防止基于近鄰發(fā)現(xiàn)的拒絕服務攻擊的制作方法
【專利摘要】提供了一種用于防止附連到子網(150)的主機(120)上的拒絕服務攻擊的方法,其中攻擊由遠程節(jié)點(139)通過外部網絡(160)發(fā)起��。所述方法由在外部網絡(160)和子網(150)之間轉發(fā)分組的路由器(110)執(zhí)行�。路由器(110)接收分組用于轉發(fā)到根據IPv6協(xié)議的子網(150)的地址空間中的目的地地址,并且在近鄰發(fā)現(xiàn)ND表(170)中查找目的地地址���。ND表(170)由在接收分組之前被完成的子網(150)上的操作填充���。ND表(170)中的條目存儲已經由路由器(110)驗證為活動的主機(120)的地址信息�����。如果目的地地址被存儲在ND表(170)中��,則路由器(110)轉發(fā)分組到目的地地址����。否則�,分組被丟棄。
【專利說明】防止基于近鄰發(fā)現(xiàn)的拒絕服務攻擊
【技術領域】
[0001]本發(fā)明的實施例涉及用于防止拒絕服務攻擊的方法和系統(tǒng)�����,其中攻擊基于因特網協(xié)議版本6 (IPv6)的近鄰發(fā)現(xiàn)協(xié)議��。
【背景技術】
[0002]因特網協(xié)議版本6 (IPv6)設計成解決因特網協(xié)議版本4 (IPv4)中的地址耗盡的問題��。連同將地址空間從32位擴張到128位����,IPv6引入許多改變。例如����,IPv6增加用于計數子網中的主機的位的數量�,并且從基于媒體的地址解析協(xié)議(ARP)移動到基于IP的近鄰發(fā)現(xiàn)協(xié)議��。IPv6子網由標準限定為具有至少64位用于計數主機����,其中以前子網可能具有6到12位用于計數主機。
[0003]運營商和安全分析師已經注意到新的較大子網的有問題的影響���。子網的計數空間現(xiàn)在是16百萬的三次方的條目�。顯然�����,沒有子網將使用這些條目的任何引人注意的部分����。
[0004]較大子網的一個問題是遠程攻擊者可以發(fā)送一系列的分組給子網�����,定址到不同的隨機選擇的潛在主機���。在當前實踐中���,這將引起邊界路由器將近鄰發(fā)現(xiàn)分組的流發(fā)送到子網中�,并且創(chuàng)建這個信息的高速緩存條目�����。因為路由器中的表空間是有限的���,這個攻擊可以容易地超出可用的表空間�����,并且引起路由器丟失實際主機的蹤跡�����,并且防止新的合法主機進行注冊��。
[0005]在某些情況中�����,存在糾正這個攻擊的現(xiàn)有技術�,例如當子網是使用以太網上點對點協(xié)議(PPPoE)的訂戶子網時。然而�����,不存在用于防止攻擊的通用的預防方法�����。
【發(fā)明內容】
[0006]提供一種方法以防止附連到子網的主機上的拒絕服務攻擊�����,其中攻擊由遠程節(jié)點通過外部網絡發(fā)起�����。該方法由在外部網絡和子網之間轉發(fā)分組的路由器執(zhí)行��。該方法包括:由路由器接收分組用于轉發(fā)給根據IPv6協(xié)議的子網的地址空間中的目的地地址�,并且在由路由器維護的近鄰發(fā)現(xiàn)(ND)表中查找目的地地址。ND表由在接收分組之前被完成的子網上的操作填充�����。ND表包括條目��,其中每個條目存儲已經由路由器驗證為活動的主機中的一個主機的地址信息��。該方法還包括:轉發(fā)分組到目的地地址以響應于確定目的地地址被存儲在ND表中�����;并且丟棄分組以響應于確定目的地地址沒有被存儲在ND表中�。
