專(zhuān)利名稱(chēng):一種防止IPv6地址重復(fù)檢測(cè)攻擊的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域�,尤其涉及一種防止IPv6地址重復(fù)檢測(cè)攻擊的方法及 系統(tǒng)。
背景技術(shù):
隨著IPv4地址的日益枯竭�����,IPv6網(wǎng)絡(luò)的大量部署逐漸被提上日程�����,其安全問(wèn)題也 逐漸被提出來(lái)��。雖然普遍認(rèn)為IPv6因?yàn)橛蠭I^sec而比IPv4更安全���,單是在實(shí)際部署的時(shí) 候���,由于技術(shù)能力不夠或者安全基礎(chǔ)設(shè)施不足等原因��,使得IPv6網(wǎng)絡(luò)往往沒(méi)有采取任何安 全措施�。而且IPv6網(wǎng)絡(luò)傳輸?shù)幕緳C(jī)制和IPv4相同�,所以IPv6網(wǎng)絡(luò)并不比IPv4網(wǎng)絡(luò)安全。IPv6網(wǎng)絡(luò)的安全性總體上分為四類(lèi)實(shí)現(xiàn)和部署上的漏洞和不足��、非IP層攻擊���、 過(guò)渡時(shí)期的安全脆弱性和IPv6網(wǎng)絡(luò)特有的安全性。IPv6特有的安全性方面�,針對(duì)IPv6地 址重復(fù)檢測(cè)的攻擊,后果比較嚴(yán)重�����,特別是基于無(wú)狀態(tài)地址自動(dòng)配置的攻擊��,攻擊后果尤其 嚴(yán)重����。無(wú)狀態(tài)地址配置,簡(jiǎn)單來(lái)說(shuō)���,就是設(shè)備在接口協(xié)議up (處于工作狀態(tài))時(shí)自動(dòng)生成一 個(gè)link local (鏈路本地)地址����,并發(fā)起地址重復(fù)檢測(cè),檢測(cè)地址是否重復(fù)����。這個(gè)功能雖然 方便了用戶(hù)使用IPv6網(wǎng)絡(luò),也使得非法用戶(hù)可以更容易的介入和使用網(wǎng)絡(luò)��。無(wú)狀態(tài)地址攻 擊就是攻擊者對(duì)地址檢測(cè)報(bào)文進(jìn)行回復(fù)��,這樣被攻擊的設(shè)備就認(rèn)為地址沖突而放棄使用該 配置的地址���。根據(jù)RFC2461規(guī)定���,如果接口的link local地址沖突了,這個(gè)接口就不應(yīng)該 處理任何IPv6報(bào)文�,這樣該接口就相當(dāng)于失去了 IPv6功能。同樣對(duì)于普通IPv6地址����,手 工配置完了也需要DAD (Duplicate AddressDetection,重復(fù)地址檢測(cè))檢測(cè)��,也會(huì)遭到這 種攻擊。如果攻擊嚴(yán)重��,會(huì)導(dǎo)致設(shè)備整個(gè)IPv6功能失效���。DAD檢測(cè)的工作原理為節(jié)點(diǎn)新配置IPv6地址以后�,發(fā)送一個(gè)NS(鄰居請(qǐng)求)報(bào) 文���,該報(bào)文的目標(biāo)地址是當(dāng)前配置的地址���,源IP是0�����,目的IP是一個(gè)IPv6的請(qǐng)求組播地址����, 如果在發(fā)送用于檢測(cè)重復(fù)地址的NS (鄰居請(qǐng)求)報(bào)文前,收到針對(duì)同一個(gè)目標(biāo)地址的NS報(bào) 文���,則說(shuō)明地址重復(fù)��;在發(fā)送用于檢測(cè)重復(fù)地址的NS后����,收到的針對(duì)同一個(gè)目標(biāo)地址的NS 報(bào)文比預(yù)期的多則說(shuō)明地址重復(fù);收到針對(duì)目標(biāo)地址的NA(鄰居通告)則說(shuō)明地址重復(fù)����; 否則地址就是有效的。如附圖1所示�,是IPv6 DAD檢測(cè)原理圖,設(shè)備A配置IPv6地址后���,設(shè) 備B返回NA/NS報(bào)文��,設(shè)備A根據(jù)上述原理進(jìn)行判斷���。網(wǎng)絡(luò)攻擊主要是針對(duì)后邊兩種的情 況,就是攻擊設(shè)備在收到網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備DAD檢測(cè)的NS報(bào)文后�����,構(gòu)造一個(gè)針對(duì)該地址的NA報(bào) 文或者NS報(bào)文����,回復(fù)回來(lái),使網(wǎng)絡(luò)設(shè)備誤認(rèn)為自己配置的地址不可用,從而不能正常工作���, 造成網(wǎng)絡(luò)攻擊�。
