專利名稱:安全檢測方法、裝置和網(wǎng)絡(luò)側(cè)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域����,尤其涉及一種安全檢測方法、裝置和網(wǎng)絡(luò)側(cè)設(shè)備��。
背景技術(shù):
拒絕服務(wù)攻擊(Denial of Service Attack ��;以下簡稱D0S)是通過耗盡被攻擊者 (一般是服務(wù)器)的網(wǎng)絡(luò)帶寬或處理能力�����,使其停止服務(wù)����,達(dá)到攻擊目的����。隨著網(wǎng)絡(luò)帶寬的 提升和服務(wù)器處理能力的提升�,一個(gè)攻擊設(shè)備不足以使服務(wù)器停止服務(wù),因此出現(xiàn)了分布 式拒絕服務(wù)攻擊(DistributedReflection Denial of Service Attack ����;以下簡稱DD0S), 實(shí)施DDOS攻擊����,攻擊者必須先通過植入木馬等方式控制大量的傀儡機(jī),操作傀儡機(jī)同時(shí)發(fā) 起攻擊�����??刂瓶軝C(jī)對(duì)攻擊者的技術(shù)要求很高,同時(shí)隨著用戶防木馬意識(shí)的增強(qiáng)�����,DDOS攻擊 越來越難以實(shí)施�,因此出現(xiàn)了分布式反射拒絕服務(wù)攻擊(Distributed Reflection Denial of Service Attack ���;以下簡稱DRD0S)�,DRDOS通過偽造被攻擊者的因特網(wǎng)協(xié)議(Internet Protocol ;以下簡稱IP)地址�����,選擇特定的反射源����,將攻擊報(bào)文數(shù)量層層反射放大,最終大 量的報(bào)文根據(jù)偽造的IP地址反射到被攻擊者����,使其停止服務(wù)。該類攻擊不需要很高的技 術(shù)��,也不需要控制傀儡機(jī)��,還完全隱藏攻擊者�����,使其無法被追蹤�����、隔離,因此DRDOS攻擊行為 越來越多����,而且很難防御。網(wǎng)關(guān)是一個(gè)子網(wǎng)的關(guān)鍵節(jié)點(diǎn)���,承擔(dān)著跨網(wǎng)段傳輸數(shù)據(jù)的職責(zé)��,是子網(wǎng)與外界通訊 的樞紐����,因此常常成為被攻擊的目標(biāo)���。最常見的攻擊是網(wǎng)關(guān)地址欺騙攻擊攻擊者假冒網(wǎng)關(guān) 的IP地址發(fā)送地址解析報(bào)文����,在該類報(bào)文中用自己的鏈路層地址替代網(wǎng)關(guān)的鏈路層地址����, 這樣接收者學(xué)習(xí)到的是網(wǎng)關(guān)的IP地址和攻擊者的鏈路層地址的映射關(guān)系,發(fā)往網(wǎng)關(guān)的報(bào) 文就會(huì)被二層轉(zhuǎn)發(fā)到攻擊者的設(shè)備上���,攻擊者就可以實(shí)施各種非法活動(dòng)����。針對(duì)上述問題��,因特網(wǎng)協(xié)議版本4(Internet Protocol version 4;以下簡稱 IPv4)網(wǎng)絡(luò)中有較為成熟的解決方案將用戶的IP地址和端口進(jìn)行綁定����,這樣接入設(shè)備就 無法發(fā)出攜帶非法IP地址的報(bào)文,目前因特網(wǎng)協(xié)議版本6(Internet Protocol version 6 ��; 以下簡稱IPv6)也沿用該解決方案�,具體如下靜態(tài)IPv6地址分配方案在二層交換機(jī)上靜態(tài)的將用戶IPv6地址綁定到端口,端 口只轉(zhuǎn)發(fā)源IPv6地址匹配端口 IPv6用戶列表的IPv6報(bào)文��。動(dòng)態(tài)主機(jī)設(shè)置協(xié)議(DynamicHost Configuration Protocol �����;以下簡稱DHCP) IPv6地址分配方案二層交換機(jī)監(jiān)聽接入設(shè)備的DHCP過程�,從中動(dòng)態(tài)的獲取端口和IPv6 地址的對(duì)應(yīng)關(guān)系,然后將其綁定到端口 ����;端口只轉(zhuǎn)發(fā)源IPv6地址匹配端口 IPv6用戶列表的 IPv6報(bào)文。但是,現(xiàn)有的上述方案存在以下問題IPv6相比IPv4新增加了一種地址分配方 式無狀態(tài)IPv6地址自動(dòng)配置���。在這種模式下���,用戶的IPv6地址的主機(jī)部分可以是隨機(jī)生 成的,即同一個(gè)用戶每次接入的IPv6地址可能是不同的����,因此靜態(tài)IPv6地址分配方案在該 配置模式下不適用;另外�,在該配置模式下,IPv6地址的分配不需要服務(wù)器支持�����,因此通過 監(jiān)聽接入設(shè)備與服務(wù)器之間的交互過程獲取IPv6地址與端口對(duì)應(yīng)關(guān)系的DHCP IPv6地址
5分配方案也不再適用�。因此套用IPv4網(wǎng)絡(luò)的解決方案無法適用于無狀態(tài)IPv6地址自動(dòng)配置場景,而現(xiàn) 有技術(shù)也沒有提供一種能夠在無狀態(tài)IPv6地址自動(dòng)配置場景中防止DRDOS攻擊和網(wǎng)關(guān)欺 騙攻擊的方案�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種安全檢測方法����、裝置和網(wǎng)絡(luò)側(cè)設(shè)備����,以實(shí)現(xiàn)在無狀態(tài)IPv6 地址自動(dòng)配置場景中��,防御DRDOS攻擊和網(wǎng)關(guān)欺騙攻擊���。本發(fā)明實(shí)施例提供一種安全檢測方法,包括在網(wǎng)絡(luò)側(cè)設(shè)備的網(wǎng)關(guān)連接口上監(jiān)聽IPv6路由器公告報(bào)文�;根據(jù)監(jiān)聽到的IPv6路由器公告報(bào)文配置所述網(wǎng)絡(luò)側(cè)設(shè)備的安全檢查口上的IPv6 數(shù)據(jù)表;在所述安全檢查口檢測到與所述IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后��,根據(jù)所 述表項(xiàng)對(duì)所述匹配的報(bào)文執(zhí)行相應(yīng)的操作�。本發(fā)明實(shí)施例還提供一種安全檢測裝置,包括監(jiān)聽模塊�����,用于在所述安全檢測裝置的網(wǎng)關(guān)連接口上監(jiān)聽IPv6路由器公告報(bào)文����;配置模塊,用于根據(jù)所述監(jiān)聽模塊監(jiān)聽到的IPv6路由器公告報(bào)文配置所述安全 檢測裝置的安全檢查口上的IPv6數(shù)據(jù)表����;操作執(zhí)行模塊�����,用于在所述安全檢查口檢測到與所述IPv6數(shù)據(jù)表中的表項(xiàng)匹配 的報(bào)文之后�,根據(jù)所述表項(xiàng)對(duì)所述匹配的報(bào)文執(zhí)行相應(yīng)的操作�����。本發(fā)明實(shí)施例還提供一種網(wǎng)絡(luò)側(cè)設(shè)備�,包括上述安全檢測裝置。通過本發(fā)明實(shí)施例�,網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)在該網(wǎng)絡(luò)側(cè)設(shè)備的網(wǎng)關(guān)連接口上監(jiān)聽到的 IPv6路由器公告報(bào)文,配置該網(wǎng)絡(luò)側(cè)設(shè)備的安全檢查口上的IPv6數(shù)據(jù)表�,在該安全檢查口 檢測到與IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后,根據(jù)該表項(xiàng)對(duì)匹配的報(bào)文執(zhí)行相應(yīng)的操 作�����;從而實(shí)現(xiàn)了在無狀態(tài)IPv6地址自動(dòng)配置場景中���,防御DRDOS攻擊和網(wǎng)關(guān)欺騙攻擊��,提升 了網(wǎng)絡(luò)的安全性�。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作一簡單地介紹���,顯而易見地,下面描述中的附圖是本發(fā) 明的一些實(shí)施例�,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根 據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明安全檢測方法一個(gè)實(shí)施例的流程圖�;圖2為本發(fā)明端口屬性設(shè)置一個(gè)實(shí)施例的示意圖;圖3為本發(fā)明安全檢測方法另一個(gè)實(shí)施例的流程圖�����;圖4為本發(fā)明安全檢測裝置一個(gè)實(shí)施例的結(jié)構(gòu)示意圖�����;圖5為本發(fā)明安全檢測裝置另一個(gè)實(shí)施例的結(jié)構(gòu)示意圖���。
