System.ArgumentOutOfRangeException: 索引和長度必須引用該字符串內的位置。 參數名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 亚洲AV无码成人网站久久精品大,亚洲AV无码专区在线亚,国产50部艳色禁片无码 
  • 

  • 
<ul id="o6k0g"></ul>
    <ul id="o6k0g"></ul>
    

    

    
    
      
    
          
          
    
            
    
                
    
                    
    
                        
    
                            
    一種面向網關設備的主機粒度真實源地址驗證的方法技術
    
                            
    技術編號:43800330 閱讀:17 留言:0更新日期:2024-12-27 13:20
    
                        
    
                        
    
                            
                            本發明專利技術涉及一種面向網關設備的主機粒度真實源地址驗證的方法,屬于網絡安全研究技術領域。網關設備將接入網的流量鏡像到網關設備中,再通過流量過濾功能將地址分配協議提取出來并進行分析,在對接入網中所有主機的地址配置過程進行全流程監測后,確定下來主機所分配的合法地址,在網關設備與接入網相連接的接口上創建主機粒度的真實源地址驗證表項,對接入網進入網關設備的流量進行真實源地址驗證,為實現在網關設備下聯接入網的主機粒度防御偽造源地址攻擊提供了保障。
    
                            
                            
    


    
                            

                            
    【技術實現步驟摘要】
    
                                
    本專利技術涉及一種面向網關設備的主機粒度真實源地址驗證的方法,屬于網絡安全研究。

    技術介紹
    1、網關(gateway)設備又稱網間連接器、協議轉換器,是多個網絡間提供數據轉換服務的計算機系統或設備。可以說網關設備就是不同網之間的連接器,是數據要從一個局域網到另外一個局域網時要經過“協商”的設備。通常在網關設備下聯接入交換機,由接入交換機直接連接用戶端,用戶端通過地址分配協議(dhcp協議、ndp協議和靜態配置)獲取合法地址,地址分配協議通常在本地鏈路上來進行的,也就是在接入交換機上完成。在接入交換機不支持真實源地址驗證功能的環境下,網關設備如果只支持前綴粒度的真實源地址驗證,將會導致網絡攻擊者在獲知當前網絡前綴的情況下,可以任意偽造當前網絡前綴的源地址進行偽造源地址攻擊。
    2、因此如何在網關設備上,通過分析接入網絡地址分配協議,獲取在接入網內每個終端設備配置的合法真實的地址,并且在網關設備上實現主機粒度的真實源地址驗證,在接入網消滅偽造源地址攻擊對網絡的危害,是互聯網路由系統中亟待解決的問題。為此,提出本專利技術。

