專利名稱:一種IPv6網(wǎng)絡(luò)虛假源地址數(shù)據(jù)包追溯方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于IP數(shù)據(jù)網(wǎng)絡(luò)技術(shù)領(lǐng)域��,涉及一種IPv6網(wǎng)絡(luò)上虛假源地址IP數(shù)據(jù)包的追溯方法和裝置��。
背景技術(shù):
伴隨著科學(xué)技術(shù)的不斷發(fā)展���,互聯(lián)網(wǎng)在人們的工作和生活中得到了越來(lái)越廣泛的應(yīng)用����。但是IPv4地址只有32位����,不能滿足社會(huì)對(duì)于互聯(lián)網(wǎng)應(yīng)用的巨大需求���,所以IPv4網(wǎng)絡(luò)將逐漸被IPv6網(wǎng)絡(luò)所取代��。IPv6網(wǎng)絡(luò)采用了 1 位長(zhǎng)的網(wǎng)絡(luò)地址�,為互聯(lián)網(wǎng)的可持續(xù)發(fā)展提供了資源保證。IPv6巨大地址空間可以有效阻擋黑客暴力掃描攻擊�,單純依靠地址掃描進(jìn)行傳播的蠕蟲(chóng)病毒將不能進(jìn)行有效傳播;IPv6取消了廣播地址�,基于局部地址廣播的DDos (分布式拒絕服務(wù))攻擊將不能實(shí)施。但是IPv4網(wǎng)絡(luò)中地址欺騙等問(wèn)題仍然將會(huì)困擾IPv6網(wǎng)絡(luò)的運(yùn)維工作�。用戶主機(jī)修改他們的源IP地址和目的地址端口,使他們發(fā)出的報(bào)文看似發(fā)自于另一臺(tái)主機(jī)或另一個(gè)應(yīng)用程序�,這種欺騙攻擊依然會(huì)十分流行。業(yè)界迫切需要一種適應(yīng)IPv6網(wǎng)絡(luò)的IP數(shù)據(jù)報(bào)追溯和安全應(yīng)急處理機(jī)制�,增強(qiáng)網(wǎng)絡(luò)管控系統(tǒng),從而保障IPv6網(wǎng)絡(luò)的安全運(yùn)行��。目前對(duì)IP數(shù)據(jù)包追溯的解決思想主要有以下幾種1)包標(biāo)記方法基本思想是使用數(shù)據(jù)包中未被使用的空間記錄路由器信息�����,受害者收集一定量被標(biāo)記的數(shù)據(jù)包�����,提取出標(biāo)記信息重構(gòu)攻擊路徑����,定位到攻擊源。該技術(shù)具有很低的人工管理量,網(wǎng)絡(luò)負(fù)擔(dān)不大����,能準(zhǔn)確定位到攻擊源,允許事后追蹤����。但是需要對(duì)IP報(bào)文頭部進(jìn)行修改,而且針對(duì)IPv4和IPv6的修改不同��,雖然技術(shù)的實(shí)現(xiàn)相對(duì)比較容易�,但也存在兼容性差的問(wèn)題。數(shù)據(jù)包標(biāo)記技術(shù)包括IP數(shù)據(jù)包路徑記錄法�、概率包標(biāo)記方法(Probabilistic Packet Marking,PPM)�、確定包標(biāo)記方法(Deterministic Packet Marking, DPM)、入口包標(biāo)記方法和代數(shù)多項(xiàng)式標(biāo)記技術(shù)等���。2)基于日志的方法基本思想是在路由器上對(duì)上游鏈路的數(shù)據(jù)包進(jìn)行日志記錄����, 這些信息保存在路由器中���,在攻擊發(fā)生時(shí)或之后,受害者提取出攻擊包的一些共有特征與保存在路由器中的日志信息比較,逐級(jí)恢復(fù)出攻擊數(shù)據(jù)包經(jīng)過(guò)的路由器��,最后定位到攻擊源����。該技術(shù)與現(xiàn)有協(xié)議兼容,網(wǎng)絡(luò)負(fù)擔(dān)不大����,允許事后追蹤。但是日志信息會(huì)占有路由器大量的系統(tǒng)資源���,還需要數(shù)據(jù)庫(kù)支持日志信息的收集和分析��。3)鏈路測(cè)試指從離受害者最近的路由器開(kāi)始檢查����,逐級(jí)追蹤到離攻擊者最近的路由器����。理想情況下,這個(gè)過(guò)程可以遞歸執(zhí)行直到定位出攻擊源����。