具體實(shí)施例方式為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚���,下面將結(jié)合本發(fā)明實(shí)施例 中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�,顯然,所描述的實(shí)施例是 本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例�?��;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員 在沒有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例����,都屬于本發(fā)明保護(hù)的范圍�。圖1為本發(fā)明安全檢測方法一個(gè)實(shí)施例的流程圖,如圖1所示�,該安全檢測方法可 以包括步驟101,在網(wǎng)絡(luò)側(cè)設(shè)備的網(wǎng)關(guān)連接口上監(jiān)聽IPv6路由器公告報(bào)文���。步驟102���,根據(jù)監(jiān)聽到的IPv6路由器公告報(bào)文配置該網(wǎng)絡(luò)側(cè)設(shè)備的安全檢查口上 的IPv6數(shù)據(jù)表�。步驟103�,在安全檢查口檢測到與該IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后,根據(jù) 上述表項(xiàng)對(duì)匹配的報(bào)文執(zhí)行相應(yīng)的操作����。本實(shí)施例中,網(wǎng)絡(luò)側(cè)設(shè)備使用首次命中算法��,即遍歷上述IPv6數(shù)據(jù)表���,在接收到 的報(bào)文首次與IPv6數(shù)據(jù)表中的表項(xiàng)匹配時(shí)�,就停止遍歷操作�,根據(jù)匹配的表項(xiàng)對(duì)該報(bào)文執(zhí) 行相應(yīng)的操作�;對(duì)沒有匹配任何表項(xiàng)的報(bào)文,該網(wǎng)絡(luò)側(cè)設(shè)備默認(rèn)執(zhí)行通過操作��。具體地�����,本實(shí)施例中����,網(wǎng)絡(luò)側(cè)設(shè)備可以在安全檢查口的IPv6數(shù)據(jù)表中添加與IPv6 因特網(wǎng)控制報(bào)文協(xié)議(IPv6 Internet Control Message Protocol ��;以下簡稱IPv6 ICMP) 類型對(duì)應(yīng)的表項(xiàng)����,并在該IPv6 ICMP類型對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配上述IPv6 ICMP類型對(duì) 應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作����;這時(shí),網(wǎng)絡(luò)側(cè)設(shè)備可以在安全檢查口檢測到IPv6 ICMP類型為路由器公告的IPv6 報(bào)文之后����,對(duì)該IPv6報(bào)文執(zhí)行丟棄操作。進(jìn)一步地��,在該IPv6 ICMP類型對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配上述IPv6ICMP類型對(duì) 應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作之后�,網(wǎng)絡(luò)側(cè)設(shè)備可以解析在該網(wǎng)絡(luò)側(cè)設(shè)備的網(wǎng)關(guān)連接口上監(jiān)聽 到的IPv6路由器公告報(bào)文,獲得該IPv6路由器公告報(bào)文中攜帶的網(wǎng)關(guān)IPv6地址信息����,在 IPv6數(shù)據(jù)表中添加與網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)的表項(xiàng),并在該網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)的表 項(xiàng)中添加對(duì)匹配上述網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作�;這時(shí),網(wǎng)絡(luò)側(cè)設(shè)備可以在安全檢查口檢測到IPv6源IP地址(IPv6 SourceInternet Protocol �����;以下簡稱IPv6 SIP)為網(wǎng)關(guān)IPv6地址的報(bào)文之后,對(duì)IPv6SIP 為網(wǎng)關(guān)IPv6地址的報(bào)文執(zhí)行丟棄操作��;或者�����,網(wǎng)絡(luò)側(cè)設(shè)備可以在安全檢查口檢測到目標(biāo)IP地址為網(wǎng)關(guān)IPv6地址的IPv6鄰居 公告報(bào)文之后����,對(duì)該IPv6鄰居公告報(bào)文執(zhí)行丟棄操作。進(jìn)一步地�,在該網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配上述網(wǎng)關(guān)IPv6地址 信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作之后,網(wǎng)絡(luò)側(cè)設(shè)備可以在IPv6數(shù)據(jù)表中添加與IPv6本地 網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)���,并在該IPv6本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配上述IPv6本地 網(wǎng)段信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作�;這時(shí)�,網(wǎng)絡(luò)側(cè)設(shè)備可以在安全檢查口檢測到攜帶IPv6本地網(wǎng)段地址的IPv6報(bào)文 之后�,對(duì)攜帶IPv6本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行通過操作。進(jìn)一步地�,在該IPv6本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配上述IPv6本地網(wǎng)段 信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作之后,網(wǎng)絡(luò)側(cè)設(shè)備可以繼續(xù)解析在網(wǎng)關(guān)連接口上監(jiān)聽到的IPv6路由器公告報(bào)文�,獲得IPv6路由器公告報(bào)文中攜帶的IPv6非本地網(wǎng)段信息,在IPv6 數(shù)據(jù)表中添加與IPv6非本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng),并在該IPv6非本地網(wǎng)段信息對(duì)應(yīng)的表 項(xiàng)中添加對(duì)匹配上述IPv6非本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作��;這時(shí)�,網(wǎng)絡(luò)側(cè)設(shè)備可以在安全檢查口檢測到IPv6 SIP屬于IPv6路由器公告報(bào)文 公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文之后,對(duì)該IPv6 SIP屬于IPv6路由器公告報(bào)文 