亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種IPv6網(wǎng)絡(luò)防止PMTU攻擊的方法和裝置的制作方法

文檔序號:7888991閱讀:270來源:國知局
專利名稱:一種IPv6網(wǎng)絡(luò)防止PMTU攻擊的方法和裝置的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及計算機(jī)數(shù)據(jù)通信領(lǐng)域,尤其涉及一種IPv6網(wǎng)絡(luò)防止PMTU攻擊的方法和裝置。
背景技術(shù)
由于IPv6路由器不進(jìn)行轉(zhuǎn)發(fā)數(shù)據(jù)包的分片,改用路徑最大傳輸單元 (PathMaximum Transmission Unit,PMTU)發(fā)現(xiàn)(Discovery)機(jī)制以互聯(lián)網(wǎng)控制消息協(xié)議第六版(ICMPv6)消息通知數(shù)據(jù)包源節(jié)點(diǎn)重新合理分片。但目前ICMPv6協(xié)議并沒有對中間路由器發(fā)出的ICMP包過大消息進(jìn)行可靠性驗(yàn)證,攻擊者可以偽造過小的PMTU,向源節(jié)點(diǎn)發(fā)送 PMTU消息,使節(jié)點(diǎn)以后向該目的地址總是發(fā)送過小報文,導(dǎo)致網(wǎng)絡(luò)性能下降。攻擊者也可以偽造過大的PMTU,發(fā)送給發(fā)包節(jié)點(diǎn),發(fā)包節(jié)點(diǎn)調(diào)整MTU值,發(fā)送過大的報文,導(dǎo)致中間路由器丟棄報文,造成報文的丟失,這實(shí)際上是一種拒絕服務(wù)(Denial-of-Service)攻擊。因此,保證ICMPv6報文過大消息的合法,防止惡意用戶使用ICMPv6報文過大消息進(jìn)行攻擊, 是確保IPv6網(wǎng)絡(luò)正常運(yùn)行的一個重要因素。

發(fā)明內(nèi)容
本發(fā)明的目的在于提出一種IPv6網(wǎng)絡(luò)防止PMTU攻擊的方法和裝置,保證ICMPv6 報文過大消息的合法,防止惡意攻擊者利用ICMPv6報文過大消息,實(shí)施拒絕服務(wù)攻擊。為達(dá)此目的,本發(fā)明采用以下技術(shù)方案一種IPv6網(wǎng)絡(luò)防止PMTU攻擊的方法,包括以下步驟A、交換機(jī)開啟防止IPv6網(wǎng)絡(luò)PMTU攻擊的功能,為交換機(jī)配置信任端口 ;B、接收ICMPv6報文過大消息報文;C、判斷ICMPv6報文過大消息報文的接收端口是否屬于配置的信任端口,若屬于, 則轉(zhuǎn)發(fā)至IPv6主機(jī),若不屬于,則丟棄該報文;D、所述IPv6主機(jī)收到轉(zhuǎn)發(fā)的ICMPv6報文過大消息報文,調(diào)整發(fā)往目標(biāo)設(shè)備的最大傳輸單元(MTU)值。步驟A中,配置的信任端口為交換機(jī)上連接IPv6路由器的二層端口和/或匯聚端□。步驟C中,當(dāng)ICMPv6報文過大消息報文的接收端口屬于信任端口時,查詢MAC地址表,從連接IPv6主機(jī)的端口將ICMPv6報文過大消息報文轉(zhuǎn)發(fā)出去。包括接收模塊、端口配置模塊、處理模塊和轉(zhuǎn)發(fā)模塊,其中處理模塊分別與接收模塊、端口配置模塊和轉(zhuǎn)發(fā)模塊連接;所述接收模塊,用于接收ICMPv6報文過大消息報文;所述端口配置模塊,用于為交換機(jī)配置信任端口 ;所述處理模塊,用于讀取所述ICMPv6報文過大消息報文的接收端口信息,判斷 ICMPv6報文過大消息報文的接收端口是否屬于配置的信任端口,若屬于,則將所述ICMPv6報文過大消息報文發(fā)送給轉(zhuǎn)發(fā)模塊;若不屬于,則丟棄所述ICMPv6報文過大消息報文;所述轉(zhuǎn)發(fā)模塊,用于將處理模塊發(fā)來的ICMPv6報文過大消息報文轉(zhuǎn)發(fā)至所述 ICMPv6報文過大消息報文的目的主機(jī)。