該技術(shù)與現(xiàn)有的路由器和網(wǎng)絡(luò)設(shè)施兼容�,與IPv4和IPv6協(xié)議兼容��。但是它要求攻擊一直保持活動(dòng)直到追蹤完成���, 因此很難在攻擊結(jié)束后��、間歇性攻擊等情況進(jìn)行追蹤���。4)基于ICMP的追蹤技術(shù)基本思路是對(duì)IP分組低概率采樣,并由之產(chǎn)生ICMP追蹤消息�,他們一同被發(fā)送到接受端。ICMP追蹤消息的內(nèi)容包括采樣IP報(bào)文頭����、轉(zhuǎn)發(fā)報(bào)文的上一跳和下一跳、本地接受及轉(zhuǎn)發(fā)地址�����、時(shí)間以及認(rèn)證消息��。在受害端根據(jù)追蹤消息的邊信息構(gòu)造攻擊路徑���。這種方法的缺點(diǎn)是小概率采樣導(dǎo)致追蹤攻擊者的代價(jià)十分高,后繼研究
4主要是改進(jìn)概率方法提高追溯效率。近年來(lái)�����,一些研究人員又提出了基于覆蓋網(wǎng)��、入口地址過(guò)濾等技術(shù)來(lái)增強(qiáng)IP網(wǎng)的數(shù)據(jù)包追溯能力和虛假地址排除能力��,但是這些技術(shù)只是針對(duì)IPv4網(wǎng)絡(luò)提出了一些解決思路����。由于當(dāng)前的IP數(shù)據(jù)包追溯方法,需要占用大量網(wǎng)絡(luò)帶寬來(lái)攜帶IP數(shù)據(jù)包轉(zhuǎn)發(fā)路徑信息�,并且需要數(shù)據(jù)包經(jīng)過(guò)的所有路由器配合完成數(shù)據(jù)包轉(zhuǎn)發(fā)路徑重建,也需要骨干網(wǎng)路由器具有巨大的存儲(chǔ)空間來(lái)記錄轉(zhuǎn)發(fā)的IP數(shù)據(jù)包歷史數(shù)據(jù)�����,這些限制使得現(xiàn)有的IP數(shù)據(jù)包追溯系統(tǒng)難以部署���。另外�,目前存在的技術(shù)方案都是針對(duì)IPv4網(wǎng)絡(luò)提出來(lái)的�,尚沒(méi)有針對(duì)即將大規(guī)模部署的IPv6網(wǎng)絡(luò)提出有效的虛假源地址IP數(shù)據(jù)包追溯方案。本發(fā)明提出了一種針對(duì)IPv6協(xié)議特點(diǎn)的有效的虛假源地址IP數(shù)據(jù)包追溯方案��, 通過(guò)在接入網(wǎng)路由器上劃分特殊IPv6地址前綴和轉(zhuǎn)義IPv6后64位地址來(lái)標(biāo)記虛假源IP 數(shù)據(jù)包,增強(qiáng)接入網(wǎng)路由器功能�,對(duì)攜帶疑似虛假IPv6源地址的數(shù)據(jù)包進(jìn)行摘要記錄,可以支持網(wǎng)絡(luò)對(duì)利用虛假地址進(jìn)行DDos攻擊進(jìn)行事后追溯�����,從而有力的加強(qiáng)了 IPv6虛假地址數(shù)據(jù)包的管理��,增強(qiáng)了 IPv6網(wǎng)絡(luò)的安全性���。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)的不足�,針對(duì)IPv6網(wǎng)絡(luò)尋址協(xié)議的特殊性����, 提供一種更加高效實(shí)用的虛假源地址IP數(shù)據(jù)包追溯方法和裝置。本發(fā)明一方面涉及一種虛假源地址IP數(shù)據(jù)包追溯裝置��,所述裝置擴(kuò)展路由器轉(zhuǎn)發(fā)子系統(tǒng)增加了地址信息搜集模塊����、主機(jī)地址信息數(shù)據(jù)庫(kù)、轉(zhuǎn)發(fā)包摘要數(shù)據(jù)庫(kù)���、數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊����、虛假數(shù)據(jù)包處理模塊和虛假源地址IP數(shù)據(jù)包查詢模塊��。所述地址信息搜集模塊負(fù)責(zé)從交換機(jī)�、DHCP服務(wù)器、網(wǎng)絡(luò)流量中搜集主機(jī)地址信息的對(duì)應(yīng)關(guān)系���。