一種組播防攻擊方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種組播防攻擊和裝置����。
【背景技術(shù)】
[0002]IP組播(IP Multicast)是介于單播(Unicast)和廣播(Broadcast)之間的一種分組傳送形式,又稱為IP多播,是指IP數(shù)據(jù)由單一的發(fā)送者(組播源)產(chǎn)生���,經(jīng)過(guò)網(wǎng)絡(luò)分發(fā)給一組接收者����。
[0003]工作在數(shù)據(jù)鏈路層的IP組播稱為二層組播�,相應(yīng)的組播協(xié)議稱為二層組播協(xié)議,包括 IGMP Snooping (Internet Group Management Protocol Snooping�,互聯(lián)網(wǎng)組管理協(xié)議窺探)/MLD Snooping (Multicast Listener Discovery Snooping,組播偵聽(tīng)發(fā)現(xiàn)協(xié)議窺探)等�����。IGMP Snooping為IPv4 二層組播協(xié)議����,MLD Snooping為IPv6 二層組播協(xié)議���,二者實(shí)現(xiàn)基本相同����,以下均以IPv4為例進(jìn)行描述和說(shuō)明�����。
[0004]IGMP Snooping簡(jiǎn)稱IGSP,主要運(yùn)行于IGMP路由器和主機(jī)之間的二層設(shè)備上�,用于管理和控制組播組。運(yùn)行IGMP Snooping的二層組播設(shè)備通過(guò)對(duì)收到的IGMP報(bào)文進(jìn)行分析��,為端口和IP組播地址建立起映射關(guān)系�����,并根據(jù)這樣的映射關(guān)系轉(zhuǎn)發(fā)組播數(shù)據(jù)��。
[0005]IGSP根據(jù)端口所收到的協(xié)議報(bào)文���,將端口劃分為兩種端口類(lèi)型�����,一種稱為路由器端口��,一種稱為成員端口���。其中,路由器端口通常為朝向上游三層組播設(shè)備的端口�����,例如圖1中交換機(jī)A的端口 Ethl/Ι和交換機(jī)B的端口 Ethl/1,IGSP模塊將收到IGMP普遍組查詢報(bào)文或PM Hello報(bào)文的端口維護(hù)為路由器端口 �����;成員端口通常為朝向下游組播組成員的端口����,例如圖1中交換機(jī)A的端口 Ethl/2和Ethl/3、以及交換機(jī)B的端口 Ethl/2����,IGSP模塊將收到IGMP成員關(guān)系報(bào)告報(bào)文的端口維護(hù)為對(duì)應(yīng)組播組的成員端口。
[0006]在現(xiàn)有實(shí)現(xiàn)中��,IGSP模塊將收到IGMP普遍組查詢報(bào)文或P頂Hello報(bào)文的端口維護(hù)為路由器端口時(shí)�����,還會(huì)根據(jù)IGMP普遍組查詢報(bào)文中最大響應(yīng)時(shí)間(Max Resp Time)字段值或P頂Hello報(bào)文中保持時(shí)間(Holdtime)字段值來(lái)設(shè)置該路由器端口的老化定時(shí)器���。運(yùn)行IGSP的二層組播設(shè)備會(huì)將收到的組播數(shù)據(jù)報(bào)文,向所有路由器端口轉(zhuǎn)發(fā)��,如果有惡意攻擊者向某一路由器端口發(fā)送Holdtime為never的PIM Hello報(bào)文或Max Resp Time為最大值的IGMP查詢報(bào)文,則IGSP模塊會(huì)將該端口維護(hù)為永不老化或老化時(shí)間超長(zhǎng)的路由器端口����,且會(huì)將接收的所有的組播流量都無(wú)條件向該端口轉(zhuǎn)發(fā),這就有可能會(huì)造成信息泄露��。
【發(fā)明內(nèi)容】
[0007]有鑒于此���,本發(fā)明的目的在于提供一種組播防攻擊方法和裝置����,能夠防止信息泄
Mo
[0008]為了達(dá)到上述目的���,本發(fā)明提供了如下技術(shù)方案:
[0009]—種組播防攻擊方法��,所述方法包括:組播設(shè)備接收到能夠使所述組播設(shè)備的端口成為路由器端口的組播協(xié)議報(bào)文時(shí)��,根據(jù)所述端口的鏈路狀態(tài)信息判斷所述端口是否存在攻擊風(fēng)險(xiǎn)����,如果存在攻擊風(fēng)險(xiǎn)���,則禁止將所述端口添加為路由器端口���,否則���,將所述端口添加為路由器端口。
