一种面向IPv6网络的假冒源地址报文探测方法技术

本发明专利技术公开了一种面向IPv6网络的假冒源地址报文探测方法，客户端根据探测命令的指示构造M个假冒源地址报文，并连同M个正常报文构成探测队列，发送给服务器；服务器根据接收到正常报文和假冒源地址报文的情况分析单次探测结果，并根据单次探测结果推算对主机假冒的源地址的初步过滤效果；服务器根据单个主机的N次探测结果推算对主机假冒的源地址的最终过滤效果；根据单个子网内多个主机的多次探测结果推算子网的源地址过滤效果；根据不同子网的源地址过滤效果推算整个园区网对假冒源地址的过滤效果。本发明专利技术按照服务器的指令构造假冒IPv6源地址报文，服务器根据假冒源地址报文的接收情况分析探测客户端接入子网是否实施了细粒度的源地址验证。

【技术实现步骤摘要】
-种面向IPv6网络的假冒源地址报文探测方法
本专利技术涉及计算机网络管理领域，尤其涉及一种面向IPv6网络的假冒源地址报 文探测方法。
技术介绍
随着互联网编号分配机构 IANA (Internet Assigned Numbers Authority)于 2011 年2月宣布最后一批IPv4地址已经分配到地区互联网注册管理中心，亚太地区中心在2011 年4月宣布不再分配IPv4地址，IPv4网络地址已经基本耗尽。互联网将逐步过渡到IPv6 时代，新的网络建设将完全采用IPv6地址。在中国，在下一代互联网示范工程（China Next Generation Internet, CNGI)的推动下，IPv6网络已经得到了广泛的应用。 但是由于互联网根据目的地址进行报文转发的体系结构，到达互联网的数据报文 的源地址并不会被检查，这就导致了假冒源地址攻击现象的存在，并导致了分布式拒绝服 务攻击、中间人攻击等多种严重危害互联网安全的问题。针对这一问题，源地址验证协议 SAVI (Source Address Validation Improvement)，IP 源保护（IP Source Guard)和动态 ARP检测（DAI,Dynamic ARP Inspection)等协议被提出和实现。这些协议部署到连接用户 的接入网，将可以防止主机假冒同一子网中的IP地址，实现细粒度的假冒源地址过滤。 假冒地址过滤效果一直是互联网研究的一个重要课题，互联网数据分析合作协会 (CAIDA，Cooperative Association for Internet Data Analysis)利用其分布在世界各 地的基础设施，进行了 12000次的主动探测，其主要是针对IPv4网络探测主机是否能够假 冒其他子网的IP地址及未分配地址等。但是在CAIDA的探测项目和现有技术中针对IPv6 网络中主机假冒其同一子网中的其他IP地址没有进行探测，也需要对IPv6网络中的假冒 源地址过滤现状进行研究，同时对于IPv6网络的安全和管理建设也具有重要意义。
技术实现思路
(一）要解决的技术问题 针对上述缺陷，本专利技术要解决的技术问题是如何在IPv6网络环境下实现假冒源 地址过滤效果的探测，并避免防火墙等过滤设备和网络丢包对探测准确性的影响。 (二）技术方案 为解决上述问题，本专利技术提供了， 具体包括以下步骤： S1 :客户端向服务器发送正常报文； S2 :所述服务器向所述客户端发送回应命令； S3:所述客户端根据所述回应命令的指示发送Μ个正常报文到所述服务器，其中 Μ彡2 ; S4:所述服务器计算所述正常报文的接收情况，如果正常报文接收率大于第一阈 值，则发送探测命令给所述客户端，否则进入步骤S7 ; S5:所述客户端根据所述探测命令的指示构造 Μ个假冒源地址报文，并连同Μ个正 常报文构成探测队列，发送给所述服务器； S6 :所述服务器根据接收到所述正常报文和所述假冒源地址报文的情况分析单次 探测结果，并根据单次探测结果推算对主机假冒的源地址的初步过滤效果； S7 :每经过一段时间间隔后，所述客户端重复步骤S6,发送新的探测队列，共计重 复Ν次，所述服务器根据单个主机的Ν次探测结果推算对主机假冒的源地址的最终过滤效 果，其中Ν彡2; S8:根据单个子网内多个主机的多次探测结果推算子网对假冒的源地址的过滤效 果； S9 :根据不同子网的源地址过滤效果推算整个园区网对假冒的源地址的过滤效 果。 