公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行通過操作�;本實(shí)施例中,IPv6 SIP屬于IPv6 路由器公告報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文為合法的IPv6非本地網(wǎng)段地址 的IPv6報(bào)文�;或者,網(wǎng)絡(luò)側(cè)設(shè)備可以在安全檢查口檢測到IPv6 SIP不屬于IPv6本地網(wǎng)段地址的IPv6 報(bào)文��,或者IPv6 SIP不屬于IPv6路由器公告報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文 之后����,對(duì)上述IPv6 SIP不屬于IPv6本地網(wǎng)段地址的IPv6報(bào)文,或者IPv6 SIP不屬于IPv6 路由器公告報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行丟棄操作����;本實(shí)施例中,IPv6 SIP不屬于IPv6路由器公告報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文為非法的攜帶 IPv6非本地網(wǎng)段地址的IPv6報(bào)文�。另外,在IPv6路由器公告報(bào)文中攜帶的網(wǎng)關(guān)IPv6地址信息和IPv6非本地網(wǎng)段信 息發(fā)生改變之后���,網(wǎng)絡(luò)側(cè)設(shè)備還可以將網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)表項(xiàng)中的網(wǎng)關(guān)IPv6地址信 息更新為發(fā)生改變之后的網(wǎng)關(guān)IPv6地址��,并將IPv6非本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)中的IPv6非 本地網(wǎng)段信息更新為發(fā)生改變之后的IPv6非本地網(wǎng)段����。本實(shí)施例中的網(wǎng)絡(luò)側(cè)設(shè)備可以為二層交換機(jī),也可以為其他網(wǎng)絡(luò)側(cè)設(shè)備�,例如路 由器等,本實(shí)施例對(duì)此不作限定��。上述實(shí)施例中�,網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)在該網(wǎng)絡(luò)側(cè)設(shè)備的網(wǎng)關(guān)連接口上監(jiān)聽到的IPv6 路由器公告報(bào)文,配置該網(wǎng)絡(luò)側(cè)設(shè)備的安全檢查口上的IPv6數(shù)據(jù)表�,在該安全檢查口檢測 到與IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后,根據(jù)該表項(xiàng)對(duì)匹配的報(bào)文執(zhí)行相應(yīng)的操作��;從 而實(shí)現(xiàn)了在無狀態(tài)IPv6地址自動(dòng)配置場景中�����,防御DRDOS攻擊和網(wǎng)關(guān)欺騙攻擊���,提升了網(wǎng) 絡(luò)的安全性���。本發(fā)明實(shí)施例提供的安全檢測方法可以在無狀態(tài)IPv6地址自動(dòng)配置場景中,防 御DRDOS攻擊和網(wǎng)關(guān)欺騙攻擊�;可以從源頭上過濾主要的網(wǎng)絡(luò)攻擊行為�,有效提升了網(wǎng)絡(luò) 的安全性。無狀態(tài)IPv6地址自動(dòng)配置方式是IPv6引入的一種新的地址分配方式,無狀態(tài) IPv6地址自動(dòng)配置方式不需要用戶手工分配���,也不需要服務(wù)器參與就可以給接入終端分 配IPv6地址�,具有即插即用����,可移動(dòng)性等諸多優(yōu)點(diǎn)。無狀態(tài)IPv6地址自動(dòng)配置方式依賴 于IPv6鄰居發(fā)現(xiàn)(IPv6Neighbor Discovery ����;以下簡稱:IPv6ND)協(xié)議。IPv6ND協(xié)議需 重點(diǎn)關(guān)注4類報(bào)文:IPv6鄰居請求(IPv6Neighbor Solicitation ���;以下簡稱IPv6NS)報(bào) 文���、IPv6 鄰居公告(IPv6Neighbor Advertisement �����;以下簡稱ΙΡν6 ΝΑ)報(bào)文����、IPv6 路由 器請求(IPv6Router Solicitation ;以下簡稱:IPv6RS)報(bào)文和IPv6路由器公告(IPv6 RouterAdvertisement ;以下簡稱IPv6 RA)報(bào)文���。IPv6NS 和 IPv6NA 報(bào)文類似 IPv4 的地址 解析協(xié)議(Address Resolution Protocol ����;以下簡稱ARP)報(bào)文,用于交互IPv6地址與鏈 路層地址的對(duì)應(yīng)關(guān)系�����。IPv6RS和IPv6RA報(bào)文則主要用于交互網(wǎng)絡(luò)參數(shù)配置����,例如子網(wǎng)前 綴�,網(wǎng)關(guān)IPv6地址等。
在無狀態(tài)IPv6地址自動(dòng)配置場景下��,IPv6地址由子網(wǎng)前綴+接口標(biāo)識(shí)組成�。其 中子網(wǎng)前綴是網(wǎng)關(guān)通過IPv6RA報(bào)文公告的��,接口標(biāo)識(shí)是接入終端自己生成的�����,該接口標(biāo)識(shí) 可以采用隨機(jī)方式生成��。本發(fā)明實(shí)施例預(yù)先根據(jù)網(wǎng)絡(luò)拓?fù)湓O(shè)置網(wǎng)絡(luò)側(cè)設(shè)備的端口屬性��。該網(wǎng)絡(luò)側(cè)設(shè)備中的 端口主要有兩種屬性網(wǎng)關(guān)連接口和安全檢查口��。網(wǎng)關(guān)連接口用于連接三層網(wǎng)關(guān)�����,從網(wǎng)關(guān) 連接口上獲取的網(wǎng)絡(luò)控制信息被認(rèn)為是可信任的��;安全檢查口用于連接接入的用戶終端, 例如個(gè)人電腦(Personal Computer �����;以下簡稱PC)��,對(duì)所有通過該端口的IPv6報(bào)文都要 進(jìn)行安全檢測�;無特殊屬性的端口用于連接可信任的終端,例如服務(wù)器��;三層網(wǎng)關(guān)上配置 “無狀態(tài)IPv6地址自動(dòng)配置”的相關(guān)特性���;具體如圖2所示�,圖2為本發(fā)明端口屬性設(shè)置一 個(gè)實(shí)施例的示意圖�����,圖2所示實(shí)施例中以網(wǎng)絡(luò)側(cè)設(shè)備為二層交換機(jī)為例進(jìn)行說明�。在設(shè)置網(wǎng)絡(luò)側(cè)設(shè)備的端口屬性之后,網(wǎng)絡(luò)側(cè)設(shè)備可以在安全檢查口配置IPv6數(shù) 據(jù)表�����,在安全檢查口檢測到與IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后,根據(jù)該表項(xiàng)對(duì)匹配的 報(bào)文執(zhí)行相應(yīng)的操作�����。圖3為本發(fā)明安全檢測方法另一個(gè)實(shí)施例的流程圖����,本實(shí)施例以網(wǎng) 絡(luò)側(cè)設(shè)備為二層交換機(jī)為例進(jìn)行說明,本實(shí)施例中�����,二層交換機(jī)包括IPv6檢查引擎���,用于 對(duì)報(bào)文進(jìn)行檢測。如圖3所示���,該安全檢測方法可以包括步驟301���,二層交換機(jī)在網(wǎng)關(guān)連接口上監(jiān)聽IPv6RA報(bào)文。具體地��,二層交換機(jī)可以在該網(wǎng)關(guān)連接口的IPv6數(shù)據(jù)表中添加如下僅在該網(wǎng)關(guān) 連接口上有效的表項(xiàng)�,如表1所示。表 1 并在網(wǎng)關(guān)連接口上啟動(dòng)IPv6檢查引擎,在網(wǎng)關(guān)連接口上監(jiān)聽到IPv6RA報(bào)文之后��, IPv6檢查引擎會(huì)匹配命中表項(xiàng)1�����,根據(jù)表項(xiàng)1中的匹配行為���,二層交換機(jī)的IPv6檢查引擎 會(huì)將該IPv6RA報(bào)文復(fù)制一份發(fā)送給該二層交換機(jī)的CPU��。其他類型報(bào)文由于無匹配項(xiàng)則執(zhí) 行默認(rèn)操作��,該默認(rèn)操作為通過����,即對(duì)其他類型報(bào)文默認(rèn)執(zhí)行通過操作���。步驟302��,二層交換機(jī)在IPv6數(shù)據(jù)表中添加與IPv6ICMP類型對(duì)應(yīng)的表項(xiàng)��,并在該 IPv6ICMP類型對(duì)應(yīng)的表項(xiàng)添加對(duì)匹配上述IPv6ICMP類型對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作�����。進(jìn)行上述操作之后�,安全檢查口的IPv6數(shù)據(jù)表可以如表2所示。表2
