3. ND Snooping
安全关键词:防地址欺骗攻击
ND Snooping特性通过侦听IPv6的自动地址配置过程中的DAD(Duplicate Address Detection,重复地址检测) NS消息来建立ND Snooping表项,表项内容包括报文的源IPv6地址、源MAC地址、所属VLAN、入端口等信息。当一个VLAN使能ND Snooping后,该VLAN内所有端口接收的ND报文均会被重定向到CPU。全局使能ND Snooping后,CPU会对这些ND报文进行分析,获取报文的源IPv6地址、源MAC地址、源VLAN和入端口信息,并根据这些信息来新建或更新ND Snooping表项。更新表项主要根据DAD NS报文,同时兼顾其它种类的ND报文,并附加更为主动的确认机制:首先,设备将探测现有该表项的正确性、探测新收到报文(报文A)真实性。最后通过老化表项机制,保证过期的ND Snooping表项能够及时删除。
与DHCPv6 Snooping一样,ND Snooping表项也可与IPv6 Source Guard功能配合使用,通过在设备接入用户侧的端口上启用IPv6 Source Guard功能,针对ND Snooping生成的表项,在对应端口对收到的报文进行过滤控制,防止地址欺骗攻击,从而限制了对网络资源的非法使用,提高了端口的安全性。
4. ND Detection和其他预防机制
安全关键词:防仿冒网关攻击,防DoS攻击
