專利名稱:一種防止nat-pt設(shè)備受到攻擊的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)領(lǐng)域��,特別是一種防止IPv4和IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯(NAT-PT)設(shè)備受到攻擊的方法����。
背景技術(shù):
IPv6(Internet Protocol Version 6)協(xié)議是替代IPv4(Internet ProtocolVersion 4)協(xié)議的下一代互聯(lián)網(wǎng)協(xié)議,它具有許多新的特性與功能��。網(wǎng)絡(luò)過(guò)渡時(shí)期中IPv4和IPv6技術(shù)將保持長(zhǎng)時(shí)間共存��,并最終過(guò)渡到IPv6�。目前,如何實(shí)現(xiàn)IPv4協(xié)議向IPv6協(xié)議平滑過(guò)渡是人們面臨的問(wèn)題����。IETF工作組提出了幾種實(shí)現(xiàn)IPv4和IPv6互通的機(jī)制,如雙協(xié)議棧(RFC2893中說(shuō)明)�,隧道技術(shù)(RFC2893中說(shuō)明),NAT-PT(Network Address Translation-Protocol Translation����,網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯機(jī)制����,RFC2766中說(shuō)明)等����。NAT-PT是一種協(xié)議轉(zhuǎn)換技術(shù),用來(lái)解決純IPv6網(wǎng)絡(luò)和純IPv4網(wǎng)絡(luò)互通的問(wèn)題�。其主要思想是在IPv6節(jié)點(diǎn)與IPv4節(jié)點(diǎn)的通信時(shí),借助于中間的NAT-PT系統(tǒng)��,把網(wǎng)絡(luò)層協(xié)議進(jìn)行IPv6/IPv4間的轉(zhuǎn)換���,以適應(yīng)對(duì)端的協(xié)議類型。
由于NAT-PT這種過(guò)渡方式���,只需要在中間設(shè)置轉(zhuǎn)換系統(tǒng)即可完成IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)的互通��,應(yīng)用較為簡(jiǎn)便�,適用于常用的網(wǎng)絡(luò)互通需求�����。但是在NAT-PT設(shè)備中,需要使用一張NAPT(Network Address Port Translation)表來(lái)記錄NAT-PT包的轉(zhuǎn)換信息��,這張表包含了主機(jī)的IPv4地址�����、IPv6地址����、IPv4端口、IPv6端口���、協(xié)議類型等字段��;由于NAT-PT設(shè)備中���,使用的用于協(xié)議轉(zhuǎn)換的IPv4地址和端口都是有限的,而且設(shè)備中用于存放NAPT表的內(nèi)存大小也是有限度的�;因此存在這樣一種情況當(dāng)網(wǎng)絡(luò)中一臺(tái)或多臺(tái)主機(jī)感染病毒,發(fā)出大量的拒絕攻擊和端口掃描的數(shù)據(jù)包�,這時(shí)會(huì)導(dǎo)致NAPT表中充滿了大量的垃圾條目,而正常的網(wǎng)絡(luò)訪問(wèn)卻不能通過(guò)NAT-PT設(shè)備�,導(dǎo)致了NAT-PT設(shè)備功能失常。目前�����,在NAT設(shè)備中存在相似的被攻擊問(wèn)題,解決技術(shù)的實(shí)現(xiàn)如下統(tǒng)計(jì)網(wǎng)絡(luò)內(nèi)IPv4主機(jī)鏈接信息�����,形成統(tǒng)計(jì)表���,然后根據(jù)統(tǒng)計(jì)表中的內(nèi)容����,決定該IPv4主機(jī)產(chǎn)生的鏈接是否能通過(guò)NAT設(shè)備���。但是此解決技術(shù)只是應(yīng)用于IPv4的NAT網(wǎng)絡(luò)環(huán)境中,不能防止IPv4/IPv6網(wǎng)絡(luò)環(huán)境中的NAT-PT設(shè)備受到攻擊���。
因此���,人們希望一種防止NAT-PT設(shè)備受到攻擊的方法。
發(fā)明內(nèi)容