9
步驟303�,二層交換機(jī)解析在網(wǎng)關(guān)連接口上監(jiān)聽到的IPv6RA報(bào)文,獲得該IPv6RA 報(bào)文攜帶的網(wǎng)關(guān)IPv6地址信息�。本實(shí)施例中,二層交換機(jī)的CPU接收到IPv6檢查引擎發(fā)送的IPv6RA報(bào)文之后�,對(duì) 該IPv6RA報(bào)文進(jìn)行解析,獲得該IPv6RA報(bào)文攜帶的網(wǎng)關(guān)IPv6地址信息�����。步驟304��,二層交換機(jī)在該二層交換機(jī)的安全檢查口的IPv6數(shù)據(jù)表中添加與網(wǎng)關(guān) IPv6地址信息對(duì)應(yīng)的表項(xiàng)�����,并在網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配網(wǎng)關(guān)IPv6地 址信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作���。進(jìn)行上述操作之后,安全檢查口的IPv6數(shù)據(jù)表可以如表3所示��。表 3 步驟305�,二層交換機(jī)在安全檢查口的IPv6數(shù)據(jù)表中添加與IPv6本地網(wǎng)段信息對(duì) 應(yīng)的表項(xiàng)����,并在IPv6本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配IPv6本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng) 的報(bào)文執(zhí)行的操作�����。由于攜帶IPv6本地網(wǎng)段信息的IPv6報(bào)文不會(huì)跨網(wǎng)段傳輸�,因此不會(huì)形成DDOS攻 擊,同時(shí)攜帶IPv6本地(IPv6L0Cal)網(wǎng)段信息的IPv6報(bào)文是IPv6協(xié)議運(yùn)行的基礎(chǔ)�,必須 要允許這類報(bào)文通過,否則整個(gè)IPv6網(wǎng)絡(luò)將無法工作�����,因此需要在安全檢查口的IPv6數(shù)據(jù) 表中添加與IPv6本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)�����,并在IPv6本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)中添加對(duì) 匹配IPv6本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作���。該步驟后��,安全檢查口的IPv6數(shù)據(jù)表可以如表4所示��。
表 4 步驟306�����,二層交換機(jī)繼續(xù)解析從網(wǎng)關(guān)連接口上監(jiān)聽到的IPv6RA報(bào)文��,獲得 IPv6RA報(bào)文攜帶的IPv6非本地網(wǎng)段信息����,在安全檢查口的IPv6數(shù)據(jù)表中添加與IPv6非本 地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng),并在IPv6非本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配IPv6非本地 網(wǎng)段信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作���。該步驟后���,安全檢查口的IPv6數(shù)據(jù)表可以如表5所示。表 5 步驟307�,二層交換機(jī)在安全檢查口的IPv6數(shù)據(jù)表中添加與IPv6SIP不屬于IPv6 本地網(wǎng)段地址的IPv6報(bào)文,或者IPv6SIP不屬于IPv6路由器公告報(bào)文公告的IPv6非本地 網(wǎng)段地址的IPv6報(bào)文對(duì)應(yīng)的表項(xiàng)���。本實(shí)施例中��,由于不匹配表項(xiàng)4和表項(xiàng)5的所有IPv6報(bào)文都被認(rèn)為是非法的,必 須丟棄���,由于IPv6檢查引擎執(zhí)行的算法有首次命中特性�����,因此只需要最后將所有IPv6報(bào)文 丟棄即可�。該步驟后,安全檢查口的IPv6數(shù)據(jù)表可以如表6所示�����。表6
本實(shí)施例中�,二層交換機(jī)會(huì)持續(xù)不斷地在網(wǎng)關(guān)連接口上監(jiān)聽IPv6RA報(bào)文,若 IPvBRA報(bào)文中攜帶的網(wǎng)關(guān)IPv6地址信息和IPv6非本地網(wǎng)段信息發(fā)生改變����,則二層交換機(jī) 可以將安全檢查口的IPv6數(shù)據(jù)表中網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)表項(xiàng)中的網(wǎng)關(guān)IPv6地址信息 更新為發(fā)生改變之后的網(wǎng)關(guān)IPv6地址,并將IPv6非本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)中的IPv6非本 地網(wǎng)段信息更新為發(fā)生改變之后的IPv6非本地網(wǎng)段��,其他表項(xiàng)和表項(xiàng)之間的順序保持不 表�,以保證二層交換機(jī)的自適應(yīng)性。步驟308����,二層交換機(jī)在安全檢查口檢測到與上述IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào) 文之后,根據(jù)上述表項(xiàng)對(duì)匹配的報(bào)文執(zhí)行相應(yīng)的操作����。本實(shí)施例中�����,二層交換機(jī)的IPv6檢查引擎使用首次命中算法�,即IPv6檢查引擎遍 歷上述IPv6數(shù)據(jù)表�����,在IPv6檢查引擎接收到的報(bào)文首次與IPv6數(shù)據(jù)表中的表項(xiàng)匹配時(shí)����, IPv6檢查引擎就停止遍歷操作,根據(jù)匹配的表項(xiàng)對(duì)該報(bào)文執(zhí)行相應(yīng)的操作���;對(duì)沒有匹配任 何表項(xiàng)的報(bào)文�,IPv6檢查引擎默認(rèn)執(zhí)行通過操作��。