[0007]提供一種網絡元件以防止附連到子網的主機上的拒絕服務攻擊,其中攻擊由遠程節(jié)點通過外部網絡發(fā)起�。該網絡元件配置成在外部網絡和子網之間轉發(fā)分組。該網絡元件包括:存儲近鄰發(fā)現(xiàn)(ND)表的存儲器�,ND表包括條目并且每個條目存儲已經由網絡元件驗證為活動的主機中的一個主機的地址信息;通信耦合到存儲器的網絡處理器����,所述網絡處理器配置成執(zhí)行目的地確定模塊和轉發(fā)模塊。目的地確定模塊配置成在由在接收分組之前被完成的子網上的操作填充的ND表中�����,查找由網絡元件接收的分組的目的地地址�����,其中目的地地址在根據IPv6協(xié)議的子網的地址空間中��。如果目的地地址被存儲在ND表中,則轉發(fā)模塊配置成轉發(fā)分組到目的地地址���,并且如果目的地地址沒有被存儲在ND表中�,則丟棄分組���。
【專利附圖】
【附圖說明】
[0008]在其中相同的參考指示相同的元素的附圖的圖中�����,通過示例的方式而不是通過限制的方式來圖示本發(fā)明��。應該注意到這個公開中對“一”或“一個”實施例的不同提及不一定是對相同的實施例��,并且這樣的提及意指至少一個��。此外��,當結合實施例描述特定的特征�、結構或特性時��,認為結合無論是否被明確描述的其它實施例來實現(xiàn)這樣的特征����、結構或特性是在本領域技術人員的知識內。
[0009]圖1是圖示網絡配置的一個實施例的框圖�����。
[0010]圖2是圖示例如路由器的網絡元件的實施例的框圖�。
[0011]圖3是由路由器執(zhí)行用于防止基于近鄰發(fā)現(xiàn)的攻擊的方法的一個實施例的流程圖。
[0012]圖4是由路由器執(zhí)行用于維護近鄰發(fā)現(xiàn)表的方法的一個實施例的流程圖���。
[0013]圖5是子網上路由器和主機之間的消息流的第一實施例的圖�。
[0014]圖6是自網上路由器和主機之間的消息流的第二實施例的圖���。
[0015]圖7是自網上路由器和主機之間的消息流的第三實施例的圖�。
【具體實施方式】
[0016]在下面的描述中闡述了許多具體的細節(jié)���。然而���,理解的是在沒有這些具體細節(jié)的情況下也可以實踐本發(fā)明的實施例。在其它實例中�,為了不使這個描述的理解變得模糊,未詳細示出眾所周知的電路����、結構和技術�。然而�����,本領域技術人員將理解的是��,在沒有這樣的具體細節(jié)的情況下也可以實踐本發(fā)明�����。在沒有不適當的實驗的情況下�,本領域普通技術人員將能夠用被包括的描述來實現(xiàn)適當的功能性。
[0017]本發(fā)明的實施例提供避免現(xiàn)有技術的缺點的方法和系統(tǒng)�����。如上面描述����,現(xiàn)有技術不能有效地防止基于IPv6的近鄰發(fā)現(xiàn)協(xié)議的拒絕服務攻擊。通過提供攻擊防止技術以及在網絡元件(例如����,一個或多個路由器)中保持信息正確所需的相關的行為改變,發(fā)明的實施例克服了現(xiàn)有技術的這些缺點。
[0018]圖1是示出網絡配置100的一個實施例的框圖�。在這個實施例中,網絡配置100包括但不限于經由一個或多個路由器(例如���,路由器110)附連到網絡160的子網150 (例如�����,局域網(LAN))。許多主機120被附連到子網150并且具有子網150上的因特網協(xié)議(IP)地址����。每個主機120可以是服務器、個人計算機�����、膝上型裝置�����、游戲控制臺���、便攜式裝置���、器具或可以通過網絡160傳送和/或接收數據的任何裝置或部件����。路由器110存儲對于附連到路由器110的每個子網將主機的子網上的IP地址映射到那個主機的媒體接入控制(MAC)地址的數據結構(被稱為近鄰發(fā)現(xiàn)(ND)表170)��。
