[发明专利]防止基于近邻发现的拒绝服务攻击

说明书

技术领域

本发明的实施例涉及用于防止拒绝服务攻击的方法和系统，其中攻击基于因特网协议版本6（IPv6）的近邻发现协议。

背景技术

因特网协议版本6（IPv6）设计成解决因特网协议版本4（IPv4）中的地址耗尽的问题。连同将地址空间从32位扩张到128位，IPv6引入许多改变。例如，IPv6增加用于计数子网中的主机的位的数量，并且从基于媒体的地址解析协议（ARP）移动到基于IP的近邻发现协议。IPv6子网由标准限定为具有至少64位用于计数主机，其中以前子网可能具有6到12位用于计数主机。

运营商和安全分析师已经注意到新的较大子网的有问题的影响。子网的计数空间现在是16百万的三次方的条目。显然，没有子网将使用这些条目的任何引人注意的部分。

较大子网的一个问题是远程攻击者可以发送一系列的分组给子网，定址到不同的随机选择的潜在主机。在当前实践中，这将引起边界路由器将近邻发现分组的流发送到子网中，并且创建这个信息的高速缓存条目。因为路由器中的表空间是有限的，这个攻击可以容易地超出可用的表空间，并且引起路由器丢失实际主机的踪迹，并且防止新的合法主机进行注册。

在某些情况中，存在纠正这个攻击的现有技术，例如当子网是使用以太网上点对点协议（PPPoE）的订户子网时。然而，不存在用于防止攻击的通用的预防方法。

发明内容

提供一种方法以防止附连到子网的主机上的拒绝服务攻击，其中攻击由远程节点通过外部网络发起。该方法由在外部网络和子网之间转发分组的路由器执行。该方法包括：由路由器接收分组用于转发给根据IPv6协议的子网的地址空间中的目的地地址，并且在由路由器维护的近邻发现（ND）表中查找目的地地址。ND表由在接收分组之前被完成的子网上的操作填充。ND表包括条目，其中每个条目存储已经由路由器验证为活动的主机中的一个主机的地址信息。该方法还包括：转发分组到目的地地址以响应于确定目的地地址被存储在ND表中；并且丢弃分组以响应于确定目的地地址没有被存储在ND表中。

提供一种网络元件以防止附连到子网的主机上的拒绝服务攻击，其中攻击由远程节点通过外部网络发起。该网络元件配置成在外部网络和子网之间转发分组。该网络元件包括：存储近邻发现（ND）表的存储器，ND表包括条目并且每个条目存储已经由网络元件验证为活动的主机中的一个主机的地址信息；通信耦合到存储器的网络处理器，所述网络处理器配置成执行目的地确定模块和转发模块。目的地确定模块配置成在由在接收分组之前被完成的子网上的操作填充的ND表中，查找由网络元件接收的分组的目的地地址，其中目的地地址在根据IPv6协议的子网的地址空间中。如果目的地地址被存储在ND表中，则转发模块配置成转发分组到目的地地址，并且如果目的地地址没有被存储在ND表中，则丢弃分组。

附图说明

在其中相同的参考指示相同的元素的附图的图中，通过示例的方式而不是通过限制的方式来图示本发明。应该注意到这个公开中对“一”或“一个”实施例的不同提及不一定是对相同的实施例，并且这样的提及意指至少一个。此外，当结合实施例描述特定的特征、结构或特性时，认为结合无论是否被明确描述的其它实施例来实现这样的特征、结构或特性是在本领域技术人员的知识内。

图1是图示网络配置的一个实施例的框图。

图2是图示例如路由器的网络元件的实施例的框图。

图3是由路由器执行用于防止基于近邻发现的攻击的方法的一个实施例的流程图。

图4是由路由器执行用于维护近邻发现表的方法的一个实施例的流程图。

图5是子网上路由器和主机之间的消息流的第一实施例的图。

图6是自网上路由器和主机之间的消息流的第二实施例的图。

图7是自网上路由器和主机之间的消息流的第三实施例的图。

具体实施方式

在下面的描述中阐述了许多具体的细节。然而，理解的是在没有这些具体细节的情况下也可以实践本发明的实施例。在其它实例中，为了不使这个描述的理解变得模糊，未详细示出众所周知的电路、结构和技术。然而，本领域技术人员将理解的是，在没有这样的具体细节的情况下也可以实践本发明。在没有不适当的实验的情况下，本领域普通技术人员将能够用被包括的描述来实现适当的功能性。