技術(shù)領(lǐng)域

本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)管理領(lǐng)域，尤其涉及一種面向IPv6網(wǎng)絡(luò)的假冒源地址報文探測方法。

背景技術(shù)

隨著互聯(lián)網(wǎng)編號分配機(jī)構(gòu)IANA(Internet Assigned Numbers Authority)于2011年2月宣布最后一批IPv4地址已經(jīng)分配到地區(qū)互聯(lián)網(wǎng)注冊管理中心，亞太地區(qū)中心在2011年4月宣布不再分配IPv4地址，IPv4網(wǎng)絡(luò)地址已經(jīng)基本耗盡。互聯(lián)網(wǎng)將逐步過渡到IPv6時代，新的網(wǎng)絡(luò)建設(shè)將完全采用IPv6地址。在中國，在下一代互聯(lián)網(wǎng)示范工程（China Next Generation Internet，CNGI）的推動下，IPv6網(wǎng)絡(luò)已經(jīng)得到了廣泛的應(yīng)用。

但是由于互聯(lián)網(wǎng)根據(jù)目的地址進(jìn)行報文轉(zhuǎn)發(fā)的體系結(jié)構(gòu)，到達(dá)互聯(lián)網(wǎng)的數(shù)據(jù)報文的源地址并不會被檢查，這就導(dǎo)致了假冒源地址攻擊現(xiàn)象的存在，并導(dǎo)致了分布式拒絕服務(wù)攻擊、中間人攻擊等多種嚴(yán)重危害互聯(lián)網(wǎng)安全的問題。針對這一問題，源地址驗證協(xié)議SAVI（Source Address Validation Improvement），IP源保護(hù)（IP Source Guard）和動態(tài)ARP檢測（DAI，Dynamic ARP Inspection）等協(xié)議被提出和實(shí)現(xiàn)。這些協(xié)議部署到連接用戶的接入網(wǎng)，將可以防止主機(jī)假冒同一子網(wǎng)中的IP地址，實(shí)現(xiàn)細(xì)粒度的假冒源地址過濾。

假冒地址過濾效果一直是互聯(lián)網(wǎng)研究的一個重要課題，互聯(lián)網(wǎng)數(shù)據(jù)分析合作協(xié)會（CAIDA，Cooperative Association for Internet Data Analysis）利用其分布在世界各地的基礎(chǔ)設(shè)施，進(jìn)行了12000次的主動探測，其主要是針對IPv4網(wǎng)絡(luò)探測主機(jī)是否能夠假冒其他子網(wǎng)的IP地址及未分配地址等。但是在CAIDA的探測項目和現(xiàn)有技術(shù)中針對IPv6網(wǎng)絡(luò)中主機(jī)假冒其同一子網(wǎng)中的其他IP地址沒有進(jìn)行探測，也需要對IPv6網(wǎng)絡(luò)中的假冒源地址過濾現(xiàn)狀進(jìn)行研究，同時對于IPv6網(wǎng)絡(luò)的安全和管理建設(shè)也具有重要意義。

發(fā)明內(nèi)容

（一）要解決的技術(shù)問題

針對上述缺陷，本發(fā)明要解決的技術(shù)問題是如何在IPv6網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)假冒源地址過濾效果的探測，并避免防火墻等過濾設(shè)備和網(wǎng)絡(luò)丟包對探測準(zhǔn)確性的影響。

（二）技術(shù)方案

為解決上述問題，本發(fā)明提供了一種面向IPv6網(wǎng)絡(luò)的假冒源地址報文探測方法，具體包括以下步驟：

S1：客戶端向服務(wù)器發(fā)送正常報文；

S2：所述服務(wù)器向所述客戶端發(fā)送回應(yīng)命令；

S3：所述客戶端根據(jù)所述回應(yīng)命令的指示發(fā)送M個正常報文到所述服務(wù)器，其中M≥2；

S4：所述服務(wù)器計算所述正常報文的接收情況，如果正常報文接收率大于第一閾值，則發(fā)送探測命令給所述客戶端，否則進(jìn)入步驟S7；

S5：所述客戶端根據(jù)所述探測命令的指示構(gòu)造M個假冒源地址報文，并連同M個正常報文構(gòu)成探測隊列，發(fā)送給所述服務(wù)器；

S6：所述服務(wù)器根據(jù)接收到所述正常報文和所述假冒源地址報文的情況分析單次探測結(jié)果，并根據(jù)單次探測結(jié)果推算對主機(jī)假冒的源地址的初步過濾效果；

S7：每經(jīng)過一段時間間隔后，所述客戶端重復(fù)步驟S6，發(fā)送新的探測隊列，共計重復(fù)N次，所述服務(wù)器根據(jù)單個主機(jī)的N次探測結(jié)果推算對主機(jī)假冒的源地址的最終過濾效果，其中N≥2；

S8：根據(jù)單個子網(wǎng)內(nèi)多個主機(jī)的多次探測結(jié)果推算子網(wǎng)對假冒的源地址的過濾效果；

S9：根據(jù)不同子網(wǎng)的源地址過濾效果推算整個園區(qū)網(wǎng)對假冒的源地址的過濾效果。

進(jìn)一步地，所述步驟S5中構(gòu)造假冒源地址報文具體包括：

S51：確定使用哪個適配器來發(fā)送所述假冒源地址報文；

S52：確定所述假冒源地址報文的目的MAC地址；

S53：根據(jù)所述目的MAC地址構(gòu)造所述假冒源地址報文。

進(jìn)一步地，所述步驟S51具體包括：

S511：所述客戶端向所述服務(wù)器發(fā)送正常報文；

S512：確定所述正常報文使用的本地IP地址；

S513：讀取適配器信息表，比較確定所述IP地址對應(yīng)的適配器即為用來發(fā)送所述假冒源地址報文的適配器。

進(jìn)一步地，所述步驟S52具體包括：

S521：源主機(jī)發(fā)送鄰居請求報文請求目的主機(jī)的MAC地址，如果所述源主機(jī)收到回應(yīng)，則所述目的主機(jī)和所述源主機(jī)在同一子網(wǎng)，使用所述目的主機(jī)的MAC地址作為目的MAC地址，否則所述目的主機(jī)和所述源主機(jī)不在同一子網(wǎng)，進(jìn)入步驟S522；