具體地�����,在安全檢查口檢測到IPv6ICMP類型=RA的IPv6報(bào)文之后��,IPv6檢查引 擎會(huì)首次匹配命中表項(xiàng)1����,根據(jù)表項(xiàng)1,IPv6檢查引擎對(duì)上述IPV6ICMP類型=RA的IPv6報(bào) 文執(zhí)行丟棄操作�����,從而防止非法IPv6RA報(bào)文干擾安全控制表項(xiàng)的建立���;或者�,在安全檢查口檢測到IPv6SIP =網(wǎng)關(guān)IPv6地址的報(bào)文之后�,IPv6檢查引擎會(huì)首 次匹配命中表項(xiàng)2,根據(jù)表項(xiàng)2���,IPv6檢查引擎對(duì)該IPv6SIP =網(wǎng)關(guān)IPv6地址的報(bào)文執(zhí)行 丟棄操作����,從而防止假冒網(wǎng)關(guān)的非法的IPv6ND協(xié)議報(bào)文通過���,防止使用非法的IPv6ND協(xié)議 報(bào)文進(jìn)行網(wǎng)關(guān)欺騙攻擊��;或者����,在安全檢查口檢測到目標(biāo)IP地址=網(wǎng)關(guān)IPv6地址的IPv6NA報(bào)文之后,IPv6檢 查引擎會(huì)首次匹配命中表項(xiàng)3���,根據(jù)表項(xiàng)3�����,IPv6檢查引擎對(duì)該IPv6NA報(bào)文執(zhí)行丟棄操作�����, 從而防止假冒網(wǎng)關(guān)的IPv6NA報(bào)文通過����,防止使用IPv6NA報(bào)文進(jìn)行網(wǎng)關(guān)欺騙攻擊���;或者���,在安全檢查口檢測到攜帶IPv6本地網(wǎng)段地址的IPv6報(bào)文時(shí),IPv6檢查引擎會(huì)首次匹配命中表項(xiàng)4��,根據(jù)表項(xiàng)4�,IPv6檢查引擎對(duì)攜帶IPv6本地網(wǎng)段地址的IPv6報(bào)文執(zhí) 行通過操作,從而保證整個(gè)IPv6網(wǎng)絡(luò)運(yùn)行正常;需要說明的是���,網(wǎng)關(guān)IPv6地址也可以使用 IPv6本地網(wǎng)段地址���,但是攜帶網(wǎng)關(guān)IPv6地址的IPv6報(bào)文會(huì)優(yōu)先匹配表項(xiàng)2或表項(xiàng)3而被 丟棄��,因此不會(huì)因表項(xiàng)4而被誤放過�;或者,在安全檢查口檢測到IPv6SIP屬于IPv6RA報(bào)文公告的IPv6非本地網(wǎng)段地址 的IPv6報(bào)文之后��,IPv6檢查引擎會(huì)首次匹配命中表項(xiàng)5���,根據(jù)表項(xiàng)5����,IPv6檢查引擎對(duì)該 IPv6SIP屬于IPv6RA報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行通過操作���,從而保 證合法的IPv6報(bào)文能夠被傳輸�;本實(shí)施例中�,IPv6SIP屬于IPv6RA報(bào)文公告的IPv6非本 地網(wǎng)段地址的IPv6報(bào)文為合法的攜帶IPv6非本地網(wǎng)段地址的IPv6報(bào)文;或者�,在安全檢查口檢測到IPv6SIP不屬于IPv6RA報(bào)文公告的IPv6非本地網(wǎng)段地址 的IPv6報(bào)文之后,IPv6檢查引擎會(huì)首次匹配命中表項(xiàng)6,根據(jù)表項(xiàng)6���,IPv6檢查引擎對(duì)該 IPv6SIP不屬于IPv6RA報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行丟棄操作����,從而 過濾非法IPv6報(bào)文����,從源頭上避免了 DDOS攻擊;本實(shí)施例中���,IPv6SIP不屬于IPv6RA報(bào)文 公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文為非法的攜帶IPv6非本地網(wǎng)段地址的IPv6報(bào)文��。上述實(shí)施例中���,二層交換機(jī)配置該二層交換機(jī)的安全檢查口上的IPv6數(shù)據(jù)表,在 該安全檢查口檢測到與IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后��,根據(jù)該表項(xiàng)對(duì)匹配的報(bào)文 執(zhí)行相應(yīng)的操作�����;從而實(shí)現(xiàn)了在無狀態(tài)IPv6地址自動(dòng)配置場景中�����,防御DRDOS攻擊和網(wǎng) 關(guān)欺騙攻擊,提升了網(wǎng)絡(luò)的安全性�;另外,本發(fā)明實(shí)施例中資源的消耗與用戶的接入規(guī)模無 關(guān)�,從而可以支持大規(guī)模的網(wǎng)絡(luò);并且本發(fā)明實(shí)施例提供的安全檢測方法不需要改變網(wǎng)絡(luò) 中其他節(jié)點(diǎn)的配置和行為��,例如不需要額外添加服務(wù)器��,不需要接入終端上安裝各類安全 軟件����,以及不需要改變路由器的配置����。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過 程序指令相關(guān)的硬件來完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�,該程序 在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟����;而前述的存儲(chǔ)介質(zhì)包括R0M、RAM��、磁碟或者 光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。圖4為本發(fā)明安全檢測裝置一個(gè)實(shí)施例的結(jié)構(gòu)示意圖�����,本實(shí)施例中的安全檢測裝 置可以作為網(wǎng)絡(luò)側(cè)設(shè)備��,或網(wǎng)絡(luò)側(cè)設(shè)備的一部分�,實(shí)現(xiàn)本發(fā)明圖1所示實(shí)施例的流程。如圖4所示�����,該安全檢測裝置可以包括監(jiān)聽模塊41�、配置模塊42和操作執(zhí)行模 塊43 ;其中�����,監(jiān)聽模塊41����,用于在該安全檢測裝置的網(wǎng)關(guān)連接口上監(jiān)聽IPv6路由器公告 報(bào)文;配置模塊42����,用于根據(jù)監(jiān)聽模塊41監(jiān)聽到的IPv6路由器公告報(bào)文配置該安全檢 測裝置的安全檢查口上的IPv6數(shù)據(jù)表���;操作執(zhí)行模塊43,用于在安全檢查口檢測到與IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文 之后��,根據(jù)上述表項(xiàng)對(duì)匹配的報(bào)文執(zhí)行相應(yīng)的操作�。本實(shí)施例中的網(wǎng)絡(luò)側(cè)設(shè)備可以為二層交換機(jī),也可以為其他網(wǎng)絡(luò)側(cè)設(shè)備���,例如路 由器等�,本實(shí)施例對(duì)此不作限定���。上述實(shí)施例中,配置模塊42根據(jù)監(jiān)聽模塊41在安全檢測裝置的網(wǎng)關(guān)連接口上監(jiān) 聽到的IPv6路由器公告報(bào)文��,配置該安全檢測裝置的安全檢查口上的IPv6數(shù)據(jù)表�����,在該安全檢查口檢測到與IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后���,操作執(zhí)行模塊43根據(jù)該表項(xiàng)對(duì) 匹配的報(bào)文執(zhí)行相應(yīng)的操作�����;從而實(shí)現(xiàn)了在無狀態(tài)IPv6地址自動(dòng)配置場景中���,防御DRDOS 攻擊和網(wǎng)關(guān)欺騙攻擊����,提升了網(wǎng)絡(luò)的安全性�。圖5為本發(fā)明安全檢測裝置另一個(gè)實(shí)施例的結(jié)構(gòu)示意圖,與圖4所示的安全檢測 裝置相比���,不同之處在于����,圖5所示安全檢測裝置的一種實(shí)現(xiàn)方式中�����,配置模塊42可以包 括第一添加子模塊421�����,用于在IPv6數(shù)據(jù)表中添加與IPv6ICMP類型對(duì)應(yīng)的表項(xiàng)��,并 在該IPv6ICMP類型對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配上述IPv6ICMP類型對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操 作��;對(duì)應(yīng)地,操作執(zhí)行模塊43可以包括第一丟棄子模塊431��,用于在安全檢查口檢測到IPv6ICMP類型為路由器公告的 IPv6報(bào)文之后���,對(duì)該IPv6報(bào)文執(zhí)行丟棄操作�。