【技术实现步骤摘要】
本专利技术涉及一种面向网关设备的主机粒度真实源地址验证的方法,属于网络安全研究。
技术介绍
1、网关(gateway)设备又称网间连接器、协议转换器,是多个网络间提供数据转换服务的计算机系统或设备。可以说网关设备就是不同网之间的连接器,是数据要从一个局域网到另外一个局域网时要经过“协商”的设备。通常在网关设备下联接入交换机,由接入交换机直接连接用户端,用户端通过地址分配协议(dhcp协议、ndp协议和静态配置)获取合法地址,地址分配协议通常在本地链路上来进行的,也就是在接入交换机上完成。在接入交换机不支持真实源地址验证功能的环境下,网关设备如果只支持前缀粒度的真实源地址验证,将会导致网络攻击者在获知当前网络前缀的情况下,可以任意伪造当前网络前缀的源地址进行伪造源地址攻击。
2、因此如何在网关设备上,通过分析接入网络地址分配协议,获取在接入网内每个终端设备配置的合法真实的地址,并且在网关设备上实现主机粒度的真实源地址验证,在接入网消灭伪造源地址攻击对网络的危害,是互联网路由系统中亟待解决的问题。为此,提出本专利技术。
<...【技术保护点】
1.一种面向网关设备的主机粒度真实源地址验证的方法,其特征在于,步骤如下:
2.如权利要求1所述的面向网关设备的主机粒度真实源地址验证的方法,其特征在于,步骤(1)中,真实源地址表包括主机IP地址、主机MAC地址、存活时间和接口号,主机IP地址为通过地址配置协议给主机所分配的合法地址,主机MAC地址为当前主机网卡唯一标识,存活时间为当前这条表项能够保存的最长时间,接口号为绑定当前表项的网关设备接口编号,初始化主机真实源地址表为空。
3.如权利要求2所述的面向网关设备的主机粒度真实源地址验证的方法,其特征在于,步骤(3)中,流量匹配规则有两条,针...
【技术特征摘要】
1.一种面向网关设备的主机粒度真实源地址验证的方法,其特征在于,步骤如下:
2.如权利要求1所述的面向网关设备的主机粒度真实源地址验证的方法,其特征在于,步骤(1)中,真实源地址表包括主机ip地址、主机mac地址、存活时间和接口号,主机ip地址为通过地址配置协议给主机所分配的合法地址,主机mac地址为当前主机网卡唯一标识,存活时间为当前这条表项能够保存的最长时间,接口号为绑定当前表项的网关设备接口编号,初始化主机真实源地址表为空。
3.如权利要求2所述的面向网关设备的主机粒度真实源地址验证的方法,其特征在于,步骤(3)中,流量匹配规则有两条,针对icmpv6的流量,匹配规则为入接口为镜像接口,协议类型为icmpv6,icmpv6类型为neighbor solicit、neighbor advertisement类型;
4.如权利要求3所述的面向网关设备的主机粒度真实源地址验证的方法,其特征在于,步骤(4)中,命中流量匹配规则指,提取网络流量数据包信息,包括网络层源ip地址、网络层目的ip地址、协...
【专利技术属性】
技术研发人员:王宇亮,国兴昌,滑翠云,金辉,李宗鹏,徐明伟,杨波,
申请(专利权)人:泉城省实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。