[发明专利]防止DS-Lite组网中的DoS攻击方法和装置

说明书

技术领域

本申请涉及网络通信技术，特别涉及防止双栈精简技术（DS-Lite：Dual-Stack Lite）组网中的拒绝服务（DoS：Denial of Service）攻击方法和装置。

背景技术

全球IPv6商用网络已正式启用，以后IPv6网络会越来越多，终将取代现有的IPv4网络成为互联网的骨干网络。然而出于成本、技术限制等诸多原因，目前以IPv4地址提供服务的互联网主机仍将在相当长的时间里存在，因此网络运营商必须具备为IPv6网络中的IPv4孤岛之间提供通信服务的能力。

IPv4over IPv6隧道可以为IPv6网络中的IPv4孤岛之间提供通信服务，但为保证IPv6网络中IPv4孤岛之间的通信服务，这需要任意两个IPv4孤岛之间都必须建立IPv4over IPv6隧道，具体如图1所示。这会导致组网复杂而且扩展性差，对于运营商来说维护成本较高，并且IPv4孤岛之间必须使用公网IPv4地址，这在公网IPv4地址已经耗尽的现实情况下，这种组网的应用限制很大。

为解决上述在IPv4孤岛之间建立IPv4over IPv6隧道带来的诸多问题，DS-Lite协议应运而生，它把隧道技术和网络地址转换（NAT）技术结合起来。图2示出了使用DS-Lite协议的组网示意图。以下为便于描述，将使用DS-Lite协议的组网简称DS-Lite组网。

DS-Lite组网中，运营商端部署地址转换路由器（AFTR：Address Family Transition Router），用户侧部署多个基础桥接宽带元件（B4：Basic Bridging BroadBand），图2仅示出以下两个B4：B4_1和B4_2，任一B4上连接的客户端（Client）使用私网IPv4地址，不同的B4连接的Client使用的IPv4地址可以重叠，AFTR和任一B4之间建立IPv4over IPv6隧道，使用IPv6地址进行通信。

下面以图2所示的连接到B4_1的Client1访问公网IPv4主机为例，通过图3描述整个访问流程：

在图3中，连接到B4_1的Client1先发起访问公网IPv4主机的IPv4报文至B4_1；

B4_1收到其连接的Client1发起的IPv4报文时，给该IPv4报文封装IPv6报文头，其中，封装的IPv6报文头中携带B4_1的IPv6地址。另外，为便于描述，这里将该封装了IPv6报文头的IPv4报文称为IPv6报文。

之后，B4_1通过与AFTR之间的IPv4over IPv6隧道发送IPv6报文到其连接的AFTR。

AFTR收到来自B4_1的IPv6报文后，对该IPv6报文解封装，获取并记录此IPv6报文中IPv6报文头携带的B4_1的IPv6地址，取出内层的IPv4报文，对该IPv4报文进行NAT转换，即把该IPv4报文的源IP地址（该源IP地址实质为Client1的IP地址）对应替换为公网的IP地址，通过IPv4网络发到公网IPv4主机。

公网IPv4主机收到来自AFTR的报文时，通过IPv4网络返回对应的IPv4响应报文。

当公网IPv4主机返回的IPv4响应报文到达AFTR时，AFTR先对该接收的IPv4响应报文进行NAT转换，即把该IPv4响应报文的目的IP地址替换为私网的IP地址（该私网IP地址实质为Client1的IP地址），然后利用之前记录的B4_1的IPv6地址对该IPv4响应报文封装IPv6报文头，形成IPv6报文，通过至B4_1的IPv4over IPv6隧道发送该IPv6报文给B4_1。

B4_1收到来自AFTR的IPv6报文后，对该IPv6报文解封装，获取内层的IPv4响应报文，发送至连接的Client1。

至此，完成整个访问流程。

但是，在整个访问流程中，常常会带来一些安全隐患，比如攻击者仿造来自B4的隧道报文发给AFTR，由于隧道加解封装以及NAT处理都非常消耗资源，AFTR很可能由于收到大量的虚假隧道报文而停止对正常报文的处理，形成了DoS攻击。

发明内容

本申请提供了防止DS-Lite组网中的DoS攻击方法和装置，以防御DS-Lite组网中的DoS攻击。

本申请提供的技术方案包括：

一种防止DS-Lite组网中的Dos攻击方法，该方法应用于所述DS-Lite组网中的地址转换路由器AFTR，包括：

接收所述DS-Lite组网中基础桥接宽带元件B4发送的IPv6报文；