[go: up one dir, main page]

CN101572712B - 一种防止伪造报文攻击的方法和中继设备 - Google Patents

一种防止伪造报文攻击的方法和中继设备 Download PDF

Info

Publication number
CN101572712B
CN101572712B CN2009100865725A CN200910086572A CN101572712B CN 101572712 B CN101572712 B CN 101572712B CN 2009100865725 A CN2009100865725 A CN 2009100865725A CN 200910086572 A CN200910086572 A CN 200910086572A CN 101572712 B CN101572712 B CN 101572712B
Authority
CN
China
Prior art keywords
message
client device
list item
information table
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2009100865725A
Other languages
English (en)
Other versions
CN101572712A (zh
Inventor
林涛
申彦昌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN2009100865725A priority Critical patent/CN101572712B/zh
Publication of CN101572712A publication Critical patent/CN101572712A/zh
Priority to US12/765,318 priority patent/US20100313265A1/en
Application granted granted Critical
Publication of CN101572712B publication Critical patent/CN101572712B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种防止伪造报文攻击的方法,包括:DHCPv6中继设备转发客户端设备与DHCPv6服务器之间的有状态配置方式下的地址分配报文;DHCPv6中继设备根据所转发的地址分配报文中的客户端设备信息,建立并维护安全信息表;DHCPv6中继设备根据所述安全信息表过滤客户端设备发送的邻居发现ND报文。本发明还公开了一种DHCPv6中继设备。本发明的技术方案能够防止DHCPv6中继设备遭受伪造ND报文的攻击。