所述端口配置模塊為交換機(jī)配置的信任端口,為交換機(jī)上連接IPv6路由器的二層端口和/或匯聚端口。所述處理模塊判斷ICMPv6報文過大消息報文的接收端口屬于信任端口時,轉(zhuǎn)發(fā)模塊查詢MAC地址表,從連接IPv6主機(jī)的端口將ICMPv6報文過大消息報文轉(zhuǎn)發(fā)出去。采用本發(fā)明的技術(shù)方案,保證了 ICMPv6報文過大消息的安全使用,防止惡意 ICMPv6報文過大消息的轉(zhuǎn)發(fā),確保網(wǎng)絡(luò)的正常工作。


圖I是本發(fā)明具體實(shí)施方式
提供的IPv6網(wǎng)絡(luò)防止PMTU攻擊的方法流程示意圖。圖2是本發(fā)明具體實(shí)施方式
提供的IPv6網(wǎng)絡(luò)防止PMTU攻擊方法中的網(wǎng)絡(luò)設(shè)備連接示意圖。圖3是本發(fā)明具體實(shí)施方式
提供的IPv6網(wǎng)絡(luò)防止PMTU攻擊的裝置結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面結(jié)合附圖并通過具體實(shí)施方式
來進(jìn)一步說明本發(fā)明的技術(shù)方案。圖I是本發(fā)明具體實(shí)施方式
提供的IPv6網(wǎng)絡(luò)防止PMTU攻擊的方法流程示意圖。 如圖I所示,該方法包括以下步驟步驟SlOl,交換機(jī)開啟防止IPv6網(wǎng)絡(luò)PMTU攻擊的功能,為交換機(jī)配置信任端口。交換機(jī)開啟防止IPv6網(wǎng)絡(luò)PMTU攻擊的功能后,將ICMPv6報文過大消息報文重定向至CPU的規(guī)則下發(fā)至交換芯片,使交換芯片收到ICMPV6報文過大消息報文時,將報文重定向至交換機(jī)的CPU,由CPU進(jìn)行軟件的解析和轉(zhuǎn)發(fā)。ICMPv6報文過大消息報文的特征為以太首部第17,18字節(jié)的以太類型為 0x86dd ;ipv6首部第6字節(jié)的nexthdr為58 ;ipv6首部第41字節(jié)的icmpv6類型為2。所述為交換機(jī)配置的信任端口為交換機(jī)上連接IPv6路由器的二層端口和/或匯
聚端口。通常交換機(jī)上用來連接路由器的端口數(shù)量要少于用來連接主機(jī)節(jié)點(diǎn)的端口數(shù)量, 而安全的ICMPv6報文過大消息報文來自路由器,非安全的ICMPv6報文過大消息報文往往來自惡意主機(jī)節(jié)點(diǎn)。因此在為交換機(jī)配置所述信任端口時,通常將交換機(jī)上連接IPv6路由器的二層端口和/或匯聚端口配置為信任端口,其他未進(jìn)行配置的端口則均缺省為非信任端口。這樣,需要進(jìn)行配置的端口數(shù)量較少,方便用戶操作和更改端口配置。步驟S102,接收ICMPv6報文過大消息報文。開啟防止IPv6網(wǎng)絡(luò)PMTU攻擊的功能后,由于ICMPv6報文過大消息報文重定向至 CPU的規(guī)則已生效,ICMPV6報文過大消息報文到達(dá)交換機(jī)端口后,被交換芯片送到交換機(jī) CPU處理。步驟S103,判斷ICMPv6報文過大消息報文的接收端口是否屬于配置的信任端口, 若屬于,則轉(zhuǎn)發(fā)至IPv6主機(jī),若不屬于,則丟棄該報文。
