安全检测方法、装置和网络侧设备制造方法及图纸

本发明专利技术实施例提供一种安全检测方法、装置和网络侧设备，该安全检测方法包括：在网络侧设备的网关连接口上监听ＩＰｖ６路由器公告报文；根据监听到的ＩＰｖ６路由器公告报文配置所述网络侧设备的安全检查口上的ＩＰｖ６数据表；在所述安全检查口检测到与所述ＩＰｖ６数据表中的表项匹配的报文之后，根据所述表项对所述匹配的报文执行相应的操作。本发明专利技术实施例实现了在无状态ＩＰｖ６地址自动配置场景中，防御ＤＲＤＯＳ攻击和网关欺骗攻击，提升了网络的安全性。

【技术实现步骤摘要】

本专利技术涉及通信
，尤其涉及一种安全检测方法、装置和网络侧设备。
技术介绍
拒绝服务攻击(Denial of Service Attack ；以下简称D0S)是通过耗尽被攻击者 (一般是服务器)的网络带宽或处理能力，使其停止服务，达到攻击目的。随着网络带宽的 提升和服务器处理能力的提升，一个攻击设备不足以使服务器停止服务，因此出现了分布 式拒绝服务攻击(DistributedReflection Denial of Service Attack ；以下简称DD0S)， 实施DDOS攻击，攻击者必须先通过植入木马等方式控制大量的傀儡机，操作傀儡机同时发 起攻击。控制傀儡机对攻击者的技术要求很高，同时随着用户防木马意识的增强，DDOS攻击 越来越难以实施，因此出现了分布式反射拒绝服务攻击(Distributed Reflection Denial of Service Attack ；以下简称DRD0S)，DRDOS通过伪造被攻击者的因特网协议(Internet Protocol ；以下简称IP)地址，选择特定的反射源，将攻击报文数量层层反射放大，最终大 量的报文根据伪造的IP地址反射到被攻击者，使其停止服务。该类攻击不需要很高的技 术，也不需要控制傀儡机，还完全隐藏攻击者，使其无法被追踪、隔离，因此DRDOS攻击行为 越来越多，而且很难防御。网关是一个子网的关键节点，承担着跨网段传输数据的职责，是子网与外界通讯 的枢纽，因此常常成为被攻击的目标。最常见的攻击是网关地址欺骗攻击攻击者假冒网关 的IP地址发送地址解析报文，在该类报文中用自己的链路层地址替代网关的链路层地址， 这样接收者学习到的是网关的IP地址和攻击者的链路层地址的映射关系，发往网关的报 文就会被二层转发到攻击者的设备上，攻击者就可以实施各种非法活动。针对上述问题，因特网协议版本4(Internet Protocol version 4;以下简称 IPv4)网络中有较为成熟的解决方案将用户的IP地址和端口进行绑定，这样接入设备就 无法发出携带非法IP地址的报文，目前因特网协议版本6(Internet Protocol version 6 ； 以下简称IPv6)也沿用该解决方案，具体如下静态IPv6地址分配方案在二层交换机上静态的将用户IPv6地址绑定到端口，端 口只转发源IPv6地址匹配端口 IPv6用户列表的IPv6报文。动态主机设置协议(DynamicHost Configuration Protocol ；以下简称DHCP) IPv6地址分配方案二层交换机监听接入设备的DHCP过程，从中动态的获取端口和IPv6 地址的对应关系，然后将其绑定到端口 ；端口只转发源IPv6地址匹配端口 IPv6用户列表的 IPv6报文。但是，现有的上述方案存在以下问题IPv6相比IPv4新增加了一种地址分配方 式无状态IPv6地址自动配置。在这种模式下，用户的IPv6地址的主机部分可以是随机生 成的，即同一个用户每次接入的IPv6地址可能是不同的，因此静态IPv6地址分配方案在该 配置模式下不适用；另外，在该配置模式下，IPv6地址的分配不需要服务器支持，因此通过 监听接入设备与服务器之间的交互过程获取IPv6地址与端口对应关系的DHCP IPv6地址5分配方案也不再适用。因此套用IPv4网络的解决方案无法适用于无状态IPv6地址自动配置场景，而现 有技术也没有提供一种能够在无状态IPv6地址自动配置场景中防止DRDOS攻击和网关欺 骗攻击的方案。