發(fā)明內(nèi)容
針對(duì)上述缺陷�,本發(fā)明解決的技術(shù)問(wèn)題在于,提供了一種防止IPv6地址重復(fù)檢測(cè) 攻擊的方法���,該方法能夠應(yīng)對(duì)重復(fù)檢測(cè)攻擊���,保護(hù)網(wǎng)絡(luò)設(shè)備。本發(fā)明同時(shí)提供了一種防止 IPv6地址重復(fù)檢測(cè)攻擊的系統(tǒng)�。
4
本發(fā)明提供了一種防止IPv6地址重復(fù)檢測(cè)攻擊的方法,所述方法包括����,節(jié)點(diǎn)設(shè)備發(fā)出地址重復(fù)檢測(cè)的鄰居請(qǐng)求報(bào)文�����,在收到針對(duì)地址重復(fù)檢測(cè)回應(yīng)的鄰 居公告NA/鄰居請(qǐng)求NS報(bào)文后�����,記錄下該報(bào)文的源Mac,指定收到鄰居公告NA/鄰居請(qǐng)求 NS報(bào)文的源地址為報(bào)文目標(biāo)地址����,發(fā)送鄰居請(qǐng)求NS單播可達(dá)性探測(cè)報(bào)文,并判斷是否收到 應(yīng)答報(bào)文�����,若有應(yīng)答報(bào)文����,則將配置的IPv6地址置為重復(fù)狀態(tài),否則將配置的IPv6地址狀 態(tài)置為可用狀態(tài)����。優(yōu)選地,所述鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源地址為源IPv6地址����。優(yōu)選地,所述指定收到鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源地址為報(bào)文目標(biāo)地址具 體為���,將收到鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源IPv6地址和源Mac地址發(fā)送給鄰居發(fā) 現(xiàn)模塊�����,鄰居發(fā)現(xiàn)模塊指定源IPv6地址為目標(biāo)IPv6地址�。優(yōu)選地,所述發(fā)送鄰居請(qǐng)求NS單播可達(dá)性探測(cè)報(bào)文具體為���,鄰居發(fā)現(xiàn)模塊指定鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源Mac做為可達(dá)性探測(cè)報(bào)文 的目的Mac�����,封裝所述鄰居請(qǐng)求NS單播可達(dá)性探測(cè)報(bào)文進(jìn)行發(fā)送�����。優(yōu)選地�����,若報(bào)文目標(biāo)地址為鏈路本地地址�����,則選擇所述節(jié)點(diǎn)設(shè)備上產(chǎn)生鏈路本地 地址接口即本接口之外其他接口的可用的鏈路本地地址�;若報(bào)文目標(biāo)地址是全局地址��,則優(yōu)先選擇本接口的鏈路本地地址�;若本接口鏈路 本地地址不可用,再選擇所述節(jié)點(diǎn)設(shè)備上其他接口的可用的鏈路本地地址����。本發(fā)明還提供了一種防止IPv6地址重復(fù)檢測(cè)攻擊的系統(tǒng),其特征在于����,所述系統(tǒng) 包括,命令配置模塊��,用于防護(hù)命令的配置��;鄰居發(fā)現(xiàn)模塊�,用于在防護(hù)命令開(kāi)啟后,節(jié)點(diǎn)設(shè)備發(fā)出地址重復(fù)檢測(cè)的鄰居請(qǐng)求 報(bào)文�,在收到針對(duì)地址重復(fù)檢測(cè)回應(yīng)的鄰居公告NA/鄰居請(qǐng)求NS報(bào)文后,記錄下該報(bào)文的 源Mac���,指定收到鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源地址為報(bào)文目標(biāo)地址���,發(fā)送鄰居請(qǐng)求 NS單播可達(dá)性探測(cè)報(bào)文,并判斷是否收到應(yīng)答報(bào)文����,若有應(yīng)答報(bào)文�,則將配置的IPv6地址 置為重復(fù)狀態(tài)��,否則將配置的IPv6地址狀態(tài)置為可用狀態(tài)����。優(yōu)選地,所述鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源地址為源IPv6地址�。