【技术实现步骤摘要】
本专利技术涉及网络
,尤其涉及一种合法表项的处理方法和设备。
技术介绍
随着IPv6技术的广泛应用,基于ICMPv6 (Internet Control Message Protocol version6,网际控制信息协议本本6)的ND (Neighbor Discovery,邻 居发现)协议的攻击不断出现,通过发送伪造ND报文进行仿冒网关、仿冒 其他用户、欺骗网关、欺骗其他用户等类型的攻击。以下首先对不同类型的 攻击方式进行简要介绍。 (一)仿冒网关攻击者仿冒网关,欺骗网关下其他同一网段的用户,使得这些用户发往 网关的t艮文被发送到攻击者。以图1所示的网络场景为例,仿冒网关攻击的 流程如下1、 攻击者A通过接入设备向其它用户(例如合法用户B)发送多播NS (Neighbor Solicitation,邻居请求)报文,NS报文中源MAC (Medium AccessControl,媒体接入控制)为攻击者的MAC地址,源IP (Internet Protocol,因 特网协议)为网关的IP地址;2、 用户B收到NS才艮文后,查找ND表项,若没有对应纪录或M...
【技术保护点】
一种合法表项的处理方法,其特征在于,包括: 根据用户终端上线过程中与网络侧交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址的对应关系的合法表项; 根据不同合法表项的获取方式对应的优先级,对通过不同获取方式获取的合法表 项进行不同固化程度的处理。
【技术特征摘要】
1、一种合法表项的处理方法,其特征在于,包括根据用户终端上线过程中与网络侧交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址的对应关系的合法表项;根据不同合法表项的获取方式对应的优先级,对通过不同获取方式获取的合法表项进行不同固化程度的处理。2、 如权利要求l所述的方法,其特征在于,所述根据用户终端上线过程 中与网络側交互的报文,获取各用户终端的接口与IP地址、和/或MAC地址 的对应关系的合法表项,包括在用户终端的接入认证过程中,根据用户终端在认证过程中上报的报文, 获取所述用户终端接入的接口、以及所述用户终端的IP地址、和/或MAC地 址,获取包括接口与所述用户终端的IP地址、和/或MAC地址的对应关系的 合法表项;或在用户终端的地址分配过程中,根据用户终端与网络侧动态主机分配协 议DHCP服务器交互的报文,获取所述用户终端接入的接口、以及所述用户 终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、 和/或MAC地址的对应关系的合法表项;或在用户终端的地址重复探测DAD检测过程中,根据用户终端发送的用于 DAD探测的邻居请求NS报文,获取所述用户终端接入的接口、以及所述用 户终端的IP地址、和/或MAC地址,获取包括接口与所述用户终端的IP地址、 和/或MAC地址的对应关系的合法表项。3、 如权利要求1或2所述的方法,其特征在于,所述根据不同合法表项 的获取方式对应的优先级,对通过不同获取方式获取的合法表项进行不同固 化程度的处理,包括根据不同安全表项的获取方式对应的优先级由高到低的顺序,将所述安 全表项中的动态绑定关系表项固化为静态绑定关系表项,并对应设置所述静 态绑定关系表项的固化时间。4、 如权利要求3所述的方法,其特征在于,当需要转化的动态绑定关系 表项与已经建立的静态绑定表项重复时,无需将其转化为静态表项;当需要转化的动态绑定关系表项与已经建立的静态绑定表项存在冲突时,根据不同 安全表项的获取方式对应的优先级,将优先级高的表项设置为静态绑定表项, 优先级低的表项内容无需设置为静态表项。5、 如权利要求3或所述的方法,其特征在于,所述固化时间到达时,对 所述静态绑定关系表项的有效性进行探测,当探测结果为有效时,重新设置 所述静态绑定关系表项的固化时间;否则将所述静态绑定关系表项转化为动 态绑定关系表项、或删除所述静态绑定关系表项。6、 如权利要求3或所述的方法,其特征在于,对于通过不同获取方式获 取的合法表项,获取方式对应的优先级越高,固化后得到的静态绑定关系表 项的固化时间越长。7、 如权利要求1或2所述的方法,其特征在于,还包括 接收到待转发的ND协议报文时,获取接收到所述ND协议报文的接口 、以及所述ND协议报文的源IP地址、和/或源MAC地址;将所述接口、以及所述ND协议报文的源IP地址、和/或源MAC地址与 所述获取的接口与IP地址、和/或MAC地址的对应关系的合法表项进行匹配;所述匹配...
【专利技术属性】
技术研发人员:孙艳玲,周立萍,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:86[中国|杭州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。