[0019]網絡配置100還包括經由路由器110接入主機120的許多遠程網絡節(jié)點(“遠程節(jié)點”)130����。在一些情況下,遠程節(jié)點130中的一個可以發(fā)起主機120上的攻擊���。攻擊可以包括發(fā)送大量消息給分配給子網150的不同地址���。在大量的可能地址值(例如,16百萬的三次方的值)的情況下����,很有可能隨機選擇的地址值實際上不選定主機120中的任何一個。當由路由器110接收具有這樣的隨機選擇的地址的分組并且那個地址沒有被記錄在ND表170中時�,常規(guī)的路由器將發(fā)送近鄰征求(solicitation)消息到子網150上并且在ND表170中創(chuàng)建未決條目,指示(例如��,用標記)在目的地主機回復之后條目將被填入��。然而,主機120中沒有一個具有分組中規(guī)定的地址����,并且,因此從目的地主機將接收不到回復�����。因而��,在短時間內發(fā)送的這樣的分組的流將溢出ND表170��,使得路由器110不能響應主機120的合法請求���。如果攻擊者繼續(xù)攻擊足夠長的一段時間,這個攻擊可以防止子網150上的主機120被到達���。
[0020]根據本發(fā)明的實施例���,當從本地附連的子網的外部接收分組時,路由器110檢查目的地地址(具體地�����,目的地主機)是否是已知的。如果主機具有ND表170中的對應條目�����,則主機為路由器110所知���。如果主機不為路由器110已知�,則路由器110丟棄分組���。因此�����,ND表170將不由攻擊來裝填��。
[0021]在一些實施例中���,ND表170可以根據由子網150上的主機120發(fā)送的消息/分組來裝填。在一些實施例中����,ND表170可以存儲在主機120不發(fā)送任何消息/分組的情況下被創(chuàng)建的靜態(tài)條目。以未征求的方式���,或者響應于來自子網150上的其它主機120或來自路由器110的查詢��,由主機120發(fā)送這些消息/分組�����。ND表170中的條目具有使用期(lifetime),并且當它們超時的時候被移除���。
[0022]根據本發(fā)明的實施例����,當ND表170的條目接近到期時���,路由器110將重新驗證它們。對于(分出分組的)主要機制工作來說��,這個重新驗證是必須的�����,因為它確?��;顒拥闹鳈C120的表條目保留在ND表170中并且將不會在一旦到期時被刪除���。因此���,路由器110可以依靠ND表170來過濾出可能來自攻擊者的進入的分組。因此����,遠程攻擊者不能用近鄰征求消息來裝填子網150,也不能用攻擊者意圖使用其來防止有效的條目被創(chuàng)建和使用的未決條目來裝填ND表170���。
[0023]可以用多種方法來實現(xiàn)ND表170(使用完整的128位地址或僅僅較低的64位��;使用哈希表���、三重內容可尋址存儲器(TCAM)、二叉樹(btree)或其它查找結構)����。本發(fā)明的實施例可以應用于所有這樣的構造,并且這些實施的差別將在剩余的描述中被忽略���。
[0024]圖2是圖示例如圖1的路由器110的網絡元件的實施例的框圖�。在一個實施例中�����,路由器110包括但不限于耦合到存儲器250的網絡處理器280。存儲器250存儲近鄰發(fā)現(xiàn)(ND)表170�,對于附連到路由器110的每個子網,近鄰發(fā)現(xiàn)(ND)表170將主機的子網上的IP目的地地址251映射到那個主機的媒體接入控制(MAC)地址���。路由器110包括表填充模塊230�,其用從子網150上的操作提取的主機地址信息填充ND表170 ;例如�,從由主機120以未征求的方式發(fā)送的分組、從由主機120響應于來自子網150上的其它主機120或來自路由器110的查詢而發(fā)送的分組�����。
[0025]在一個實施例中���,路由器110包括目的地確定模塊210和轉發(fā)模塊220�。當具有IPv6格式的進入分組到達路由器110用于轉發(fā)到子網150中時���,目的地模塊210在ND表170中查找在分組中規(guī)定的目的地地址。如果目的地確定模塊210不能在ND表170中找到具有目的地地址的條目�����,則它簡單地分出分組。在ND表170中不為這個分組創(chuàng)建未決條目�。
[0026]在一個實施例中,當路由器110分出分組時�,它可以發(fā)回通知給源,或者備選地�����,因為這些分組經常是攻擊消息����,路由器110可以不發(fā)送響應或以有限的速率發(fā)送響應。
