[发明专利]路由器通告攻击防范方法、装置及设备

说明书

技术领域

本发明涉及通信，尤其涉及一种路由器通告（RA，Router Advertisement）攻击防范方法、装置及设备。

背景技术

随着互联网的快速普及和数据通信技术的飞速发展，网际协议（IP，Internet Protocol）终端数量激增，当前因特网协议第四版（IPv4，Internet Protocol version4）公网地址已经告罄，而网络地址转换（NAT，Network Address Translation）技术又存在性能、应用层支持诸多限制，编码长度更长、地址空间更多的因特网协议第六版（IPv6，Internet Protocol version6）技术的普及对全球运营商和用户来说都是势在必行的重大课题。

当前限制IPv6技术普及的困难主要集中在政策支持、技术升级困难、应用支持较少等方面，而随着IPv4地址空间的分配完毕、终端市场的大规模发展对IPv6的需求越来越大，各国政府都在积极支持IPv6的推广，各大内容服务商（ICP，Internet Content Provider）和应用开发商也在大规模地升级现有基于IPv4的应用对IPv6的支持能力。当前运营商IPv6技术升级面临的成本压力是阻碍IPv6技术普及的最重要因素之一，哪些设备需要优先升级对IPv6的支持能力成为运营商的重要研究课题。

接入网是运营商网络中规模最大、投资成本最高的区域，接入网络中哪些设备需要优先支持IPv6能力，是运营商IPv6升级计划中最为关注的焦点课题之一。

在支持IPv6的接入网络中，一般的网络拓扑结构是由IPv6宽带网络网关（BNG，Broadband Network Gateway）、二层接入设备、IPv6主机构成。通常由BNG向接入网络发送路由器通告（RA，Router Advertisement）消息，包括IPv6前缀、链路最大传输单元（MTU，Maximum Transmission Unit）等信息，IPv6主机收到RA后，生成IPv6地址，并将默认路由指向发送RA消息的设备即BNG，从而可以进行IPv6网络通信。如果恶意的IPv6主机主动发送RA消息，该RA消息包括恶意的IPv6主机组播发送的RA消息、恶意的IPv6主机接收到同广播域的其它主机的路由器请求（RS，Router Solicitation）后主动回复的单播RA消息，使IPv6主机将默认路由指向恶意的IPv6主机，那么就可截获主机的用户信息，影响网络安全；并且，也可能导致主机获得的无效地址从而连接网络；此外，恶意主机发送大量的RA消息来攻击网络容易造成网络瘫痪。

针对上述问题，当前的普遍的采用的技术方案是升级二层接入设备使其支持所谓安全RA技术，即在二层接入设备的用户侧端口通过命令配置拒绝接收恶意的RA消息，这样在一定程度上防止恶意RA的转发，保证网络的正常工作，但这就需要将二层接入设备升级到三层网络设备并支持IPv6报文的处理功能，相应地，需要进行软件升级甚至硬件替换，但大规模的接入设备的升级和替换必然导致运营商升级成本增大，影响IPv6技术的普及。此外，手动配置二层设备的安全RA功能也需要投入大量的运维成本，增大了运营商的IPv6技术升级的实施成本。

综上所述，对于如何低成本且有效地防范恶意主机的RA攻击，相关技术尚无解决方案。

发明内容

有鉴于此，本发明实施例提供一种RA攻击防范方法、装置及设备，以至少解决相关技术无法有效地防范恶意主机的RA攻击的问题。

为了达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种RA攻击防范方法，所述方法包括：

根据接收的RA消息确定RA攻击主机；

向网络管理系统（NMS，Network Management System）通告所述RA攻击主机的信息；和/或，

禁止源IP地址包含特定前缀的报文和所述RA攻击主机的发送报文向网络侧转发，并重定向所述包含特定前缀的报文和所述RA攻击主机发送的报文至入口（Portal）服务器，所述特定前缀为所述RA攻击主机发送的RA消息携带的前缀；和/或，

指示所述RA攻击主机的接入设备禁止所述RA攻击主机访问网络；和/或，

模拟所述RA攻击主机发送新的RA消息，所述新的RA消息携带前缀的生存期小于所述RA攻击主机发送的RA消息携带前缀的生存期。

优选地，所述根据接收的RA消息确定RA攻击主机，包括：