级恢复出攻击数据包经过的路由器，最后定位到攻击源。该技术与现有协议兼容，网络负担不大，允许事后追踪。但是日志信息会占有路由器大量的系统资源，还需要数据库支持日志信息的收集和分析。 

3)链路测试：指从离受害者最近的路由器开始检查，逐级追踪到离攻击者最近的路由器。理想情况下，这个过程可以递归执行直到定位出攻击源。该技术与现有的路由器和网络设施兼容，与IPv4和IPv6协议兼容。但是它要求攻击一直保持活动直到追踪完成，因此很难在攻击结束后、间歇性攻击等情况进行追踪。 

4)基于ICMP的追踪技术：基本思路是对IP分组低概率采样，并由之产生ICMP追踪消息，他们一同被发送到接受端。ICMP追踪消息的内容包括采样IP报文头、转发报文的上一跳和下一跳、本地接受及转发地址、时间以及认证消息。在受害端根据追踪消息的边信息构造攻击路径。这种方法的缺点是小概率采样导致追踪攻击者的代价十分高，后继研究主要是改进概率方法提高追溯效率。 

近年来，一些研究人员又提出了基于覆盖网、入口地址过滤等技术来增强IP网的数据包追溯能力和虚假地址排除能力，但是这些技术只是针对IPv4网络提出了一些解决思路。 

由于当前的IP数据包追溯方法，需要占用大量网络带宽来携带IP数据包转发路径信息，并且需要数据包经过的所有路由器配合完成数据包转发路径重建，也需要骨干网路由器具有巨大的存储空间来记录转发的IP数据包历史数据，这些限制使得现有的IP数据包追溯系统难以部署。另外，目前存在的技术方案都是针对IPv4网络提出来的，尚没有针对即将大规模部署的IPv6网络提出有效的虚假源地址IP数据包追溯方案。 

本发明提出了一种针对IPv6协议特点的有效的虚假源地址IP数据包追溯方案，通过在接入网路由器上划分特殊IPv6地址前缀和转义IPv6后64位地址来标记虚假源IP数据包，增强接入网路由器功能，对携带疑似虚假IPv6源地址的数据包进行摘要记录，可以支持网络对利用虚假地址进行DDos攻击进行事后追溯，从而有力的加强了IPv6虚假地址数据包的管理，增强了IPv6网络的安全性。 

发明内容