[0027]本發(fā)明的實施例確保ND表170記錄子網120上的所有活動主機120的正確信息����。這意味著表170不應該用舊的、可能是錯誤的信息來裝填�����。在一個實施例中��,路由器110包括負責維護ND表170中的所有活動主機120的正確信息的計時器模塊240和驗證模塊260���。計時器模塊240在ND表170中檢測接近它的使用期閾值的條目���。當條目的逝去使用期到達使用期閾值時�����,條目到期�。在一個實施例中����,條目的逝去使用期從條目被添加到ND表170的時間起被測量(如果條目還未在ND表170中的話)。在一個實施例中��,在條目被添加到ND表170中之后����,一旦接收到來自在條目中被標識的主機120的任何數據流量,它的逝去使用期可以被復位��。在另一個實施例中����,在條目被添加到ND表170之后,一旦接收到來自在條目中被標識的主機120的任何控制流量�����,它的逝去使用期可以被復位�。
[0028]在一個實施例中,計時器模塊240和驗證模塊260用下面的操作維護ND表170中所有活動主機120的正確信息���。當條目到期時�,為了防止條目的不適當的移除���,當條目接近它的使用期閾值(也就是說����,將要到期)時����,計時器模塊240發(fā)信號給驗證模塊260。在一個實施例中�����,當條目被添加到ND表170時�����,計時器模塊240給每個條目打上時間戳,并且(例如��,周期性地)檢查條目的逝去使用期以確定逝去使用期是否大于另一個預定閾值(“驗證閾值”)�����。選擇驗證閾值以指示標識主機將要到期但在條目實際上到期之前仍有足夠的時間來驗證主機的狀態(tài)的條目���。在一個實施例中�,條目的驗證閾值可以被設置成那個條目的使用期閾值的三分之二�。在一個實施例中,ND表170包括超時域253����,其存儲條目的時間戳,條目是否已達到驗證閾值的指示����,和/或條目的其它時間相關的信息。
[0029]在一些實施例中���,一旦接收到指示條目已到達它的驗證閾值(也就是說�,條目正接近到期但是還未到期)的來自計時器模塊240的信號����,驗證模塊260可以發(fā)送前往該條目的IP地址的近鄰征求消息���。如果具有那個IP地址的主機120仍然有效并且正運行���,則主機120將響應該征求�。來自那個主機120的響應延長了該條目的使用期(例如���,復位該條目的逝去使用期)�。因此����,該條目可以保留在ND表170中。如果具有那個IP地址的主機120未響應���,則當該條目到期(即�����,當該條目到達它的使用期閾值)時���,該條目將從ND表170被移除���。
[0030]在下面的描述中,將關于圖1和圖2的示例性實施例來描述圖3和圖4的流程圖的操作���。然而����,應該理解可以由除了關于圖1和圖2討論的那些之外的發(fā)明的實施例來執(zhí)行流程圖的操作��,并且關于圖1和圖2討論的實施例可以執(zhí)行與關于圖3和圖4的流程圖討論的那些不同的操作���。
[0031]圖3是由路由器110執(zhí)行用于防止基于近鄰發(fā)現(xiàn)的攻擊的方法300的一個實施例的流程圖����。在一個實施例中�,路由器110接收分組用于轉發(fā)給根據IPv6協(xié)議的子網150的地址空間中的目的地地址(框310)。路由器110查找ND表170中的目的地地址(框320)�����。ND表170由在接收分組之前被完成的子網150上的操作來填充����。ND表170的每個條目存儲已經由路由器110驗證為活動的主機120中的一個的地址信息���。如果目的地地址被存儲在ND表170中,則路由器110轉發(fā)分組到目的地地址(框330)�����。如果目的地地址沒有被存儲在ND表170中��,則路由器110丟棄分組(框340)���。