優(yōu)選地,所述系統(tǒng)還包括�,收發(fā)包模塊,用于將收到鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源IPv6地址和源Mac 地址發(fā)送給鄰居發(fā)現(xiàn)模塊�����;鄰居發(fā)現(xiàn)模塊����,用于指定鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源Mac為可達(dá)性探測(cè)報(bào) 文的目的Mac。優(yōu)選地���,所述系統(tǒng)還包括����,所述收發(fā)包模塊���,還用于根據(jù)鄰居發(fā)現(xiàn)模塊指定的目的Mac���,即鄰居公告NA/鄰居 請(qǐng)求NS報(bào)文的源Mac,封裝所述鄰居請(qǐng)求NS單播可達(dá)性探測(cè)報(bào)文進(jìn)行發(fā)送�����。優(yōu)選地�,在所述系統(tǒng)中,若報(bào)文目標(biāo)地址為鏈路本地地址���,則選擇所述節(jié)點(diǎn)設(shè)備上產(chǎn)生鏈路本地地址接口 即本接口之外其他接口的可用的鏈路本地地址��;若報(bào)文目標(biāo)地址是全局地址����,則優(yōu)先選擇本接口的鏈路本地地址���;若本接口鏈路本地地址不可用����,再選擇所述節(jié)點(diǎn)設(shè)備上其他接口的可用的鏈路本地地址��。與現(xiàn)有技術(shù)相比,采用本發(fā)明提供的方法和系統(tǒng)�����,防止網(wǎng)絡(luò)設(shè)備誤認(rèn)為自己配置 的地址不可用����,從而不能正常工作,造成網(wǎng)絡(luò)攻擊�。本發(fā)明提供的系統(tǒng)方案下,并采用模塊化設(shè)計(jì)���,并且模塊相互獨(dú)立���,易于擴(kuò)展和移植。
此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解���,構(gòu)成本發(fā)明的一部分�����,本發(fā) 明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明����,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中圖1是是IPv6DAD檢測(cè)原理圖�;圖2是一種防止IPv6地址重復(fù)檢測(cè)攻擊的方法的實(shí)施例流程圖;圖3是一種防止IPv6地址重復(fù)檢測(cè)攻擊的方法的實(shí)施例的具體應(yīng)用圖����;圖4是一種防止IPv6地址重復(fù)檢測(cè)攻擊的系統(tǒng)的實(shí)施例結(jié)構(gòu)圖��。
具體實(shí)施例方式為了使本發(fā)明所要解決的技術(shù)問(wèn)題��、技術(shù)方案及有益效果更加清楚�、明白,以下結(jié) 合附圖和實(shí)施例���,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明��。應(yīng)當(dāng)理解����,此處所描述的具體實(shí)施例僅用 以解釋本發(fā)明�,并不用于限定本發(fā)明。本發(fā)明提供了一種防止IPv6地址重復(fù)檢測(cè)攻擊的方法的實(shí)施例��,如圖2所示�,為 該實(shí)施例流程圖���,該方法包括,S201����,在用戶(hù)操作界面下配置防御命令;在保護(hù)模式下���,輸入ipv6 protect dad��,運(yùn)行IPv6保護(hù)DAD�,在命令生效時(shí)�����,開(kāi)啟 保護(hù)�����;S202�,協(xié)議棧內(nèi)部保護(hù),在收到針對(duì)DAD檢測(cè)的NA/NS回應(yīng)報(bào)文后�����,指定收到鄰居 公告NA/鄰居請(qǐng)求NS報(bào)文的源地址為報(bào)文目標(biāo)地址,發(fā)送鄰居請(qǐng)求NS單播可達(dá)性探測(cè)報(bào) 文��,并判斷是否收到應(yīng)答報(bào)文�����;優(yōu)選地�����,指定收到NA/NS報(bào)文的源Mac地址(Medium/Media AccessControl���,媒體 訪(fǎng)問(wèn)控制)為目的Mac地址;發(fā)包的時(shí)候�����,鏈路層收發(fā)包根據(jù)鄰居發(fā)現(xiàn)nd模塊指定的目的Mac (即鄰居公告NA/ 鄰居請(qǐng)求NS報(bào)文的源Mac)�����,封裝數(shù)據(jù)幀��,并發(fā)送報(bào)文;收包的時(shí)候��,鏈路層收發(fā)包把報(bào)文的 源Mac帶給nd模塊�����。