本發(fā)明的目的是克服現(xiàn)有技術(shù)的不足��,解決主機(jī)受到病毒攻擊����,大量占用NAPT表的條目����,而導(dǎo)致其他主機(jī)不能正常通過(guò)NAT-PT設(shè)備轉(zhuǎn)發(fā)包的問(wèn)題���,提供一種用于防止NAT-PT設(shè)備受到攻擊的方法��。
本發(fā)明的目的是這樣實(shí)現(xiàn)的一種防止IPv4和IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯(NAT-PT)設(shè)備受到攻擊的方法���,包括如下步驟(1)設(shè)置NAPT表和限制表的內(nèi)容字段,并且初始化���;(2)設(shè)置NAT-PT設(shè)備允許某個(gè)主機(jī)建立鏈接條目的最大值為Max�;(3)設(shè)置NAT-PT設(shè)備允許所述主機(jī)建立鏈接條目的最小值為Min���;(4)對(duì)NAPT表中的條目進(jìn)行統(tǒng)計(jì)����,統(tǒng)計(jì)所述主機(jī)的鏈接數(shù)目�,根據(jù)統(tǒng)計(jì)結(jié)果決定是否將此主機(jī)放入到限制表中;(5)數(shù)據(jù)包的處理流程依據(jù)限制表中的鏈接總數(shù)來(lái)確定�����;(6)定時(shí)調(diào)用NAPT表和限制表的刷新操作,更新鏈接總數(shù)�。
在上述技術(shù)方案中,步驟(1)中所述設(shè)置NAPT表和限制表的內(nèi)容字段��,包括(21)NAPT表的內(nèi)容字段包括IPv4地址�、IPv6地址、IPv4端口��、IPv6端口���、協(xié)議類型��;(22)限制表的內(nèi)容字段包括IPv6地址�����、鏈接數(shù)目和時(shí)間標(biāo)記。
在上述技術(shù)方案中����,所述的鏈接條目的最大值Max和最小值Min的設(shè)置要根據(jù)具體的網(wǎng)絡(luò)流量的大小、網(wǎng)絡(luò)的帶寬�����、NAT-PT設(shè)備的處理能力以及NAPT表的大小等具體情況來(lái)確定。
在上述技術(shù)方案中���,所述的步驟(4)對(duì)NAPT表中的條目進(jìn)行統(tǒng)計(jì)����,統(tǒng)計(jì)某個(gè)主機(jī)的鏈接數(shù)目����,根據(jù)統(tǒng)計(jì)結(jié)果決定是否將此主機(jī)放入到限制表中,具體包括(51)采用HASH算法��,通過(guò)源IP地址查詢NAPT表���,統(tǒng)計(jì)此IP地址的當(dāng)前的鏈接數(shù)目Cur���;(52)如果Cur的值大于等于Min的值,則此IP地址的主機(jī)為受限制的用戶��,將此IP地址放入到限制表中��;在上述技術(shù)方案中,所述的步驟(5)��,數(shù)據(jù)包的處理流程依據(jù)限制表中的鏈接數(shù)目來(lái)確定��,具體包括
(61)數(shù)據(jù)包到達(dá)NAT-PT設(shè)備��,系統(tǒng)采用HASH算法���,通過(guò)源IP地址查詢限制表���,如果能夠查詢到,取出此IP地址的當(dāng)前鏈接Cur值��;(62)如果Cur值大于Max值���,對(duì)此數(shù)據(jù)包不做處理�,直接丟棄該數(shù)據(jù)包��;(63)如果Cur值大于Min�����,而小于Max值�,對(duì)該IP地址過(guò)來(lái)的數(shù)據(jù)包以Pa的概率丟包,以(1-Pa)的概率建立鏈接����,其中Pa=(Cur-Min)/(Max-Min);(64)如果步驟(61)中的HASH查詢沒有查詢到����,說(shuō)明此IP地址不在限制表中,不是受限制的用戶�,則正常處理此數(shù)據(jù)包,進(jìn)行此數(shù)據(jù)包的地址轉(zhuǎn)換和協(xié)議翻譯處理����。
在上述技術(shù)方案中,所述步驟(6)��,定時(shí)調(diào)用NAPT表和限制表的刷新操作�,更新鏈接條目,具體包括(71)NAPT表刷新操作后�����,由標(biāo)記字段決定NAPT的條目是否被刪除����;(72)由于NAPT鏈接條目發(fā)生了變化�����,此時(shí)要重新統(tǒng)計(jì)主機(jī)IP地址的鏈接數(shù)目����,形成新的限制表���。
在上述技術(shù)方案中�,所述步驟(6)中�����,定時(shí)刷新時(shí)間不大于5分鐘��。