ICMPv6報文過大消息報文重定向至交換機(jī)的CPU,由CPU進(jìn)行軟件的解析和轉(zhuǎn)發(fā)。 運(yùn)行在CPU的軟件里對每一個報文由一個軟件結(jié)構(gòu)來指向,里面包含表示接收端口的字段。交換芯片將報文送到CPU后,收包驅(qū)動從芯片的寄存器里讀出端口號,寫到該報文的軟件結(jié)構(gòu)的端口字段里。運(yùn)行在CPU的軟件讀取該字段中的端口信息,與步驟SlOl中配置的信任端口信息進(jìn)行匹配;如果屬于所述信任端口,則將該端口收到的ICMPV6報文過大消息報文轉(zhuǎn)發(fā)至該報文的目標(biāo)IPv6主機(jī);如果不屬于所述信任端口,則直接丟棄該ICMPv6報文過大消息報文。這樣便使惡意主機(jī)節(jié)點(diǎn)發(fā)送的非法ICMPv6報文過大消息報文,無法到達(dá)其目標(biāo)IPv6主機(jī),保證了 ICMPv6報文過大消息的安全使用。步驟S104,所述IPv6主機(jī)收到轉(zhuǎn)發(fā)的ICMPv6報文過大消息報文,根據(jù)所述 ICMPv6報文過大消息調(diào)整相應(yīng)的MTU值,再次發(fā)包時,報文將被路由器順利的轉(zhuǎn)發(fā)至目的節(jié)點(diǎn)。如圖2所示,采用了本發(fā)明具體實(shí)施方式
提供的IPv6網(wǎng)絡(luò)防止PMTU攻擊的方法, 作為源節(jié)點(diǎn)的IPv6主機(jī)以初始MTU值發(fā)送報文,報文經(jīng)過路由器轉(zhuǎn)發(fā)時,路由器發(fā)現(xiàn)報文大于發(fā)送接口的MTU值,路由器向源節(jié)點(diǎn)IPv6主機(jī)發(fā)送ICMPv6報文過大消息報文,報文到達(dá)交換機(jī)時,被重定向至交換機(jī)CPU處理,交換機(jī)判斷所述ICMPv6報文過大消息報文是從上聯(lián)路由器的端口收到,而此端口被設(shè)為信任口,則ICMPv6報文過大消息報文被安全的轉(zhuǎn)發(fā)至作為源節(jié)點(diǎn)的IPv6主機(jī),源節(jié)點(diǎn)的IPv6主機(jī)根據(jù)ICMPv6報文過大消息調(diào)整相應(yīng)的 MTU值,源節(jié)點(diǎn)再次發(fā)包時,發(fā)送的報文將被路由器順利的轉(zhuǎn)發(fā)至目的節(jié)點(diǎn)。而惡意主機(jī)節(jié)點(diǎn)偽造的ICMPv6報文過大消息報文發(fā)往源節(jié)點(diǎn)的IPv6主機(jī),報文到達(dá)交換機(jī)時,匹配ICMPv6報文過大消息報文重定向至交換機(jī)CPU的規(guī)則,被送至交換機(jī) CPU處理,經(jīng)交換機(jī)判斷接收端口為非信任端口,則該ICMPv6報文過大消息報文被丟棄,不會發(fā)往源節(jié)點(diǎn)IPv6主機(jī),保證了源節(jié)點(diǎn)不受惡意偽造的ICMPv6報文過大消息報文攻擊。圖3是本發(fā)明具體實(shí)施方式
提供的IPv6網(wǎng)絡(luò)防止PMTU攻擊的裝置結(jié)構(gòu)示意圖。 如圖3所示,所述裝置包括接收模塊301、端口配置模塊302、處理模塊303和轉(zhuǎn)發(fā)模塊304, 其中處理模塊分別與接收模塊、端口配置模塊和轉(zhuǎn)發(fā)模塊連接;所述接收模塊301,用于接收ICMPv6報文過大消息報文;所述端口配置模塊302,用于為交換機(jī)配置信任端口 ;所述處理模塊303,用于讀取所述ICMPv6報文過大消息報文的接收端口信息, 判斷ICMPv6報文過大消息報文的接收端口是否屬于配置的信任端口,若屬于,則將所述 ICMPv6報文過大消息報文發(fā)送給轉(zhuǎn)發(fā)模塊;若不屬于,則丟棄所述ICMPv6報文過大消息報文;所述轉(zhuǎn)發(fā)模塊304,用于將處理模塊發(fā)來的ICMPv6報文過大消息報文轉(zhuǎn)發(fā)至所述 ICMPv6報文過大消息報文的目的主機(jī)。