專利名稱:安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探方法和裝置的制作方法
技術領域:
本發(fā)明涉及計算機數(shù)據(jù)通信領域�,尤其涉及一種安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探 (Multicast Listener Discovery Snooping, MLD Snooping)的方法禾口裝置。
背景技術:
重復地址檢測是節(jié)點確定即將使用的IP地址是否被另一節(jié)點使用的過程���。在節(jié)點自動配置某個接口的IPv6單播地址之前��,必須在本地鏈路范圍內驗證要使用的臨時地址是唯一的�����,并且未被其他節(jié)點使用過��。只要鄰居請求(Neighbor Solicitation)報文發(fā)送到本地鏈路上�,如果在規(guī)定時間內沒有鄰居公告(Neighbor Advertisement)報文進行應答,則認為這個臨時單播地址在本地鏈路上是唯一的�����,可以分配給該接口 �����;反之�����,這個臨時地址是重復的�����,不能使用此地址���。組播偵聽者發(fā)現(xiàn)協(xié)議(Multicast Listener Discovery,MLD)用于IPv6路由器在其直連網段上發(fā)現(xiàn)組播偵聽者。組播偵聽者是指那些希望接收組播數(shù)據(jù)的主機節(jié)點�。MLD Snooping是運行在二層設備上的IPv6組播約束機制��,用于管理和控制IPv6 組播組��。運行MLD Snooping的二層設備通過對收到的MLD報文進行分析�,為端口和MAC組播地址建立起映射關系��,并根據(jù)這樣的映射關系轉發(fā)IPv6組播數(shù)據(jù)�。MLD Snooping通過二層組播將信息只轉發(fā)給有需要的接收者,這樣可以帶來以下好處減少了二層網絡中的廣播報文���,節(jié)約了網絡帶寬并增強了 IPv6組播信息的安全性����。在MLD查詢器選擇中��,如果網路上存在多個查詢器�,則選擇IP較小者為網路上唯一的MLD查詢器。如果有非法主機偽造一個源IP較小的MLD查詢器�,則根據(jù)MLD協(xié)議,此非法主機會被選為合法查詢器�。如果非法用戶偽造的MLD查詢器主機的MLD離開消息,則在主機離開后����,還會有組播流量流向已經離開組播組的主機��,這實際上會占用網絡帶寬���,造成帶寬的浪費。如果有非法主機偽造源IP發(fā)送MLD成員報告報文�,將增加網路上組播路由器的 CPU負擔,這實際上是一種MLD源地址欺騙以及拒絕服務攻擊����,因此,需要一種機制去過濾偽造源IP的MLD成員報告報文�����。此外�,即使是擁有合法IP的主機,也可能發(fā)動MLD攻擊���,該主機發(fā)送大量的MLD成員報告報文����,增加網路上組播路由器的CPU負擔�����,占用大量的軟件和硬件資源����,這也是一種拒絕服務攻擊。
發(fā)明內容
本發(fā)明的目的在于提出一種安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探方法和裝置���,可以實現(xiàn)更具安全性的MLD Snooping����。為達此目的�����,本發(fā)明采用以下技術方案一種安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探方法��,包括以下步驟A�����、接收MLD報文�����,判斷MLD報文的類型;
B��、當所述MLD報文為MLD普通組查詢報文時�,根據(jù)預設的信任端口判斷是否對MLD 普通組查詢報文進行轉發(fā);當所述MLD報文為MLD成員關系報告報文時��,根據(jù)預設的每個 IP地址允許請求的最大組播組個數(shù)或通過監(jiān)聽重復地址檢測獲取的地址信息����,判斷是否對 MLD成員關系報告報文進行轉發(fā)。步驟B中��,接收到MLD普通組查詢報文時���,讀取所述MLD普通組查詢報文接收端口的端口號�;判斷接收端口是否為預設的信任端口��,如果是信任端口�,則將所述MLD普通組查詢報文通過接收端口所在VLAN內除接收端口之外的其他所有端口轉發(fā)出去;否則�����,丟棄所述MLD普通組查詢報文�����。步驟B中��,當接收到MLD成員關系報告報文時���,讀取所述MLD成員關系報告報文的源IP地址��,查詢所述IP地址請求的組播組列表�,判斷所述IP地址請求加入組播組的個數(shù)是否超出預設的每個IP地址允許請求的最大組播組個數(shù)�;如果超出,則丟棄所述MLD成員關系報告報文�����;否則�����,讀取請求加入的組播組地址�;判斷所述讀取的組播組地址是否在所述IP地址的請求組播組地址列表中;如果在�,則直接將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去; 否則����,先將所述組播組地址加入到所述IP地址的請求組播組地址列表中���,再將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去。所述通過監(jiān)聽重復地址檢測獲取的地址信息包括���,鄰居公告報文以太網頭部的源 MAC地址�����、ICMP消息部分的目標IP地址����、接收所述鄰居公告報文的VLANID和端口號���;步驟B中�,當接收到MLD成員關系報告報文時����,讀取攜帶的地址信息,包括所述MLD 成員關系報告報文IP首部的源IP地址����、以太網頭部的源MAC地址��、接收所述MLD成員關系報告報文的VLAN ID和端口號�����。