所述地址信息的收集手段為SNMP協(xié)議�、DHCP查詢協(xié)議��、ARP協(xié)議等����,主機(jī)信息為主機(jī)IPv6地址、MAC地址和交換機(jī)端口號(hào)���、VLAN標(biāo)識(shí)等�����。所述主機(jī)地址信息數(shù)據(jù)庫(kù)負(fù)責(zé)存儲(chǔ)地址信息搜集模塊得到的地址信息對(duì)應(yīng)數(shù)據(jù)�, 為數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊等其他模塊提供主機(jī)信息對(duì)應(yīng)關(guān)系的查詢服務(wù)�����。當(dāng)路由器從網(wǎng)絡(luò)接口接收數(shù)據(jù)包后,由數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊負(fù)責(zé)檢查數(shù)據(jù)包源地址是否來(lái)源于已經(jīng)注冊(cè)的合法的對(duì)應(yīng)網(wǎng)絡(luò)端口�����,與MAC地址是否匹配�,如果匹配則正常轉(zhuǎn)發(fā),如果不匹配���,則交給虛假數(shù)據(jù)包處理模塊處理后再進(jìn)行正常數(shù)據(jù)包轉(zhuǎn)發(fā)���;該模塊也檢查數(shù)據(jù)包目的地址,如果目的地址是特殊保留前綴地址�����,則交給虛假數(shù)據(jù)包處理模塊��,進(jìn)行必要的源地址替換后���,再進(jìn)行正常的數(shù)據(jù)包轉(zhuǎn)發(fā)�����。所述轉(zhuǎn)發(fā)包摘要數(shù)據(jù)庫(kù)主要用來(lái)存儲(chǔ)疑似虛假源地址IP數(shù)據(jù)包的包摘要和真實(shí)發(fā)送主機(jī)的地址對(duì)應(yīng)關(guān)系���,為虛假數(shù)據(jù)包處理模塊提供查詢服務(wù)��。如果數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊判斷數(shù)據(jù)包是疑似虛假源地址數(shù)據(jù)包���,由虛假數(shù)據(jù)包處理模塊負(fù)責(zé)計(jì)算包哈希摘要���,并與特殊地址前綴合成新的可追溯源地址���,替換原數(shù)據(jù)包源地址后進(jìn)行正常數(shù)據(jù)包轉(zhuǎn)發(fā),同時(shí)存儲(chǔ)包摘要與主機(jī)源地址的對(duì)應(yīng)關(guān)系�;如果數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊識(shí)別出該數(shù)據(jù)包的目的地址是特殊源地址數(shù)據(jù)包,由虛假數(shù)據(jù)包處理模塊負(fù)責(zé)查找轉(zhuǎn)發(fā)包摘要數(shù)據(jù)庫(kù)和主機(jī)地址信息數(shù)據(jù)庫(kù)���,獲得數(shù)據(jù)包真實(shí)的目的地址�����,并用該地址填充目的地址后�����,進(jìn)行正常的數(shù)據(jù)包轉(zhuǎn)發(fā)����。所述虛假源地址IP數(shù)據(jù)包查詢模塊負(fù)責(zé)給定數(shù)據(jù)包摘要的虛假數(shù)據(jù)包來(lái)源主機(jī)的查詢功能。本發(fā)明的另一個(gè)方面涉及一種利用上述裝置進(jìn)行虛假源地址IP數(shù)據(jù)包追溯的方法�����,所述方法包括以下步驟首先在接入網(wǎng)邊界路由器預(yù)先生成終端設(shè)備標(biāo)識(shí)信息的對(duì)應(yīng)關(guān)系��,當(dāng)路由器轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)�����,對(duì)比數(shù)據(jù)包源地址和轉(zhuǎn)發(fā)設(shè)備端口號(hào)的對(duì)應(yīng)關(guān)系是否與預(yù)先存儲(chǔ)的對(duì)應(yīng)關(guān)系一致����,如果一致,說(shuō)明該數(shù)據(jù)包的源地址是真實(shí)的�����,路由器正常轉(zhuǎn