當(dāng)交換機(jī)開啟防止IPv6網(wǎng)絡(luò)PMTU攻擊的功能后,將ICMPv6報文過大消息報文重定向至CPU的規(guī)則下發(fā)至所述交換芯片,所述交換芯片收到ICMPV6報文過大消息報文時, 將該報文重定向至CPU,CPU進(jìn)行軟件的解析和轉(zhuǎn)發(fā)。ICMPv6報文過大消息報文重定向至交換機(jī)的CPU,由運(yùn)行在CPU的軟件系統(tǒng)進(jìn)行解析和轉(zhuǎn)發(fā)。運(yùn)行在CPU的軟件里對每一個報文由一個軟件結(jié)構(gòu)來指向,里面包含表示接收端口的字段。交換芯片將報文送到CPU后,收包驅(qū)動從芯片的寄存器里讀出端口號,寫到該報文的軟件結(jié)構(gòu)的端口字段里。運(yùn)行在CPU的軟件系統(tǒng)中的接收模塊接收所述軟件結(jié)構(gòu)的ICMPV6報文過大消息報文,將其發(fā)送到處理模塊。所述處理模塊讀取軟件結(jié)構(gòu)中端口字段的端口信息,與端口配置模塊配置的信任端口進(jìn)行匹配;如果屬于所述信任端口,則將所述ICMPv6報文過大消息報文發(fā)送到轉(zhuǎn)發(fā)模塊,由轉(zhuǎn)發(fā)模塊將ICMPv6報文過大消息報文轉(zhuǎn)發(fā)到目的主機(jī);如果不屬于所述信任端口,則直接丟棄該ICMPv6報文過大消息報文。這樣便使惡意主機(jī)節(jié)點(diǎn)發(fā)送的非法ICMPv6報文過大消息報文,無法到達(dá)其目的IPv6主機(jī),保證了 ICMPv6報文過大消息的安全使用。所述端口配置模塊為交換機(jī)配置的信任端口,為交換機(jī)上連接IPv6路由器的二層端口和/或匯聚端口。在為交換機(jī)配置所述信任端口時,通常將交換機(jī)上連接IPv6路由器的二層端口和/或匯聚端口配置為信任端口,其他未進(jìn)行配置的端口則均缺省為非信任端口。這樣,需要進(jìn)行配置的端口數(shù)量較少,方便用戶操作和更改端口配置。當(dāng)處理模塊判斷ICMPv6報文過大消息報文的接收端口屬于所述端口模塊配置的信任端口時,轉(zhuǎn)發(fā)模塊查詢MAC地址表,從連接IPv6主機(jī)的端口將ICMPv6報文過大消息報文轉(zhuǎn)發(fā)出去。連接到所述交換機(jī)的IPv6主機(jī)收到轉(zhuǎn)發(fā)的ICMPv6報文過大消息報文時,根據(jù) ICMPv6報文過大消息調(diào)整相應(yīng)的MTU值,再次發(fā)包時,發(fā)送的報文將能夠被路由器順利的轉(zhuǎn)發(fā)至目的節(jié)點(diǎn)。采用以上本發(fā)明具體實(shí)施方式
的技術(shù)方案,保證了 ICMPv6報文過大消息的安全使用,防止惡意ICMPv6報文過大消息的轉(zhuǎn)發(fā),確保網(wǎng)絡(luò)的正常工作。