进一步地，所述步骤S5中构造假冒源地址报文具体包括： S51 :确定使用哪个适配器来发送所述假冒源地址报文； S52 :确定所述假冒源地址报文的目的MAC地址； S53 :根据所述目的MAC地址构造所述假冒源地址报文。 进一步地，所述步骤S51具体包括： S511 :所述客户端向所述服务器发送正常报文； S512 :确定所述正常报文使用的本地IP地址； S513 :读取适配器信息表，比较确定所述IP地址对应的适配器即为用来发送所述 假冒源地址报文的适配器。 进一步地，所述步骤S52具体包括： S521 :源主机发送邻居请求报文请求目的主机的MAC地址，如果所述源主机收到 回应，则所述目的主机和所述源主机在同一子网，使用所述目的主机的MAC地址作为目的 MAC地址，否则所述目的主机和所述源主机不在同一子网，进入步骤S522 ; S522 :读取适配器信息表，获得网关对应的IP地址，查找所述IP地址是否在所述 源主机的网络邻居表中，如果在，则读取所述网络邻居表中与所述IP地址对应的MAC地址， 并使用所述IP地址对应的MAC地址作目的MAC地址，否则，进入步骤S523 ; S523 :所述源主机发送所述邻居请求报文请求网关的MAC地址，使用所述网关的 MAC地址作为目的MAC地址。 进一步地，所述步骤S53具体包括： S531 :根据步骤S51确定的适配器调用接口函数，构造指定目的端口、源端口、报 文内容的UDP报文； S532 :调用接口函数，构造指定源地址、目的地址的IP报文段； S533 :调用接口函数，根据步骤S52确定的目的MAC地址构造指定目的MAC地址的 以太网报文。 进一步地，所述步骤S6中推算对主机假冒的源地址的初步过滤效果具体包括： S61 :如果所述正常报文的接收率为0或低于第一阈值则丢弃本次结果； S62:如果所述正常报文的接收率超过所述第一阈值，所述假冒源地址报文的接收 率也超过所述第一阈值，则判断对主机假冒的源地址没有进行过滤； S63:如果所述正常报文的接收率超过所述第一阈值，所述假冒源地址报文的接收 率低于第二阈值，则判断对主机假冒的源地址已进行过滤，其余不满足条件的探测结果被 丢弃。 进一步地，所述步骤S7中所述服务器根据单个主机的N次探测结果推算对主机假 冒的源地址的最终过滤效果具体包括： S71 :根据所述步骤S6中的推算方法，计算N次探测后对主机假冒的源地址的最终 过滤效果； S72:如果所述主机最终的源地址过滤效果超过第三阈值则判断对主机假冒的源 地址已进行过滤； S73:如果所述主机最终的源地址过滤效果低于第四阈值则判断对主机假冒的源 地址没有进行过滤，其余不满足条件的探测结果被丢弃。 进一步地，所述步骤S8具体包括： S81 :选择单个子网中不同位置的多个主机，每个主机发送多个探测队列到所述服 务器。 S82:所述服务器基于多个主机的多次探测结果，判断所述子网对假冒的源地址的 过滤效果。 进一步地，所述步骤S9具体包括： S91 :对整个园区网中的所有参与探测的IP地址进行排序； S92 :初始化子网源地址过滤效果情况表，将每个子网中源地址过滤效果初始化为 未进行过滤； S93 :读取每一个IP地址与所述IP地址对应的过滤效果，统计每一个子网对假冒 源地址的过滤效果； S94:将所有子网的过滤效果累加，再除以所述园区网中参与探测的子网数目，推 算所述园区网对假冒的源地址的过滤效果。 本文档来自技高网...