    技術實現思路
    1、針對現有技術的不足,本專利技術提供一種面向網關設備的主機粒度真實源地址驗證的方法,在網關設備下實現主機粒度的真實源地址行驗證,對網關設備下聯接入網的偽造源地址攻擊進行主機粒度的防御提供了經濟高效的方法,該方法通過在網關設備里開啟嗅探接入網地址分配協議功能,在接入網與網關設備互聯的接口上實現主機粒度的真實源地址驗證,達到對接入網偽造源地址流量攻擊進行主機粒度的防御目標。
    2、具體來說,網關設備將接入網的流量鏡像到網關設備中,再通過流量過濾功能將地址分配協議提取出來并進行分析,在對接入網中所有主機的地址配置過程進行全流程監測后,確定下來主機所分配的合法地址,在網關設備與接入網相連接的接口上創建主機粒度的真實源地址驗證表項,對接入網進入網關設備的流量進行真實源地址驗證,為實現在網關設備下聯接入網的主機粒度防御偽造源地址攻擊提供了保障。
    3、本專利技術的技術方案如下:
    4、一種面向網關設備的主機粒度真實源地址驗證的方法,步驟如下:
    5、(1)網關設備控制平面的真實源地址驗證模塊創建主機真實源地址表;
    6、(2)網關設備控制平面的地址分配嗅探模塊與接入交換機建立數據端口和鏡像端口關系,并記錄下數據端口和鏡像端口編號;
    7、(3)網關設備控制平面的地址分配嗅探模塊將地址配置協議信息和鏡像端口之間的綁定關系表,下發到網關設備p4數據平面的ram中保存,在鏡像端口上綁定流量匹配規則,規則的動作為上交;
    8、(4)網關設備p4數據平面接收網絡流量,命中流量匹配規則后,將流量封裝在udp報文中,發送給網關設備控制平面的真實源地址驗證模塊;
    9、(5)網關設備控制平面的真實源地址驗證模塊接收到udp報文后,將udp報文的載荷部分取出,對地址分配協議進行分析;
    10、(6)利用地址分配協議的分析結果掃描并修改真實源地址表;
    11、(7)網關設備真實源地址驗證模塊將主機真實源地址表,下發到網關設備p4數據平面的ram中保存,在數據端口上綁定為流量規則,規則的動作為轉發;
    12、(8)網關設備p4數據平面在數據端口上接收到數據流量,掃描真實源地址表,完全匹配則轉發,不匹配則丟棄。
    13、根據本專利技術優選的,步驟(1)中,真實源地址表包括主機ip地址、主機mac地址、存活時間和接口號,主機ip地址為通過地址配置協議給主機所分配的合法地址,主機mac地址為當前主機網卡唯一標識,存活時間為當前這條表項能夠保存的最長時間,接口號為綁定當前表項的網關設備接口編號,初始化主機真實源地址表為空。
    14、根據本專利技術優選的,步驟(3)中,針對地址配置協議的流量匹配規則有兩條,針對icmpv6的流量,匹配規則為入接口為鏡像接口,協議類型為icmpv6,icmpv6類型為neighborsolicit、neighbor?advertisement類型;
    15、針對dhcpv6的流量,匹配規則為入接口為鏡像接口、協議類型為udp、傳輸層源端口號為546或傳輸層源端口號為547。
    16、根據本專利技術優選的,步驟(4)中,命中流量匹配規則指,提取網絡流量數據包信息,包括網絡層源ip地址、網絡層目的ip地址、協議類型、icmpv6類型、傳輸層源端口號,與ram中的流量匹配規則進行精確匹配,如果全部相同,則表示命中流量匹配規則。
    17、根據本專利技術優選的,步驟(5)中,載荷部分為,通過步驟(4)命中流量匹配規則的網絡流量數據包,包括icmpv6的neighbor?solicit、neighbor?advertisement報文以及dhcpv6報文;
    18、地址分配協議進行分析步驟為,分別使用dhcpv6和icmpv6報文解析函數對icmpv6的neighbor?solicit、neighbor?advertisement報文以及dhcpv6報文進行解析,解析出分配的ipv6地址以及認證信息,認證信息包括dhcpv6事務id、主機ip地址、主機mac地址和租賃時間。
    19、根據本專利技術優選的,步驟(6)中,具體的,當地址分配協議確認主機獲得地址后,從地址分配協議中取出主機ip地址和主機mac地址,掃描主機真實源地址表,如果有記錄,則執行步驟(6.1),如果沒有記錄,則執行步驟(6.2);
    20、(6.1)利用步驟(6)所獲取的記錄,根據地址分配協議的類型將存活時間修改為租賃時間;
    21、(6.2)創建一條主機真實源地址表項,將步驟(6)中從地址分配協議中取出的主機ip地址和主機mac地址,填入表項中的主機ip地址和主機mac地址,將存活時間填入租賃時間,租賃時間根據地址分配協議確定,dhcpv6報文的租賃時間設置為reply報文的t1時間,icmpv6報文的租賃時間為1天的秒數,將接口號填入步驟(2)中所記錄的數據端口編號。
    22、根據本專利技術優選的,步驟(8)中,完全匹配指的是數據端口上接收到數據流量的源ip地址以及入接口,與真實源地址表進行精確匹配,兩項精確匹配均命中則完全匹配,驗證通過,否則為不匹配。
    23、本專利技術的有益效果在于:
    24、1、本專利技術通過監聽icmpv6、dhcpv6地址分配協議報文,提供了針對主機粒度的真實源地址驗證方法,能夠精確防御偽造源地址攻擊,比傳統的基于網絡或子網的驗證方法更精確;通過在網關設備內集成嗅探和分析模塊,本專利技術可以實時獲取并分析接入網中的dhcpv6以及icmpv6地址分配協議,確保所有分配的地址都是經過驗證的合法地址,這與傳統的被動監控模式不同,具有主動性和實時性,增加了偽造主機地址的難度。
    25、2、與傳統方案對比,傳統方法可能需要額外的專用設備或在多個設備上部署復雜的驗證機制,而本專利技術則通過在現有的網關設備上實現主機粒度的源本文檔來自技高網...
                            
    
                            