技术实现思路
本专利技术实施例提供一种安全检测方法、装置和网络侧设备，以实现在无状态IPv6 地址自动配置场景中，防御DRDOS攻击和网关欺骗攻击。本专利技术实施例提供一种安全检测方法，包括在网络侧设备的网关连接口上监听IPv6路由器公告报文；根据监听到的IPv6路由器公告报文配置所述网络侧设备的安全检查口上的IPv6 数据表；在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所 述表项对所述匹配的报文执行相应的操作。本专利技术实施例还提供一种安全检测装置，包括监听模块，用于在所述安全检测装置的网关连接口上监听IPv6路由器公告报文；配置模块，用于根据所述监听模块监听到的IPv6路由器公告报文配置所述安全 检测装置的安全检查口上的IPv6数据表；操作执行模块，用于在所述安全检查口检测到与所述IPv6数据表中的表项匹配 的报文之后，根据所述表项对所述匹配的报文执行相应的操作。本专利技术实施例还提供一种网络侧设备，包括上述安全检测装置。通过本专利技术实施例，网络侧设备根据在该网络侧设备的网关连接口上监听到的 IPv6路由器公告报文，配置该网络侧设备的安全检查口上的IPv6数据表，在该安全检查口 检测到与IPv6数据表中的表项匹配的报文之后，根据该表项对匹配的报文执行相应的操 作；从而实现了在无状态IPv6地址自动配置场景中，防御DRDOS攻击和网关欺骗攻击，提升 了网络的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发 明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根 据这些附图获得其他的附图。图1为本专利技术安全检测方法一个实施例的流程图；图2为本专利技术端口属性设置一个实施例的示意图；图3为本专利技术安全检测方法另一个实施例的流程图；图4为本专利技术安全检测装置一个实施例的结构示意图；图5为本专利技术安全检测装置另一个实施例的结构示意图。具体实施例方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例 中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是 本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员 在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1为本专利技术安全检测方法一个实施例的流程图，如图1所示，该安全检测方法可 以包括步骤101，在网络侧设备的网关连接口上监听IPv6路由器公告报文。步骤102，根据监听到的IPv6路由器公告报文配置该网络侧设备的安全检查口上 的IPv6数据表。步骤103，在安全检查口检测到与该IPv6数据表中的表项匹配的报文之后，根据 上述表项对匹配的报文执行相应的操作。本实施例中，网络侧设备使用首次命中算法，即遍历上述IPv6数据表，在接收到 的报文首次与IPv6数据表中的表项匹配时，就停止遍历操作，根据匹配的表项对该报文执 行相应的操作；对没有匹配任何表项的报文，该网络侧设备默认执行通过操作。具体地，本实施例中，网络侧设备可以在安全检查口的IPv6数据表中添加与IPv6 因特网控制报文协议(IPv6 Internet Control Message Protocol ；以下简称IPv6 ICMP) 类型对应的表项，并在该IPv6 ICMP类型对应的表项中添加对匹配上述IPv6 ICMP类型对 应表项的报文执行的操作；这时，网络侧设备可以在安全检查口检测到IPv6 ICMP类型为路由器公告的IPv6 报文之后，对该IPv6报文执本文档来自技高网...