如果報(bào)文目標(biāo)地址是link local地址����,則報(bào)文的源IP選擇本設(shè)備上其他接口的 可用的link local地址;如果報(bào)文目標(biāo)地址是全局地址�,則優(yōu)先選擇本接口的link local地址;如果本接 口 link local地址不可用�,再選擇本設(shè)備上其他接口的可用的link local地址。S203,如果有可達(dá)性探測(cè)報(bào)文的回應(yīng)報(bào)文�,則把配置的地址置上重復(fù)標(biāo)記;否則忽 略DAD檢測(cè)的回應(yīng)報(bào)文���,把配置的地址不可用標(biāo)記去掉��。結(jié)合附圖3�,是本發(fā)明一種防止IPv6地址重復(fù)檢測(cè)攻擊的方法的實(shí)施例的具體應(yīng) 用圖��,假設(shè)設(shè)備A配置了 200: :1/64這個(gè)IPv6��,具體的防止IPv6地址重復(fù)檢測(cè)攻擊的方法
6流程如下S301,設(shè)備A發(fā)出一個(gè)DAD檢測(cè)的NS報(bào)文���,報(bào)文目標(biāo)IP是200 1���,源IP是0,目 的IP是一個(gè)根據(jù)200: 1產(chǎn)生的請(qǐng)求組波地址�����;S302,設(shè)備B回應(yīng)一個(gè)NA/NS報(bào)文����,目標(biāo)地址是200: 1 ;S303,設(shè)備A收到該NA/NS報(bào)文�,記錄下報(bào)文的源Mac���,反饋發(fā)送一個(gè)NS單播可達(dá) 性探測(cè)報(bào)文�,報(bào)文目的地址與目標(biāo)地址都是200: 1���,目的Mac是收到NA報(bào)文的源Mac���。S304,設(shè)備A如果收到NA可達(dá)性探測(cè)回應(yīng)報(bào)文�,表示設(shè)備B是一個(gè)實(shí)際存在的設(shè) 備��,200 1這個(gè)IPv6地址也存在����,設(shè)備A上配置的200 1是重復(fù)的;如果收不到��,說(shuō)明S302 回應(yīng)的報(bào)文是一個(gè)攻擊報(bào)文�����,忽略該報(bào)文����,設(shè)備A可以認(rèn)為其配置的200: :1是有效地址。本發(fā)明提供了一種防止IPv6地址重復(fù)檢測(cè)攻擊的系統(tǒng)的實(shí)施例�,如圖4所示,為 該系統(tǒng)的結(jié)構(gòu)圖�����,所述系統(tǒng)包括�����,命令配置模塊、鄰居發(fā)現(xiàn)模塊����、收發(fā)包模塊;命令配置模塊��,用于防護(hù)命令的配置����;具體地,命令配置模塊提供防護(hù)命令的配置���、刪除�、顯示以及重啟寫(xiě)盤(pán)等操作�。鄰居發(fā)現(xiàn)模塊,判斷防護(hù)開(kāi)關(guān)是否開(kāi)啟����,如果沒(méi)有開(kāi)啟���,則不做任何特殊處理�;如 果開(kāi)啟了�,則進(jìn)行防護(hù)����;具體地��,節(jié)點(diǎn)設(shè)備發(fā)送地址重復(fù)檢測(cè)(DAD)報(bào)文以后����,如果收到針對(duì)該地址DAD的 回復(fù)報(bào)文,先記錄下該回復(fù)報(bào)文的源Mac��,然后用被檢測(cè)的地址作為目標(biāo)地址��,發(fā)送IPv6鄰 居可達(dá)性探測(cè)報(bào)文�,報(bào)文的目的Mac就是前面記錄下來(lái)的回復(fù)報(bào)文的源Mac ;如果報(bào)文目標(biāo)地址是link local地址���,則報(bào)文的源IP選擇本設(shè)備上其他接口的 可用的link local地址�����;如果報(bào)文目標(biāo)地址是全局地址��,則優(yōu)先選擇本接口的link local 地址�;如果本接口 link local地址不可用�����,再選擇本設(shè)備上其他接口的可用的link local 地址。