)發(fā)�;如果不一致,說(shuō)明該數(shù)據(jù)包有可能是采用虛假地址的網(wǎng)絡(luò)攻擊包,此時(shí)路由器采集數(shù)據(jù)包的特征���,編碼為IPv6源地址的后64位中�����,與預(yù)先保留的特殊IPv6地址64位前綴合成新的可追溯的IPv6源地址�,取代原有IPv6源地址�,進(jìn)行數(shù)據(jù)包的正常轉(zhuǎn)發(fā),同時(shí)路由器記錄該數(shù)據(jù)包特征與真實(shí)數(shù)據(jù)來(lái)源的對(duì)應(yīng)關(guān)系和轉(zhuǎn)發(fā)時(shí)間等信息����,以供該數(shù)據(jù)包的追溯���。上述可追溯的IPv6源地址是網(wǎng)絡(luò)在進(jìn)行IPv6地址規(guī)劃時(shí)����,預(yù)先在所擁有的在鏈地址中分離出的用于IPv6數(shù)據(jù)包追溯的特定IPv6地址�,這樣的地址由4部分組成前3 比特標(biāo)識(shí)可路由單播地址空間,固定為001 �����;接下來(lái)的45位是按照運(yùn)營(yíng)商及其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分配的全球可路由地址前綴;然后是16位魔數(shù)(Magic Number)地址���,用于標(biāo)識(shí)該段地址不是普通的子網(wǎng)標(biāo)識(shí)�,而是用于IPv6數(shù)據(jù)包追溯的特殊地址空間�,可規(guī)定為十六進(jìn)制的 F7F7 ;最后64位是該IPv6數(shù)據(jù)包的哈希值索引��,用于地址追溯��。所述最后64位是對(duì)表2中選定的IPv6數(shù)據(jù)包包頭字段進(jìn)行哈希運(yùn)算�����,得到160 位哈希值后��,截取特定64位而成����。進(jìn)一步地,本發(fā)明所述的虛假源地址IP數(shù)據(jù)包追溯的方法還包括路由器周期性的對(duì)主機(jī)地址標(biāo)識(shí)對(duì)應(yīng)關(guān)系進(jìn)行搜集工作�,所述搜集可利用SNMP協(xié)議、ARP協(xié)議進(jìn)行�����。必要時(shí),路由器可以利用一些探測(cè)數(shù)據(jù)包�,如ICMP ECHO數(shù)據(jù)包或TCP連接數(shù)據(jù)包進(jìn)行主機(jī)信息的探測(cè)和信息更新工作。本發(fā)明所述的裝置和方法在接入網(wǎng)路由器的IPv6地址分配空間內(nèi)預(yù)留特殊地址前綴作為攜帶疑似虛假源地址的IP數(shù)據(jù)包追溯空間�����,路由器識(shí)別這個(gè)特殊的IPv6地址前綴���,進(jìn)行虛假源地址IP數(shù)據(jù)包的追溯操作����。系統(tǒng)轉(zhuǎn)義了的源IPv6地址后64位地址��,不再用來(lái)標(biāo)識(shí)網(wǎng)絡(luò)接口地址����,而是用來(lái)存儲(chǔ)虛假數(shù)據(jù)包的追溯特征�����,從而避免引入新的擴(kuò)展頭�, 減輕了網(wǎng)絡(luò)負(fù)擔(dān)。同時(shí)本發(fā)明接入網(wǎng)路由器只記錄虛假數(shù)據(jù)包的摘要和數(shù)據(jù)真實(shí)來(lái)源����,相對(duì)于以往的基于日志的數(shù)據(jù)包追溯方法�����,大大節(jié)約了存儲(chǔ)空間�。邊界路由器(通常是第一跳路由器)并不對(duì)可能的虛假IP地址數(shù)據(jù)包做過(guò)濾處理�,只是增加了記錄與查詢功能,忠實(shí)了網(wǎng)絡(luò)傳輸功能的本質(zhì)��,避免了網(wǎng)絡(luò)在數(shù)據(jù)傳輸過(guò)程中對(duì)用戶數(shù)據(jù)的破壞����。
圖1為IPv6虛假源地址IP數(shù)據(jù)包追溯系統(tǒng)結(jié)構(gòu)圖。圖2為IPv6主機(jī)地址標(biāo)識(shí)對(duì)應(yīng)信息搜集圖����。圖3為可追溯IPv6地址空間標(biāo)識(shí)結(jié)構(gòu)圖。
