技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種防止仿冒IP地址進(jìn)行攻擊的方法和接入設(shè)備。

背景技術(shù)

IPv6鄰居發(fā)現(xiàn)(ND)協(xié)議使用五種類(lèi)型的網(wǎng)際控制報(bào)文協(xié)議(ICMPv6)報(bào)文：鄰居請(qǐng)求(NS)報(bào)文、鄰居通告(NA)報(bào)文、路由器請(qǐng)求(RS)報(bào)文、路由器通告報(bào)文(RA)和重定向(Redirect)報(bào)文。上述五種類(lèi)型的ICMPv6報(bào)文可以用于實(shí)現(xiàn)地址解析、驗(yàn)證鄰居是否可達(dá)、重復(fù)地址檢測(cè)、路由器發(fā)現(xiàn)、地址自動(dòng)配置和重定向等功能。

由于在ND協(xié)議中報(bào)文發(fā)送方式為明文發(fā)送，因此在同一鏈路(例如同一VLAN)中，可能存在偽造使用仿冒IP地址的報(bào)文從而進(jìn)行攻擊的問(wèn)題。為了解決這一問(wèn)題，可以采用接入設(shè)備偵聽(tīng)DHCPv6地址分配過(guò)程或者偵聽(tīng)ND無(wú)狀態(tài)地址配置過(guò)程，生成安全表項(xiàng)的方式，具體為：在各接入設(shè)備上，偵聽(tīng)用戶(hù)終端的DHCPv6地址分配過(guò)程或ND無(wú)狀態(tài)地址配置過(guò)程，根據(jù)偵聽(tīng)結(jié)果生成包含IP地址、鏈路地址和接入端口的綁定表項(xiàng)，根據(jù)該綁定表項(xiàng)進(jìn)行后續(xù)控制報(bào)文或數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)。即只有完全與綁定表項(xiàng)匹配的報(bào)文才能被轉(zhuǎn)發(fā)，不匹配的報(bào)文則丟棄。

然而上述過(guò)程中當(dāng)有多臺(tái)接入設(shè)備處于同一鏈路時(shí)，各個(gè)接入設(shè)備之間會(huì)進(jìn)行表項(xiàng)同步，使每個(gè)接入設(shè)備上都維護(hù)了該鏈路中針對(duì)所有用戶(hù)終端的綁定表項(xiàng)，這必定會(huì)占用大量的設(shè)備資源。因此，現(xiàn)有技術(shù)中又提供了一種防止仿冒IP地址進(jìn)行攻擊的方法，各接入設(shè)備僅針對(duì)接入該設(shè)備自身的用戶(hù)終端生成綁定表項(xiàng)，具體為：僅利用通過(guò)用戶(hù)側(cè)端口偵聽(tīng)到的報(bào)文生成綁定表項(xiàng)。但是這種方式中，也會(huì)產(chǎn)生仿冒IP地址攻擊的漏洞。

如圖1所示，接入設(shè)備(NAS)1上接入了用戶(hù)終端PC1，假設(shè)PC1的IP地址為IP?Address1，鏈路地址為L(zhǎng)A1，接入端口為用戶(hù)側(cè)端口1，則在接入設(shè)備N(xiāo)AS1上存在包含IP?Address1、LA1和用戶(hù)側(cè)端口1的綁定表項(xiàng)。NAS1和NAS2處于同一鏈路，如果此時(shí)非法用戶(hù)設(shè)備PC2仿冒IP?Address1接入NAS2，在NAS2上生成包含IP?Address1、VPN1和用戶(hù)側(cè)端口2的綁定表項(xiàng)，即便PC1偵聽(tīng)到有人使用自己的IP地址，回應(yīng)包含該IP?Address1的NA報(bào)文，PC2僅需要將該NA報(bào)文丟棄即可繼續(xù)使用該IP地址上網(wǎng)，甚至進(jìn)行非法操作。并且，當(dāng)PC1從NAS1遷移到NAS2后，NAS2偵聽(tīng)到PC1的接入，但由于NAS2中已經(jīng)存在包含該IP?Address1的綁定表項(xiàng)，因此，PC1便不能使用該IP?Address1通過(guò)NAS2接入網(wǎng)絡(luò)。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供了一種防止仿冒IP地址進(jìn)行攻擊的方法和接入設(shè)備，以便于有效地防止非法用戶(hù)仿冒IP地址進(jìn)行攻擊。

一種防止仿冒IP地址進(jìn)行攻擊的方法，該方法包括：

所述接入設(shè)備從用戶(hù)側(cè)端口接收到攜帶待檢測(cè)IP地址的重復(fù)地址檢測(cè)鄰居請(qǐng)求DAD?NS報(bào)文或地址確定Confirm報(bào)文時(shí)，生成包含所述待檢測(cè)IP地址的綁定表項(xiàng)，并通過(guò)網(wǎng)絡(luò)側(cè)端口發(fā)送攜帶所述待檢測(cè)IP地址的DAD?NS報(bào)文；

所述接入設(shè)備如果在設(shè)定DAD檢測(cè)時(shí)間內(nèi)從網(wǎng)絡(luò)側(cè)端口收到攜帶所述待檢測(cè)IP地址的NA報(bào)文，對(duì)該NA報(bào)文中附加的認(rèn)證信息進(jìn)行認(rèn)證，如果認(rèn)證通過(guò)，則刪除包含所述待檢測(cè)IP地址的綁定表項(xiàng)；

其中，所述認(rèn)證信息是與所述接入設(shè)備處于同一鏈路中的其它接入設(shè)備從用戶(hù)側(cè)端口收到攜帶所述待檢測(cè)IP地址的NA報(bào)文時(shí)在該NA報(bào)文中附加的。

一種接入設(shè)備，該接入設(shè)備包括：表項(xiàng)生成單元、報(bào)文處理單元、認(rèn)證處理單元和表項(xiàng)處理單元；

所述表項(xiàng)生成單元，用于在該接入設(shè)備從用戶(hù)側(cè)端口接收到待檢測(cè)IP地址的DAD?NS報(bào)文或Confirm報(bào)文時(shí)，生成包含所述待檢測(cè)IP地址的綁定表項(xiàng)，并向報(bào)文處理單元發(fā)送第一通知；

所述報(bào)文處理單元，用于接收到第一通知時(shí)，通過(guò)網(wǎng)絡(luò)側(cè)端口發(fā)送攜帶所述待檢測(cè)IP地址的DAD?NS報(bào)文；

所述認(rèn)證處理單元，用于該接入設(shè)備在設(shè)定DAD檢測(cè)時(shí)間內(nèi)從網(wǎng)絡(luò)側(cè)端口收到攜帶所述待檢測(cè)IP地址的NA報(bào)文時(shí)，對(duì)該NA報(bào)文中附加的認(rèn)證信息進(jìn)行認(rèn)證，如果認(rèn)證通過(guò)，則向所述表項(xiàng)處理單元發(fā)送刪除通知；該接入設(shè)備從用戶(hù)側(cè)端口接收到攜帶待檢測(cè)IP地址的NA報(bào)文時(shí)，在該NA報(bào)文中附加認(rèn)證信息；

所述表項(xiàng)處理單元，用于接收到刪除通知后，刪除包含所述待檢測(cè)IP地址的綁定表項(xiàng)。