专利名称:在ipv6网络中用于封锁和搜索主机的方法
技术领域:
本发明涉及一种在IPv4网络中用于封锁和搜索主机的方法,更具体的,涉及一种在IPv4网络中,利用IPv6网络环境中的邻居发现协议(NDP),来封锁和搜索主机的方法。
背景技术:
IPv4 (S卩,32位地址系统)的完全耗尽已逐渐的变为现实。根据韩国互联网安全代理的IPv6门户(http ://IPv6. vsix. net)所提供的信息,认为IPv4地址将在2009年1月 20日之后大约791天被耗尽。很多已经知晓地址耗尽的公司和政府机关正在执行从IPv4 网络向IPv6网络切换的任务。因此,存在倾向于逐渐增加对于IPv6的需求。此外,在IPv6中,支持IP地址地自动设置。如果如前述那样自动分配地址,出于网络资源管理的角度,则需要对设备的所有部分以及相关信息的主要部分的IP进行核查。另外,由于IP地址是自动设置的,就出现这样一个问题,即怀有恶意的用户可以没有任何限制地进入网络的主要设备内。由此,必须对用户进行管理和封锁。
发明内容
因此,本发明考虑到上述在现有技术中存在的问题,其中一个目的在于提供一种主机的搜索方法,该方法可以有效地管理IPv6环境中网络的主要资源,并提供一种在IPv4 网络中对主机进行封锁和搜索的方法,该方法可以通过封锁未经授权的主机进入网络而构造出更高安全性的环境。为了实现该目的,根据本发明的一个方面,提供一种在IPv6网络中用于搜索主机的方法,包括以下步骤请求关于将要被搜索IP的主机信息,通过将设置邻居请求(NS)包发送给网络,该包在ICMPv6目标地址中设置将要被搜索的IP值,在发送NS包之后,等待预定时间,该时间将主机的处理速度以及根据网络环境的传输速度考虑在内,在等待预定时间之后,确定是否已接收到将要被搜索的IP的邻居公告(NA)包,并且作为确定结果,如果确定已经接收到了将要被搜索的IP的NA包,则从NA包获取主机信息。根据本发明的另一方面,提供一种在IPv6网络中搜索主机的方法,包括以下步骤通过向网络发送路由器请求(RS)包来请求路由器信息,在发送RS包之后,等待预定时间,该时间将路由器的处理速度以及根据网络环境的传输速度考虑在内,在等待预定时间之后,确定是否已接收到路由器公告(RA)包,并且作为确定结果,如果确定已经接收到了 RA包,则从RA包获取路由器信息。根据本发明的再一方面,提供一种用于在IPv6网络中搜索主机的方法,包括以下步骤捕获邻居发现协议(NDP)包,确定已捕获的NDP包是否是RS包、NS包和NA包的其中之一,并且作为确定结果,如果确定所捕获的NDP包是RS包、NS包和NA包的其中之一,则从所捕获的包中获取主机信息或者作为确定结果,如果确定所捕获的NDP包是RA包,则从 RA包中获取路由器信息。根据本发明的又一方面,主机信息可以进一步包括关于NA (邻居公告)包的场信息(field information)。根据本发明的又一方面,路由器信息包括链路层地址信息和IP地址信息。根据本发明的又一方面,路由器信息可以选择性的进一步包括关于RA包的场信肩、ο根据本发明的又一方面,至少主机信息和路由器信息其中之一已列表的形式来管理IP地址以及链路层地址。根据本发明的又一方面,提供一种封闭IPv6网络中主机的方法,包括以下步骤 当制定用于封锁主机使其无法访问网络的政策时,捕获网络中的邻居发现协议(NDP)包,根据包的类型确定所捕获的NDP包是否包括在封锁政策内,并且作为确定结果,如果所捕获的NDP包包括在封锁政策内,则通过为主机IP产生的修正的NA包,并以多点传送或单播IP 形式发送该已修正的NA包,从而封闭该主机。根据本发明的再一方面,提供一种在IPv6网络中封闭主机的方法,包括以下步骤当制定用于封锁主机使其无法访问网络的政策时,在被封闭主机的NDP包并不设定在网络之内的状态中,则通过产生被封闭主机IP的已修正的NA包,并以多点传送或单播IP 形式发送该已修正的NA包,从而封闭该主机。根据本发明的又一方面,通过多点传送或单播已修正的NA包来封闭主机,其中将 NA包的链路层地址设置成未存在在网络中的虚拟链路层地址或具体链路层地址。根据本发明的又一方面,以列表形式来管理用于封锁主机使其无法进入网络的政策。根据本发明的再一方面,用于封锁主机使其无法进入网络的政策包括IP地址或链路层地址。根据本发明的又一方面,用于封锁主机使其无法进入网络的政策包括政策的起始时间以及终止时间。