如果可以收到對(duì)端的鄰居公告NA應(yīng)答報(bào)文���,說(shuō)明前面DAD的回復(fù)報(bào)文不是攻擊報(bào) 文�,這個(gè)地址可以認(rèn)為是配置重復(fù)了 ���;如果收不到應(yīng)答����,連續(xù)發(fā)送三次�,還是沒(méi)有應(yīng)答,則可 以認(rèn)為是受到了攻擊�,可以忽略前面DAD檢測(cè)回復(fù)的報(bào)文,把配置的地址狀態(tài)設(shè)置成可用 狀態(tài)����。收發(fā)包模塊,上行將NS/NA報(bào)文的源Mac攜帶給鄰居發(fā)現(xiàn)nd模塊�;下行在發(fā)送鄰 居請(qǐng)求NS探測(cè)報(bào)文,封鏈路層報(bào)頭時(shí)��,使用指定的目的Mac (即鄰居公告NA/鄰居請(qǐng)求NS 報(bào)文的源Mac)封裝報(bào)文并進(jìn)行發(fā)送�����;上述說(shuō)明示出并描述了本發(fā)明的一個(gè)優(yōu)選實(shí)施例�,但如前所述,應(yīng)當(dāng)理解本發(fā)明 并非局限于本文所披露的形式��,不應(yīng)看作是對(duì)其他實(shí)施例的排除����,而可用于各種其他組合、 修改和環(huán)境�,并能夠在本文所述發(fā)明構(gòu)想范圍內(nèi),通過(guò)上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識(shí) 進(jìn)行改動(dòng)�����。而本領(lǐng)域人員所進(jìn)行的改動(dòng)和變化不脫離本發(fā)明的精神和范圍���,則都應(yīng)在本發(fā) 明所附權(quán)利要求的保護(hù)范圍內(nèi)����。
權(quán)利要求
1.一種防止IPv6地址重復(fù)檢測(cè)攻擊的方法���,其特征在于�����,所述方法包括���,節(jié)點(diǎn)設(shè)備發(fā)出地址重復(fù)檢測(cè)的鄰居請(qǐng)求報(bào)文��,在收到針對(duì)地址重復(fù)檢測(cè)回應(yīng)的鄰居公 告NA/鄰居請(qǐng)求NS報(bào)文后����,記錄下該報(bào)文的源媒體訪(fǎng)問(wèn)控制Mac�����,指定收到鄰居公告NA/鄰 居請(qǐng)求NS報(bào)文的源地址為報(bào)文目標(biāo)地址��,發(fā)送鄰居請(qǐng)求NS單播可達(dá)性探測(cè)報(bào)文���,并判斷是 否收到應(yīng)答報(bào)文����,若有應(yīng)答報(bào)文�,則將配置的IPv6地址置為重復(fù)狀態(tài)�����,否則將配置的IPv6 地址狀態(tài)置為可用狀態(tài)。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源 地址為源IPv6地址���。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于,所述指定收到鄰居公告NA/鄰居請(qǐng)求NS 報(bào)文的源地址為報(bào)文目標(biāo)地址具體為�����,將收到鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源IPv6地址發(fā)送給鄰居發(fā)現(xiàn)模塊���,鄰居發(fā)現(xiàn) 模塊指定該源IPv6地址為目標(biāo)IPv6地址����。
4.根據(jù)權(quán)利要求3所述的方法�,其特征在于,所述發(fā)送鄰居請(qǐng)求NS單播可達(dá)性探測(cè)報(bào) 文具體為���,根據(jù)鄰居發(fā)現(xiàn)模塊指定的目的Mac���,�����,封裝所述鄰居請(qǐng)求NS單播可達(dá)性探測(cè)報(bào)文進(jìn)行 發(fā)送�,所述目的Mac即鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源Mac��。
5.根據(jù)權(quán)利要求1至4任一所述的方法��,其特征在于�,若報(bào)文目標(biāo)地址為鏈路本地地址,則選擇所述節(jié)點(diǎn)設(shè)備上產(chǎn)生鏈路本地地址接口即本 接口之外其他接口的可用的鏈路本地地址�����;若報(bào)文目標(biāo)地址是全局地址���,則優(yōu)先選擇本接口的鏈路本地地址����;若本接口鏈路本地 地址不可用�,再選擇所述節(jié)點(diǎn)設(shè)備上其他接口的可用的鏈路本地地址���。