與現(xiàn)有技術(shù)相比��,本發(fā)明的有益效是利用本發(fā)明�,NAT-PT設(shè)備可以對(duì)發(fā)起攻擊的主機(jī)進(jìn)行識(shí)別,防止用戶建立大量的NAPT無(wú)用鏈接���,保證了正常數(shù)據(jù)包的通過(guò)�����,提高了網(wǎng)絡(luò)的安全性����。
圖1表示本發(fā)明中NAPT表的字段內(nèi)容及結(jié)構(gòu)�����;圖2表示本發(fā)明中限制表的字段內(nèi)容及結(jié)構(gòu)����;圖3表示本發(fā)明中形成用戶限制表的流程圖;防止NAT-PT設(shè)備受到攻擊的實(shí)現(xiàn)方法的數(shù)據(jù)包處理流程中的對(duì)NAPT表中的條目進(jìn)行統(tǒng)計(jì)�,統(tǒng)計(jì)某個(gè)主機(jī)IP地址的鏈接數(shù)目,根據(jù)鏈接數(shù)目形成用戶限制表的流程����。
圖4表示本發(fā)明中防止NAT-PT設(shè)備受到攻擊的實(shí)現(xiàn)方法的數(shù)據(jù)包處理流程圖;具體實(shí)施方式
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步詳細(xì)描述首先定義以下一些參數(shù)Cur某個(gè)主機(jī)Host A的當(dāng)前鏈接總數(shù)�����;Min某個(gè)主機(jī)Host A鏈接總數(shù)受到限制的最小閥值���;Max某個(gè)主機(jī)Host A鏈接總數(shù)受到限制的最大閥值���;
Pa某個(gè)主機(jī)Host A的數(shù)據(jù)包被丟棄的概率�。
防止IPv4和IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯(NAT-PT)設(shè)備受到攻擊的方法��,具體包括如下內(nèi)容步驟(1)��,設(shè)置NAPT表和限制表的內(nèi)容字段��,并且初始化�;參照?qǐng)D1,詳細(xì)描述了本發(fā)明的實(shí)施例中所述的NAPT表的字段內(nèi)容及結(jié)構(gòu)第一個(gè)字段IPv6地址11表示IPv6主機(jī)Host A的IP地址���;第二個(gè)字段IPv4地址12表示IPv6主機(jī)Host A建立的鏈接對(duì)應(yīng)的IPv4地址��;第三個(gè)字段IPv6端口13表示IPv6主機(jī)Host A的端口����;第四個(gè)字段IPv4端口14表示IPv6主機(jī)Host A建立的鏈接對(duì)應(yīng)的端口����;第五個(gè)字段協(xié)議類型15表示IPv6主機(jī)Host A發(fā)出的數(shù)據(jù)包的類型。
第六個(gè)字段標(biāo)記16表示NAPT表刷新時(shí)�,刪除NAPT條目所使用的標(biāo)記字段。
本領(lǐng)域技術(shù)人員應(yīng)該知道�����,所述NAPT表的字段內(nèi)容和結(jié)構(gòu)不只限于上述形式,幾個(gè)字段的順序和多少不是固定的�。
參照?qǐng)D2,詳細(xì)描述了本發(fā)明的實(shí)施例中所述的限制表的字段內(nèi)容及結(jié)構(gòu)第一個(gè)字段IPv6地址21表示IPv6主機(jī)Host A的IP地址�;第二個(gè)字段鏈接數(shù)目22表示IPv6主機(jī)Host A建立的鏈接總數(shù)Cur;本領(lǐng)域技術(shù)人員應(yīng)該知道�,所述限制表的字段內(nèi)容和結(jié)構(gòu)不只限于上述形式��,幾個(gè)字段順序和多少是不固定的�。限制表中下面的三個(gè)條目為限制表中主機(jī)用戶的信息。
步驟(2)�,設(shè)置NAT-PT設(shè)備允許某個(gè)主機(jī)建立鏈接條目的最大值為Max;步驟(3)����,設(shè)置NAT-PT設(shè)備允許某個(gè)主機(jī)建立鏈接條目的最小值為Min;根據(jù)具體的網(wǎng)絡(luò)流量的大小�����、網(wǎng)絡(luò)的帶寬�����、NAT-PT設(shè)備的處理能力以及NAPT表的大小等具體情況來(lái)確定以下參數(shù)的數(shù)值Min某個(gè)主機(jī)Host A鏈接總數(shù)受到限制的最小閥值;Max某個(gè)主機(jī)Host A鏈接總數(shù)受到限制的最大閥值���;步驟(4)����,對(duì)NAPT表中的條目進(jìn)行統(tǒng)計(jì)�,統(tǒng)計(jì)某個(gè)主機(jī)的鏈接數(shù)目,根據(jù)統(tǒng)計(jì)結(jié)果決定是否將此主機(jī)放入到限制表中參照?qǐng)D3��,詳細(xì)描述了本實(shí)施例中����,形成用戶限制表的處理流程采用HASH算法,通過(guò)IPv6地址查找NAPT表中此IPv6地址總的鏈接數(shù)目Cur(步驟31)�,判斷Cur>=Min是否成立(步驟32),如果成立���,則此IP的主機(jī)為受限制的用戶�����,將此IP放入到限制表中(步驟33)��。
