[发明专利]一种防止仿冒IP地址进行攻击的方法和接入设备

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种防止仿冒IP地址进行攻击的方法和接入设备。

背景技术

IPv6邻居发现(ND)协议使用五种类型的网际控制报文协议(ICMPv6)报文：邻居请求(NS)报文、邻居通告(NA)报文、路由器请求(RS)报文、路由器通告报文(RA)和重定向(Redirect)报文。上述五种类型的ICMPv6报文可以用于实现地址解析、验证邻居是否可达、重复地址检测、路由器发现、地址自动配置和重定向等功能。

由于在ND协议中报文发送方式为明文发送，因此在同一链路(例如同一VLAN)中，可能存在伪造使用仿冒IP地址的报文从而进行攻击的问题。为了解决这一问题，可以采用接入设备侦听DHCPv6地址分配过程或者侦听ND无状态地址配置过程，生成安全表项的方式，具体为：在各接入设备上，侦听用户终端的DHCPv6地址分配过程或ND无状态地址配置过程，根据侦听结果生成包含IP地址、链路地址和接入端口的绑定表项，根据该绑定表项进行后续控制报文或数据报文的转发。即只有完全与绑定表项匹配的报文才能被转发，不匹配的报文则丢弃。

然而上述过程中当有多台接入设备处于同一链路时，各个接入设备之间会进行表项同步，使每个接入设备上都维护了该链路中针对所有用户终端的绑定表项，这必定会占用大量的设备资源。因此，现有技术中又提供了一种防止仿冒IP地址进行攻击的方法，各接入设备仅针对接入该设备自身的用户终端生成绑定表项，具体为：仅利用通过用户侧端口侦听到的报文生成绑定表项。但是这种方式中，也会产生仿冒IP地址攻击的漏洞。

如图1所示，接入设备(NAS)1上接入了用户终端PC1，假设PC1的IP地址为IP Address1，链路地址为LA1，接入端口为用户侧端口1，则在接入设备NAS1上存在包含IP Address1、LA1和用户侧端口1的绑定表项。NAS1和NAS2处于同一链路，如果此时非法用户设备PC2仿冒IP Address1接入NAS2，在NAS2上生成包含IP Address1、VPN1和用户侧端口2的绑定表项，即便PC1侦听到有人使用自己的IP地址，回应包含该IP Address1的NA报文，PC2仅需要将该NA报文丢弃即可继续使用该IP地址上网，甚至进行非法操作。并且，当PC1从NAS1迁移到NAS2后，NAS2侦听到PC1的接入，但由于NAS2中已经存在包含该IP Address1的绑定表项，因此，PC1便不能使用该IP Address1通过NAS2接入网络。

发明内容

有鉴于此，本发明提供了一种防止仿冒IP地址进行攻击的方法和接入设备，以便于有效地防止非法用户仿冒IP地址进行攻击。

一种防止仿冒IP地址进行攻击的方法，该方法包括：

所述接入设备从用户侧端口接收到携带待检测IP地址的重复地址检测邻居请求DAD NS报文或地址确定Confirm报文时，生成包含所述待检测IP地址的绑定表项，并通过网络侧端口发送携带所述待检测IP地址的DAD NS报文；

所述接入设备如果在设定DAD检测时间内从网络侧端口收到携带所述待检测IP地址的NA报文，对该NA报文中附加的认证信息进行认证，如果认证通过，则删除包含所述待检测IP地址的绑定表项；

其中，所述认证信息是与所述接入设备处于同一链路中的其它接入设备从用户侧端口收到携带所述待检测IP地址的NA报文时在该NA报文中附加的。

一种接入设备，该接入设备包括：表项生成单元、报文处理单元、认证处理单元和表项处理单元；

所述表项生成单元，用于在该接入设备从用户侧端口接收到待检测IP地址的DAD NS报文或Confirm报文时，生成包含所述待检测IP地址的绑定表项，并向报文处理单元发送第一通知；

所述报文处理单元，用于接收到第一通知时，通过网络侧端口发送携带所述待检测IP地址的DAD NS报文；

所述认证处理单元，用于该接入设备在设定DAD检测时间内从网络侧端口收到携带所述待检测IP地址的NA报文时，对该NA报文中附加的认证信息进行认证，如果认证通过，则向所述表项处理单元发送删除通知；该接入设备从用户侧端口接收到携带待检测IP地址的NA报文时，在该NA报文中附加认证信息；

所述表项处理单元，用于接收到删除通知后，删除包含所述待检测IP地址的绑定表项。