[0032]圖4是由路由器110執(zhí)行用于維護ND表170的方法400的一個實施例的流程圖。在一個實施例中�,路由器110檢測表示給定的主機的ND表中的條目具有到達閾值(即,驗證閾值)的逝去使用期(框410)����。一旦檢測到,路由器110就發(fā)送近鄰征求消息到給定的主機(框420)�����。如果路由器110接收來自給定主機的回復(框430)�����,則那個給定的主機的條目的使用期被延長(例如,通過延長它的使用期閾值或復位它的逝去使用期)(框440)���。因為路由器110等待回復(框450)���,路由器110在該條目的逝去使用期上執(zhí)行周期性的檢查以確定該條目是否到期(即,到達使用期閾值)(框460)����。如果該條目已經到期,則路由器110從ND表170刪除該條目(框470)���。如果該條目還未到期�,則路由器110等待一段時間(框465)以重新傳送另一個近鄰征求消息(框420)�����,如果響應的缺乏是歸于由網絡問題引起的錯誤的話���。路由器110重復框420���、430、450���、460和465的操作��,直到接收回復或該條目到期為止�����。
[0033]上面的描述涉及其中一個路由器110提供到子網150的連接性���,或當提供連接性的所有路由器110同時出現(xiàn)的情況���。在后者的情況下����,因為路由器110中的所有基本上在相同時間出現(xiàn),它們全部看見來自主機120的通告并且在它們各自的ND表170中具有正確的信息�����。
[0034]在當存在多個路由器(例如�����,圖1的多個路由器110)�����,并且一個路由器比其它路由器顯著地更晚出現(xiàn)(例如,歸于路由器被單獨地重啟)的另一個情況下����,則那個較晚的路由器將不會看見來自子網150上的主機120的通告,并且將不具有信息以填充它的ND表���。在結合圖5-7的下面的描述中�,較早出現(xiàn)的路由器被稱為第一路由器IlOA并且顯著較晚出現(xiàn)的路由器被稱為第二路由器110B���。路由器IlOA和IlOB中的每個在內部維護ND表(例如��,圖1和2的ND表170)��。此外�����,雖然示出一個主機120���,理解的是子網150上的主機120中的任何一個可以執(zhí)行以下將結合圖5-7描述的操作。
[0035]圖5是第一路由器110A、第二路由器IlOB與主機120之間的消息流的第一實施例的圖�,其使得第二路由器IlOB能夠獲得信息用于填充它的ND表。在一個實施例中��,第一路由器IIOA變成活動的(框510)���,隨后�,第二路由器IlOB變成活動的(框520)����。第二路由器IlOB發(fā)出指示它已經變成活動的路由器通告(框530)。路由器通告用于通知第一路由器IlOA它具有新的近鄰����。當第一路由器IlOA接收路由器通告時(框540),它給子網150上的每個主機120發(fā)送具有未規(guī)定的源地址的近鄰征求消息(框550)����。當每個主機120接收近鄰征求消息時(框560)�����,它多播回復(框570)�����。第二路由器IlOB接收來自主機120的回復并且基于回復填充它的ND表(“第二 ND表”)(框580)。
[0036]圖6是第一路由器110A�、第二路由器IlOB與主機120之間的消息流的第二實施例的圖,其使得第二路由器IlOB能夠獲得信息用于填充它的ND表�。在一個實施例中,第一路由器IlOA變成活動的(框610)�,隨后,第二路由器IlOB變成活動的(框620)����。第二路由器IlOB發(fā)送對數據交換的請求給第一路由器IlOA(框630)。當第一路由器IlOA接收該請求時(框640)��,它使用數據交換協(xié)議(例如����,服務器高速緩存同步協(xié)議(SCSP)或其它類似的協(xié)議)來發(fā)送它的ND表中的數據(框650)。第二路由器IlOB接收數據并使用數據來填充它的ND表(框660 )��。
