文/刘丽芳

IPv6使用ND（Neighbor Discovery，即邻居发现）协议进行邻居解析。ND承载于ICMPv6协议之上，与链路层无关。本专利的技术方案通过侦听ND协议报文，解决了IPv6邻居解析及地址配置过程中的攻击问题，包括DAD NS攻击、NA攻击、RA攻击等，提升了终端安全。

此专利技术方案对主机的DAD检测过程中报文的转发流程做了一定的改进。如图所示，Switch1将所有用于DAD检测的NS报文重定向上送CPU，不进行转发。

当Switch1收到Host A、Host B和Host C分别发送的IP_A、IP_B和IP_C地址的DAD检测报文后，从报文中解析出目标地址，取出以太帧头中的源MAC和报文接收端口及VLAN信息，并建立绑定关系表项：VLAN+IP_A+Port_A+MAC_A，VLAN+IP_B+Port_B+MAC_B，VLAN + IP_C+Port_C+MAC_C。

当Switch1收到终端发出的DAD检测报文后，查找上述表项，如果没找到，添加新表项；如果找到，则Switch1承担代理的角色，参考协议规定，根据找到的表项信息组装NA报文，向接收NS报文的端口发送，知会该地址已经被使用。

另外，在Switch1上，基于以上原则建立的绑定关系表项，还可以进一步用于所有IPv6数据报文和除DAD检测报文以外的其它所有ND协议报文进行安全检查。检查机制如下：根据报文的源IP+报文入端口+VLAN+MAC在表中进行查询，如果查找完全匹配，则检查通过，报文正常转发；否则丢弃。

在实际的网络环境中可能存在多个交换机相连的情况，可以在各交换机上都建立绑定表项。如图所示，将Switch1与Switch2相连的接口进行特殊设置，认为是可信任的端口，重定向上CPU的DAD NS报文在各交换机上可以只向信任的端口进行转发，这样也可以在Switch2上按照上述的流程建立正确的绑定表项，提高网络整体的处理效率，保证整个网络环境中的报文转发正常及安全。

专利点评

本专利技术方案在建立安全表项之前不泄露合法用户的相关信息，并可以防止恶意用户回复合法用户的DAD检测报文进行的攻击，同时提高安全表项的可信度，更有效地保障合法用户的安全；另外，基于安全表项的代答处理机制还可以正确知会存在的地址冲突。

截至目前为止， H3C在IPv6技术领域的专利部署已经达七十余件之多。

http://www.h3c.com.cn/res/201002/22/20100222_928288_image001_663839_30008_0.pngND防攻击技术" TITLE="IPv6 ND防攻击技术" />