Description

一种防止伪造报文攻击的方法和中继设备
技术领域
本发明涉及第6版本的互联网协议(IPv6,Internet Protocol Version 6)技术领域,尤指一种防止伪造报文攻击的方法和一种中继设备。 
背景技术
支持IPv6的动态主机配置协议(DHCPv6,Dynamic Host ConfigurationProtocol for IPv6)是针对IPv6编址方案设计的、为主机分配IPv6地址和其他网络配置参数的协议。 
DHCPv6采用客户端/服务器通信模式,由客户端设备向DHCPv6服务器提出配置申请,DHCPv6服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。 
图1是现有技术中的运行DHCPv6的典型组网示意图。图1所示,客户端设备通过链路范围的组播地址与DHCP服务器通信,以获取IPv6地址和其他网络配置参数。如果DHCPv6服务器和客户端设备不在同一个链路范围内,则需要通过DHCPv6中继设备来转发报文,这样可以避免在每个链路范围内都部署DHCPv6服务器,既节省了成本,又便于集中管理。 
目前DHCPv6地址分配方式分为有状态配置和无状态配置两种方式。其中,有状态配置方式指的是DHCPv6服务器给客户端设备分配包括IPv6地址和其他网络配置选项;而无状态配置方式是指由DHCPv6服务器给客户端设备分配除IPv6地址以外的其他网络配置选项。本申请的技术方案涉及有状态配置方式,因此以下予以说明。 
图2是现有技术中的DHCPv6有状态配置方式下的地址分配报文交互过程的示意图。这里以如图1所示的包含DHCPv6中继设备的组网为例进行说 明,如图2所示,包括以下步骤: 
步骤201,客户端设备主动发送恳求(Solicit)报文,该报文是目的地址为FF02::1:2的多播报文,该目的地址表示所有的DHCPv6中继设备和DHCPv6服务器的地址。该恳求(Solicit)报文经过DHCPv6中继设备转发至DHCPv6服务器,后续客户端设备和DHCPv6服务器之间的通信报文都经过DHCPv6中继设备转发,不再一一说明。 
步骤202,收到恳求(Solicit)报文的DHCPv6服务器,回应通告(Advertise)报文,该通告报文中携带DHCPv6服务器的标识和优先权信息。客户端设备在指定时间内收集所有DHCPv6服务器返回的通告(Advertise)报文,根据其中的优先权信息选择一个DHCPv6服务器。 
步骤203,客户端设备向所选择的DHCPv6服务器发送请求(Request)报文。 
步骤204,相应的DHCPv6服务器收到请求(Request)报文后,从前缀池中选择一个前缀,并通过回复(Reply)报文返回给客户端设备。客户端设备根据回复(Reply)报文中的前缀配置自身的IPv6地址,以及根据回复(Reply)报文中的其他信息配置自身的参数。 
步骤205,当指定时间T1到达时,客户端设备向DHCPv6服务器发送续约(Renew)报文,为所使用的IP地址续约。这里T1是所使用的IP地址租期的50%。 
步骤206,DHCPv6服务器根据绑定情况为客户端设备续约,同时将选项(option)填上后返回回复(Reply)报文,同意续约。如果选项(option)发生变化,客户端设备也能感知。 
步骤207,当T2时间到达时客户端设备没有收到回应的续约(Renew)报文的Reply报文,则向DHCPv6服务器发送重新绑定(Rebind)报文。 
步骤208,DCHPv6服务器收到重新绑定(Rebind)报文后,执行与步骤206类似的操作,返回回复(Reply)报文。 
步骤209,DHCPv6服务器在选项(option)参数发生变化时,主动向 客户端发送重新配置(Reconfigure)报文,以通知客户端设备相应更新配置参数。 
步骤210,客户端设备接收到重新配置(Reconfigure)报文后,解析报文中的“OPTION_RECONF_MSG”,如果其中的“msg-type”为5,则表示前缀变化,发送续约(Renew)报文;如果其中的“msg-type”为11,则表示选项参数变化,发送信息请求(Information-request)报文。 
步骤211,DHCPv6服务器返回相应的回复(Reply)报文。 
步骤212,如果客户端设备不再使用IP地址,如用户下线时,客户端设备向DHCPv6服务器发送租约释放(Release)报文。 
步骤213,接收到租约释放(Release)报文后,DHCPv6服务器将相应的IP地址标记为空闲,以备后续重新使用,并返回相应的回复(Reply)报文。 
步骤214,如果客户端设备在根据步骤204中的所得到的前缀进行地址配置后,通过重复地址检测发现该地址已经被使用,则向DHCPv6服务器发送拒绝(Decline)报文,以告知DHCPv6服务器。 
DHCPv6有状态配置方式,除了上述如图2所示的正常地址分配报文交互过程外,还有一种快速地址分配报文交互过程,具体为:客户端设备在步骤201中发送的恳求(Solicit)报文中增加快速应答(rapid commit)选项,则DHCPv6服务器收到有快速应答选项的恳求(Solicit)报文后,直接回应步骤204中所示的回复(Reply)报文,且该回复(Replay)报文中也携带有快速应答选项;其他步骤与图2相同。 
邻居发现(ND,Neighbor Discovery)协议是IPv6的基本组成部分。ND协议使用五种类型的第6版本互联网控制报文协议(ICMPv6,InternetControl Message Protocol Version 6)报文实现以下功能:地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现、地址自动配置和重定向等。ND协议使用的五种类型的ICMPv6报文及其作用如表1所示: 
表1 
在现有的网络组网中,DHCPv6中继功能部署在三层设备上,下面直接通过二层交换机接入主机,主机可以直接和DHCPv6中继设备进行ND协议报文的交互。由于ND协议报文都是明文传送的,主机上如果存在伪造者,可能通过伪造ND报文的方式给DHCPv6中继设备造成攻击。例如,伪造NS报文,使得DHCPv6中继设备的ND表项过多,或者伪造NA报文,更改DHCPv6中继设备的ND表项,给网络增加了不安全因素。 
针对上述DHCPv6中继设备容易遭受伪造ND报文攻击的问题,现有技术中采了用静态地址分配和“SEND”方案。其中,静态地址分配方案为在接入交换机上针对每个可能的接入者,预先分配IPv6地址,并将其与链路地址、接入点进行绑定,接入点即链路层连接点,如以太网中的端口。SEND方案对ND报文进行加密认证,保证ND交互的安全性,需要路由器和主机都支持加密认证。 