在本實(shí)施例的另一種實(shí)現(xiàn)方式中�����,配置模塊42還可以包括第一解析子模塊422��,用于解析監(jiān)聽到的IPv6路由器公告報(bào)文��,獲得IPv6路由器 公告報(bào)文中攜帶的網(wǎng)關(guān)IPv6地址信息�;第二添加子模塊423,用于在IPv6數(shù)據(jù)表中添加與第一解析子模塊422獲得的網(wǎng) 關(guān)IPv6地址信息對(duì)應(yīng)的表項(xiàng)�����,并在網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配上述網(wǎng)關(guān) IPv6地址信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作��;對(duì)應(yīng)地���,操作執(zhí)行模塊43還可以包括第二丟棄子模塊432��,用于在安全檢查口檢測到IPv6SIP地址為網(wǎng)關(guān)IPv6地址的 報(bào)文之后�,對(duì)IPv6SIP地址為網(wǎng)關(guān)IPv6地址的報(bào)文執(zhí)行丟棄操作;或者�����,在安全檢查口檢測 到目標(biāo)IP地址為網(wǎng)關(guān)IPv6地址的IPv6鄰居公告報(bào)文之后,對(duì)該IPv6鄰居公告報(bào)文執(zhí)行 丟棄操作。在本實(shí)施例的再一種實(shí)現(xiàn)方式中,配置模塊42還可以包括第三添加子模塊424,用于在IPv6數(shù)據(jù)表中添加與IPv6本地網(wǎng)段信息對(duì)應(yīng)的表 項(xiàng)��,并在該IPv6本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配上述IPv6本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng) 的報(bào)文執(zhí)行的操作�;對(duì)應(yīng)地�����,操作執(zhí)行模塊43還可以包括第一通過子模塊433,用于在安全檢查口檢測到攜帶IPv6本地網(wǎng)段地址的IPv6報(bào) 文之后����,對(duì)攜帶IPv6本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行通過操作。在本實(shí)施例的再一種實(shí)現(xiàn)方式中�,配置模塊42還可以包括第二解析子模塊425,用于解析監(jiān)聽到的IPv6路由器公告報(bào)文�����,獲得IPv6路由器 公告報(bào)文中攜帶的IPv6非本地網(wǎng)段信息;第四添加子模塊426�,用于在IPv6數(shù)據(jù)表中添加與第二解析子模塊425獲得的 IPv6非本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)��,并在該IPv6非本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配 上述IPv6非本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作�����;對(duì)應(yīng)地���,操作執(zhí)行模塊43還可以包括第二通過子模塊434�����,用于在安全檢查口檢測到IPv6SIP地址屬于IPv6路由器公 告報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文之后,對(duì)IPv6源IP地址屬于IPv6路由器公告報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行通過操作;第三丟棄子模塊435��,用于在安全檢查口檢測到IPv6SIP地址不屬于IPv6本地網(wǎng) 段地址的IPv6報(bào)文���,或者IPv6SIP地址不屬于IPv6路由器公告報(bào)文公告的IPv6非本地網(wǎng) 段地址的IPv6報(bào)文之后���,對(duì)上述IPv6SIP地址不屬于IPv6本地網(wǎng)段地址的IPv6報(bào)文�,或 者IPv6SIP地址不屬于IPv6路由器公告報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文執(zhí) 行丟棄操作����。另外,本實(shí)施例中的配置模塊42還可以包括更新子模塊427��,用于在IPv6路由 器公告報(bào)文中攜帶的網(wǎng)關(guān)IPv6地址信息和IPv6非本地網(wǎng)段信息發(fā)生改變之后�����,將網(wǎng)關(guān) IPv6地址信息對(duì)應(yīng)表項(xiàng)中的網(wǎng)關(guān)IPv6地址信息更新為發(fā)生改變之后的網(wǎng)關(guān)IPv6地址�,并 將IPv6非本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)中的IPv6非本地網(wǎng)段信息更新為發(fā)生改變之后的IPv6 非本地網(wǎng)段����。本實(shí)施例中的配置模塊42可以只包括第一添加子模塊421,對(duì)應(yīng)地�,操作執(zhí)行模 塊43可以只包括第一丟棄子模塊431 ���;或者�,配置模塊42可以包括第一添加子模塊421�����、 第一解析子模塊422、第二添加子模塊423和更新子模塊427�����,對(duì)應(yīng)地�����,操作執(zhí)行模塊43可 以包括第一丟棄子模塊431和第二丟棄子模塊432 �����;或者����,配置模塊42可以包括第一添加 子模塊421、第一解析子模塊422、第二添加子模塊423、第三添加子模塊424和更新子模塊 427��,對(duì)應(yīng)地��,操作執(zhí)行模塊43可以包括第一丟棄子模塊431�、第二丟棄子模塊432和第一通 過子模塊433 ;或者����,配置模塊42可以包括第一添加子模塊421、第一解析子模塊422�、第二 添加子模塊423、第三添加子模塊424��、第二解析子模塊425���、第四添加子模塊426和更新子 模塊427,對(duì)應(yīng)地��,操作執(zhí)行模塊43可以包括第一丟棄子模塊431�����、第二丟棄子模塊432、第 一通過子模塊433�、第二通過子模塊434和第三丟棄子模塊435。圖5示出的是配置模塊42包括第一添加子模塊421�����、第一解析子模塊422�、第二添 加子模塊423、第三添加子模塊424���、第二解析子模塊425�����、第四添加子模塊426和更新子模 塊427��,對(duì)應(yīng)地�,操作執(zhí)行模塊43包括第一丟棄子模塊431����、第二丟棄子模塊432、第一通過 子模塊433、第二通過子模塊434和第三丟棄子模塊435的這種實(shí)現(xiàn)方式����。上述實(shí)施例中的網(wǎng)絡(luò)側(cè)設(shè)備實(shí)現(xiàn)了在無狀態(tài)IPv6地址自動(dòng)配置場景中����,防御 DRDOS攻擊和網(wǎng)關(guān)欺騙攻擊,提升了網(wǎng)絡(luò)的安全性����;另外,上述網(wǎng)絡(luò)側(cè)設(shè)備可以安放在網(wǎng)絡(luò) 接入層的任何位置���,例如不需要和接入終端直連���。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖,附圖中的模塊或流 程并不一定是實(shí)施本發(fā)明所必須的���。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中����,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中�。上 述實(shí)施例的模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊。最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案���,而非對(duì)其限制�����;盡 管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然 可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改��,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替 換����;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精 神和范圍�。
權(quán)利要求
