在DHCPv6 Snooping和ND Snooping基础上,Comware提供了ND Detection功能,检查用户的ND协议报文的合法性。对于合法用户的ND报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。ND Detection功能将接入设备上的端口分为两种:ND信任端口、ND非信任端口。对于ND信任端口,不进行用户合法性检查;对于ND非信任端口,如果收到RA和RR消息,则认为是非法报文直接丢弃,如果收到其它类型的ND报文,则需要进行用户合法性检查,以防止仿冒用户的攻击(如图4所示)。
图3 RA Trust
针对DoS攻击,Comware也提供了相应的预防机制。攻击者通过构造IP或MAC不断变化的NS/RS报文进行对三层设备的DoS攻击,耗尽网关的ND表项资源。Comware在网关上可以基于路由口,也可以基于物理端口配置ND学习的数量,将ND攻击限定在一个较小的范围,未来还可以通过限制固定时间内的学习数量等技术,扩展对DoS攻击的防御能力。