但是,静态地址分配方案对于大规模的IPv6部署来说,管理成本较高,而SEND方案则需要当前设备和主机升级IPv6协议栈,以支持加密认证过程,目前支持的系统少,缺少部署的可能性。 
因此,需要一个新的防止伪造报文攻击,以保证DHCPv6中继设备的安 全的方案。 
发明内容
本发明提供了一种防止伪造报文攻击的方法,该方法能够防止DHCPv6中继设备遭受伪造ND报文的攻击。 
本发明还提供了一种DHCPv6中继设备,该DHCPv6中继设备能够防止伪造ND报文的攻击。 
为达到上述目的,本发明的技术方案具体是这样实现的: 
本发明公开了一种防止伪造报文攻击的方法,该方法适用于客户端设备与支持IPv6动态主机配置协议DHCPv6服务器之间通过DHCPv6中继设备进行通信的组网,该方法包括: 
DHCPv6中继设备转发客户端设备与DHCPv6服务器之间的有状态配置方式下的地址分配报文; 
DHCPv6中继设备根据所转发的地址分配报文中的客户端设备信息,建立并维护安全信息表;所述安全信息表中的每一个表项包括:互联网协议IP地址、客户端设备标记、接入点、租期和表项状态;其中,表项状态取临时状态、运行状态和更新状态中的一种; 
DHCPv6中继设备接收到来自客户端设备的ND报文时,根据该ND报文的源IP地址、客户端设备标记以及接收到ND报文的接入点查找安全信息表;如果没有查找到匹配的表项,则丢弃该ND报文;如果查找到匹配的表项,则判断该表项的状态,若是临时状态,则丢弃该ND报文,若不是临时状态,则正常处理该ND报文。 
本发明还公开了一种DHCPv6中继设备,客户端设备与DHCPv6服务器之间通过该DHCPv6中继设备进行通信,该DHCPv6中继设备包括:转发模块,存储模块和过滤模块,其中, 
转发模块,用于转发客户端设备与DHCPv6服务器之间的有状态配置方式下的地址分配报文,并根据所转发的地址分配报文中的客户端设备信息,建立并维护安全信息表;所述安全信息表中的每一个表项包括:互联网协议IP地址、客户端设备标记、接入点、租期和表项状态;其中,表项状态取临时状态、运行状态和更新状态中的一种; 
存储模块,用于保存安全信息表; 
过滤模块,用于在接收到来自客户端设备的ND报文时,根据该ND报文的源IP地址、客户端设备标记以及接收到ND报文的接入点查找安全信息表;如果没有查找到匹配的表项,则丢弃该ND报文;如果查找到匹配的表项,则判断该表项的状态,若是临时状态,则丢弃该ND报文,若不是临时状态,则正常处理该ND报文。 
由上述技术方案可见,本发明这种DHCPv6中继设备转发客户端设备与 DHCPv6服务器之间的有状态配置方式下的地址分配报文,根据所转发的地址分配报文中的客户端设备信息,建立并维护安全信息表,并根据所述安全信息表过滤客户端设备发送的邻居发现ND报文的技术方案,能够防止DHCPv6中继设备遭受伪造ND报文的攻击。 
附图说明
图1是现有技术中的运行DHCPv6的典型组网示意图; 
图2是现有技术中的DHCPv6有状态配置方式下的地址分配报文交互过程的示意图; 
图3是本发明实施例一种防止伪造报文攻击的方法的流程图; 
图4是本发明实施例中的安全信息表项的状态转换示意图; 
图5是本发明实施例一种DHCPv6中继设备的组成结构示意图。 
具体实施方式
本发明的核心思想是:DCHPv6中继设备在转发客户端设备与DHCPv6服务器之间的有状态配置方式下的地址分配报文的过程中,根据地址分配报文中的内容,记录客户端设备的信息,并根据所记录的客户端设备信息,过滤伪造的ND报文,从而解决DHCPv6中继设备上的ND报文容易被伪造,资源容易被恶意侵占,导致网络故障的问题。 
图3是本发明实施例一种防止伪造报文攻击的方法的流程图。该方法适用于客户端设备与DHCPv6服务器之间通过DHCPv6中继设备进行通信的组网,例如如图1所示的组网等,如图3所示,该方法包括: 
步骤301,DHCPv6中继设备转发客户端设备与DHCPv6服务器之间的有状态配置方式下的地址分配报文。 
本步骤中,客户端设备与DHCPv6服务器之间的有状态配置方式下的地址分配报文,即为图2所示过程中所发送的各个报文。 
步骤302,DHCPv6中继设备根据所转发的地址分配报文中的客户端设 备信息,建立并维护安全信息表。 
步骤303,DHCPv6中继设备根据所述安全信息表过滤客户端设备发送的邻居发现ND报文。 
为使本发明的目的、技术方案及优点更加清楚明白,以下对DHCPv6中继设备根据所转发的地址分配报文中的客户端设备信息,建立并维护安全信息表进行详细说明,包括以下几个方面: 
1、安全信息表的内容 
本发明实施例中的安全信息表如表2所示: 
  IP地址   客户端设备标记   接入点   租期   表项状态
  IP1   标记1   接口1   租期1   临时
  IP2   标记2   接口2   租期2   运行
  IP3   标记3   接口3   租期3   更新
  ……   ……   ……   ……   ……
表2 
如表2所示,安全信息表中的每一个表项包括:IP地址、客户端设备标记、接入点、租期和表项状态;其中,表项状态取临时状态、运行状态和更新状态中的一种。在本发明的以下实施例中,客户端设备标记包括:客户端设备的链路地址和交互标记。 
2、请求(Request)报文 
DHCPv6中继设备接收到客户端设备发送的请求(Request)报文时,根据该请求报文中的客户端设备标记查找安全信息表。本实施例中客户端设备标记包括:客户端设备的链路地址和交互标记(Transaction ID)。如果安全信息表中不存在具有相同客户端设备链路地址和交互标记的表项,则根据该请求报文中的客户端设备链路地址、交互标记以及接收该请求报文的接入点,在安全信息表中建立一个如表3所示的表项,且该表项的状态为临时状态: 
  IP地址   链路地址   交互标记   接入点   租期   表项状态
  ×××   1-1-1   123456   接口1   ×××   临时
表3 
如表3所示,该请求(Request)报文中的链路地址为“1-1-1”,交互标记为“123456”,接入点为“接口1”,点对应表项的状态为“临时”。由于此时还没有获得IP地址以及IP地址的租期信息,因此这两项空白,或者为无效值。 
需要说明的是,如果安全信息表中已经存在与请求报文具有相同客户端设备链路地址和交互标记的表项,则不再建立相应的表项,按照现有技术正常处理请求报文即可。 