具體實(shí)施例方式為了使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白�����,以下結(jié)合附圖及實(shí)施例�����,對(duì)
6本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解�����,在此描述的特定實(shí)施方式僅通過(guò)舉例的方式來(lái)解釋本發(fā)明�,在閱讀了本發(fā)明的上述內(nèi)容之后,本領(lǐng)域技術(shù)人員可對(duì)本發(fā)明做出各種不背離本發(fā)明的精神和范圍的修改�����,這些等價(jià)形式同樣落于本發(fā)明所要求保護(hù)的范圍�。(一 )系統(tǒng)架構(gòu)本發(fā)明適用于純IPv6網(wǎng)絡(luò)中IPv6數(shù)據(jù)包的追溯任務(wù)。本發(fā)明虛假源地址IP數(shù)據(jù)包追溯系統(tǒng)建立在接入網(wǎng)邊界路由器上(通常為第一跳路由器)�����,系統(tǒng)結(jié)構(gòu)如圖1所示��。一般路由器由路由子系統(tǒng)和轉(zhuǎn)發(fā)子系統(tǒng)兩部分組成�。路由子系統(tǒng)借助交換路由協(xié)議消息����,更新路由轉(zhuǎn)發(fā)表���,負(fù)責(zé)構(gòu)建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),從而找到最佳的轉(zhuǎn)發(fā)路徑���。轉(zhuǎn)發(fā)子系統(tǒng)負(fù)責(zé)從網(wǎng)絡(luò)接口接受IP數(shù)據(jù)包��,進(jìn)行必要處理后���,查詢路由表將該數(shù)據(jù)包在合適的網(wǎng)絡(luò)接口上轉(zhuǎn)發(fā)出去。本發(fā)明通過(guò)擴(kuò)展接入網(wǎng)第一跳路由器的轉(zhuǎn)發(fā)子系統(tǒng)實(shí)現(xiàn)IPv6數(shù)據(jù)包的追溯功能��。在普通的路由器轉(zhuǎn)發(fā)子系統(tǒng)中�,增加了地址信息搜集模塊、主機(jī)地址信息數(shù)據(jù)庫(kù)�����、 轉(zhuǎn)發(fā)包摘要數(shù)據(jù)庫(kù)��、數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊�、虛假數(shù)據(jù)包處理模塊以及虛假源地址IP數(shù)據(jù)包查詢模塊。系統(tǒng)各處理模塊詳細(xì)說(shuō)明如下1)地址信息搜集模塊負(fù)責(zé)借助SNMP協(xié)議��、DHCP查詢協(xié)議���、ARP協(xié)議等手段����,從交換機(jī)、DHCP服務(wù)器�����、網(wǎng)絡(luò)流量中搜集主機(jī)IPv6地址�、MAC地址和交換機(jī)端口號(hào)、VLAN標(biāo)識(shí)等主機(jī)信息的對(duì)應(yīng)關(guān)系2)主機(jī)地址信息數(shù)據(jù)庫(kù)負(fù)責(zé)存儲(chǔ)地址信息搜集模塊得到的地址對(duì)應(yīng)數(shù)據(jù)�,為數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊等其他模塊提供主機(jī)地址信息對(duì)應(yīng)關(guān)系的查詢服務(wù)。3)數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊路由器從網(wǎng)絡(luò)接口接收數(shù)據(jù)包后��,該模塊負(fù)責(zé)檢查數(shù)據(jù)包源地址是否來(lái)源于已經(jīng)注冊(cè)的合法的對(duì)應(yīng)網(wǎng)絡(luò)端口���,與MAC地址是否匹配����,如果匹配則正常轉(zhuǎn)發(fā)��;如果不匹配�����,則交給虛假數(shù)據(jù)包處理模塊處理后再進(jìn)行正常數(shù)據(jù)包轉(zhuǎn)發(fā)��。