技術領域

本發明涉及計算機數據通信領域，尤其涉及一種預防惡意鄰居學習攻擊的方法及裝置。

背景技術

鄰居學習行為是指：節點將自身的鏈路層地址(Link-Layer?Address)、完整IP地址、節點名稱等地址配置信息通過鄰居發現協議中的鄰居請求報文發送給網絡內的其他節點，而接收到該鄰居請求報文的節點將自身的鏈路層地址、完整IP地址、節點名稱等配置信息通過鄰居發現協議中的鄰居通告報文返回給發送鄰居請求報文的節點，這樣，發送鄰居請求報文的節點以及網絡內的其他節點就可以知道對方節點的地址配置信息，從而根據地址配置信息進行正常的鄰居表操作，例如，將對方節點的地址配置信息加入自己的鄰居表中建立新的鄰居表項，或修改原有鄰居表項等，完成鄰居學習。

版本號為6的互聯網協議(Internet?Protocol?Version?6，IPv6)地址主機部分通常是64比特，這意味著一個IPv6網段可以容納的主機數量遠遠大于版本號為4的互聯網協議(Internet?Protocol?Version?4，IPv4)網段，這個特征使得以地址掃描為手段的網絡病毒在IPv6網絡中難有作為。

但是，IPv6地址空間比較大的特點可能被遠程惡意攻擊者利用。遠程惡意攻擊者惡意發送大量的目的地址屬于一個IPv6網段，但這些地址在該IPv6網絡中實際上并不存在數據包，這樣將導致這些數據包在到達最后一跳路由器時，使該路由器發生大量的鄰居學習行為，生成大量的無效鄰居表項，不僅加大了路由器處理器(CPU)的負擔，而且使正常的鄰居表項也無法生成，這實際上是一種拒絕服務攻擊，但該攻擊只針對全局單播地址，不適用鏈路本地地址。

發明內容

針對上述技術問題，本發明的目的在于提供一種預防惡意鄰居學習攻擊的方法及裝置，其有效的解決了IPv6網絡中惡意鄰居學習攻擊的問題。

為達到上述目的，本發明是通過以下技術方案來實現的：

一種預防惡意鄰居學習攻擊的方法，所述方法包括如下步驟：

A、設置匯聚交換機允許的不完整狀態鄰居表項的閾值；

B、匯聚交換機監聽IPv6主機利用全球單播地址，進行重復地址檢測的過程，創建和保存IPv6主機記錄，并將該記錄保存到IPv6主機表中；

C、匯聚交換機在轉發IPv6報文時，如果該報文的目的地址對應的鏈路層地址不存在，則檢測鄰居表中不完整狀態鄰居表項的數量是否達到所述閾值，如果未達到，則向鄰居節點發送鄰居請求報文；如果達到，則查詢該鄰居節點的地址是否在所述IPv6主機表中，若存在，則發送鄰居請求報文，若不存在，則不發送鄰居請求報文；

D、匯聚交換機收到與所述鄰居請求報文對應的鄰居公告報文后，將其鄰居表中不完整狀態鄰居表項的數量減1。

特別的，所述步驟B還包括：

匯聚交換機向交換芯片下發鄰居請求報文和鄰居通告報文重定向至匯聚交換機處理器的規則，在交換芯片收到鄰居請求報文和鄰居通告報文后，均將其復制一份發送給匯聚交換機處理器進行軟件解析，但是，所述鄰居請求報文和鄰居通告報文由交換芯片執行硬件轉發。

特別的，所述步驟B中，IPv6主機記錄包括：IPv6主機地址和匯聚交換機接收鄰居請求報文的三層接口號。

特別的，所步驟C中，如果鄰居表中不完整狀態鄰居表項的數量沒有達到閾值，則向鄰居節點發送鄰居請求報文，并在所述鄰居表中插入一個鄰居表項，狀態設置為不完整狀態，將鄰居表中不完整狀態鄰居表項的數量加1。

特別的，所述步驟D具體還包括：

匯聚交換機根據鄰居通告報文的IPv6首部的目的地址的查詢鄰居表，如果查到與該目的地址對應的鄰居表項，則將所述鄰居表項的鏈路層地址更新為鄰居通告報文中攜帶的鏈路層地址，并將該鄰居表項的狀態設置為可達狀態，將鄰居表中不完整狀態鄰居表項的數量減1。

本發明還公開了一種預防惡意鄰居學習攻擊的裝置，所述裝置為匯聚交換機，包括：

閾值設置單元，用于設置匯聚交換機允許的不完整狀態鄰居表項的閾值；

主機記錄創建單元，用于通過監聽IPv6主機利用全球單播地址進行重復地址檢測的過程，創建和保存IPv6主機記錄，并將該記錄保存到IPv6主機表中；

鄰居表項檢測單元，與閾值設置單元連接，用于檢測鄰居表中不完整狀態鄰居表項的數量是否達到所述閾值；