根据本发明的再一方面,封锁主机的步骤通过如下方式执行,将已修正的NA包发送给被封闭主机由此被封闭主机的网络界面的IP配置导致失败。根据本发明的再一方面,封锁主机的步骤是通过如下方式执行,将被封闭主机的已修正的NA包发送给网络中的主机,该网络包含该被封闭主机,从而基于已封闭主机的已修正NA包来更新邻居高速缓冲存储器(neighbor caches),并由此使与主机的通信失败。根据本发明的又一方面,该方法进一步包括以下步骤如果在网络中已捕获的 NDP包是RS或RA包,则根据RS或RA包的源信息来确定主机是否是已被封锁。根据本发明的再一方面,该方法进一步包括以下步骤如果在网络中已捕获的 NDP包是NS包,则根据NS包的源信息确定主机是否是已被封锁,并且作为确定结果,如果确定源信息与被封锁主机一致,则确定源信息是否是重复地址检测(DAD)检查包,并且作为确定结果,如果确定源信息与被封锁主机不一致,则根据目的地信息确定主机是否是被封锁主机。根据本发明的又一方面,该方法进一步包括以下步骤,如果在网络中已捕获的NDP 包是NA包,则确定NA包的源信息是否与被封锁主机一致,并且作为确定结果,如果源信息与被封锁主机不一致,则确定目的地信息是否与被封锁主机一致。根据本发明的再一方面,源信息包括源链路层地址,源IP地址以及ICMPv6标题目标地址中的一个或多个。根据本发明的又一方面,目的地信息包括目的地链路层地址,目的地IP地址以及 ICMPv6标题目标地址中的一个或多个。
本发明的其他方面以及优点将从以下结合附图的详细说明中得到更完全的理解, 其中
图1是根据本发明实施例的、利用NS包以及NA包搜索主机方法的流程图; 图2是根据本发明实施例的、利用RS包以及RA包搜索主机方法的流程图; 图3是根据本发明实施例的、通过分析网络中所捕获的NDP包来搜索主机和路由器的方法的流程图4是根据本发明实施例的、封闭主机方法的流程图。
具体实施例方式以下将结合附图对本发明的一些实例性实施例进行详细说明。根据本发明,NDP (邻居发现协议)用于在IPv6中搜索并封闭主机。更具体的,这里有三种用于搜索主机的方法。在第一种方法中,利用邻居请求(NS) 包来请求关于搜索IP的主机信息。如果利用邻居公告(NA)包相关主机相应于该请求,则从所接收到的包获得主机信息。在第二个方法中,利用路由器请求(RS)包请求路由器信息。如果已经接收到RS包的路由器利用路由器公告(RA)包相应该请求,则从所接收到的包中获得路由器信息。在第三个方法中,在NDP包被网络捕获之后,可根据类型获得主机和路由器信息。本发明涉及一种在IPv6网络环境中用于封锁和搜索主机的方法。如果IPv6仅仅由IP来表示,IPv6可能会与IPv4混淆。因此下文中除非具体表示是IPv4,否则IP均仅涉及IPv6或IPv6网络。在描述本发明之前,首先对IPv6的基本技术进行说明。1)ICMP
ICMP是网间控制消息协议(Internet Control Message Protocol)的缩写,用于为网络状态调换消息。ICMP在3层网络层中运行,其与IP—致。ICMP主要在IPv4中运行,并且ICMP的主要功能在表1中列出。表1
权利要求
1.一种在IPv6网络中用于搜索主机的方法,该方法包括以下步骤请求主机信息,其包括链路层地址信息和关于要搜索IP的IP地址信息,该请求通过向网络发送邻居请求(NS)包来进行,其中把将要搜索的IP设置到ICMPv6目标地址中;在发送NS包之后,等待预定时间,该时间将主机的处理速度以及根据网络环境的传输速度考虑在内;在等待预定时间之后,确定是否已接收到将要被搜索IP的邻居公告(NA)包;并且作为确定结果,如果确定已经接收到了将要被搜索IP的NA包,则从NA包获取主机信息。
2.—种在IPv6网络中用于搜索主机的方法,该方法包括以下步骤请求路由器信息,其包括链路层地址信息以及IP地址信息,该请求通过向网络发送路由器请求(RS)包来进行;在发送RS包之后,等待预定时间,该时间将路由器的处理速度以及根据网络环境的传输速度考虑在内;在等待预定时间之后,确定是否已接收到路由器公告(RA)包;并且作为确定结果,如果确定已经接收到了 RA包,则从RA包获取路由器信息。
3.—种在IPv6网络中用于搜索主机的方法,该方法包括以下步骤 捕获邻居发现协议(NDP)包;确定已捕获的NDP包是否是RS包、NS包和NA包的其中之一;并且作为确定结果,如果确定所捕获的NDP包是RS包、NS包和NA包的其中之一,则从所捕获的包中获取主机信息,其包括链路层地址信息以及IP地址信息,或者作为确定结果,如果确定所捕获的NDP包是RA包,则从RA包中获取路由器信息。
