技術領域

本發明涉及計算機數據通信領域，尤其涉及一種防止鄰居學習攻擊的方法和系統。

背景技術

目前，病毒和互聯網蠕蟲是最讓人頭疼的網絡攻擊行為。然而，這種傳播方式在IPV6(Internet?Protocol?Version?6，版本號為6的互聯網協議)的網絡中就不再適用了，因為IPv6地址主機部分通常是64比特，這意味著一個IPv6網段可以容納的主機數量遠遠大于IPv4(Internet?Protocol?Version?4，版本號為4的互聯網協議)網段，使得以地址掃描為手段的病毒和互聯網蠕蟲在IPv6網絡中難有作為。

但是，IPv6地址空間比較大的特點可能被遠程惡意攻擊者利用。遠程惡意攻擊者惡意發送大量的目的地址屬于一個IPv6網段，但這些地址在該IPv6網絡中實際上并不存在數據包，這樣將導致這些數據包在到達最后一跳路由器時，使該路由器發生大量的鄰居學習行為，生成大量的無效鄰居表項，不僅加大了路由器處理器(CPU)的負擔，而且使正常的鄰居表項也無法生成，這實際上是一種拒絕服務攻擊，但該攻擊只針對全局單播地址，不適用鏈路本地地址。其中，鄰居學習行為是指：節點將自身的鏈路層地址(Link-Layer?Address)、完整IP地址、節點名稱等地址配置信息通過鄰居發現協議中的鄰居請求報文發送給網絡內的其他節點，而接收到該鄰居請求報文的節點將自身的鏈路層地址、完整IP地址、節點名稱等配置信息通過鄰居發現協議中的鄰居通告報文返回給發送鄰居請求報文的節點，這樣，發送鄰居請求報文的節點以及網絡內的其他節點就可以知道對方節點的地址配置信息，從而根據地址配置信息進行正常的鄰居表操作，例如，將對方節點的地址配置信息加入自己的鄰居表中建立新的鄰居表項，或修改原有鄰居表項等，完成鄰居學習。

發明內容

針對上述技術問題，本發明的目的在于提供一種防止鄰居學習攻擊的方法和系統，其有效的解決了IPv6網絡中存在的鄰居學習攻擊的問題。

為達到上述目的，本發明是通過以下技術方案來實現的：

一種防止鄰居學習攻擊的方法，所述方法包括如下步驟：

A、設置匯聚交換機允許的不完整狀態鄰居表項的閾值；

B、接入交換機通過DHCPv6偵聽來監聽客戶端的DHCPv6請求過程，創建和保存綁定信息，并將該綁定信息發送至所述匯聚交換機；

C、匯聚交換機接收綁定信息，并將其保存到綁定信息表中；

D、匯聚交換機在轉發IPv6報文時，如果該報文的目的地址對應的鏈路層地址不存在，則檢測鄰居表中不完整狀態鄰居表項的數量是否達到所述閾值，如果未達到，則向鄰居節點發送鄰居請求報文；如果達到，則查詢該鄰居節點的地址是否在所述綁定信息表中，若存在，則發送鄰居請求報文，若不存在，則不發送鄰居請求報文；

E、匯聚交換機收到與所述鄰居請求報文對應的鄰居通告報文后，將其鄰居表中不完整狀態鄰居表項的數量減1。

特別的，所述步驟B還包括：

接入交換機向交換芯片下發DHCPv6報文重定向至該交換機處理器的規則，在交換芯片收到DHCPv6報文后，不執行硬件轉發行為，而是將所述報文重定向至接入交換機處理器，由處理器進行軟件解析和轉發。

特別的，所述步驟B進一步包括：

接入交換機將所述綁定信息加入到DHCPv6偵聽綁定報文中，并對所述綁定報文進行加密和散列處理，然后，根據接入交換機配置的接收綁定信息的匯聚交換機的地址，將所述綁定信息發送至匯聚交換機。

特別的，所步驟C具體包括：

匯聚交換機解析出DHCPv6偵聽綁定報文中的綁定信息，并將該綁定信息保存到本地的綁定信息表中，其中，所述綁定報文是指與所述匯聚交換機連接的所有接入交換機傳入的綁定報文。

特別的，所述步驟D中，如果鄰居表中不完整狀態鄰居表項的數量沒有達到閾值，則向鄰居節點發送鄰居請求報文，并在所述鄰居表中插入一個鄰居表項，狀態設置為不完整狀態，將鄰居表中不完整狀態鄰居表項的數量加1。

特別的，所述步驟E具體還包括：

匯聚交換機根據鄰居通告報文的IPv6首部的目的地址的查詢鄰居表，如果查到與該目的地址對應的鄰居表項，則將所述鄰居表項的鏈路層地址更新為鄰居通告報文中攜帶的鏈路層地址，并將該鄰居表項的狀態設置為可達狀態，將鄰居表中不完整狀態鄰居表項的數量減1。

本發明還公開了一種防止鄰居學習攻擊的系統，所述系統包括：