3、应答请求(Request)报文的回复(Reply)报文 
DHCPv6中继设备接收到DHCPv6服务器发送的回应请求(Request)报文的回复(Reply)报文时,根据该回复报文中的客户端设备链路地址和交互标记查找安全信息表,对于查找到的具有相同客户端设备链路地址和交互标记,且处于临时状态的表项,将该表项的状态变更为运行状态,并将该回复报文中的客户端设备IP地址和租期信息添加到该表项中。如果查找的表项为表3所示的表项,则该表项变更为如表4所示: 
  IP地址   链路地址   交互标记   接入点   租期   表项状态
  1::1   1-1-1   123456   接口1   7天   运行
表4 
如表4所示,该回复报文中的客户端设备的IP地址为“1::1”,租期为7天,因此DHCPv6中继设备为该表项启动IP地址租期定时器,该定时器的定时时间为7天。 
4、续约报文(Renew)/重新绑定(Rebind)报文 
DHCPv6中继设备接收客户端设备发送的续约(Renew)报文时,根据该续约报文中的客户端设备IP地址、客户端设备链路地址和交互标记查找安全信息表,对于查找到的具有相同IP地址、链路地址和交互标记,且处于运行状态的表项,将该表项的状态变更为更新状态。如果查找得到表项为表4所示的表项,则该表项变更为如表5所示: 
  IP地址   链路地址   交互标记   接入点   租期   表项状态
  1::1   1-1-1   123456   接口1   7天   更新
[0072] 表5 
DHCPv6中继设备接收客户端设备发送的重新绑定(Rebind)报文时,与接收到续约(Renew)报文时的处理相同,即根据该重新绑定报文中的客户端设备IP地址、客户端设备链路地址和交互标记查找安全信息表,对于查找到的具有相同IP地址、链路地址和交互标记,且处于运行状态的表项,将该表项的状态变更为更新状态。 
5、应答续约报文(Renew)/重新绑定(Rebind)报文的回复(Reply)报文 
DHCPv6中继设备接收到DHCPv6服务器发送的回应续约报文或重新绑定报文的回复报文时,根据该回复报文中的客户端设备IP地址、客户端设备链路地址和交互标记查找安全信息表,对于查找到的具有相同IP地址、链路地址和交互标记,且处于更新状态的表项,将该表项的状态变更为运行状态,并用该回复报文中的租期信息更新该表项中的租期。如果查找得到表项为表5所示的表项,则该表项变更为如表6所示: 
  IP地址   链路地址   交互标记   接入点   租期   表项状态
  1::1   1-1-1   123456   接口1   8天   运行
表6 
如表6所示,该回复报文中的租期为8天,则DHCPv6中继设备删除该表项原有的IP地址租期定时器的同时,为该项启动一个定时时间为8天的IP地址租期定时器。 
6、租约释放(Release)报文/拒绝(Decline)报文 
DHCPv6中继设备接收客户端设备发送的租约释放(Release)报文或拒绝(Decline)报文时,根据该租约释放报文/拒绝报文中的客户端设备IP地址、客户端设备链路地址和交互标记查找安全信息表,并删除所查找到的具有相同客户端设备IP地址、链路地址和交互标记的表项。如果查找到表项为表6所示的表项,则删除该表项。 
7、租期到期,删除表项 
DHCPv6中继设备根据安全信息表中的各个表项的租期,删除租期到期的表项。例如,对于表6所示的表项,当定时时间为8天的IP地址租期定时器超时时,删除该表项。 
如果客户端设备与DHCPv6服务器之间还存在快速地址分配报文交互的过程,则还需要根据携带有快速应答选项的恳求(Solicit)报文和相应的回复(Reply)报文建立和维护安全信息表。 
8、携带快速应答选项的恳求(Solicit)报文 
DHCPv6中继设备接收到客户端设备发送的携带快速应答选项的恳求(Solicit)报文时,根据该恳求报文中客户端设备链路地址和交互标记查找安全信息表,如果安全信息表中不存在具有相同客户端设备链路地址和交互标记的表项,则根据该恳求报文中的客户端设备链路地址、交互标记以及接收该恳求报文的接入点,在安全信息表中建立一个表项,且该表项的状态为临时状态。例如,如表3所示的表项。 
9、携带快速应答选项的回复(Reply)报文 
DHCPv6中继设备接收到DHCPv6服务器发送的回应恳求(Solicit)报文的携带快速应答选项的回复(Reply)报文时,根据该回复报文中的客户端设备链路地址和交互标记查找安全信息表;对于查找到的具有相同客户端设备链路地址和交互标记,且处于临时状态的表项,将该表项的状态变更为运行状态,并将该回复报文中的客户端设备IP地址和租期信息添加到该表项中。例如,如表4所示的表项。 
10、临时表项的定时器超时 
DHCPv6中继设备为处于临时状态的安全信息表项设定一个定时器,如果在该定时器超时时,仍没有转换为运行状态,则删除该临时状态的表项。本实施例中取60秒的定时器。 
为了清楚明了地描述上述安全信息表中的表项的状态转换过程,本发明实施例中给出了图4所示的状态转换图。 
图4是本发明实施例中的安全信息表项的状态转换示意图。在图4中, “E”表示令安全信息表项状态迁移的事件,“A”表示安全信息表项状态迁移时所执行的动作,则令安全信息表项状态迁移的事件序列如表7所示,安全信息表项状态迁移时执行的动作序列如表8所示: 
  事件编号  事件描述
  E1  接收客户端设备的请求(Request)报文,且安全信息表中没有对应表项
  E2  接收DHCPv6服务器的回复(Reply)报文
  E3  接收客户端设备的续约(Renew)或重新绑定(Rebind)报文
  E4  接收客户端设备的携带快速应答选项的恳求(Solicit)报文,且安全信息 表中没有对应的表项
  E5  接收客户端设备的租约释放(Release)报文或拒绝(Decline)报文
  E6  T1定时器超时;60秒定时器超时
  E7  T2定时器超时;T2为客户端设备的IP地址租期定时器超时
表7 
  动作编号   动作说明
  A1   创建表项,状态为“临时”
  A2   状态迁移到“运行”状态
  A3   状态迁移到“更新”状态
  A4   删除表项
表8 
基于上述过程建立并维护的安全信息表,DHCPv6中继设备可以过滤所接收的伪造的ND报文。具体可以为:DHCPv6中继设备接收到来自客户端设备的ND报文时,根据该ND报文的源IP地址、客户端设备标记以及接收到ND报文的接入点查找安全信息表;如果没有查找到匹配的表项,则丢弃该ND报文;如果查找到匹配的表项,则进一步判断该表项的状态,如果是临时状态,则丢弃该ND报文,否则,按照现有技术正常处理该ND报文。 