[0010]—種組播防攻擊裝置��,應(yīng)用于組播設(shè)備中��,其特征在于�,所述裝置包括:接收單元、判斷單元���、處理單元���;
[0011 ] 所述接收單元,用于組播設(shè)備接收能夠使所述組播設(shè)備的端口成為路由器端口的組播協(xié)議報(bào)文�;
[0012]所述判斷單元,用于在組播設(shè)備接收到所述組播報(bào)文后��,根據(jù)所述端口的鏈路狀態(tài)信息判斷該端口是否存在攻擊風(fēng)險(xiǎn)���;
[0013]所述處理單元,用于如果所述端口存在攻擊風(fēng)險(xiǎn)����,則禁止將所述端口添加為路由器端口��,否則�����,將所述端口添加為路由器端口�。
[0014]由上面的技術(shù)方案可知��,本發(fā)明中�,在確定需要將端口添加為路由器端口時(shí),根據(jù)端口鏈路狀態(tài)信息判斷端口是否存在攻擊風(fēng)險(xiǎn)�����,存在攻擊風(fēng)險(xiǎn)的情況下禁止將該端口添加為路由器端口���。本發(fā)明可以有效避免信息泄露�����,例如����,當(dāng)惡意攻擊者通過(guò)向某一端口發(fā)送Holdtime為never的PIM Hello報(bào)文或Max Resp Time為最大值的IGMP查詢報(bào)文,使得該端口一直作為路由器端口向外發(fā)送組播報(bào)文而造成信息泄露時(shí)�,通過(guò)應(yīng)用本發(fā)明技術(shù)方案可以發(fā)現(xiàn)該端口存在惡意攻擊,進(jìn)而通過(guò)取消該端口作為路由器端口來(lái)避免信息泄露�����。
【附圖說(shuō)明】
[0015]圖1是現(xiàn)有技術(shù)IGSP端口關(guān)系示意圖���;
[0016]圖2是本發(fā)明實(shí)施例提供的組播防攻擊方法流程圖����;
[0017]圖3是本發(fā)明實(shí)施例一組播防攻擊方法流程圖����;
[0018]圖4是本發(fā)明實(shí)施例二組播防攻擊方法流程圖;
[0019]圖5是本發(fā)明實(shí)施例組播防攻擊裝置的結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0020]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�,下面結(jié)合附圖并據(jù)實(shí)施例,對(duì)本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)說(shuō)明�����。
[0021]本發(fā)明所提供的技術(shù)方案可用于二層網(wǎng)絡(luò)中,或二層網(wǎng)絡(luò)與三層網(wǎng)絡(luò)間�。
[0022]參見(jiàn)圖2,圖2是本發(fā)明實(shí)施例提供的組播防攻擊方法流程圖��,該方法應(yīng)用于組播設(shè)備�����,具體包括以下步驟:
[0023]步驟201�����、在組播設(shè)備的任一端口接收能夠使該端口成為路由器端口的組播協(xié)議報(bào)文��;
[0024]在實(shí)際應(yīng)用中���,在組播設(shè)備的某一端口接收到普遍組查詢報(bào)文或組播路由協(xié)議Hello報(bào)文時(shí),需要將該端口添加為路由器端口����,因此,普遍組查詢報(bào)文和組播路由協(xié)議Hello報(bào)文均屬于能夠該端口成為路由器端口的組播協(xié)議報(bào)文���。需要說(shuō)明的是�����,在IPv4網(wǎng)絡(luò)中�����,普遍組查詢報(bào)文為IGMP普遍組查詢報(bào)文����,組播路由協(xié)議Hello報(bào)文為P頂Hello報(bào)文;在IPv6網(wǎng)絡(luò)中�����,普遍組查詢報(bào)文為MLD普遍組查詢報(bào)文���,組播路由協(xié)議Hello報(bào)文為IPv6 PIM Hello 報(bào)文�。