該模塊也檢查數(shù)據(jù)包目的地址����,如果目的地址是特殊保留前綴地址,則交給虛假數(shù)據(jù)包處理模塊����, 進(jìn)行必要的源地址替換后,再進(jìn)行正常的數(shù)據(jù)包轉(zhuǎn)發(fā)����。4)轉(zhuǎn)發(fā)包摘要數(shù)據(jù)庫(kù)主要用來(lái)存儲(chǔ)疑似虛假源地址IP數(shù)據(jù)包的包摘要和真實(shí)發(fā)送主機(jī)的地址對(duì)應(yīng)關(guān)系,為虛假數(shù)據(jù)包處理模塊提供查詢服務(wù)����。5)虛假數(shù)據(jù)包處理模塊如果數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊判斷該數(shù)據(jù)包是疑似虛假源地址數(shù)據(jù)包,該處理模塊負(fù)責(zé)計(jì)算包哈希摘要�����,并與特殊地址前綴合成新的可追溯IPv6源地址�����,替換原數(shù)據(jù)包源地址后進(jìn)行正常數(shù)據(jù)包轉(zhuǎn)發(fā),同時(shí)存儲(chǔ)包摘要與主機(jī)源地址的對(duì)應(yīng)關(guān)系�����;如果數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊識(shí)別出該數(shù)據(jù)包的目的地址是特殊源地址數(shù)據(jù)包�����,該模塊負(fù)責(zé)查找轉(zhuǎn)發(fā)包摘要數(shù)據(jù)庫(kù)和主機(jī)地址信息數(shù)據(jù)庫(kù)����,獲得數(shù)據(jù)包真實(shí)的目的地址,并用該地址填充目的地址后�,進(jìn)行正常的數(shù)據(jù)包轉(zhuǎn)發(fā)。6)虛假源地址IP數(shù)據(jù)包查詢模塊該模塊負(fù)責(zé)給定數(shù)據(jù)包摘要的虛假數(shù)據(jù)包來(lái)源主機(jī)的查詢功能��。( 二)系統(tǒng)詳細(xì)工作步驟(1)主機(jī)地址標(biāo)識(shí)對(duì)應(yīng)關(guān)系(Mapping)數(shù)據(jù)的搜集與存儲(chǔ)和更新維護(hù)過(guò)程A.主機(jī)地址標(biāo)識(shí)對(duì)應(yīng)關(guān)系的搜集方法為了能夠?qū)Υ┰絀Pv6網(wǎng)絡(luò)的IPv6數(shù)據(jù)包進(jìn)行追溯�,本發(fā)明首先需要在第一跳路由器或三層交換機(jī)上進(jìn)行必要的設(shè)置,借助DHCP snooping技術(shù)����、ARP協(xié)議分析、SNMP協(xié)議等技術(shù)���,獲取主機(jī)IPv6地址����、MAC地址、所經(jīng)過(guò)的轉(zhuǎn)發(fā)交換機(jī)的端口號(hào)��、VLAN號(hào)等信息��,組成主機(jī)相關(guān)信息的綁定信息表��。IPv6主機(jī)地址標(biāo)識(shí)對(duì)應(yīng)信息搜集圖如圖2所示����,這些信息整理后存入數(shù)據(jù)庫(kù)�����。搜集到的主機(jī)地址對(duì)應(yīng)關(guān)系信息表存儲(chǔ)為表1結(jié)構(gòu)表1主機(jī)相關(guān)信息綁定表
權(quán)利要求
1.一種虛假源地址IP數(shù)據(jù)包追溯裝置����,其特征在于所述裝置包括由路由子系統(tǒng)和轉(zhuǎn)發(fā)子系統(tǒng)兩部分組成的路由器,其中所述轉(zhuǎn)發(fā)子系統(tǒng)中�,增加了地址信息搜集模塊、主機(jī)地址信息數(shù)據(jù)庫(kù)�����、轉(zhuǎn)發(fā)包摘要數(shù)據(jù)庫(kù)、數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊��、虛假數(shù)據(jù)包處理模塊和虛假源地址IP數(shù)據(jù)包查詢模塊���。
2.根據(jù)權(quán)利要求1所述的裝置����,其特征在于所述地址信息搜集模塊負(fù)責(zé)從交換機(jī)�、 DHCP服務(wù)器、網(wǎng)絡(luò)流量中搜集主機(jī)地址信息的對(duì)應(yīng)關(guān)系����。