【技术保护点】
一种安全检测方法，其特征在于，包括：在网络侧设备的网关连接口上监听ＩＰｖ６路由器公告报文；根据监听到的ＩＰｖ６路由器公告报文配置所述网络侧设备的安全检查口上的ＩＰｖ６数据表；在所述安全检查口检测到与所述ＩＰｖ６数据表中的表项匹配的报文之后，根据所述表项对所述匹配的报文执行相应的操作。

【技术特征摘要】
一种安全检测方法，其特征在于，包括在网络侧设备的网关连接口上监听IPv6路由器公告报文；根据监听到的IPv6路由器公告报文配置所述网络侧设备的安全检查口上的IPv6数据表；在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所述表项对所述匹配的报文执行相应的操作。2.根据权利要求1所述的方法，其特征在于，所述根据监听到的IPv6路由器公告报文 配置所述网络侧设备的安全检查口上的IPv6数据表包括在所述IPv6数据表中添加与IPv6因特网控制报文协议类型对应的表项，并在所述 IPv6因特网控制报文协议类型对应的表项中添加对匹配所述IPv6因特网控制报文协议类 型对应表项的报文执行的操作；所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到IPv6因特网控制报文协议类型为路由器公告的IPv6报文之 后，对所述IPv6报文执行丢弃操作。3.根据权利要求2所述的方法，其特征在于，所述在所述IPv6因特网控制报文协议类 型对应的表项中添加对匹配所述IPv6因特网控制报文协议类型对应表项的报文执行的操 作之后，还包括解析监听到的IPv6路由器公告报文，获得所述IPv6路由器公告报文中携带的网关 IPv6地址信息，在所述IPv6数据表中添加与所述网关IPv6地址信息对应的表项，并在所述 网关IPv6地址信息对应的表项中添加对匹配所述网关IPv6地址信息对应表项的报文执行 的操作；所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到IPv6源IP地址为网关IPv6地址的报文之后，对所述IPv6 源IP地址为网关IPv6地址的报文执行丢弃操作；或者，在所述安全检查口检测到目标IP地址为网关IPv6地址的IPv6邻居公告报文之后，对 所述IPv6邻居公告报文执行丢弃操作。4.根据权利要求3所述的方法，其特征在于，所述在所述网关IPv6地址信息对应的表 项中添加对匹配所述网关IPv6地址信息对应表项的报文执行的操作之后，还包括在所述IPv6数据表中添加与IPv6本地网段信息对应的表项，并在所述IPv6本地网段 信息对应的表项中添加对匹配所述IPv6本地网段信息对应表项的报文执行的操作；所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到携带IPv6本地网段地址的IPv6报文之后，对所述携带IPv6 本地网段地址的IPv6报文执行通过操作。5.根据权利要求4所述的方法，其特征在于，所述在所述IPv6本地网段信息对应的表 项中添加对匹配所述IPv6本地网段信息对应表项的报文执行的操作之后，还包括解析监听到的IPv6路由器公告报文，获得所述IPv6路由器公告报文中携带的IPv6非本地网段信息，在所述IPv6数据表中添加与所述IPv6非本地网段信息对应的表项，并在所 述IPv6非本地网段信息对应的表项中添加对匹配所述IPv6非本地网段信息对应表项的报 文执行的操作；所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后，根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到IPv6源IP地址属于IPv6路由器公告报文公告的IPv6非 本地网段地址的IPv6报文之后，对所述IPv6源IP地址属于IPv6路由器公告报文公告的 IPv6非本地网段地址的IPv6报文执行通过操作；或者，在所述安全检查口检测到IPv6源IP地址不属于IPv6本地网段地址的IPv6报文，或 者所述IPv6源IP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报 文之后，对所述IPv6源IP地址不属于IPv6本地网段地址的IPv6报文，或者所述IPv6源 IP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行丢弃操 作。6.根据权利要求3-5任意一项所述的方法，其特征在于，还包括在所述IPv6路由器公告报文中携带的网关IPv6地址信息和IPv6非本地网段信息发 生改变之后，将所述网关IPv6地址信息对应表项中的网关IPv...

【专利技术属性】
技术研发人员：王肖军，
申请(专利权)人：福建星网锐捷网络有限公司，
类型：发明
国别省市：35[中国|福建]