[0037]圖7是第一路由器110A�、第二路由器IlOB與主機120之間的消息流的第三實施例的圖,其使得第二路由器IlOB能夠獲得信息用于填充它的ND表�����。在一個實施例中,第一路由器IIOA變成活動的(框710)����,隨后,第二路由器IIOB變成活動的(框720)�。第二路由器IlOB發(fā)送一個或多個路由器通告消息給子網150上的主機120,每個消息包括標記(框730)���。每個主機120接收路由器通告消息(框740)�����。然后主機120重新發(fā)送或回復以通告主機的地址信息(例如���,IPv6和MAC地址)的消息(框750)。第二路由器IlOB接收來自主機120的消息并基于消息來填充它的ND表(框760)�����。因為主機120中的一個或多個可能錯過請求����,或響應可能丟失��,第二路由器IlOB可以多次發(fā)送具有標記的路由器通告以改進可靠性。
[0038]在其中存在提供到子網150的連接性的多于兩個路由器的又一情況中�,可以關于前兩個實施例做出進一步的改進,以便不引起子網150上過多重復的傳送�。
[0039]因此,已經描述了用于防止拒絕服務攻擊的方法�、系統(tǒng)和裝置。將理解的是可以使用在一個或多個電子裝置(例如���,端站�、網絡元件�����,等等)上存儲并執(zhí)行的代碼和數據來實現(xiàn)圖中示出的技術��。這樣的電子裝置使用非暫時性機器可讀或計算機可讀媒體����,例如非暫時性機器可讀或計算機可讀存儲媒體(例如,磁盤��、光盤�、隨機存取存儲器、只讀存儲器���、閃速存儲器裝置以及相變存儲器)��,來存儲和(內部地和/或通過網絡與其它電子裝置)通信代碼和數據����。此外,這樣的電子裝置通常包括耦合到一個或多個其它部件的一個或多個處理器的集合�����,所述一個或多個其它部件例如一個或多個存儲裝置����、用戶輸入/輸出裝置(例如,鍵盤���、觸摸屏����、和/或顯示器)以及網絡連接�����。處理器的集合與其它部件的耦合通常是通過一個或多個總線和網橋(還被稱為總線控制器)�����。存儲裝置表示一個或多個非暫時性機器可讀或計算機可讀存儲媒體以及非暫時性機器可讀或計算機可讀通信媒體�。因此,給定的電子裝置的存儲裝置通常存儲代碼和/或數據用于在那個電子裝置的一個或多個處理器的集合上的執(zhí)行�����。當然����,可以使用軟件、固件和/或硬件的不同組合來實現(xiàn)本發(fā)明的實施例的一個或多個部分����。
[0040]如本文使用的,網絡元件(例如����,路由器、交換機�����、網橋����,等等)是一件連網設備�����,包括通信地互連網絡上的其它設備的硬件和軟件(例如��,其它網絡元件��、端站���,等等)。一些網絡元件是提供用于多連網功能(例如���,路由����、橋接��、交換����、第2層聚合、會話邊界控制、多播�、和/或訂戶管理)的支持的“多服務網絡元件”,和/或提供用于多應用服務(例如����,數據�����、語音和視頻)的支持�。訂戶端站(例如,服務器����、工作站、膝上型計算機����、掌上設備、移動電話���、智能電話����、多媒體電話����、因特網協(xié)議語音(VOIP)電話��、便攜式媒體播放器����、GPS單元�����、游戲系統(tǒng)����、機頂盒(STB),等等)接入通過因特網提供的內容/服務和/或覆蓋在因特網上的虛擬私人網絡(VPN)上提供的內容/服務��。內容和/或服務通常由屬于服務或內容提供商的一個或多個端站(例如��,服務器端站)或參與點對點服務的端站來提供���,并且可包括公共網頁(例如�,免費內容����、鋪面��、搜索服務���,等等)、私人網頁(例如����,提供電子郵件服務的用戶名/密碼接入網頁)����、通過VPN的公司網絡、IPTV����,等等。通常����,訂戶端站耦合(例如,通過(有線或無線地)耦合到接入網絡的用戶預定設備)到邊緣網絡元件��,所述邊緣網絡元件耦合(例如�,通過一個或多個核心網絡元件到其他邊緣網絡元件)到其它端站(例如,服務器端站)。
[0041]將理解的是上面的描述意圖是說明性的而非約束性的���。一旦閱讀并理解上面的描述��,對于本領域技術人員來說��,許多其它的實施例將是顯而易見的�。因此��,本發(fā)明的范圍應該參考附加的權利要求連同這些權利要求被授權的等同物的完整范圍來確定�。