3.根據(jù)權(quán)利要求1所述的裝置,其特征在于所述主機(jī)地址信息數(shù)據(jù)庫(kù)負(fù)責(zé)存儲(chǔ)地址信息搜集模塊得到的地址對(duì)應(yīng)數(shù)據(jù)�����,為數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊等其他模塊提供主機(jī)地址信息對(duì)應(yīng)關(guān)系的查詢服務(wù)�����。
4.根據(jù)權(quán)利要求1所述的裝置�,其特征在于當(dāng)路由器從網(wǎng)絡(luò)接口接收數(shù)據(jù)包后�����,由數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊負(fù)責(zé)檢查數(shù)據(jù)包源地址是否來(lái)源于已經(jīng)注冊(cè)的合法的對(duì)應(yīng)網(wǎng)絡(luò)端口�,與 MAC地址是否匹配�,如果匹配則正常轉(zhuǎn)發(fā),如果不匹配��,則交給虛假數(shù)據(jù)包處理模塊處理后再進(jìn)行正常數(shù)據(jù)包轉(zhuǎn)發(fā)�;該模塊也檢查數(shù)據(jù)包目的地址���,如果目的地址是特殊保留前綴地址�,則交給虛假數(shù)據(jù)包處理模塊��,進(jìn)行必要的源地址替換后�,再進(jìn)行正常的數(shù)據(jù)包轉(zhuǎn)發(fā)。
5.根據(jù)權(quán)利要求1所述的裝置�,其特征在于所述轉(zhuǎn)發(fā)包摘要數(shù)據(jù)庫(kù)主要用來(lái)存儲(chǔ)疑似虛假源地址IP數(shù)據(jù)包的包摘要和真實(shí)發(fā)送主機(jī)的地址對(duì)應(yīng)關(guān)系,對(duì)虛假數(shù)據(jù)包處理模塊提供查詢服務(wù)����。
6.根據(jù)權(quán)利要求1所述的裝置,其特征在于如果數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊判斷數(shù)據(jù)包是疑似虛假源地址數(shù)據(jù)包��,由虛假數(shù)據(jù)包處理模塊負(fù)責(zé)計(jì)算包哈希摘要,并與特殊地址前綴合成新的可追溯源地址����,替換原數(shù)據(jù)包源地址后進(jìn)行正常數(shù)據(jù)包轉(zhuǎn)發(fā),同時(shí)存儲(chǔ)包摘要與主機(jī)源地址的對(duì)應(yīng)關(guān)系��;如果數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊識(shí)別出該數(shù)據(jù)包的目的地址是特殊源地址數(shù)據(jù)包�����,由虛假數(shù)據(jù)包處理模塊負(fù)責(zé)查找轉(zhuǎn)發(fā)包摘要數(shù)據(jù)庫(kù)和主機(jī)地址信息數(shù)據(jù)庫(kù)�,獲得數(shù)據(jù)包真實(shí)的目的地址,并用該地址填充目的地址后�����,進(jìn)行正常的數(shù)據(jù)包轉(zhuǎn)發(fā)��。
7.根據(jù)權(quán)利要求1所述的裝置��,其特征在于所述虛假源地址IP數(shù)據(jù)包查詢模塊負(fù)責(zé)給定數(shù)據(jù)包摘要的虛假數(shù)據(jù)包來(lái)源主機(jī)的查詢功能��。
8.一種利用權(quán)利要求1所述的裝置進(jìn)行虛假源地址IP數(shù)據(jù)包追溯的方法����,其特征在于所述方法包括以下步驟首先在接入網(wǎng)邊界路由器預(yù)先生成主機(jī)標(biāo)識(shí)信息的對(duì)應(yīng)關(guān)系��, 