[发明专利]防止IPv6数据报文攻击的方法、装置和交换路由设备

说明书

技术领域

本发明涉及IPv6技术领域，尤其涉及防止IPv6数据报文攻击的方法和装置，还公开了一种IPv6数据报文转发方法和一种交换路由设备。

背景技术

IETF(Internet Engineering Task Force，互联网工程任务组)在20世纪90年代提出了下一代互联网协议-IPv6。相对于IPv4，IPv6技术最为本质的改进就是将原来的地址长度由32位增加到了128位，从而带来了几乎无限的地址空间；同时，用基于ICMPv6(Internet Control Messages Protocolversion 6，网间控制报文协议第六版)的ND(Neighbor Discovery，邻居发现)协议替代了ARP(Address Resolution Protocol，地址解析协议)来实现重复地址检测、地址解析、路由器发现等功能。

但随着IPv6技术的推广，在实际应用或者组网测试过程中一些问题也逐渐暴露出来，报文攻击就是其中之一，包括协议报文欺骗如ICMPv6报文(特别是ND报文)欺骗，TCP SYN Flood(TCP同步泛洪)攻击和DDoS(Distributed Denial of Service，分布式拒绝服务)攻击等。典型的报文攻击可以分为协议报文攻击和数据报文攻击两种。

目前较常用的一种数据报文攻击方式是：

1、攻击设备向交换路由设备快速发送大量需要转发的攻击数据报文，且该需要转发的攻击数据报文具有以下特点：

(1)攻击数据报文的源地址任意，但目的地址不断变化，且变化的目的地址与交换路由设备的某一接口IPv6地址属于同一网段；

(2)攻击数据报文所有目的地址对应的节点都不可达，甚至实际上根本不存在；

(3)攻击数据报文的输入速率较高：对于路由器来说往往是按照线速(WireSpeed)方式输入流量，对于交换机来说，虽然能够对上送CPU的报文加以限速，但由于限速一般只针对协议报文而非数据报文，因此输入流量也难以控制；

2、交换路由设备对收到的攻击数据报文进行处理，如图1A所示，包括以下步骤：

首先，交换路由设备根据目的地址进行转发表的查找，由于攻击数据报文的目的地址往往与交换路由设备的某一接口IPv6地址属于同一网段，因此能够找到直连网段路由，则交换路由设备将下一跳地址填写为目的地址，并根据下一跳地址查找ND表项；

然后，由于攻击数据报文的目的节点不可达或者不存在，因此必然不存在对应的ND表项，这就需要ND协议发起地址解析；同样由于目的节点不可达或者不存在，因此地址解析结果必然是失败，交换路由设备还需要向源地址回应ICMPv6目的不可达报文。

需要指出，交换路由设备又分为交换设备(如交换机)和路由设备(如路由器)，对于这两种设备而言，上述对收到的攻击数据报文进行处理的过程稍有差别：

对于交换设备，是根据目的地址进行硬件转发表的查找，对于找到直连路由的情况，交给链路层由软件进行后续的转发处理，如图1B所示；

对于路由设备，则是直接由软件进行转发处理，即根据目的地址进行软件转发表的查找，并进行后续的转发处理，如图1C所示

由以上处理过程可以看出，无论对于交换设备还是对于路由设备，从链路层接收到攻击数据报文开始直至结束，都是软件转发处理流程，由CPU执行处理；因此，大流量的攻击数据报文攻击必然导致CPU的高负荷甚至瘫痪。

为了抵御上述数据报文攻击，现有技术的解决方案主要有两种：

一是从规格上进行限制，具体原理为限制接口下ND表项的最大学习个数，以及限制设备同时发起解析的ND表项的个数。这种解决方案可以使报文处理流程在“发起地址解析”的步骤发生变化，也就是对于超过规格限制的报文不再进行后续的处理，如图2A所示；

一是通过下发黑洞路由解决，具体原理为发起地址解析时，将所解析ND表项对应的主机路由下发给硬件转发表，并将相应主机路由的策略设置为BLACKHOLE(黑洞)；如果地址解析成功，则删除该主机黑洞路由。这种解决方案可以保证任何一个ND表项在解析成功之前，后续具有相同目的地址的数据报文都会由于匹配到黑洞表项而被直接丢弃，如图2B所示，显示了交换设备采用黑洞路由技术时的处理情况。

但是，现有技术的解决方案并不能从根本上解决数据报文攻击所导致的CPU高负荷问题。