4.根据权利要求1或3所述的方法,其特征在于,所述主机信息进一步包含与NA(邻居公告)包有关的场信息。
5.根据权利要求3所述的方法,其特征在于,路由器信息包含链路层地址信息以及IP 地址信息。
6.根据权利要求2或3所述的方法,其特征在于,路由器信息选择性进一步包含与RA 包有关的场信息。
7.根据权利要求1到3中任意一项所述的方法,其特征在于,主机信息和路由器信息中的至少一个以列表形式管理IP地址以及链路层地址。
8.—种在IPv6网络中用于封锁主机的方法,该方法包括以下步骤当制定用于封锁主机使其无法访问网络的政策时,捕获网络内的邻居发现协议(NDP)包;根据包的类型确定所捕获的NDP包是否包括在封锁政策中;并且作为确定结果,如果所捕获的NDP包包括在封锁政策中,则通过为主机IP产生修正NA 包,并以多点传送或单播IP的形式发送该修正NA包,以此来封锁主机。
9.一种在IPv6网络中用于封锁主机的方法,该方法包括以下步骤当制定用于封锁主机使其无法访问网络的政策时,在被封闭主机的NDP包并不设定在网络之内的状态中,通过产生被封闭主机IP的已修正的NA包,并以多点传送或单播IP形式发送该已修正的NA包,从而封闭该主机。
10.根据权利要求8或9所述的方法,其特征在于,通过多点传送或单播修订NA包来封锁主机,其中将NA包的链路层地址设置成虚拟链路层地址或并不存在在网络中的具体链路层地址。
11.根据权利要求8或9所述的方法,其特征在于,以列表形式对用于封锁主机使其无法访问网络的政策进行管理。
12.根据权利要求8或9所述的方法,其特征在于,用于封锁主机使其无法访问网络的政策包括IP地址或链路层地址。
13.根据权利要求8或9所述的方法,其特征在于,用于封锁主机使其无法访问网络的政策包括政策的起始时间和终止时间。
14.根据权利要求8或9所述的方法,其特征在于,通过向封锁主机发送修正NA包来执行封锁主机的步骤,从而无法将IP分配给封锁主机的网络界面。
15.根据权利要求8或9所述的方法,其特征在于,通过向封锁主机所属的网络中的主机发送封锁主机的修正NA包来执行封锁主机的步骤,从而基于封锁主机的修正NA包来更新邻机高速缓冲存储器,并无法与主机进行通信。
16.根据权利要求8所述的方法,其特征在于,进一步包括以下步骤,如果在网络中所捕获的NDP包是RS包或RA包,则基于RS包或RA包的源信息,确定主机是否是被封锁主机。
17.根据权利要求8所述的方法,进一步包括以下步骤如果网络中所捕获的NDP包是NS包,则基于NS包的源信息,确定主机是否是被封锁主机;作为确定结果,如果确定源信息与被封锁主机一致,则确定源信息是否是重复地址探测(DAD)检查包;并且作为确定结果,如果确定源信息与被封锁主机不一致,则基于目的地信息确定主机是否是被封锁主机。
18.根据权利要求8所述的方法,进一步包括以下步骤;如果网络中所捕获的NDP包是NA包,则确定源信息是否与被封锁主机一致;并且作为确定结果,如果源信息与被封锁主机并不一致,则确定目的地信息是否与被封锁主机一致。
19.根据权利要求16到18中任意一项所述的方法,其特征在于,源信息包括源链路层地址,源IP地址,以及ICMPv6标题的目标地址中的一个或多个。
20.根据权利要求17或18所述的方法,其特征在于,目的地信息包括目的地链路层地址,目的地IP地址,以及ICMPV6标题的目标地址中的一个或多个。
全文摘要
本发明公开一种使用IPv4网络中用于搜索主机、以及在IPv6网络中用于封闭和搜索主机的方法,阻止对未经授权的网络进行访问。本发明提供一种在IPv6网络中搜索主机的方法,包括以下步骤;请求主机信息,其包括链路层地址信息和关于要搜索IP的IP地址信息,该请求通过向网络发送邻居请求(NS)包来进行,其中把将要搜索的IP设置到ICMPv6目标地址中,在发送NS包之后,等待预定时间,该时间将主机的处理速度以及根据网络环境的传输速度考虑在内,在等待预定时间之后,确定是否已接收到将要被搜索IP的邻居公告(NA)包,并且作为确定结果,如果确定已经接收到了将要被搜索IP的NA包,则从NA包获取主机信息。
文档编号H04L12/56GK102165741SQ201080002700
公开日2011年8月24日 申请日期2010年1月15日 优先权日2009年3月20日
发明者徐升皓, 文海恩, 李东浩 申请人:Netman株式会社