一種安全檢測方法,其特征在于��,包括在網(wǎng)絡(luò)側(cè)設(shè)備的網(wǎng)關(guān)連接口上監(jiān)聽IPv6路由器公告報(bào)文����;根據(jù)監(jiān)聽到的IPv6路由器公告報(bào)文配置所述網(wǎng)絡(luò)側(cè)設(shè)備的安全檢查口上的IPv6數(shù)據(jù)表;在所述安全檢查口檢測到與所述IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后�����,根據(jù)所述表項(xiàng)對(duì)所述匹配的報(bào)文執(zhí)行相應(yīng)的操作。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述根據(jù)監(jiān)聽到的IPv6路由器公告報(bào)文 配置所述網(wǎng)絡(luò)側(cè)設(shè)備的安全檢查口上的IPv6數(shù)據(jù)表包括在所述IPv6數(shù)據(jù)表中添加與IPv6因特網(wǎng)控制報(bào)文協(xié)議類型對(duì)應(yīng)的表項(xiàng)�,并在所述 IPv6因特網(wǎng)控制報(bào)文協(xié)議類型對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配所述IPv6因特網(wǎng)控制報(bào)文協(xié)議類 型對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作��;所述在所述安全檢查口檢測到與所述IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后�����,根據(jù)所 述表項(xiàng)對(duì)所述匹配的報(bào)文執(zhí)行相應(yīng)的操作包括在所述安全檢查口檢測到IPv6因特網(wǎng)控制報(bào)文協(xié)議類型為路由器公告的IPv6報(bào)文之 后��,對(duì)所述IPv6報(bào)文執(zhí)行丟棄操作�。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于�����,所述在所述IPv6因特網(wǎng)控制報(bào)文協(xié)議類 型對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配所述IPv6因特網(wǎng)控制報(bào)文協(xié)議類型對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操 作之后���,還包括解析監(jiān)聽到的IPv6路由器公告報(bào)文�����,獲得所述IPv6路由器公告報(bào)文中攜帶的網(wǎng)關(guān) IPv6地址信息���,在所述IPv6數(shù)據(jù)表中添加與所述網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)的表項(xiàng)��,并在所述 網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配所述網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行 的操作����;所述在所述安全檢查口檢測到與所述IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后�����,根據(jù)所 述表項(xiàng)對(duì)所述匹配的報(bào)文執(zhí)行相應(yīng)的操作包括在所述安全檢查口檢測到IPv6源IP地址為網(wǎng)關(guān)IPv6地址的報(bào)文之后����,對(duì)所述IPv6 源IP地址為網(wǎng)關(guān)IPv6地址的報(bào)文執(zhí)行丟棄操作;或者����,在所述安全檢查口檢測到目標(biāo)IP地址為網(wǎng)關(guān)IPv6地址的IPv6鄰居公告報(bào)文之后,對(duì) 所述IPv6鄰居公告報(bào)文執(zhí)行丟棄操作�����。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�,所述在所述網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)的表 項(xiàng)中添加對(duì)匹配所述網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作之后,還包括在所述IPv6數(shù)據(jù)表中添加與IPv6本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)����,并在所述IPv6本地網(wǎng)段 信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配所述IPv6本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作;所述在所述安全檢查口檢測到與所述IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后�����,根據(jù)所 述表項(xiàng)對(duì)所述匹配的報(bào)文執(zhí)行相應(yīng)的操作包括在所述安全檢查口檢測到攜帶IPv6本地網(wǎng)段地址的IPv6報(bào)文之后�,對(duì)所述攜帶IPv6 本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行通過操作���。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于,所述在所述IPv6本地網(wǎng)段信息對(duì)應(yīng)的表 項(xiàng)中添加對(duì)匹配所述IPv6本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作之后��,還包括解析監(jiān)聽到的IPv6路由器公告報(bào)文�����,獲得所述IPv6路由器公告報(bào)文中攜帶的IPv6非本地網(wǎng)段信息���,在所述IPv6數(shù)據(jù)表中添加與所述IPv6非本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)�,并在所 述IPv6非本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配所述IPv6非本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)的報(bào) 文執(zhí)行的操作;所述在所述安全檢查口檢測到與所述IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后�����,根據(jù)所 述表項(xiàng)對(duì)所述匹配的報(bào)文執(zhí)行相應(yīng)的操作包括在所述安全檢查口檢測到IPv6源IP地址屬于IPv6路由器公告報(bào)文公告的IPv6非 本地網(wǎng)段地址的IPv6報(bào)文之后�����,對(duì)所述IPv6源IP地址屬于IPv6路由器公告報(bào)文公告的 IPv6非本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行通過操作����;或者,在所述安全檢查口檢測到IPv6源IP地址不屬于IPv6本地網(wǎng)段地址的IPv6報(bào)文�,或 者所述IPv6源IP地址不屬于IPv6路由器公告報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào) 文之后,對(duì)所述IPv6源IP地址不屬于IPv6本地網(wǎng)段地址的IPv6報(bào)文����,或者所述IPv6源 IP地址不屬于IPv6路由器公告報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行丟棄操 作。
6.根據(jù)權(quán)利要求3-5任意一項(xiàng)所述的方法�����,其特征在于�,還包括在所述IPv6路由器公告報(bào)文中攜帶的網(wǎng)關(guān)IPv6地址信息和IPv6非本地網(wǎng)段信息發(fā) 生改變之后��,將所述網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)表項(xiàng)中的網(wǎng)關(guān)IPv6地址信息更新為發(fā)生改變 之后的網(wǎng)關(guān)IPv6地址����,并將所述IPv6非本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)中的IPv6非本地網(wǎng)段信息 更新為發(fā)生改變之后的IPv6非本地網(wǎng)段�。
