技術領域

本發明涉及IPv6技術領域，尤其涉及防止IPv6數據報文攻擊的方法和裝置，還公開了一種IPv6數據報文轉發方法和一種交換路由設備。

背景技術

IETF(Internet?Engineering?Task?Force，互聯網工程任務組)在20世紀90年代提出了下一代互聯網協議-IPv6。相對于IPv4，IPv6技術最為本質的改進就是將原來的地址長度由32位增加到了128位，從而帶來了幾乎無限的地址空間；同時，用基于ICMPv6(Internet?Control?Messages?Protocolversion?6，網間控制報文協議第六版)的ND(Neighbor?Discovery，鄰居發現)協議替代了ARP(Address?Resolution?Protocol，地址解析協議)來實現重復地址檢測、地址解析、路由器發現等功能。

但隨著IPv6技術的推廣，在實際應用或者組網測試過程中一些問題也逐漸暴露出來，報文攻擊就是其中之一，包括協議報文欺騙如ICMPv6報文(特別是ND報文)欺騙，TCP?SYN?Flood(TCP同步泛洪)攻擊和DDoS(Distributed?Denial?of?Service，分布式拒絕服務)攻擊等。典型的報文攻擊可以分為協議報文攻擊和數據報文攻擊兩種。

目前較常用的一種數據報文攻擊方式是：

1、攻擊設備向交換路由設備快速發送大量需要轉發的攻擊數據報文，且該需要轉發的攻擊數據報文具有以下特點：

(1)攻擊數據報文的源地址任意，但目的地址不斷變化，且變化的目的地址與交換路由設備的某一接口IPv6地址屬于同一網段；

(2)攻擊數據報文所有目的地址對應的節點都不可達，甚至實際上根本不存在；

(3)攻擊數據報文的輸入速率較高：對于路由器來說往往是按照線速(WireSpeed)方式輸入流量，對于交換機來說，雖然能夠對上送CPU的報文加以限速，但由于限速一般只針對協議報文而非數據報文，因此輸入流量也難以控制；

2、交換路由設備對收到的攻擊數據報文進行處理，如圖1A所示，包括以下步驟：

首先，交換路由設備根據目的地址進行轉發表的查找，由于攻擊數據報文的目的地址往往與交換路由設備的某一接口IPv6地址屬于同一網段，因此能夠找到直連網段路由，則交換路由設備將下一跳地址填寫為目的地址，并根據下一跳地址查找ND表項；

然后，由于攻擊數據報文的目的節點不可達或者不存在，因此必然不存在對應的ND表項，這就需要ND協議發起地址解析；同樣由于目的節點不可達或者不存在，因此地址解析結果必然是失敗，交換路由設備還需要向源地址回應ICMPv6目的不可達報文。

需要指出，交換路由設備又分為交換設備(如交換機)和路由設備(如路由器)，對于這兩種設備而言，上述對收到的攻擊數據報文進行處理的過程稍有差別：

對于交換設備，是根據目的地址進行硬件轉發表的查找，對于找到直連路由的情況，交給鏈路層由軟件進行后續的轉發處理，如圖1B所示；

對于路由設備，則是直接由軟件進行轉發處理，即根據目的地址進行軟件轉發表的查找，并進行后續的轉發處理，如圖1C所示

由以上處理過程可以看出，無論對于交換設備還是對于路由設備，從鏈路層接收到攻擊數據報文開始直至結束，都是軟件轉發處理流程，由CPU執行處理；因此，大流量的攻擊數據報文攻擊必然導致CPU的高負荷甚至癱瘓。

為了抵御上述數據報文攻擊，現有技術的解決方案主要有兩種：

一是從規格上進行限制，具體原理為限制接口下ND表項的最大學習個數，以及限制設備同時發起解析的ND表項的個數。這種解決方案可以使報文處理流程在“發起地址解析”的步驟發生變化，也就是對于超過規格限制的報文不再進行后續的處理，如圖2A所示；

一是通過下發黑洞路由解決，具體原理為發起地址解析時，將所解析ND表項對應的主機路由下發給硬件轉發表，并將相應主機路由的策略設置為BLACKHOLE(黑洞)；如果地址解析成功，則刪除該主機黑洞路由。這種解決方案可以保證任何一個ND表項在解析成功之前，后續具有相同目的地址的數據報文都會由于匹配到黑洞表項而被直接丟棄，如圖2B所示，顯示了交換設備采用黑洞路由技術時的處理情況。

但是，現有技術的解決方案并不能從根本上解決數據報文攻擊所導致的CPU高負荷問題。