步驟(5)�,數(shù)據(jù)包的處理流程依據(jù)限制表中的鏈接總數(shù)來(lái)確定參照?qǐng)D4,詳細(xì)描述了本實(shí)施例中����,防止NAT-PT設(shè)備受到攻擊的數(shù)據(jù)包處理流程首先NAT-PT設(shè)備收到IP數(shù)據(jù)包(步驟41),判斷數(shù)據(jù)包的類型(步驟42)���,如果類型為IPv6數(shù)據(jù)包�,做如下處理采用HASH算法����,根據(jù)源IP地址查找限制表(步驟43)����,判斷是否有條目存在(步驟44),如果有條目存在�����,則比較鏈接數(shù)目字段值是否大于Max(步驟45)�����,如果大于�����,則丟棄該數(shù)據(jù)包,否則���,進(jìn)行流量控制�����,計(jì)算Pa����,以Pa的概率丟棄該主機(jī)IP發(fā)過(guò)來(lái)的數(shù)據(jù)包(步驟47)�,沒有丟棄的數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)地址翻譯與協(xié)議轉(zhuǎn)換處理(步驟414)。
參照?qǐng)D4��,判斷是否有條目存在(步驟44)��,如果沒有條目存在��,則說(shuō)明該主機(jī)IP地址不是受限制的主機(jī)���,進(jìn)行正常處理該數(shù)據(jù)包���,查NAPT表(步驟48)�,判斷是否存在條目(步驟49)��,如果不存在���,則建立NAPT條目�,然后進(jìn)行網(wǎng)絡(luò)地址翻譯與協(xié)議轉(zhuǎn)換處理(步驟414)��,如果條目存在�,則直接進(jìn)行網(wǎng)絡(luò)地址翻譯與協(xié)議轉(zhuǎn)換處理(步驟414)。
再參照?qǐng)D4�����,NAT-PT設(shè)備收到IP數(shù)據(jù)包(步驟41)�,判斷數(shù)據(jù)包的類型(步驟42)��,如果類型為IPv4數(shù)據(jù)包��,做如下處理查NAPT表(步驟411)��,判斷是否存在條目(步驟412)��,如果不存在,則丟棄該數(shù)據(jù)包(步驟413)����,如果存在條目,則進(jìn)行網(wǎng)絡(luò)地址翻譯與協(xié)議轉(zhuǎn)換處理(步驟414)��。
步驟(6)�����,定時(shí)調(diào)用NAPT表和限制表的刷新操作���,更新鏈接總數(shù)具體做如下處理設(shè)置定時(shí)刷新時(shí)間為3分鐘�����;執(zhí)行NAPT表刷新操作����,標(biāo)記字段值為0時(shí)�����,刪除該NAPT條目���,當(dāng)標(biāo)記字段值為1時(shí)����,更改標(biāo)記字段值為0。由于NAPT鏈接條目發(fā)生了變化��,此時(shí)要重新統(tǒng)計(jì)主機(jī)IP地址鏈接數(shù)目�����,形成新的用戶限制表���。
下面結(jié)合具體的數(shù)據(jù)����,以幾個(gè)應(yīng)用例子來(lái)說(shuō)明本發(fā)明的方法例1設(shè)定Min=200�����,Max=500�����,當(dāng)主機(jī)地址為2001:250:f007:1::10a的數(shù)據(jù)包進(jìn)入NAT-PT設(shè)備��,查詢限制表(圖2)���,存在此IP地址的條目�����,說(shuō)明此主機(jī)是受限制的�����,當(dāng)前鏈接數(shù)目為255��,則執(zhí)行以下步驟因?yàn)镸ax>255>Min����,Pa=(Cur-Min)/(Max-Min)=(255-200)/(500-200)=0.183所以�����,NAT-PT設(shè)備對(duì)第255個(gè)鏈接以概率0.183丟棄該數(shù)據(jù)包��;也就是����,以概率1-0.183允許該數(shù)據(jù)包建立鏈接�。
