[发明专利]防止基于近邻发现的拒绝服务攻击

权利要求书

1. 一种防止附连到子网的主机上的拒绝服务攻击的方法，所述攻击由远程节点通过外部网络发起，所述方法由在所述外部网络和所述子网之间转发分组的路由器来执行，所述方法包括以下步骤：

    由所述路由器接收用于转发给根据IPv6协议的所述子网的地址空间中的目的地地址的分组；

    在所述路由器维护的近邻发现（ND）表中查找所述目的地地址，其中所述ND表由在接收所述分组之前被完成的所述子网上的操作来填充，所述ND表包括条目，其中每个条目存储已经由所述路由器验证为活动的主机中的一个主机的地址信息；

    转发所述分组到所述目的地地址以响应于确定所述目的地地址被存储在所述ND表中；以及

    丢弃所述分组以响应于确定所述目的地地址没有被存储在所述ND表中。

2. 如权利要求1所述的方法，还包括以下步骤：

    检测到表示所述主机中的给定的一个主机的所述条目中的给定的一个条目具有到达验证阈值的逝去使用期；

    验证所述给定的主机是活动的；

    延长所述ND表中的所述给定的条目的使用期以响应于确定所述给定的主机是活动的；以及

    当所述给定的条目到期时，从所述ND表删除所述给定的条目以响应于确定所述给定的主机不是活动的。

3. 如权利要求2所述的方法，其中验证的步骤还包括以下步骤：

    发送近邻征求消息到所述给定的主机；以及

    延长所述给定的条目的使用期以响应于对所述ND征求消息的回复。

4. 如权利要求2所述的方法，其中检测的步骤还包括以下步骤：

    将所述验证阈值设置为所述给定的条目到期所在的使用期阈值的三分之二。

5. 如权利要求1所述的方法，其中所述子网包括具有未被填充的第二ND表的第二路由器，所述方法还包括以下步骤：

    由所述路由器接收来自所述第二路由器的指示所述第二路由器已经变成活动的通告；以及

    由所述路由器向所述子网上的所述主机中的每个主机发送近邻征求消息，在所述消息中具有未规定的源地址，这引起接收所述消息的所述主机中的每个主机多播回复，从而允许所述第二路由器基于所述回复来填充所述第二ND表。

6. 如权利要求1所述的方法，其中所述子网包括具有未被填充的第二ND表的第二路由器，所述方法还包括以下步骤：

    一旦所述第二路由器激活，就由所述路由器接收来自所述第二路由器的对数据交换的请求；以及

    使用数据交换协议将所述ND表提供给所述第二路由器。

7. 如权利要求1所述的方法，其中所述子网包括具有未被填充的第二ND表的第二路由器，所述方法还包括以下步骤：

    由所述第二路由器发送一个或多个路由器通告消息给所述子网上的所述主机，所述路由器通告消息中的每个包括标记，所述标记被定义为提示所述主机中的每个主机重新发送通告其地址信息的消息；以及

    由所述第二路由器基于来自所述主机中的每个主机的所述消息来填充所述第二ND表。

8. 一种用于防止附连到子网的主机上的拒绝服务攻击的网络元件，所述攻击由远程节点通过外部网络发起，所述网络元件配置成在所述外部网络和所述子网之间转发分组，所述网络元件包括：

    存储近邻发现（ND）表的存储器，所述ND表包括条目并且每个条目存储已经由所述网络元件验证为活动的主机中的一个主机的地址信息；

    通信地耦合到所述存储器的网络处理器，所述网络处理器配置成执行目的地确定模块和转发模块，       

           所述目的地确定模块配置成在所述ND表中查找由所述网络元件接收的分组的目的地地址，所述ND表由在接收所述分组之前被完成的所述子网上的操作来填充，其中所述目的地地址在根据IPv6协议的所述子网的地址空间中，以及

           所述转发模块配置成，如果所述目的地地址被存储在所述ND表中，则转发所述分组到所述目的地地址，并且如果所述目的地地址没有被存储在所述ND表中，则丢弃所述分组。