例如,至少可以防止以下几种情况下的伪造ND报文的攻击。 
情况1:仿冒合法用户的NS/NA攻击 
在图1所示的组网中,客户端设备1仿冒客户端设备2发送NS/NA报文,企图更新DHCPv6中继设备中记录的客户端2的ND表项,例如,MAC信息等。如果此时DHCPv6中继设备根据本发明的方案具有了安全信息表,记录了合法的客户端设备2的信息,则可以过滤掉伪造的NS/NA报文。 
情况2:欺骗网关的RS攻击 
在图1所示的组网中,客户端设备1仿冒客户端设备2发送RS报文,企图更新作为网关的DHCPv6中继设备中记录的客户端2的ND表项,例如,MAC信息等。如果此时DHCPv6中继设备根据本发明的方案具有了安全信息表,记录了合法的客户端设备2的信息,则可以过滤掉伪造的RS报文。 
情况3:欺骗用户的重定向(Redirect)报文 
在图1所示的组网中,客户端设备1仿冒作为网关的DHCPv6中继设备发送重定向(Redirect)报文给客户端设备2,更新客户端设备2中记录的ND表项,截获客户端设备2发送给DHCPv6中继设备的报文。客户端设备1同时发送一份RA报文给DHCPv6中继设备,企图更新DHCPv6中继记录的客户端设备2的ND表项,例如,MAC信息等,让DHCPv6中继设备将发送给客户端设备2的报文发送给客户端设备1。如果此时DHCPv6中继设备根据本发明的方案具有了安全信息表,记录了合法的客户端设备2的信息,则可以过滤掉伪造的RA报文,防止客户端设备2的报文发送给客户端设备1。 
情况4:非法用户上线的攻击 
在图1所示的组网中,客户端设备1在没有通过DHCP获得IPv6地址的情况下,私自配置IPv6地址,然后直接通过作为网关的DHCPv6中继设备上网。如果此时DHCPv6中继设备根据本发明的方案具有了安全信息表,记录了合法的客户端设备的信息,但并没有记录非法的客户端设备1的信息,则可以过滤掉非法的客户端设备1的上网请求。 
基于上述实施例,给出本发明中的DHCPv6中继设备的组成结构。 
图5是本发明实施例一种DHCPv6中继设备的组成结构示意图。客户端设备与DHCPv6服务器之间通过该DHCPv6中继设备进行通信,如图5所示,该DHCPv6中继设备包括:转发模块501,存储模块502和过滤模块503,其中: 
转发模块501,用于转发客户端设备与DHCPv6服务器之间的有状态配置方式下的地址分配报文,并根据所转发的地址分配报文中的客户端设备信 息,建立并维护安全信息表; 
存储模块502,用于保存安全信息表; 
过滤模块503,用于根据所述安全信息表过滤客户端设备发送的邻居发现ND报文。 
在图5中,转发模块501所转发的地址分配报文包括:请求报文、续约报文、重新绑定报文、回复报文、租约释放报文和拒绝报文。转发模块501所建立的安全信息表中的每一个表项包括:互联网协议IP地址、客户端设备标记、接入点、租期和表项状态;其中,表项状态取临时状态、运行状态和更新状态中的一种。 
转发模块501,用于在接收到客户端设备发送的请求报文时,根据该请求报文中的客户端设备标记查找安全信息表,如果安全信息表中不存在具有相同客户端设备标记的表项,则根据该请求报文中的客户端设备标记以及接收该请求报文的接入点,在安全信息表中建立一个表项,且该表项的状态为临时状态。 
转发模块501,用于在接收到DHCPv6服务器发送的回应请求报文的回复报文时,根据该回复报文中的客户端设备标记查找安全信息表,对于查找到的具有相同客户端设备标记且处于临时状态的表项,将该表项的状态变更为运行状态,并将该回复报文中的客户端设备IP地址和租期信息添加到该表项中。 
转发模块501,用于在接收客户端设备发送的续约报文/重新绑定报文时,根据该续约报文/重新绑定报文中的客户端设备IP地址和客户端设备标记查找安全信息表,对于查找到的具有相同IP地址和客户端设备标记,且处于运行状态的表项,将该表项的状态变更为更新状态; 
转发模块501 ,用于在接收到DHCPv6服务器发送的回应续约报文/重新绑定报文的回复报文时,根据该回复报文中的客户端设备IP地址和客户端设备标记查找安全信息表,对于查找到的具有相同客户端设备IP地址和客户端设备标记且处于更新状态的表项,将该表项的状态变更为运行状态, 并用该回复报文中的租期信息更新该表项中的租期; 
转发模块501,用于在接收客户端设备发送的租约释放报文/拒绝报文时,根据该租约释放报文/拒绝报文中的客户端设备IP地址和客户端设备标记查找安全信息表,并删除所查找到的具有相同客户端设备IP地址和客户端设备标记的表项; 
转发模块501,用于根据安全信息表中的各个表项的租期,删除租期到期的表项。 
在图5中,转发模块501所转发地址分配报文进一步包括:携带快速应答选项的恳求报文,以及回应恳求报文的携带快速应答选项的回复报文。 
转发模块501,进一步用于在接收到客户端设备发送的携带快速应答选项的恳求报文时,根据该恳求报文中客户端设备标记查找安全信息表,如果安全信息表中不存在具有相同客户端设备标记的表项,则根据该恳求报文中的客户端设备标记以及接收该请求报文的接入点,在安全信息表中建立一个表项,且该表项的状态为临时状态。 
转发模块501,进一步用于在接收到DHCPv6服务器发送的携带快速应答选项的回复报文时,根据该回复报文中的客户端设备标记查找安全信息表,对于查找到的具有相同客户端设备标记且处于临时状态的表项,将该表项的状态变更为运行状态,并将该回复报文中的客户端设备IP地址和租期信息添加到该表项中。 
在图5中,转发模块501所建立的安全信息表中的客户端设备标记包括:客户端设备链路地址和交互标记。 
在图5中,过滤模块503,用于在接收到来自客户端设备的ND报文时,根据该ND报文的源IP地址、客户端设备标记以及接收到ND报文的接入点查找安全信息表;如果没有查找到匹配的表项,则丢弃该ND报文;如果查找到匹配的表项,则进一步判断该表项的状态,如果是临时状态,则丢弃该ND报文,否则,正常处理该ND报文。 
综上所述,本发明这种DHCPv6中继设备转发客户端设备与DHCPv6 服务器之间的有状态配置方式下的地址分配报文,根据所转发的地址分配报文中的客户端设备信息,建立并维护安全信息表,并根据所述安全信息表过滤客户端设备发送的邻居发现ND报文的技术方案,能够防止DHCPv6中继设备遭受伪造ND报文的攻击。 
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。 

