【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种安全检测方法、装置和网络侧设备。
技术介绍
拒绝服务攻击(Denial of Service Attack ;以下简称D0S)是通过耗尽被攻击者 (一般是服务器)的网络带宽或处理能力,使其停止服务,达到攻击目的。随着网络带宽的 提升和服务器处理能力的提升,一个攻击设备不足以使服务器停止服务,因此出现了分布 式拒绝服务攻击(DistributedReflection Denial of Service Attack ;以下简称DD0S), 实施DDOS攻击,攻击者必须先通过植入木马等方式控制大量的傀儡机,操作傀儡机同时发 起攻击。控制傀儡机对攻击者的技术要求很高,同时随着用户防木马意识的增强,DDOS攻击 越来越难以实施,因此出现了分布式反射拒绝服务攻击(Distributed Reflection Denial of Service Attack ;以下简称DRD0S),DRDOS通过伪造被攻击者的因特网协议(Internet Protocol ;以下简称IP)地址,选择特定的反射源,将攻击报文数量层层反射放大,最终大 量的报文根据伪造的IP地址反射到被攻击者,使其停止服务。该类攻击不需要很高的技 术,也不需要控制傀儡机,还完全隐藏攻击者,使其无法被追踪、隔离,因此DRDOS攻击行为 越来越多,而且很难防御。网关是一个子网的关键节点,承担着跨网段传输数据的职责,是子网与外界通讯 的枢纽,因此常常成为被攻击的目标。最常见的攻击是网关地址欺骗攻击攻击者假冒网关 的IP地址发送地址解析报文,在该类报文中用自己的链路层地 ...
【技术保护点】
一种安全检测方法,其特征在于,包括:在网络侧设备的网关连接口上监听IPv6路由器公告报文;根据监听到的IPv6路由器公告报文配置所述网络侧设备的安全检查口上的IPv6数据表;在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所述表项对所述匹配的报文执行相应的操作。
【技术特征摘要】
一种安全检测方法,其特征在于,包括在网络侧设备的网关连接口上监听IPv6路由器公告报文;根据监听到的IPv6路由器公告报文配置所述网络侧设备的安全检查口上的IPv6数据表;在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所述表项对所述匹配的报文执行相应的操作。2.根据权利要求1所述的方法,其特征在于,所述根据监听到的IPv6路由器公告报文 配置所述网络侧设备的安全检查口上的IPv6数据表包括在所述IPv6数据表中添加与IPv6因特网控制报文协议类型对应的表项,并在所述 IPv6因特网控制报文协议类型对应的表项中添加对匹配所述IPv6因特网控制报文协议类 型对应表项的报文执行的操作;所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到IPv6因特网控制报文协议类型为路由器公告的IPv6报文之 后,对所述IPv6报文执行丢弃操作。3.根据权利要求2所述的方法,其特征在于,所述在所述IPv6因特网控制报文协议类 型对应的表项中添加对匹配所述IPv6因特网控制报文协议类型对应表项的报文执行的操 作之后,还包括解析监听到的IPv6路由器公告报文,获得所述IPv6路由器公告报文中携带的网关 IPv6地址信息,在所述IPv6数据表中添加与所述网关IPv6地址信息对应的表项,并在所述 网关IPv6地址信息对应的表项中添加对匹配所述网关IPv6地址信息对应表项的报文执行 的操作;所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到IPv6源IP地址为网关IPv6地址的报文之后,对所述IPv6 源IP地址为网关IPv6地址的报文执行丢弃操作;或者,在所述安全检查口检测到目标IP地址为网关IPv6地址的IPv6邻居公告报文之后,对 所述IPv6邻居公告报文执行丢弃操作。4.根据权利要求3所述的方法,其特征在于,所述在所述网关IPv6地址信息对应的表 项中添加对匹配所述网关IPv6地址信息对应表项的报文执行的操作之后,还包括在所述IPv6数据表中添加与IPv6本地网段信息对应的表项,并在所述IPv6本地网段 信息对应的表项中添加对匹配所述IPv6本地网段信息对应表项的报文执行的操作;所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到携带IPv6本地网段地址的IPv6报文之后,对所述携带IPv6 本地网段地址的IPv6报文执行通过操作。5.根据权利要求4所述的方法,其特征在于,所述在所述IPv6本地网段信息对应的表 项中添加对匹配所述IPv6本地网段信息对应表项的报文执行的操作之后,还包括解析监听到的IPv6路由器公告报文,获得所述IPv6路由器公告报文中携带的IPv6非本地网段信息,在所述IPv6数据表中添加与所述IPv6非本地网段信息对应的表项,并在所 述IPv6非本地网段信息对应的表项中添加对匹配所述IPv6非本地网段信息对应表项的报 文执行的操作;所述在所述安全检查口检测到与所述IPv6数据表中的表项匹配的报文之后,根据所 述表项对所述匹配的报文执行相应的操作包括在所述安全检查口检测到IPv6源IP地址属于IPv6路由器公告报文公告的IPv6非 本地网段地址的IPv6报文之后,对所述IPv6源IP地址属于IPv6路由器公告报文公告的 IPv6非本地网段地址的IPv6报文执行通过操作;或者,在所述安全检查口检测到IPv6源IP地址不属于IPv6本地网段地址的IPv6报文,或 者所述IPv6源IP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报 文之后,对所述IPv6源IP地址不属于IPv6本地网段地址的IPv6报文,或者所述IPv6源 IP地址不属于IPv6路由器公告报文公告的IPv6非本地网段地址的IPv6报文执行丢弃操 作。6.根据权利要求3-5任意一项所述的方法,其特征在于,还包括在所述IPv6路由器公告报文中携带的网关IPv6地址信息和IPv6非本地网段信息发 生改变之后,将所述网关IPv6地址信息对应表项中的网关IPv...
【专利技术属性】
技术研发人员:王肖军,
申请(专利权)人:福建星网锐捷网络有限公司,
类型:发明
国别省市:35[中国|福建]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。