发明名称 |
一种IPv6网络防止PMTU攻击的方法和装置 |
摘要 |
本发明公开了一种IPv6网络防止PMTU攻击的方法和装置,交换机开启ICMPv6报文过大消息安全功能,为交换机配置信任端口;接收ICMPv6报文过大消息报文;判断ICMPv6报文过大消息报文的接收端口是否属于配置的信任端口,若属于,则转发至IPv6主机,若不属于,则丢弃该报文。采用本发明的技术方案,保证了ICMPv6报文过大消息的安全使用,防止恶意ICMPv6报文过大消息的转发,确保网络的正常工作。 |
申请公布号 |
CN102594810B |
申请公布日期 |
2016.03.30 |
申请号 |
CN201210027389.X |
申请日期 |
2012.02.08 |
申请人 |
神州数码网络(北京)有限公司 |
发明人 |
梁小冰 |
分类号 |
H04L29/06(2006.01)I;H04L12/70(2013.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京品源专利代理有限公司 11332 |
代理人 |
宋松 |
主权项 |
一种IPv6网络防止路径最大传输单元PMTU攻击的方法,其特征在于,包括以下步骤:A、交换机开启防止IPv6网络PMTU攻击的功能,为交换机配置信任端口;B、接收互联网控制消息协议第六版ICMPv6报文过大消息报文;C、判断ICMPv6报文过大消息报文的接收端口是否属于配置的信任端口,若属于,则转发至IPv6主机,若不属于,则丢弃该报文;其中,ICMPv6报文过大消息报文重定向至交换机的CPU,运行在CPU的软件里对每一个报文由一个软件结构来指向;交换芯片将报文送到CPU后,收包驱动从芯片的寄存器里读出端口号,写到该报文的软件结构的端口字段里;运行在CPU的软件读取该字段中的端口信息,与步骤S101中配置的信任端口信息进行匹配;D、所述IPv6主机收到转发的ICMPv6报文过大消息报文,调整发往目的节点的最大传输单元(MTU)值。 |
地址 |
100085 北京市海淀区上地九街9号数码科技广场一段三层A区 |