將所述讀取的地址信息與所述通過監(jiān)聽重復地址檢測獲取的地址信息進行匹配���; 如能匹配��,則將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去����;否則,丟棄所述MLD成員關系報告報文�����。一種安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探裝置�����,所述裝置包括MLD偵聽模塊�����,用于接收MLD報文,判斷MLD報文的類型��;第一判斷模塊���,用于當所述MLD報文為MLD普通組查詢報文時�,根據(jù)預設的信任端口判斷是否對所述MLD普通組查詢報文進行轉發(fā)��;當所述MLD報文為MLD成員關系報告報文時�����,根據(jù)預設的每個IP地址允許請求的最大組播組個數(shù)或通過監(jiān)聽重復地址檢測獲取的地址信息�,判斷是否對所述MLD成員關系報告報文進行轉發(fā)。所述第一判斷模塊用于接收到MLD普通組查詢報文時�,讀取所述MLD普通組查詢報文接收端口的端口號,判斷接收端口是否為預設的信任端口���,如果是信任端口���,則將所述 MLD普通組查詢報文通過接收端口所在VLAN內除接收端口之外的其他所有端口轉發(fā)出去; 否則�����,丟棄所述MLD普通組查詢報文。所述裝置還包括第二判斷模塊����,則所述第一判斷模塊,用于當接收到MLD成員關系報告報文時����,讀取所述MLD成員關系報告報文的源IP地址,查詢所述IP地址請求的組播組列表�,判斷所述IP地址請求加入組播組的個數(shù)是否超出預設的每個IP地址允許請求的最大組播組個數(shù)�����;如果超出��,則丟棄所述MLD成員關系報告報文�����;否則�,讀取請求加入的組播組地址;
所述第二判斷模塊�����,用于判斷所述讀取的組播組地址是否在所述IP地址的請求組播組地址列表中;如果在�����,則直接將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去�����;否則����,先將所述組播組地址加入到所述IP地址的請求組播組地址列表中,再將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去��。所述裝置還包括DAD監(jiān)聽模塊�����,則所述DAD監(jiān)聽模塊��,用于通過監(jiān)聽重復地址檢測獲取地址信息����,所述地址信息包括,鄰居公告報文以太網頭部的源MAC地址、ICMP消息部分的目標IP地址���、接收所述鄰居公告報文的VLAN ID和端口號�;所述MLD偵聽模塊�,用于接收到MLD成員關系報告報文時,讀取攜帶的地址信息�����, 包括所述MLD成員關系報告報文IP首部的源IP地址�、以太網頭部的源MAC地址、接收所述 MLD成員關系報告報文的VLAN ID和端口號����;所述第一判斷模塊�����,用于將所述讀取的地址信息與所述通過監(jiān)聽重復地址檢測獲取的地址信息進行匹配����;如能匹配,則將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去���;否則�����,丟棄所述MLD成員關系報告報文�。采用本發(fā)明的技術方案,可以進行更具安全性的組播偵聽者發(fā)現(xiàn)協(xié)議窺探�,有效的解決了網絡中的MLD普遍組查詢欺騙、MLD源地址欺騙以及MLD成員報告報文攻擊等問題��。
圖1是本發(fā)明具體實施方式
1提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的方法流程示意圖���。圖2是本發(fā)明具體實施方式
1提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的裝置結構示意圖�。圖3是本發(fā)明具體實施方式
2提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的方法流程示意圖��。圖4是本發(fā)明具體實施方式
2提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的裝置結構示意圖����。圖5是本發(fā)明具體實施方式
3提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的方法流程示意圖。圖6是本發(fā)明具體實施方式
3提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的裝置結構示意圖�����。
具體實施例方式下面結合附圖并通過具體實施方式
來進一步說明本發(fā)明的技術方案�。圖1是本發(fā)明具體實施方式
1提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的方法流程示意圖��。如圖1所示����,該方法包括步驟SlOl�,接收MLD報文,判斷MLD報文的類型�����。通過讀取MLD報文類型字段中的信息�����,來判斷所述MLD報文的類型��。步驟S102����,當接收的MLD報文類型屬于MLD普通組查詢報文時,讀取所述MLD普通CN 102546670 A
組查詢報文接收端口的端口號����。所述接收端口的端口號是收包驅動從芯片寄存器中讀取��, 記錄在MLD普遍組查詢報文的軟件格式中的端口字段中,運行在CPU的軟件會從該字段中讀取所述端口號���。 步驟S103��,判斷接收端口是否為預設的信任端口����。運行在CPU的軟件會根據(jù)讀取的端口號���,判斷其是否為預設的信任端口的端口號�����,以防止網絡中的MLD普通組查詢報文欺騙行為��。所述預設的信任端口優(yōu)選為連接組播路由器的二層端口和/或匯聚端口�。當接收端口屬于預設的信任端口時��,執(zhí)行步驟S105;否則���,執(zhí)行步驟S104����。步驟S104,丟棄所述MLD普通組查詢報文����。步驟S105,將所述MLD普通組查詢報文通過接收端口所在VLAN內除接收端口之外的其他所有端口轉發(fā)出去����。圖2是本發(fā)明具體實施方式