例2設(shè)定Min=200���,Max=500��,當(dāng)主機(jī)地址為2001:250:f007:1::10b的數(shù)據(jù)包進(jìn)入NAT-PT設(shè)備��,查詢限制表(圖2)�����,存在此IP地址的條目����,說(shuō)明此主機(jī)是受限制的���,當(dāng)前鏈接數(shù)目為400�,則執(zhí)行以下步驟因?yàn)镸ax>400>Min�,Pa=(Cur-Min)/(Max-Min)=(400-200)/(500-200)=0.667所以,NAT-PT設(shè)備對(duì)第400個(gè)鏈接以概率0.667丟棄該數(shù)據(jù)包���;也就是�,以概率1-0.667允許該數(shù)據(jù)包建立鏈接���。
例3設(shè)定Min=200�����,Max=500�,當(dāng)主機(jī)地址為2001:250:f007:1::10c的數(shù)據(jù)包進(jìn)入NAT-PT設(shè)備���,查詢限制表(圖2)�,存在此IP地址的條目��,說(shuō)明此主機(jī)是受限制的�,當(dāng)前鏈接數(shù)目為501,則執(zhí)行以下步驟因?yàn)?01>Max����,所以,NAT-PT設(shè)備對(duì)第501個(gè)鏈接直接丟棄該數(shù)據(jù)包���,不建立該數(shù)據(jù)包的鏈接���。
從上面的實(shí)例可見如果當(dāng)前鏈接總數(shù)處于Min和Max之間,那么來(lái)自該主機(jī)的數(shù)據(jù)包被NAT-PT設(shè)備處理的行為處于一個(gè)概率之間�,這個(gè)概率值由Pa決定����。當(dāng)前鏈接總數(shù)離Min越近�,被NAT-PT處理的概率越高,離Max越近��,被NAT-PT處理的概率越低�����。
最后所應(yīng)說(shuō)明的是��,以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非限制���。盡管參照實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說(shuō)明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解��,對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換��,都不脫離本發(fā)明技術(shù)方案的精神和范圍����,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
權(quán)利要求
1.一種防止IPv4和IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯設(shè)備受到攻擊的方法,包括如下步驟(1)設(shè)置NAPT表和限制表的內(nèi)容字段��,并且初始化��;(2)設(shè)置NAT-PT設(shè)備允許某個(gè)主機(jī)建立鏈接條目的最大值為Max����;(3)設(shè)置NAT-PT設(shè)備允許所述主機(jī)建立鏈接條目的最小值為Min����;(4)對(duì)NAPT表中的條目進(jìn)行統(tǒng)計(jì),統(tǒng)計(jì)所述主機(jī)的鏈接數(shù)目��,根據(jù)統(tǒng)計(jì)結(jié)果決定是否將此主機(jī)放入到限制表中�;(5)數(shù)據(jù)包的處理流程依據(jù)限制表中的鏈接總數(shù)來(lái)確定;(6)定時(shí)調(diào)用NAPT表和限制表的刷新操作��,更新鏈接總數(shù)��。
2.根據(jù)權(quán)利要求1所述防止IPv4和IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯設(shè)備受到攻擊的方法�����,其特征在于�,所述步驟(1)中所述NAPT表的內(nèi)容字段包括IPv4地址、IPv6地址、IPv4端口��、IPv6端口��、協(xié)議類型���;所述限制表的內(nèi)容字段包括IPv6地址���、鏈接數(shù)目和時(shí)間標(biāo)記。
3.根據(jù)權(quán)利要求1所述防止IPv4和IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯設(shè)備受到攻擊的方法����,其特征在于,所述步驟(2)和步驟(3)中所述的鏈接條目的最大值Max和最小值Min的設(shè)置是根據(jù)具體的網(wǎng)絡(luò)流量的大小����、網(wǎng)絡(luò)的帶寬、NAT-PT設(shè)備的處理能力以及NAPT表的大小來(lái)確定���。