Claims (18)

1.一种防止伪造报文攻击的方法,该方法适用于客户端设备与支持IPv6动态主机配置协议DHCPv6服务器之间通过DHCPv6中继设备进行通信的组网,其特征在于,该方法包括:
DHCPv6中继设备转发客户端设备与DHCPv6服务器之间的有状态配置方式下的地址分配报文;
DHCPv6中继设备根据所转发的地址分配报文中的客户端设备信息,建立并维护安全信息表;所述安全信息表中的每一个表项包括:互联网协议IP地址、客户端设备标记、接入点、租期和表项状态;其中,表项状态取临时状态、运行状态和更新状态中的一种;
DHCPv6中继设备接收到来自客户端设备的ND报文时,根据该ND报文的源IP地址、客户端设备标记以及接收到ND报文的接入点查找安全信息表;如果没有查找到匹配的表项,则丢弃该ND报文;如果查找到匹配的表项,则判断该表项的状态,若是临时状态,则丢弃该ND报文,若不是临时状态,则正常处理该ND报文。
2.如权利要求1所述的方法,其特征在于,
所述地址分配报文包括请求报文;
所述DHCPv6中继设备根据所转发的地址分配报文中的客户端设备信息,建立并维护安全信息表包括:
DHCPv6中继设备接收到客户端设备发送的请求报文时,根据该请求报文中的客户端设备标记查找安全信息表,如果安全信息表中不存在具有相同客户端设备标记的表项,则根据该请求报文中的客户端设备标记以及接收该请求报文的接入点,在安全信息表中建立一个表项,且该表项的状态为临时状态。
3.如权利要求2所述的方法,其特征在于,
所述地址分配报文进一步包括回应请求报文的回复报文;
DHCPv6中继设备接收到DHCPv6服务器发送的回应请求报文的回复报文时,根据该回复报文中的客户端设备标记查找安全信息表,对于查找到的具有相同客户端设备标记且处于临时状态的表项,将该表项的状态变更为运行状态,并将该回复报文中的客户端设备IP地址和租期信息添加到该表项中。
4.如权利要求3所述的方法,其特征在于,
所述地址分配报文进一步包括:续约报文、重新绑定报文;
DHCPv6中继设备接收客户端设备发送的续约报文/重新绑定报文时,根据该续约报文/重新绑定报文中的客户端设备IP地址和客户端设备标记查找安全信息表,对于查找到的具有相同IP地址和客户端设备标记,且处于运行状态的表项,将该表项的状态变更为更新状态。
5.如权利要求4所述的方法,其特征在于,
所述地址分配报文进一步包括:回应续约报文的回复报文、回应重新绑定报文的回复报文;
DHCPv6中继设备接收到DHCPv6服务器发送的回应续约报文/重新绑定报文的回复报文时,根据该回复报文中的客户端设备IP地址和客户端设备标记查找安全信息表,对于查找到的具有相同客户端设备IP地址和客户端设备标记且处于更新状态的表项,将该表项的状态变更为运行状态,并用该回复报文中的租期信息更新该表项中的租期。
6.如权利要求5所述的方法,其特征在于,
所述地址分配报文进一步包括租约释放报文、拒绝报文;
DHCPv6中继设备接收客户端设备发送的租约释放报文/拒绝报文时,根据该租约释放报文/拒绝报文中的客户端设备IP地址和客户端设备标记查找安全信息表,并删除所查找到的具有相同客户端设备IP地址和客户端设备标记的表项。
7.如权利要求2-6任一权项所述的方法,其特征在于,该方法进一步包括:
DHCPv6中继设备根据安全信息表中的各个表项的租期,删除租期到期的表项。
8.如权利要求7所述的方法,其特征在于,
所述地址分配报文进一步包括:携带快速应答选项的恳求报文,以及回应恳求报文的携带快速应答选项的回复报文;
DHCPv6中继设备接收到客户端设备发送的携带快速应答选项的恳求报文时,根据该恳求报文中客户端设备标记查找安全信息表,如果安全信息表中不存在具有相同客户端设备标记的表项,则根据该恳求报文中的客户端设备标记以及接收该恳求报文的接入点,在安全信息表中建立一个表项,且该表项的状态为临时状态;
DHCPv6中继设备接收到DHCPv6服务器发送的携带快速应答选项的回复报文时,根据该回复报文中的客户端设备标记查找安全信息表,对于查找到的具有相同客户端设备标记且处于临时状态的表项,将该表项的状态变更为运行状态,并将该回复报文中的客户端设备IP地址和租期信息添加到该表项中。
9.如权利要求8所述的方法,其特征在于,
所述客户端设备标记包括:客户端设备链路地址和交互标记。
10.一种DHCPv6中继设备,客户端设备与DHCPv6服务器之间通过该DHCPv6中继设备进行通信,其特征在于,该DHCPv6中继设备包括:转发模块,存储模块和过滤模块,其中,
转发模块,用于转发客户端设备与DHCPv6服务器之间的有状态配置方式下的地址分配报文,并根据所转发的地址分配报文中的客户端设备信息,建立并维护安全信息表;所述安全信息表中的每一个表项包括:互联网协议IP地址、客户端设备标记、接入点、租期和表项状态;其中,表项状态取临时状态、运行状态和更新状态中的一种;
存储模块,用于保存安全信息表;
过滤模块,用于在接收到来自客户端设备的ND报文时,根据该ND报文的源IP地址、客户端设备标记以及接收到ND报文的接入点查找安全信息表;如果没有查找到匹配的表项,则丢弃该ND报文;如果查找到匹配的表项,则判断该表项的状态,若是临时状态,则丢弃该ND报文,若不是临时状态,则正常处理该ND报文。
11.如权利要求10所述的DHCPv6中继设备,其特征在于,
转发模块所转发的地址分配报文包括:请求报文;
所述转发模块,用于在接收到客户端设备发送的请求报文时,根据该请求报文中的客户端设备标记查找安全信息表,如果安全信息表中不存在具有相同客户端设备标记的表项,则根据该请求报文中的客户端设备标记以及接收该请求报文的接入点,在安全信息表中建立一个表项,且该表项的状态为临时状态。
12.如权利要求11所述的DHCPv6中继设备,其特征在于,
转发模块所转发的地址分配报文进一步包括:回应请求报文的回复报文;
所述转发模块,进一步用于在接收到DHCPv6服务器发送的回应请求报文的回复报文时,根据该回复报文中的客户端设备标记查找安全信息表,对于查找到的具有相同客户端设备标记且处于临时状态的表项,将该表项的状态变更为运行状态,并将该回复报文中的客户端设备IP地址和租期信息添加到该表项中。
13.如权利要求12所述的DHCPv6中继设备,其特征在于,
转发模块所转发的地址分配报文进一步包括:续约报文,重新绑定报文;
所述转发模块,进一步用于在接收客户端设备发送的续约报文/重新绑定报文时,根据该续约报文/重新绑定报文中的客户端设备IP地址和客户端设备标记查找安全信息表,对于查找到的具有相同IP地址和客户端设备标记,且处于运行状态的表项,将该表项的状态变更为更新状态。
14.如权利要求13所述的DHCPv6中继设备,其特征在于,
转发模块所转发的地址分配报文进一步包括:回应续约报文的回复报文,回应重新绑定报文的回复报文;
所述转发模块,进一步用于在接收到DHCPv6服务器发送的回应续约报文/重新绑定报文的回复报文时,根据该回复报文中的客户端设备IP地址和客户端设备标记查找安全信息表,对于查找到的具有相同客户端设备IP地址和客户端设备标记且处于更新状态的表项,将该表项的状态变更为运行状态,并用该回复报文中的租期信息更新该表项中的租期。
15.如权利要求14所述的DHCPv6中继设备,其特征在于,
转发模块所转发的地址分配报文进一步包括:租约释放报文,拒绝报文;
所述转发模块,进一步用于在接收客户端设备发送的租约释放报文/拒绝报文时,根据该租约释放报文/拒绝报文中的客户端设备IP地址和客户端设备标记查找安全信息表,并删除所查找到的具有相同客户端设备IP地址和客户端设备标记的表项。
16.如权利要求11-15任一权项所述的DHCPv6中继设备,其特征在于,
所述转发模块,用于根据安全信息表中的各个表项的租期,删除租期到期的表项。
17.如权利要求16所述的DHCPv6中继设备,其特征在于,
转发模块所转发地址分配报文进一步包括:携带快速应答选项的恳求报文,以及回应恳求报文的携带快速应答选项的回复报文;
所述转发模块,进一步用于在接收到客户端设备发送的携带快速应答选项的恳求报文时,根据该恳求报文中客户端设备标记查找安全信息表,如果安全信息表中不存在具有相同客户端设备标记的表项,则根据该恳求报文中的客户端设备标记以及接收该请求报文的接入点,在安全信息表中建立一个表项,且该表项的状态为临时状态;
所述转发模块,进一步用于在接收到DHCPv6服务器发送的携带快速应答选项的回复报文时,根据该回复报文中的客户端设备标记查找安全信息表,对于查找到的具有相同客户端设备标记且处于临时状态的表项,将该表项的状态变更为运行状态,并将该回复报文中的客户端设备IP地址和租期信息添加到该表项中。
18.如权利要求17所述的DHCPv6中继设备,其特征在于,
转发模块所建立的安全信息表中的客户端设备标记包括:客户端设备链路地址和交互标记。
CN2009100865725A 2009-06-09 2009-06-09 一种防止伪造报文攻击的方法和中继设备 Active CN101572712B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2009100865725A CN101572712B (zh) 2009-06-09 2009-06-09 一种防止伪造报文攻击的方法和中继设备
US12/765,318 US20100313265A1 (en) 2009-06-09 2010-04-22 Method and Apparatus for Preventing Spoofed Packet Attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009100865725A CN101572712B (zh) 2009-06-09 2009-06-09 一种防止伪造报文攻击的方法和中继设备