【權利要求】
1.一種防止附連到子網的主機上的拒絕服務攻擊的方法,所述攻擊由遠程節(jié)點通過外部網絡發(fā)起�,所述方法由在所述外部網絡和所述子網之間轉發(fā)分組的路由器來執(zhí)行,所述方法包括以下步驟: 由所述路由器接收用于轉發(fā)給根據IPv6協(xié)議的所述子網的地址空間中的目的地地址的分組����; 在所述路由器維護的近鄰發(fā)現(xiàn)(ND)表中查找所述目的地地址,其中所述ND表由在接收所述分組之前被完成的所述子網上的操作來填充�����,所述ND表包括條目��,其中每個條目存儲已經由所述路由器驗證為活動的主機中的一個主機的地址信息��; 轉發(fā)所述分組到所述目的地地址以響應于確定所述目的地地址被存儲在所述ND表中;以及 丟棄所述分組以響應于確定所述目的地地址沒有被存儲在所述ND表中���。
2.如權利要求1所述的方法����,還包括以下步驟: 檢測到表示所述主機中的給定的一個主機的所述條目中的給定的一個條目具有到達驗證閾值的逝去使用期���; 驗證所述給定的主機是活動的���; 延長所述ND表中的所述給定的條目的使用期以響應于確定所述給定的主機是活動的;以及 當所述給定的條目到期時��,從所述ND表刪除所述給定的條目以響應于確定所述給定的主機不是活動的��。
3.如權利要求2所述的方法��,其中驗證的步驟還包括以下步驟: 發(fā)送近鄰征求消息到所述給定的主機��;以及 延長所述給定的條目的使用期以響應于對所述ND征求消息的回復�。
4.如權利要求2所述的方法�����,其中檢測的步驟還包括以下步驟: 將所述驗證閾值設置為所述給定的條目到期所在的使用期閾值的三分之二。
5.如權利要求1所述的方法�,其中所述子網包括具有未被填充的第二ND表的第二路由器,所述方法還包括以下步驟: 由所述路由器接收來自所述第二路由器的指示所述第二路由器已經變成活動的通告�����;以及 由所述路由器向所述子網上的所述主機中的每個主機發(fā)送近鄰征求消息�,在所述消息中具有未規(guī)定的源地址,這引起接收所述消息的所述主機中的每個主機多播回復����,從而允許所述第二路由器基于所述回復來填充所述第二 ND表。
6.如權利要求1所述的方法���,其中所述子網包括具有未被填充的第二ND表的第二路由器�����,所述方法還包括以下步驟: 一旦所述第二路由器激活�,就由所述路由器接收來自所述第二路由器的對數據交換的請求��;以及 使用數據交換協(xié)議將所述ND表提供給所述第二路由器�。
7.如權利要求1所述的方法,其中所述子網包括具有未被填充的第二ND表的第二路由器�,所述方法還包括以下步驟: 由所述第二路由器發(fā)送一個或多個路由器通告消息給所述子網上的所述主機�����,所述路由器通告消息中的每個包括標記���,所述標記被定義為提示所述主機中的每個主機重新發(fā)送通告其地址信息的消息;以及 由所述第二路由器基于來自所述主機中的每個主機的所述消息來填充所述第二 ND表�����。
8.一種用于防止附連到子網的主機上的拒絕服務攻擊的網絡元件�����,所述攻擊由遠程節(jié)點通過外部網絡發(fā)起���,所述網絡元件配置成在所述外部網絡和所述子網之間轉發(fā)分組,所述網絡元件包括: 存儲近鄰發(fā)現(xiàn)(ND)表的存儲器�,所述ND表包括條目并且每個條目存儲已經由所述網絡元件驗證為活動的主機中的一個主機的地址信息; 通信地耦合到所述存儲器的網絡處理器��,所述網絡處理器配置成執(zhí)行目的地確定模塊和轉發(fā)模塊���, 所述目的地確定模塊配置成在所述ND表中查找由所述網絡元件接收的分組的目的地地址����,所述ND表由在接收所述分組之前被完成的所述子網上的操作來填充,其中所述目的地地址在根據IPv6協(xié)議的所述子網的地址空間中��,以及所述轉發(fā)模塊配置成�����,如果所述目的地地址被存儲在所述ND表中����,則轉發(fā)所述分組到所述目的地地址,并且如果所述目的地地址沒有被存儲在所述ND表中����,則丟棄所述分組。