    【技術保護點】
    
                                
    1.一種面向網關設備的主機粒度真實源地址驗證的方法,其特征在于,步驟如下:
    2.如權利要求1所述的面向網關設備的主機粒度真實源地址驗證的方法,其特征在于,步驟(1)中,真實源地址表包括主機IP地址、主機MAC地址、存活時間和接口號,主機IP地址為通過地址配置協議給主機所分配的合法地址,主機MAC地址為當前主機網卡唯一標識,存活時間為當前這條表項能夠保存的最長時間,接口號為綁定當前表項的網關設備接口編號,初始化主機真實源地址表為空。
    3.如權利要求2所述的面向網關設備的主機粒度真實源地址驗證的方法,其特征在于,步驟(3)中,流量匹配規則有兩條,針對ICMPv6的流量,匹配規則為入接口為鏡像接口,協議類型為ICMPv6,ICMPv6類型為Neighbor?Solicit、Neighbor?Advertisement類型;
    4.如權利要求3所述的面向網關設備的主機粒度真實源地址驗證的方法,其特征在于,步驟(4)中,命中流量匹配規則指,提取網絡流量數據包信息,包括網絡層源IP地址、網絡層目的IP地址、協議類型、ICMPv6類型、傳輸層源端口號,與RAM中的流量匹配規則進行匹配,如果全部相同,則表示命中流量匹配規則。
    5.如權利要求4所述的面向網關設備的主機粒度真實源地址驗證的方法,其特征在于,步驟(5)中,載荷部分為,通過步驟(4)命中流量匹配規則的網絡流量數據包,包括ICMPv6的Neighbor?Solicit、Neighbor?Advertisement報文以及DHCPv6報文;
    6.如權利要求5所述的面向網關設備的主機粒度真實源地址驗證的方法,其特征在于,步驟(6)中,具體的,當地址分配協議確認主機獲得地址后,從地址分配協議中取出主機IP地址和主機MAC地址,掃描主機真實源地址表,如果有記錄,則執行步驟(6.1),如果沒有記錄,則執行步驟(6.2);
    7.如權利要求6所述的面向網關設備的主機粒度真實源地址驗證的方法,其特征在于,步驟(8)中,完全匹配指的是數據端口上接收到數據流量的源IP地址以及入接口,與真實源地址表進行精確匹配,兩項精確匹配均命中則完全匹配,驗證通過,否則為不匹配。
    ...
                            
    
                            
    【技術特征摘要】
    
                                
    1.一種面向網關設備的主機粒度真實源地址驗證的方法,其特征在于,步驟如下:
    2.如權利要求1所述的面向網關設備的主機粒度真實源地址驗證的方法,其特征在于,步驟(1)中,真實源地址表包括主機ip地址、主機mac地址、存活時間和接口號,主機ip地址為通過地址配置協議給主機所分配的合法地址,主機mac地址為當前主機網卡唯一標識,存活時間為當前這條表項能夠保存的最長時間,接口號為綁定當前表項的網關設備接口編號,初始化主機真實源地址表為空。
    3.如權利要求2所述的面向網關設備的主機粒度真實源地址驗證的方法,其特征在于,步驟(3)中,流量匹配規則有兩條,針對icmpv6的流量,匹配規則為入接口為鏡像接口,協議類型為icmpv6,icmpv6類型為neighbor?solicit、neighbor?advertisement類型;
    4.如權利要求3所述的面向網關設備的主機粒度真實源地址驗證的方法,其特征在于,步驟(4)中,命中流量匹配規則指,提取網絡流量數據包信息,包括網絡層源ip地址、網絡層目的ip地址、協...
                            
    
                            
    【專利技術屬性】
    
                                技術研發人員:王宇亮,國興昌,滑翠云,金輝,李宗鵬,徐明偉,楊波
    
        申請(專利權)人:泉城省實驗室,
    
        類型:發明
    
        國別省市:
    
                            
    
                            
                        
    
                    
    
                    
                    
                     
                
    
                
                
    
                    
    
                        網友詢問留言
                        已有0條評論
                    
    
                    
    
                        
    
                            
      
                                
    • 
                                
						

      還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。
      


                              
                            
    
                            
    
                                 1 

                            
    
                        
    
                        
                        
    
                            
    
                              
                            
    
                            
                        
    
                    
    
                
    
            
    
              
             
          
    
      
    
    
    

    
    
    




  


主站蜘蛛池模板:
亚洲αⅴ无码乱码在线观看性色|
久久午夜夜伦鲁鲁片无码免费|
亚洲AV无码片一区二区三区|
成人免费无码大片A毛片抽搐色欲|
无码欧精品亚洲日韩一区夜夜嗨
|
亚洲AV无码AV吞精久久|
无码人妻精品一区二区蜜桃百度|
中国无码人妻丰满熟妇啪啪软件|
亚洲看片无码在线视频|
岛国无码av不卡一区二区|
亚洲爆乳无码精品AAA片蜜桃|
亚洲中文字幕无码久久2017|
人妻中文字幕AV无码专区|
亚洲欧洲日产国码无码网站
|
无码人妻精品一区二区蜜桃百度|
色窝窝无码一区二区三区成人网站|
色欲aⅴ亚洲情无码AV|
91精品久久久久久无码|
亚洲av永久无码精品古装片
|
久久精品无码一区二区三区不卡|
国产精品亚洲аv无码播放|
伊人蕉久中文字幕无码专区|
无码中文字幕av免费放|
亚洲日韩AV无码一区二区三区人|
国产精品无码a∨精品|
国产精品三级在线观看无码
|
国产a级理论片无码老男人|
国产精品亚洲а∨无码播放麻豆|
无码丰满熟妇juliaann与黑人|
亚洲AV无码成人网站久久精品大
|
亚洲级αV无码毛片久久精品|
日韩精品无码Av一区二区|
无码人妻精品一区二区三区不卡|
亚洲AV无码一区二区一二区|
无码福利一区二区三区|
亚洲GV天堂无码男同在线观看|
2021无码最新国产在线观看|
精品人妻无码区在线视频|
无码福利一区二区三区|
亚洲久热无码av中文字幕|
免费看无码自慰一区二区|