发明名称 |
一种防止邻居学攻击的方法和系统 |
摘要 |
本发明公开一种防止邻居学攻击的方法,包括;设置汇聚交换机允许的不完整状态邻居表项的阈值;接入交换机通过DHCPv6侦听来监听客户端的DHCPv6请求过程,创建和保存绑定信息,并将该绑定信息发送至汇聚交换机;汇聚交换机接收绑定信息,并将其保存到绑定信息表中;汇聚交换机在转发IPv6报文时,若该报文的目的地址对应的链路层地址不存在,则检测邻居表中不完整状态邻居表项的数量是否达到所述阈值,若未达到,则向邻居节点发送邻居请求报文;若达到,则查询该邻居节点的地址是否在绑定信息表中,若存在,则发送邻居请求报文,若不存在,则不发送邻居请求报文。本发明有效解决了IPv6中的邻居学攻击的问题。 |
申请公布号 |
CN102571816B |
申请公布日期 |
2015.09.30 |
申请号 |
CN201210034007.6 |
申请日期 |
2012.02.15 |
申请人 |
神州数码网络(北京)有限公司 |
发明人 |
梁小冰 |
分类号 |
H04L29/06(2006.01)I;H04L12/741(2013.01)I;H04L29/12(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京品源专利代理有限公司 11332 |
代理人 |
宋松 |
主权项 |
一种防止邻居学习攻击的方法,其特征在于,包括如下步骤:A、设置汇聚交换机允许的不完整(Incomplete)状态邻居表项的阈值;B、接入交换机通过动态主机配置协议的IPv6版本(DHCPv6)侦听(SNOOPING)来监听客户端的DHCPv6请求过程,创建和保存绑定信息,并将该绑定信息发送至所述汇聚交换机;C、汇聚交换机接收绑定信息,并将其保存到绑定信息表中;D、汇聚交换机在转发IPv6报文时,如果该报文的目的地址对应的链路层地址不存在,则检测邻居表中不完整状态邻居表项的数量是否达到所述阈值,如果未达到,则向邻居节点发送邻居请求报文;如果达到,则查询该邻居节点的地址是否在所述绑定信息表中,若存在,则发送邻居请求报文,若不存在,则不发送邻居请求报文;E、汇聚交换机收到与所述邻居请求报文对应的邻居通告报文后,将其邻居表中不完整状态邻居表项的数量减1。 |
地址 |
100085 北京市海淀区上地九街9号数码科技广场一段三层A区 |