[发明专利]防止IPv6报文攻击的方法及网络设备

说明书

技术领域

本发明涉及因特网协议技术领域，具体涉及一种防止IPv6报文攻击的方法及网络设备。

背景技术

IPv4中定义了严格源路由和自由源路由，在IPv6中也有类似的功能，IPv6在包的路由扩展头中定义了类型0和类型2两种路由头。源节点在IPv6包的类型0路由头中列出包到达目的节点必须经过的特定节点的地址，这些特定节点可以是IPv6包通过路径上的全部节点，也可以是通过路径上的部分节点。

图1给出了具有类型0路由头的IPv6报文的格式示意图，如图1所示，IPv6报文主要由IPv6基本头和IPv6载荷两部分组成。

IPv6基本头包括：版本号、下一个头、源地址、目的地址等字段，其中，版本号表示该报文为IPv4报文还是IPv6报文，当值为4时表示IPv4报文，值为6时表示IPv6报文；下一个头标志，表示IPv6基本头的下一个头，当值为43时，表示下一个头为路由头；源地址为始发该报文的源节点的地址，目的地址为该报文的下一跳的地址。

IPv6载荷部分主要包括路由头，路由头中的选项部分包括：类型字段、剩余段数字段和数据字段。其中，类型字段，用于表示路由头的类型，值为0表示类型0路由头，值为1表示类型1路由头；剩余段数字段，表示报文到达最终目的节点还需经过的特定节点的个数；数据字段中包含类型0路由头，类型0路由头中包含了报文到达最终目的地必须经过的特定节点的地址，如：IPv6地址[1]、IPv6地址[2]、...，最后一个IPv6地址即为IPv6报文的最终目的节点地址。

图2为现有的转发具有类型0路由头的IPv6报文的流程图，如图2所示，其具体步骤如下：

步骤201：源节点在IPv6报文中构造类型0路由头，类型0路由头中包括报文到达最终目的节点需经过的特定节点的地址，将剩余段数设置为特定节点的总数，将IPv6报文的第一跳的地址设置为基本头的目的地址。

步骤202：源节点将IPv6报文发送出去。

步骤203：IPv6报文到达一个节点，该节点判断基本头的目的地址是否为自身地址，若是，执行步骤205；否则，执行步骤204。

步骤204：节点直接将IPv6报文转发出去，转至步骤203。

步骤205：节点检查基本头中的下一个头标志，发现该标志为43，确定该IPv6报文具有路由头。

步骤206：节点检查IPv6报文的路由头中的选项部分，发现类型字段为0，则确定IPv6报文具有类型0路由头。

步骤207：节点判断路由头的选项部分中的剩余段数是否为0，若是，执行步骤208；否则，执行步骤209。

步骤208：节点确定自身即为该IPv6报文的最终目的节点，对IPv6报文的路由头之后的内容进行处理，本流程结束。

步骤209：节点根据类型0路由头中的地址总数以及剩余段数，确定IPv6报文将经过的下一个特定节点的地址，以该地址来替代IPv6基本头的目的地址，并将剩余段数减1，然后将IPv6报文转发出去，转至步骤203。

从步骤203～209可以看出，只有IPv6报文的必经节点，即始发IPv6报文的下一跳和类型0路由头中的地址所对应的特定节点，才会对报文的路由头进行处理，其它中间节点将忽略报文的路由头。

以图1为例，当源节点将构造好的IPv6报文发送出去时，报文会首先到达基本头中的目的地址：3000::2对应的节点，该节点发现报文基本头的目的地址即为自身地址，且检查到报文基本头的下一个头为路由头，则检查路由头的选项部分中的类型字段，确定报文具有类型0路由头，则检查剩余段数字段，发现剩余段数为6，确定自身不为最终目的节点，然后根据类型0路由头中的地址总数：6以及剩余段数：6，以IPv6地址[1]：3000::3替代基本头中的目的地址：3000::2，将剩余段数设置为5，然后将报文转发出去；依此类推，直至报文到达3000::8对应的最终目的节点。