技術領域

本發明涉及報文傳輸技術領域，具體涉及防止非法鄰居發現(ND，Neighbor?Discovery)協議報文攻擊的方法及接入設備。

背景技術

目前，IPv6是下一代網絡協議，解決了IPv4地址匱乏的問題。與IPv4相比，IPv6支持簡潔的固定長度的報文頭，內置的安全性，更好的服務質量(QoS，Quality?of?Service)支持和移動性支持。ND協議作為IPV6基礎協議，還提供了地址解析、路由器發現、鄰居不可達檢測、重復地址檢測等功能。ND協議報文容易成為攻擊者偽造的對象，被用來進行攻擊。

攻擊方式主要有如下幾種：

一、攻擊者利用NS/NA報文仿冒網關，欺騙網關下同一網段的其它用戶，使得這些用戶發往網關的報文被發送到攻擊者。仿冒網關攻擊的流程如圖1所示：

步驟101：攻擊者A通過接入設備向其它用戶如：合法用戶B發送多播鄰居請求(NS，Neighbor?Solicitation)報文，NS報文的源媒體接入控制(MAC，Media?Access?Control)地址為攻擊者A的MAC地址，源IP地址為網關的IP地址。

步驟102：用戶B接收NS報文，查找與該報文的源IP地址對應的ND表項，若未查找到，則根據報文的源IP地址、源MAC地址等，建立新的ND表項；若查找到，但ND表項中的MAC地址與NS報文的源MAC地址不一致，則以報文中的源MAC地址更新該ND表項中的MAC地址。

步驟103：用戶B要向網關發送報文，先發送一個單播NS報文進行鄰居不可達檢測，該報文的目的IP地址為網關的IP地址，而目的MAC地址則為用戶B學習到的ND表項中的攻擊者A的MAC地址。

步驟104：NS報文被發送到攻擊者A，攻擊者A向用戶B回復鄰居通告(NA，Neighbor?Advertisement)報文。

步驟105：用戶B接收NA報文，則將對應ND表項設置為可達狀態，此后，用戶B發往網關的報文都會被攻擊者A截獲。

二、攻擊者利用NS/NA報文仿冒合法用戶，欺騙網關或者同一網段內的其它用戶該合法用戶的MAC地址已更新，使得網關或者其它用戶發往該合法用戶的報文都被封裝上錯誤的信息，攻擊流程如圖2所示：

步驟201：攻擊者A通過接入設備向其它用戶如：合法用戶C發送多播NS報文，NS報文的源MAC地址為攻擊者A的MAC地址，源IP地址為合法用戶B的IP地址。

步驟202：合法用戶C接收NS報文，查找與該報文的源IP地址對應的ND表項，若未查找到，則根據報文的源IP地址、源MAC地址等，建立新的ND表項；若查找到，但ND表項中的MAC地址與報文的源MAC地址不一致，則以報文的源MAC地址更新該ND表項中的MAC地址。

步驟203：合法用戶C要向合法用戶B發送報文，先發送一個單播NS報文進行鄰居不可達檢測，報文的源IP地址為用戶B的IP地址，源MAC地址則為學習到的ND表項中的攻擊者A的MAC地址。

步驟204：NS報文被發送到攻擊者A，攻擊者A向合法用戶C回復NA報文。

步驟205：合法用戶C接收NA報文，將對應的ND表項設置為可達狀態，此后，合法用戶C發往合法用戶B的報文都被攻擊者A截獲。

三、攻擊者利用RS/RA報文，欺騙網關相同網段內的某一合法用戶的MAC地址已經更新，導致網關將所有報文發往攻擊者，攻擊流程如圖3所示：

步驟301：攻擊者A通過接入設備向網關發送路由器請求(RS，RouterSolicitation)報文，RS報文的源IP地址為合法用戶B的IP地址，源MAC地址為攻擊者A的MAC地址。

步驟302：網關接收RS報文，查找與該報文的源IP地址對應的ND表項，若未查找到，則根據報文的源IP地址、源MAC地址等，建立新的ND表項；若查找到，但ND表項中的MAC地址與報文的源MAC地址不一致，則以報文的源MAC地址更新該ND表項中的MAC地址。

步驟303：網關向合法用戶B發送報文，報文的目的IP地址為合法用戶B的IP地址，目的MAC地址為ND表項中的攻擊者A的MAC地址，則報文被發送到攻擊者A。

另外，攻擊者A還可偽造路由器通告(RA，Router?Advertisement)報文，報文的源IP地址為網關IP地址，源MAC地址為攻擊者A的MAC地址，合法用戶B收到RA報文時會建立或更新網關對應的ND表項，導致合法用戶B發往網關的報文被攻擊者A截獲。