6.一種防止IPv6地址重復(fù)檢測(cè)攻擊的系統(tǒng),其特征在于����,所述系統(tǒng)包括,命令配置模塊����,用于防護(hù)命令的配置��;鄰居發(fā)現(xiàn)模塊��,用于在防護(hù)命令開(kāi)啟后����,發(fā)出地址重復(fù)檢測(cè)的鄰居請(qǐng)求報(bào)文,在收到針 對(duì)地址重復(fù)檢測(cè)回應(yīng)的鄰居公告NA/鄰居請(qǐng)求NS報(bào)文后�����,記錄下該報(bào)文的源Mac�,指定收到 鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源地址為報(bào)文目標(biāo)地址,發(fā)送鄰居請(qǐng)求NS單播可達(dá)性探 測(cè)報(bào)文����,并判斷是否收到應(yīng)答報(bào)文��,若有應(yīng)答報(bào)文��,則將配置的IPv6地址置為重復(fù)狀態(tài)���,否 則將配置的IPv6地址狀態(tài)置為可用狀態(tài)。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)�����,其特征在于��,所述鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源 地址為源IPv6地址�����。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)�,其特征在于,所述系統(tǒng)還包括��,收發(fā)包模塊�����,用于將收到鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源媒體訪(fǎng)問(wèn)控制Mac發(fā)送給 鄰居發(fā)現(xiàn)模塊;鄰居發(fā)現(xiàn)模塊�����,用于指定鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源Mac為可達(dá)性探測(cè)報(bào)文的 目的Mac����。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于���,所述收發(fā)包模塊,還用于根據(jù)鄰居發(fā)現(xiàn)模塊指定的目的Mac����,封裝所述鄰居請(qǐng)求NS單 播可達(dá)性探測(cè)報(bào)文進(jìn)行發(fā)送,所述目的Mac即鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源Mac����。
10.根據(jù)權(quán)利要求6至9任一所述的系統(tǒng),其特征在于���,在所述系統(tǒng)中�����,若報(bào)文目標(biāo)地址為鏈路本地地址�����,則選擇節(jié)點(diǎn)設(shè)備上產(chǎn)生鏈路本地地址接口即本接口 之外其他接口的可用的鏈路本地地址�;若報(bào)文目標(biāo)地址是全局地址,則優(yōu)先選擇本接口的鏈路本地地址���;若本接口鏈路本地 地址不可用�,再選擇所述節(jié)點(diǎn)設(shè)備上其他接口的可用的鏈路本地地址����。
全文摘要
本發(fā)明涉及一種防止IPv6地址重復(fù)檢測(cè)攻擊的方法,所述方法包括����,節(jié)點(diǎn)設(shè)備發(fā)出地址重復(fù)檢測(cè)的鄰居請(qǐng)求報(bào)文,在收到針對(duì)地址重復(fù)檢測(cè)回應(yīng)的鄰居公告NA/鄰居請(qǐng)求NS報(bào)文后�,指定收到鄰居公告NA/鄰居請(qǐng)求NS報(bào)文的源地址為報(bào)文目標(biāo)地址,發(fā)送鄰居請(qǐng)求NS單播可達(dá)性探測(cè)報(bào)文���,并判斷是否收到應(yīng)答報(bào)文�����,若有應(yīng)答報(bào)文��,則將配置的IPv6地址置為重復(fù)狀態(tài)�����,否則將配置的IPv6地址狀態(tài)置為可用狀態(tài)����。本發(fā)明同時(shí)提供了一種防止IPv6地址重復(fù)檢測(cè)攻擊的系統(tǒng)。應(yīng)用本發(fā)明的技術(shù)方案��,能夠應(yīng)對(duì)重復(fù)檢測(cè)攻擊�����,保護(hù)網(wǎng)絡(luò)設(shè)備���。
文檔編號(hào)H04L29/12GK102082801SQ20111003909
公開(kāi)日2011年6月1日 申請(qǐng)日期2011年2月16日 優(yōu)先權(quán)日2011年2月16日
發(fā)明者李洪濤, 金飛蔡 申請(qǐng)人:中興通訊股份有限公司