Publications (2)

Publication Number Publication Date
CN101572712A CN101572712A (zh) 2009-11-04
CN101572712B true CN101572712B (zh) 2012-06-27

Family

ID=41231949

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009100865725A Active CN101572712B (zh) 2009-06-09 2009-06-09 一种防止伪造报文攻击的方法和中继设备

Country Status (2)

Country Link
US (1) US20100313265A1 (zh)
CN (1) CN101572712B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110730254A (zh) * 2019-10-14 2020-01-24 新华三信息安全技术有限公司 一种地址分配的方法、装置、中继设备及介质

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102137073B (zh) * 2010-01-22 2013-12-25 杭州华三通信技术有限公司 一种防止仿冒ip地址进行攻击的方法和接入设备
US8793745B2 (en) * 2010-04-14 2014-07-29 Hughes Network Systems, Llc Method and apparatus for data rate controller for a code block multiplexing scheme
CN102238075A (zh) * 2010-05-05 2011-11-09 杭州华三通信技术有限公司 基于以太网点对点协议的IPv6路由建立方法及接入服务器
CN102255874B (zh) * 2010-05-19 2014-03-12 杭州华三通信技术有限公司 一种安全接入方法及汇聚设备
CN101873320B (zh) * 2010-06-17 2014-02-12 杭州华三通信技术有限公司 一种基于DHCPv6中继的客户端信息确认方法及其装置
CN102724101B (zh) 2011-03-29 2015-01-21 华为技术有限公司 报文转发方法及系统与中继代理设备
US8819191B2 (en) * 2011-07-12 2014-08-26 Cisco Technology, Inc. Efficient use of dynamic host configuration protocol in low power and lossy networks
US9270638B2 (en) * 2012-01-20 2016-02-23 Cisco Technology, Inc. Managing address validation states in switches snooping IPv6
CN102546663A (zh) * 2012-02-23 2012-07-04 神州数码网络(北京)有限公司 一种防止重复地址检测攻击的方法和装置
CN102761542B (zh) * 2012-06-25 2015-04-15 杭州华三通信技术有限公司 一种防止组播数据攻击的方法和设备
CN103517374B (zh) * 2012-06-26 2017-09-12 华为终端有限公司 建立无线连接的方法及无线中继器
CN102946385B (zh) * 2012-10-30 2015-09-23 杭州华三通信技术有限公司 一种防止伪造释放报文进行攻击的方法和设备
US9088608B2 (en) * 2013-03-12 2015-07-21 Cisco Technology, Inc. Throttling and limiting the scope of neighbor solicitation (NS) traffic
CN104601476B (zh) * 2013-10-31 2018-07-13 华为技术有限公司 组播数据报文转发方法、装置和交换机
CN104243454A (zh) * 2014-08-28 2014-12-24 杭州华三通信技术有限公司 一种IPv6报文过滤方法和设备
CN105471615A (zh) * 2014-09-12 2016-04-06 中兴通讯股份有限公司 一种动态主机配置协议dhcp信息异常的处理方法及装置
FR3043810B1 (fr) * 2015-11-16 2017-12-08 Bull Sas Procede de surveillance d'echange de donnees sur un reseau de type liaison h implementant une technologie tdma
CN105959282A (zh) * 2016-04-28 2016-09-21 杭州迪普科技有限公司 Dhcp攻击的防护方法及装置
US10027576B2 (en) * 2016-05-23 2018-07-17 Juniper Networks, Inc. Method, system, and apparatus for proxying intra-subnet traffic across multiple interfaces within networks
CN106506410B (zh) * 2016-10-31 2020-05-12 新华三技术有限公司 一种安全表项建立方法及装置
CN106878291B (zh) * 2017-01-22 2021-03-23 新华三技术有限公司 一种基于前缀安全表项的报文处理方法及装置
CN108848100B (zh) * 2018-06-27 2020-10-20 清华大学 一种有状态IPv6地址生成方法及装置
US10404747B1 (en) * 2018-07-24 2019-09-03 Illusive Networks Ltd. Detecting malicious activity by using endemic network hosts as decoys
CN109379291B (zh) * 2018-09-29 2021-09-07 新华三技术有限公司合肥分公司 一种组网中服务请求的处理方法及装置
CN109698840B (zh) * 2019-02-27 2022-02-25 新华三大数据技术有限公司 检测dhcp恶意事件方法及装置
CN110401646B (zh) * 2019-07-15 2020-05-05 中国人民解放军战略支援部队信息工程大学 IPv6安全邻居发现过渡环境中CGA参数探测方法及装置
CN115460176B (zh) * 2022-09-29 2023-10-03 苏州浪潮智能科技有限公司 Dhcp服务器无效地址回收方法、装置、设备、介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101047996A (zh) * 2006-06-09 2007-10-03 华为技术有限公司 获取目标网络转交地址信息的方法、系统及其应用
CN101415002A (zh) * 2008-11-11 2009-04-22 华为技术有限公司 防止报文攻击的方法、数据通信设备及通信系统