[0025]步驟202�����、根據(jù)該端口的鏈路狀態(tài)信息判斷該端口是否存在攻擊風(fēng)險(xiǎn)����,如果存在攻擊風(fēng)險(xiǎn)�����,則禁止將該端口添加為路由器端口并丟棄所述報(bào)文����,否則將該端口添加為路由器端口����。
[0026]本實(shí)施例應(yīng)用于組播設(shè)備中的組播協(xié)議模塊���,在IPv4網(wǎng)絡(luò)中����,組播設(shè)備中的組播協(xié)議模塊為IGMP Snooping模塊或基于IGMP Snooping功能實(shí)現(xiàn)的組播協(xié)議模塊����;在IPv6網(wǎng)絡(luò)中,組播設(shè)備中的組播協(xié)議模塊為MLD Snooping模塊或基于MLD Snooping功能實(shí)現(xiàn)的組播協(xié)議模塊�����。
[0027]在本步驟之前�,組播協(xié)議模塊還需要獲取該端口的鏈路狀態(tài)信息��,具體包括:建立組播設(shè)備中的鏈路狀態(tài)協(xié)議模塊的連接�,通過(guò)該連接向所述鏈路狀態(tài)協(xié)議模塊發(fā)送針對(duì)該端口的鏈路狀態(tài)查詢報(bào)文�����,接收所述鏈路狀態(tài)協(xié)議模塊返回的該端口的鏈路狀態(tài)信息����。
[0028]本實(shí)施例中,端口的鏈路狀態(tài)信息包括:是否存在鏈路狀態(tài)鄰居��。根據(jù)端口的鏈路狀態(tài)信息判斷該端口是否存在攻擊風(fēng)險(xiǎn)具體包括:如果該端口的鏈路狀態(tài)信息表明該端口不存在鏈路狀態(tài)鄰居����,則確定該端口存在攻擊風(fēng)險(xiǎn),否則���,確定該端口不存在攻擊風(fēng)險(xiǎn)��。
[0029]當(dāng)根據(jù)端口的鏈路狀態(tài)信息確定該端口存在攻擊風(fēng)險(xiǎn)時(shí)�����,禁止將該端口添加為路由器端口��,組播設(shè)備接收到的組播數(shù)據(jù)報(bào)文將不會(huì)從該端口發(fā)送出去����,從而信息也不會(huì)從該端口泄露出去。
[0030]當(dāng)根據(jù)端口的鏈路狀態(tài)信息確定該端口不存在攻擊風(fēng)險(xiǎn)時(shí)�����,仍按照現(xiàn)有技術(shù)的處理方法�����,將該端口添加為路由器端口��,組播設(shè)備收到的組播數(shù)據(jù)報(bào)文都將從該端口轉(zhuǎn)發(fā)出去���。
[0031 ] 下面結(jié)合兩個(gè)具體實(shí)施例,對(duì)本發(fā)明的實(shí)現(xiàn)原理進(jìn)行詳細(xì)說(shuō)明����。
[0032]參見(jiàn)3,圖3是本發(fā)明實(shí)施例一組播防攻擊方法流程圖�,該方法應(yīng)用于組播設(shè)備中的組播協(xié)議模塊,主要包括以下步驟:
[0033]步驟301���、組播協(xié)議模塊與本地的鏈路層狀態(tài)協(xié)議模塊建立連接���。
[0034]組播設(shè)備中配置有組播協(xié)議模塊和鏈路狀態(tài)模塊�。在通常情況下��,組播設(shè)備中的組播協(xié)議模塊和鏈路狀態(tài)協(xié)議模塊默認(rèn)均是啟動(dòng)的���,因此�,組播協(xié)議模塊可以直接建立與鏈路狀態(tài)協(xié)議模塊之間的連接�����。
[0035]然而���,考慮到也可能存在組播協(xié)議模塊啟動(dòng)����,而鏈路狀態(tài)協(xié)議模塊未啟動(dòng)的情況�,為了保證組播設(shè)備中的組播協(xié)議模塊和鏈路狀態(tài)協(xié)議模塊能夠成功建立連接,組播協(xié)議模塊啟動(dòng)時(shí)可以同時(shí)觸發(fā)鏈路狀態(tài)協(xié)議模塊啟動(dòng)�,從而使組播協(xié)議模塊在建立與鏈路狀態(tài)協(xié)議模塊之間的連接之前,兩個(gè)模塊均是啟動(dòng)的�����。
[0036]另外,相鄰組播設(shè)備中���,也可能存在一個(gè)組播設(shè)備中的鏈路狀態(tài)協(xié)議模塊啟動(dòng)�,而另一組播設(shè)備中的鏈路狀態(tài)協(xié)議模塊未啟動(dòng)的情況�。為了保證正常情況下相鄰組播設(shè)備之間能夠通過(guò)各自的鏈路狀態(tài)協(xié)議模塊建立起鄰居關(guān)系,組播設(shè)備中的組播協(xié)議模塊啟動(dòng)后�,還可