當(dāng)路由器轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)��,對(duì)比數(shù)據(jù)包源地址和轉(zhuǎn)發(fā)設(shè)備端口號(hào)的對(duì)應(yīng)關(guān)系是否與預(yù)先存儲(chǔ)的對(duì)應(yīng)關(guān)系一致���,如果一致,說(shuō)明該數(shù)據(jù)包的源地址是真實(shí)的�����,路由器正常轉(zhuǎn)發(fā)�����;如果不一致�����,說(shuō)明該數(shù)據(jù)包有可能是采用虛假地址的網(wǎng)絡(luò)攻擊包����,此時(shí)路由器采集數(shù)據(jù)包的特征��,編碼為IPv6源地址的后64位中����,與預(yù)先保留的特殊IPv6地址64位前綴合成新的可追溯的 IPv6源地址����,取代原有IPv6源地址����,進(jìn)行數(shù)據(jù)包的正常轉(zhuǎn)發(fā),同時(shí)路由器記錄該數(shù)據(jù)包特征與真實(shí)數(shù)據(jù)來(lái)源的對(duì)應(yīng)關(guān)系和轉(zhuǎn)發(fā)時(shí)間等信息��,以供該數(shù)據(jù)包的追溯��。
9.根據(jù)權(quán)利要求8所述的方法���,其特征在于上述可追溯的IPv6源地址是網(wǎng)絡(luò)在進(jìn)行IPv6地址規(guī)劃時(shí)���,預(yù)先在所擁有的在鏈地址中分離出的用于IPv6數(shù)據(jù)包追溯的特定的 IPv6地址空間,這樣的地址空間由4部分組成前3比特標(biāo)識(shí)可路由單播地址空間�����,固定為比特位001 ����;接下來(lái)的45位是按照運(yùn)營(yíng)商及其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分配的全球可路由地址前綴���; 然后是16位魔數(shù)(Magic Number)地址,用于標(biāo)識(shí)該段地址不是子網(wǎng)標(biāo)識(shí)��,而是用于IPv6 數(shù)據(jù)包追溯的特殊地址空間����,可規(guī)定為十六進(jìn)制的F7F7 ;最后64位是該IPv6數(shù)據(jù)包的哈希值索引���,用于地址追溯��。
10.根據(jù)權(quán)利要求9所述的方法���,其特征在于可追溯的IPv6源地址空間最后M位是對(duì)選定的IPv6數(shù)據(jù)包頭字段進(jìn)行哈希運(yùn)算,得到160位哈希值后�����,截取特定64位而成����。
全文摘要
本發(fā)明涉及一種虛假源地址IP數(shù)據(jù)包追溯裝置�,用于在IPv6網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)包真實(shí)來(lái)源的查找和攻擊追溯工作�。所述裝置擴(kuò)展了常規(guī)路由器轉(zhuǎn)發(fā)子系統(tǒng)�����,增加了地址信息搜集模塊�����、主機(jī)地址信息數(shù)據(jù)庫(kù)����、轉(zhuǎn)發(fā)包摘要數(shù)據(jù)庫(kù)、數(shù)據(jù)包轉(zhuǎn)發(fā)判斷模塊���、虛假數(shù)據(jù)包處理模塊和虛假源地址IP數(shù)據(jù)包查詢模塊�����。本發(fā)明進(jìn)一步提供利用上述裝置進(jìn)行虛假源地址IP數(shù)據(jù)包追溯的方法��,所述方法當(dāng)接入網(wǎng)路由器檢測(cè)到攜帶疑似虛假源地址的IP數(shù)據(jù)包時(shí)采集數(shù)據(jù)包的特征�,編碼為源地址的后64位中���,與預(yù)先保留的特殊IPv6地址64位前綴合成新的可追溯的IPv6源地址�����,取代原有IPv6源地址�����,進(jìn)行數(shù)據(jù)包的正常轉(zhuǎn)發(fā)���。同時(shí)����,路由器記錄該數(shù)據(jù)包特征與真實(shí)數(shù)據(jù)來(lái)源的對(duì)應(yīng)關(guān)系和轉(zhuǎn)發(fā)時(shí)間等信息���,供該數(shù)據(jù)包的追溯���。
文檔編號(hào)H04L29/06GK102447694SQ20111034262
公開(kāi)日2012年5月9日 申請(qǐng)日期2011年11月3日 優(yōu)先權(quán)日2011年11月3日
發(fā)明者繆品章, 翁鯤鵬 申請(qǐng)人:富春通信股份有限公司