7.一種安全檢測裝置,其特征在于,包括監(jiān)聽模塊,用于在所述安全檢測裝置的網(wǎng)關(guān)連接口上監(jiān)聽IPv6路由器公告報(bào)文��; 配置模塊,用于根據(jù)所述監(jiān)聽模塊監(jiān)聽到的IPv6路由器公告報(bào)文配置所述安全檢測 裝置的安全檢查口上的IPv6數(shù)據(jù)表;操作執(zhí)行模塊,用于在所述安全檢查口檢測到與所述IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào) 文之后�,根據(jù)所述表項(xiàng)對(duì)所述匹配的報(bào)文執(zhí)行相應(yīng)的操作���。
8.根據(jù)權(quán)利要求7所述的裝置�����,其特征在于,所述配置模塊包括第一添加子模塊�,用于在所述IPv6數(shù)據(jù)表中添加與IPv6因特網(wǎng)控制報(bào)文協(xié)議類型對(duì) 應(yīng)的表項(xiàng),并在所述IPv6因特網(wǎng)控制報(bào)文協(xié)議類型對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配所述IPv6因 特網(wǎng)控制報(bào)文協(xié)議類型對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作����; 所述操作執(zhí)行模塊包括第一丟棄子模塊�,用于在所述安全檢查口檢測到IPv6因特網(wǎng)控制報(bào)文協(xié)議類型為路 由器公告的IPv6報(bào)文之后��,對(duì)所述IPv6報(bào)文執(zhí)行丟棄操作����。
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于���,所述配置模塊還包括第一解析子模塊�,用于解析監(jiān)聽到的IPv6路由器公告報(bào)文����,獲得所述IPv6路由器公告 報(bào)文中攜帶的網(wǎng)關(guān)IPv6地址信息;第二添加子模塊���,用于在所述IPv6數(shù)據(jù)表中添加與所述第一解析子模塊獲得的網(wǎng)關(guān) IPv6地址信息對(duì)應(yīng)的表項(xiàng)�����,并在所述網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配所述網(wǎng) 關(guān)IPv6地址信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作��; 所述操作執(zhí)行模塊還包括第二丟棄子模塊��,用于在所述安全檢查口檢測到IPv6源IP地址為網(wǎng)關(guān)IPv6地址的報(bào)文之后�����,對(duì)所述IPv6源IP地址為網(wǎng)關(guān)IPv6地址的報(bào)文執(zhí)行丟棄操作�;或者,在所述安全檢 查口檢測到目標(biāo)IP地址為網(wǎng)關(guān)IPv6地址的IPv6鄰居公告報(bào)文之后����,對(duì)所述IPv6鄰居公 告報(bào)文執(zhí)行丟棄操作。
10.根據(jù)權(quán)利要求9所述的裝置����,其特征在于,所述配置模塊還包括第三添加子模塊���,用于在所述IPv6數(shù)據(jù)表中添加與IPv6本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)�,并 在所述IPv6本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配所述IPv6本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)的報(bào) 文執(zhí)行的操作�;所述操作執(zhí)行模塊還包括第一通過子模塊,用于在所述安全檢查口檢測到攜帶IPv6本地網(wǎng)段地址的IPv6報(bào)文 之后�����,對(duì)所述攜帶IPv6本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行通過操作����。
11.根據(jù)權(quán)利要求10所述的裝置,其特征在于�����,所述配置模塊還包括第二解析子模塊����,用于解析監(jiān)聽到的IPv6路由器公告報(bào)文,獲得所述IPv6路由器公告 報(bào)文中攜帶的IPv6非本地網(wǎng)段信息�;第四添加子模塊,用于在所述IPv6數(shù)據(jù)表中添加與所述第二解析子模塊獲得的IPv6 非本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)���,并在所述IPv6非本地網(wǎng)段信息對(duì)應(yīng)的表項(xiàng)中添加對(duì)匹配所 述IPv6非本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)的報(bào)文執(zhí)行的操作����;所述操作執(zhí)行模塊還包括第二通過子模塊��,用于在所述安全檢查口檢測到IPv6源IP地址屬于IPv6路由器公告 報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文之后�,對(duì)所述IPv6源IP地址屬于IPv6路由 器公告報(bào)文公告的IPv6非本地網(wǎng)段地址的IPv6報(bào)文執(zhí)行通過操作;第三丟棄子模塊��,用于在所述安全檢查口檢測到IPv6源IP地址不屬于IPv6本地網(wǎng)段 地址的IPv6報(bào)文��,或者所述IPv6源IP地址不屬于IPv6路由器公告報(bào)文公告的IPv6非本 地網(wǎng)段地址的IPv6報(bào)文之后,對(duì)所述IPv6源IP地址不屬于IPv6本地網(wǎng)段地址的IPv6報(bào) 文��,或者所述IPv6源IP地址不屬于IPv6路由器公告報(bào)文公告的IPv6非本地網(wǎng)段地址的 IPv6報(bào)文執(zhí)行丟棄操作����。
12.根據(jù)權(quán)利要求9-11任意一項(xiàng)所述的裝置,其特征在于����,所述配置模塊還包括更新子模塊,用于在所述IPv6路由器公告報(bào)文中攜帶的網(wǎng)關(guān)IPv6地址信息和IPv6非本地網(wǎng)段信息發(fā)生改變之后�,將所述網(wǎng)關(guān)IPv6地址信息對(duì)應(yīng)表項(xiàng)中的網(wǎng)關(guān)IPv6地址信息 更新為發(fā)生改變之后的網(wǎng)關(guān)IPv6地址,并將所述IPv6非本地網(wǎng)段信息對(duì)應(yīng)表項(xiàng)中的IPv6 非本地網(wǎng)段信息更新為發(fā)生改變之后的IPv6非本地網(wǎng)段��。
13.—種網(wǎng)絡(luò)側(cè)設(shè)備����,其特征在于,包括根據(jù)權(quán)利要求7-12任意一項(xiàng)所述的安全檢測裝置����。
全文摘要
本發(fā)明實(shí)施例提供一種安全檢測方法、裝置和網(wǎng)絡(luò)側(cè)設(shè)備�����,該安全檢測方法包括在網(wǎng)絡(luò)側(cè)設(shè)備的網(wǎng)關(guān)連接口上監(jiān)聽IPv6路由器公告報(bào)文�����;根據(jù)監(jiān)聽到的IPv6路由器公告報(bào)文配置所述網(wǎng)絡(luò)側(cè)設(shè)備的安全檢查口上的IPv6數(shù)據(jù)表�����;在所述安全檢查口檢測到與所述IPv6數(shù)據(jù)表中的表項(xiàng)匹配的報(bào)文之后�,根據(jù)所述表項(xiàng)對(duì)所述匹配的報(bào)文執(zhí)行相應(yīng)的操作。本發(fā)明實(shí)施例實(shí)現(xiàn)了在無狀態(tài)IPv6地址自動(dòng)配置場景中���,防御DRDOS攻擊和網(wǎng)關(guān)欺騙攻擊����,提升了網(wǎng)絡(luò)的安全性���。
文檔編號(hào)H04L29/12GK101931627SQ20101026445
公開日2010年12月29日 申請日期2010年8月26日 優(yōu)先權(quán)日2010年8月26日
發(fā)明者王肖軍 申請人:福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司