以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此, 任何熟悉該技術(shù)的人在本發(fā)明所揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種IPv6網(wǎng)絡(luò)防止路徑最大傳輸單元(PMTU)攻擊的方法,其特征在于,包括以下步驟A、交換機(jī)開啟防止IPv6網(wǎng)絡(luò)PMTU攻擊的功能,為交換機(jī)配置信任端口;B、接收互聯(lián)網(wǎng)控制消息協(xié)議第六版(ICMPv6)報文過大消息報文;C、判斷ICMPv6報文過大消息報文的接收端口是否屬于配置的信任端口,若屬于,則轉(zhuǎn)發(fā)至IPv6主機(jī),若不屬于,則丟棄該報文;D、所述IPv6主機(jī)收到轉(zhuǎn)發(fā)的ICMPv6報文過大消息報文,調(diào)整發(fā)往目的節(jié)點(diǎn)的最大傳輸單元(MTU)值。
2.根據(jù)權(quán)利要求I所述的IPv6網(wǎng)絡(luò)防止PMTU攻擊的方法,其特征在于,步驟A中,配置的信任端口為交換機(jī)上連接IPv6路由器的二層端口和/或匯聚端口。
3.根據(jù)權(quán)利要求I或2所述的IPv6網(wǎng)絡(luò)防止PMTU攻擊的方法,其特征在于,步驟C 中,當(dāng)ICMPv6報文過大消息報文的接收端口屬于信任端口時,查詢MAC地址表,從連接IPv6 主機(jī)的端口將ICMPv6報文過大消息報文轉(zhuǎn)發(fā)出去。
4.一種IPv6網(wǎng)絡(luò)防止PMTU攻擊的裝置,其特征在于,包括接收模塊、端口配置模塊、處理模塊和轉(zhuǎn)發(fā)模塊,其中處理模塊分別與接收模塊、端口配置模塊和轉(zhuǎn)發(fā)模塊連接;所述接收模塊,用于接收ICMPv6報文過大消息報文;所述端口配置模塊,用于為交換機(jī)配置信任端口 ;所述處理模塊,用于讀取所述ICMPv6報文過大消息報文的接收端口信息,判斷ICMPv6 報文過大消息報文的接收端口是否屬于配置的信任端口,若屬于,則將所述ICMPv6報文過大消息報文發(fā)送給轉(zhuǎn)發(fā)模塊;若不屬于,則丟棄所述ICMPv6報文過大消息報文;所述轉(zhuǎn)發(fā)模塊,用于將處理模塊發(fā)來的ICMPv6報文過大消息報文轉(zhuǎn)發(fā)至所述ICMPv6 報文過大消息報文的目的主機(jī)。
5.根據(jù)權(quán)利要求4所述的IPv6網(wǎng)絡(luò)防止PMTU攻擊的裝置,其特征在于,所述端口配置模塊為交換機(jī)配置的信任端口,為交換機(jī)上連接IPv6路由器的二層端口和/或匯聚端口。
6.根據(jù)權(quán)利要求4或5所述的IPv6網(wǎng)絡(luò)防止PMTU攻擊的裝置,其特征在于,所述處理模塊判斷ICMPv6報文過大消息報文的接收端口屬于信任端口時,轉(zhuǎn)發(fā)模塊查詢MAC地址表,從連接IPv6主機(jī)的端口將ICMPv6報文過大消息報文轉(zhuǎn)發(fā)出去。
全文摘要
本發(fā)明公開了一種IPv6網(wǎng)絡(luò)防止PMTU攻擊的方法和裝置,交換機(jī)開啟ICMPv6報文過大消息安全功能,為交換機(jī)配置信任端口;接收ICMPv6報文過大消息報文;判斷ICMPv6報文過大消息報文的接收端口是否屬于配置的信任端口,若屬于,則轉(zhuǎn)發(fā)至IPv6主機(jī),若不屬于,則丟棄該報文。采用本發(fā)明的技術(shù)方案,保證了ICMPv6報文過大消息的安全使用,防止惡意ICMPv6報文過大消息的轉(zhuǎn)發(fā),確保網(wǎng)絡(luò)的正常工作。
文檔編號H04L12/56GK102594810SQ201210027389
公開日2012年7月18日 申請日期2012年2月8日 優(yōu)先權(quán)日2012年2月8日
發(fā)明者梁小冰 申請人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1