9.如權利要求8所述的網絡元件����,其中所述網絡處理器還配置成執(zhí)行計時器模塊和驗證模塊, 所述計時器模塊配置 成檢測到表示所述主機中的給定的一個主機的所述條目中的給定的一個條目具有到達驗證閾值的逝去使用期�����, 所述驗證模塊配置成驗證當所述給定的條目的使用期到達所述驗證閾值時所述給定的主機是活動的�,以及 如果所述給定的主機是活動的�����,則所述計時器模塊延長所述ND表中的所述給定的條目的使用期�����,并且如果所述給定的主機不是活動的���,則一旦所述給定的條目到期,則從所述ND表刪除所述給定的條目����。
10.如權利要求9所述的網絡元件,其中所述驗證模塊還配置成發(fā)送近鄰征求消息到所述給定的主機�,從而驗證所述給定的主機是否活動,并且延長所述給定的條目的使用期以響應于對所述ND征求消息的回復�����。
11.如權利要求9所述的網絡元件��,其中所述驗證閾值是所述給定的條目到期所在的使用期閾值的三分之二��。
12.如權利要求8所述的網絡元件���,其中所述子網包括具有未被填充的第二ND表的第二網絡元件�����,所述網絡元件還配置成 接收來自所述第二網絡元件的通告消息���,其中所述通告消息指示所述第二網絡元件已經變成活動的,以及 發(fā)送近鄰征求消息給所述子網上的所述主機中的每個�,在所述消息中具有未規(guī)定的源地址,這將引起接收所述消息的所述主機中的每個主機多播回復��,從而允許所述第二網絡元件基于所述回復來填充所述第二 ND表�。
13.如權利要求8所述的網絡元件,其中所述子網包括具有未被填充的第二ND表的第二網絡元件����,所述網絡元件還配置成一旦所述第二網絡元件激活,就接收來自所述第二網絡元件的對數據交換的請求��,以及使用數據交換協(xié)議將所述ND表提供給所述第二網絡元件��。
14.如權利要求8所述的網絡元件�,其中所述子網包括具有第一ND表的第二網絡元件,并且在所述第二網絡元件已變成活動的之后,所述網絡元件將變成活動的�����,所述網絡元件還配置成執(zhí)行表填充模塊�����, 所述表填充模塊配置成發(fā)送通告消息到所述第二網絡元件�,其中所述通告消息指示所述網絡元件已經變成活動的并且引起所述第二網絡元件發(fā)送近鄰征求消息給所述子網上的所述主機中的每個主機,在所述消息中具有未規(guī)定的源地址��, 所述表填充模塊還配置成接收由接收所述消息的所述主機中的每個主機多播的回復�,并且基于所述回復來填充所述ND表。
15.如權利要求8所述的網絡元件���,其中所述子網包括具有第二ND表的第二網絡元件�����,并且在所述第二網絡元件已經變成活動的之后����,所述網絡元件將變成活動的����,所述網絡元件還配置成執(zhí)行表填充模塊, 所述表填充模塊配置成一旦所述網絡元件激活��,就根據數據交換協(xié)議發(fā)送對數據交換的請求到所述第二網絡元件�,以及 所述表填充模塊還配置成接收來自所述第二網絡元件的所述第二 ND表并且基于所述第二 ND表來填充所述ND表。
16.如權利要求8所述的網絡元件���,其中所述子網包括具有第二ND表的第二網絡元件�,并且在所述第二網絡元件已經變成活動的之后�����,所述網絡元件將變成活動的��,所述網絡元件還配置成執(zhí)行表填充模塊�����, 所述表填充模塊配置成發(fā)送一個或多個路由器通告消息給所述子網上的所述主機���,所述路由器通告消息中的每個包括標記�����,所述標記被定義為提示所述主機中的每個主機重新發(fā)送通告其地址信息的消息���,以及 所述表填充模塊還配置成基于來自所述主機中的每個主機的所述消息來填充所述ND表�。
【文檔編號】H04L29/06GK103609089SQ201280030522
【公開日】2014年2月26日 申請日期:2012年6月6日 優(yōu)先權日:2011年6月21日
【發(fā)明者】J.霍爾佩恩 申請人:瑞典愛立信有限公司