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1233135C (zh) * 2002-06-22 2005-12-21 华为技术有限公司 一种动态地址分配中防止ip地址欺骗的方法
US7356009B1 (en) * 2002-10-02 2008-04-08 Cisco Technology, Inc. Method and apparatus for configuring a mobile node to retain a “home” IP subnet address
US7434254B1 (en) * 2002-10-25 2008-10-07 Cisco Technology, Inc. Method and apparatus for automatic filter generation and maintenance
US7343485B1 (en) * 2003-09-03 2008-03-11 Cisco Technology, Inc. System and method for maintaining protocol status information in a network device
KR100626676B1 (ko) * 2004-07-15 2006-09-25 삼성전자주식회사 애드 혹 네트워크에서 프리픽스 할당 방법
CN100440813C (zh) * 2004-09-28 2008-12-03 上海贝尔阿尔卡特股份有限公司 因特网协议第六版接入网的连接中断检测方法和设备
US7551559B1 (en) * 2004-10-22 2009-06-23 Cisco Technology, Inc. System and method for performing security actions for inter-layer binding protocol traffic
JP4664143B2 (ja) * 2005-07-22 2011-04-06 株式会社日立製作所 パケット転送装置、通信網及びパケット転送方法
US8161549B2 (en) * 2005-11-17 2012-04-17 Patrik Lahti Method for defending against denial-of-service attack on the IPV6 neighbor cache
US8935416B2 (en) * 2006-04-21 2015-01-13 Fortinet, Inc. Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer
US8239549B2 (en) * 2007-09-12 2012-08-07 Microsoft Corporation Dynamic host configuration protocol
EP2037712B1 (en) * 2007-09-14 2011-07-27 Huawei Technologies Co., Ltd. Method, apparatus and system for obtaining MIH (Media Independent Handover) service information
US8086713B2 (en) * 2009-01-28 2011-12-27 Juniper Networks, Inc. Determining a subscriber device has failed gracelessly without issuing a DHCP release message and automatically releasing resources reserved for the subscriber device within a broadband network upon determining that another subscriber device requesting the reservation of a network address has the same context information as the failed subscriber device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101047996A (zh) * 2006-06-09 2007-10-03 华为技术有限公司 获取目标网络转交地址信息的方法、系统及其应用
CN101415002A (zh) * 2008-11-11 2009-04-22 华为技术有限公司 防止报文攻击的方法、数据通信设备及通信系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
P.Nikander等.IPv6 Neighbor Discovery (ND) Trust Models and Threats.《Network Working Group RFC3756》.2004,1-18. *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110730254A (zh) * 2019-10-14 2020-01-24 新华三信息安全技术有限公司 一种地址分配的方法、装置、中继设备及介质

Also Published As

Publication number Publication date
US20100313265A1 (en) 2010-12-09
CN101572712A (zh) 2009-11-04

Similar Documents

Publication Publication Date Title
CN101572712B (zh) 一种防止伪造报文攻击的方法和中继设备
CN101577675B (zh) IPv6网络中邻居表保护方法及邻居表保护装置
CN101692674B (zh) 双栈接入的方法和设备
CN101582888B (zh) 一种创建邻居发现表项的方法和一种服务器
CN101827134B (zh) 自动释放为宽带接入网内的用户设备保留的资源
CN104104744B (zh) 一种ip地址分配的方法和装置
CN101741702B (zh) 实现arp请求广播限制的方法和装置
CN101179603B (zh) IPv6网络中用于控制用户网络接入的方法和装置
CN100571284C (zh) 复制网络地址的检测
CN101552783B (zh) 一种防止伪造报文攻击的方法和装置
CN100546304C (zh) 一种提高网络动态主机配置dhcp安全性的方法和系统
CN102647486A (zh) 地址分配方法、设备和系统
CN101621525B (zh) 合法表项的处理方法和设备
CN102014142B (zh) 一种源地址验证方法和系统
JP2007036374A (ja) パケット転送装置、通信網及びパケット転送方法
CN101656725A (zh) 一种实现安全接入的方法和一种接入设备
CN100536474C (zh) 防范利用地址解析协议进行网络攻击的方法及设备
CN102170395A (zh) 数据的传输方法及网络设备
KR20120015358A (ko) 동적 호스트 구성 프로토콜 버전 6 서버의 아이피 어드레스 획득 방법, 동적 호스트 구성 프로토콜 버전 6 서버 및 동적 호스트 구성 프로토콜 버전 6 통신 시스템
CN102394948B (zh) Dhcp地址分配方法及dhcp服务器
CN101707637A (zh) 一种分配ip地址的方法及系统
WO2014198142A1 (en) Zero-configuration networking protocol
CN105323325A (zh) 一种身份位置分离网络中的地址分配方法及接入服务节点
CN101577723B (zh) 一种防止邻居发现协议报文攻击的方法及装置
CN101098288A (zh) 在接入模式下实现业务服务器地址防欺骗的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Patentee after: Xinhua three Technology Co., Ltd.

Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base

Patentee before: Huasan Communication Technology Co., Ltd.

CP03 Change of name, title or address