4.根據(jù)權(quán)利要求1所述防止IPv4和IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯設(shè)備受到攻擊的方法�����,其特征在于�,所述的步驟(4)具體步驟包括(51)采用HASH算法,通過(guò)源IP地址查詢NAPT表����,統(tǒng)計(jì)此IP地址的當(dāng)前的鏈接數(shù)目Cur;(52)如果Cur的值大于等于Min的值����,則此IP地址的主機(jī)為受限制的用戶,將此IP地址放入到限制表中�。
5.根據(jù)權(quán)利要求1所述防止IPv4和IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯設(shè)備受到攻擊的方法�����,其特征在于�����,所述的步驟(5)具體包括步驟(61)數(shù)據(jù)包到達(dá)NAT-PT設(shè)備�,系統(tǒng)采用HASH算法,通過(guò)源IP地址查詢限制表�,如果能夠查詢到,取出此IP地址的當(dāng)前鏈接Cur值���;(62)如果Cur值大于Max值����,對(duì)此數(shù)據(jù)包不做處理,直接丟棄該數(shù)據(jù)包��;(63)如果Cur值大于Min�,而小于Max值,對(duì)該IP過(guò)來(lái)的數(shù)據(jù)包以Pa的概率丟包�����,以(1-Pa)的概率建立鏈接�,其中Pa=(Cur-Min)/(Max-Min);(64)如果步驟(61)中的HASH查詢沒有查詢到���,說(shuō)明此IP地址不在限制表中�,不是受限制的用戶�,則正常處理此數(shù)據(jù)包,進(jìn)行此數(shù)據(jù)包的地址轉(zhuǎn)換和協(xié)議翻譯處理�。
6.根據(jù)權(quán)利要求1所述防止IPv4和IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯設(shè)備受到攻擊的方法,其特征在于�����,所述步驟(6)具體步驟包括(71)NAPT表刷新操作后�����,由標(biāo)記字段決定NAPT的條目是否被刪除;(72)NAPT鏈接條目發(fā)生變化���,重新統(tǒng)計(jì)主機(jī)IP鏈接數(shù)目���,形成新的限制表。
7.根據(jù)權(quán)利要求1或6所述防止IPv4和IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯設(shè)備受到攻擊的方法�,其特征在于,所述步驟(6)中��,定時(shí)刷新的時(shí)間不大于5分鐘��。
全文摘要
本發(fā)明公開了一種防止IPv4和IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換和協(xié)議翻譯設(shè)備受到攻擊的方法��。包括如下步驟設(shè)置NAPT表和限制表的內(nèi)容字段���,并且初始化;設(shè)置NAT-PT設(shè)備允許某個(gè)主機(jī)建立鏈接條目的最大值為Max���;設(shè)置NAT-PT設(shè)備允許某個(gè)主機(jī)建立鏈接條目的最小值為Min���;對(duì)NAPT表中的條目進(jìn)行統(tǒng)計(jì)�,統(tǒng)計(jì)某個(gè)主機(jī)的鏈接數(shù)目���,根據(jù)統(tǒng)計(jì)結(jié)果決定是否將此主機(jī)放入到限制表中��;數(shù)據(jù)包的處理流程依據(jù)限制表中的鏈接總數(shù)來(lái)確定�;定時(shí)調(diào)用NAPT表和限制表的刷新操作���,更新鏈接總數(shù)�����。本發(fā)明可以對(duì)發(fā)起攻擊的主機(jī)進(jìn)行識(shí)別��,防止用戶建立大量的NAPT無(wú)用鏈接���,保證了正常數(shù)據(jù)包的通過(guò),提高了網(wǎng)絡(luò)的安全性�����。
文檔編號(hào)H04L12/24GK1812420SQ20061005737
公開日2006年8月2日 申請(qǐng)日期2006年3月10日 優(yōu)先權(quán)日2006年3月10日
發(fā)明者李丹, 陳沫, 畢經(jīng)平 申請(qǐng)人:中國(guó)科學(xué)院計(jì)算技術(shù)研究所