[发明专利]基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置

说明书

本申请提出了一种基于ICMP限速的IPv6网络入网源地址验证部署测量方法，涉及入网源地址验证部署测量技术领域，其中，该方法包括：对公告IPv6BGP前缀进行ICMP Echo Request扫描，得到大量的地址对；对于目标网络，选取一个合适的地址对，测量rcv1、rcv2、rcv3的值；根据rcv1、rcv2、rcv3的值判断入网源地址验证的部署情况。采用上述方案的本发明能够高效地在单一本地测量点就完成对全球入网源地址验证部署情况的大规模测量，具有较高的可用性和有效性。

技术领域

本申请涉及入网源地址验证部署测量技术领域，尤其涉及一种基于ICMP限速的IPv6网络入网源地址验证部署测量方法和装置。

背景技术

DDoS(分布式拒绝访问攻击)被认为是最常见、危害最大的网络攻击之一。作为防御DDoS攻击的一道重要防线，对网络进行源地址验证部署情况测量有着重大意义。源地址验证主要分为两种：入网源地址验证与出网源地址验证。前者在网络入口处过滤入网的伪造属于本网的源地址的数据包，后者则是在网络出口处过滤出网的源地址不属于本网络的数据包。目前的研究表明，尽管出网源地址验证部署情况良好，但入网源地址验证的部署率仍然偏低。

测量网络的源地址验证部署情况往往面临困难，因为这需要在目标网络内部拥有观测点，否则无法知道这些伪造源地址的数据包是否到达了目标网络。然而，很难在每个网络或者自治域内部都有观测点，因此，需要一种能够在本地观测点测量远程网络的源地址验证部署情况的测量方法。

Luckie等人提出了Spoofer项目测量源地址验证部署情况，其主要依赖网络内部志愿者安装其客户端程序，通过检查内部志愿者的发包收包情况，对源地址验证情况进行判定。然而，这种方法需要网络内部志愿者的配合，覆盖面不足，而且维护难度较大，一旦内部志愿者失去联系，数据就面临过时的风险。

Korczynski等人利用公共DNS解析器进行测量。其主要思路是通过扫描获取公共DNS，在注册测量使用的域名和部署相应权威DNS服务器后，通过向公共DNS发送伪造或者真实源地址的查询并在权威DNS服务器检查DNS查询的转发情况，实现对源地址验证部署的情况的判断。该方法的主要问题是在IPv6网络通过扫描获取公开DNS解析器是不可行的。IPv6拥有远大于IPv4的地址空间，暴力扫描DNS解析器是不可行的。此外，对于没有公共DNS解析器的网络，该方法是无法判断源地址验证部署情况的。

Deccio等人利用与Korczynski类似的方法，不同的是，他们利用了DITL的DNS数据，通过这些数据来发现公共DNS，可以作用于IPv6网络。然而，他们的方法有着跟Korcyznski等人一样的局限性，对于没有公共DNS解析器的网络，无法判断源地址验证的存在。

发明内容

本申请旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本申请的第一个目的在于提出一种基于ICMP限速的IPv6网络入网源地址验证部署测量方法，解决了现有方法需要网络内部志愿者配合、覆盖面不足、维护难度大的问题，还解决了现有方法对于没有公共DNS解析器的网络，无法判断源地址验证部署情况的问题，利用在IPv6网络中普遍部署的ICMP限速机制，高效地在单一本地测量点就完成对全球入网源地址验证部署情况的大规模测量，具有较高的可用性和有效性,并且利用IPv6网络的ICMP限速机制，实现利用远程网络节点作为自己的测量点的效果，同时通过重复测量实验，减少网络环境变化的干扰。

本申请的第二个目的在于提出一种基于ICMP限速的IPv6网络入网源地址验证部署测量装置。

本申请的第三个目的在于提出一种非临时性计算机可读存储介质。