【技术保护点】
一种面向IPv6网络的假冒源地址报文探测方法，其特征在于，所述方法包括：S1：客户端向服务器发送正常报文；S2：所述服务器向所述客户端发送回应命令；S3：所述客户端根据所述回应命令的指示发送M个正常报文到所述服务器，其中M≥2；S4：所述服务器计算所述正常报文的接收情况，如果正常报文接收率大于第一阈值，则发送探测命令给所述客户端，否则进入步骤S7；S5：所述客户端根据所述探测命令的指示构造M个假冒源地址报文，并连同M个正常报文构成探测队列，发送给所述服务器；S6：所述服务器根据接收到所述正常报文和所述假冒源地址报文的情况分析单次探测结果，并根据单次探测结果推算对主机假冒的源地址的初步过滤效果；S7：每经过一段时间间隔后，所述客户端重复步骤S6，发送新的探测队列，共计重复N次，所述服务器根据单个主机的N次探测结果推算对主机假冒的源地址的最终过滤效果，其中N≥2；S8：根据单个子网内多个主机的多次探测结果推算子网对假冒的源地址的过滤效果；S9：根据不同子网的源地址过滤效果推算整个园区网对假冒的源地址的过滤效果。

【技术特征摘要】
1. 一种面向IPv6网络的假冒源地址报文探测方法，其特征在于，所述方法包括： 51 :客户端向服务器发送正常报文； 52 :所述服务器向所述客户端发送回应命令； 53 :所述客户端根据所述回应命令的指示发送Μ个正常报文到所述服务器，其中 Μ彡2 ; 54 :所述服务器计算所述正常报文的接收情况，如果正常报文接收率大于第一阈值，则 发送探测命令给所述客户端，否则进入步骤S7 ; 55 :所述客户端根据所述探测命令的指示构造 Μ个假冒源地址报文，并连同Μ个正常报 文构成探测队列，发送给所述服务器； 56 :所述服务器根据接收到所述正常报文和所述假冒源地址报文的情况分析单次探测 结果，并根据单次探测结果推算对主机假冒的源地址的初步过滤效果； 57 :每经过一段时间间隔后，所述客户端重复步骤S6,发送新的探测队列，共计重复Ν 次，所述服务器根据单个主机的Ν次探测结果推算对主机假冒的源地址的最终过滤效果， 其中Ν彡2 ; 58 :根据单个子网内多个主机的多次探测结果推算子网对假冒的源地址的过滤效果； 59 :根据不同子网的源地址过滤效果推算整个园区网对假冒的源地址的过滤效果。2. 如权利要求1所述的方法，其特征在于，所述步骤S5中构造假冒源地址报文具体包 括： 551 :确定使用哪个适配器来发送所述假冒源地址报文； 552 :确定所述假冒源地址报文使用的目的MAC地址； 553 :根据所述目的MAC地址构造所述假冒源地址报文。3. 如权利要求2所述的方法，其特征在于，所述步骤S51具体包括： 5511 :所述客户端向所述服务器发送正常报文； 5512 :确定所述正常报文使用的本地IP地址； 5513 :读取适配器信息表，比较确定所述本地IP地址对应的适配器即为用来发送所述 假冒源地址报文的适配器。4. 如权利要求2所述的方法，其特征在于，所述步骤S52具体包括： 5521 :源主机发送邻居请求报文请求目的主机的MAC地址，如果所述源主机收到回应， 则所述目的主机和所述源主机在同一子网，使用所述目的主机的MAC地址作为目的MAC地 址，否则所述目的主机和所述源主机不在同一子网，进入步骤S522 ; 5522 :读取适配器信息表，获得网关对应的IP地址，查找所述IP地址是否在所述源主 机的网络邻居表中，如果在，则读取所述网络邻居表中与所述IP地址对应的MAC地址，并使 用所述IP地址对应的MAC地址作目的MAC地址，否则，进入步骤S523 ; 5523 :所述源主机发送所述邻居请求报文请求网关的MAC地址，使用所述网关的MAC地 址作为目的MAC地址。5. 如权利要求2所述的方法，其特征在于，所述步骤S53具体包括： 5531 :根据步骤S51确定的适配器调用接口函数，构造指定目的端口、源端口、报文内 容的Μ)Ρ报文； 5532 :调用接口函数，构造指定源地址、目的地址的IP报文段； S533 :调用...

【专利技术属性】
技术研发人员：杨家海，安常青，李福亮，
申请(专利权)人：清华大学，
类型：发明
国别省市：北京;11