1提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的裝置結構示意圖。如圖2所示��,該裝置包括MLD偵聽模塊201和第一判斷模塊202��。所述MLD偵聽模塊201����,用于接收MLD報文,判斷所述MLD報文的類型����。所述MLD 偵聽模塊201,通過讀取MLD報文類型字段中的信息���,判斷所述MLD報文的類型����,并將所述 MLD報文發(fā)送至第一判斷模塊202���。所述第一判斷模塊202���,用于接收到MLD普通組查詢報文時,讀取所述MLD普通組查詢報文接收端口的端口號���,從所述MLD普通組查詢報文軟件結構的端口字段中���,讀取接收端口的端口號。判斷接收端口是否為預設的信任端口 �����;如果是信任端口�����,則將所述MLD普通組查詢報文通過接收端口所在VLAN內除接收端口之外的其他所有端口轉發(fā)出去�����;否則����, 丟棄所述MLD普通組查詢報文�����。圖3是本發(fā)明具體實施方式
2提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的方法流程示意圖���。如圖3所示,該方法包括以下步驟 步驟S301�,接收MLD報文,判斷MLD報文的類型���。通過讀取MLD報文類型字段中的信息�����,判斷所述MLD報文的類型�����。步驟S302�,當接收的MLD報文類型屬于MLD成員關系報告報文時���,從MLD成員關系報告報文軟件格式的IP首部讀取源IP地址���。步驟S303�,判斷所述IP地址請求加入組播組的個數(shù)是否超出預設的每個IP地址允許請求的最大組播組個數(shù)���。查看讀取的源IP地址請求的組播組列表,判斷所述IP地址請求加入組播組的個數(shù)是否超出預設的每個IP地址允許請求的最大組播組個數(shù)����,以防止其惡意發(fā)送過多的MLD 成員關系報告報文。如果超出預設的每個IP地址允許請求的最大組播組個數(shù)���,則執(zhí)行步驟S303 ����;否則���,執(zhí)行步驟S304�。步驟S304��,丟棄所述MLD成員關系報告報文��。步驟S305��,讀取該IP地址請求加入的組播組地址。運行在CPU的軟件繼續(xù)從所述 MLD成員報告報文軟件結構中的Multicast Address字段中����,讀取所述組播組地址。步驟S306����,判斷所述讀取的組播組地址是否在該IP地址的請求組播組地址列表中。所述請求組播組地址列表由運行在CPU的軟件自動創(chuàng)建����,收到主機的MLD成員關系報告報文時,如果本地不存在該IP地址對應的組播組地址列表��,就創(chuàng)建一個與該IP地址相對應的組播組地址列表���,供保存該IP地址的組播組地址使用�。如果所述讀取的組播組地址在該IP地址對應的組播組地址列表中���,則執(zhí)行步驟 S307 ����;否則,執(zhí)行步驟S308�。 步驟S307,將MLD成員關系報告報文通過接收端口所在VLAN內的所有預設的信任端口轉發(fā)出去��。步驟S308�,先將所述讀取的組播組地址加入到該IP地址的請求組播組地址列表中,再將MLD成員關系報告報文通過接收端口所在VLAN內的所有信任端口轉發(fā)出去�����。圖4是本發(fā)明具體實施方式
2提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的裝置結構示意圖�����。如圖4所示����,該裝置包括MLD偵聽模塊401���、第一判斷模塊402和第二判斷模塊 403�����。所述MLD偵聽模塊401���,用于接收到MLD報文時�,判斷所述MLD報文的類型�����。所述 MLD偵聽模塊401���,通過讀取MLD報文類型字段中的信息���,判斷所述MLD報文的類型,并將所述MLD報文發(fā)送至第一判斷模塊402���。所述第一判斷模塊402�����,用于接收到MLD成員關系報告報文時���,讀取所述MLD成員關系報告報文的源IP地址,從所述MLD成員關系報告報文軟件格式的IP首部讀取源IP地址�����。查詢所述IP地址請求的組播組列表,判斷所述IP地址請求加入組播組的個數(shù)是否超出預設的每個IP地址允許請求的最大組播組個數(shù)����;如果超出,則丟棄所述MLD成員關系報告報文����;否則,讀取所述IP地址請求加入的組播組地址��,并發(fā)送給第二判斷單元403����。所述第二判斷單元403���,用于判斷所述讀取的組播組地址是否在所述IP地址的請求組播組地址列表中��;如果在����,則直接將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去��;否則���,先將所述組播組地址加入到所述IP地址的請求組播組地址列表中��,再將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去����。圖5是本發(fā)明具體實施方式
3提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的方法流程示意圖。如圖5所示���,該方法包括以下步驟步驟S501����,監(jiān)聽重復地址檢測的過程����,獲取網絡主機的地址信息。MLD Snooping設備開始監(jiān)聽網絡主機的重復地址檢測過程����,并截獲重復地址檢測過程中的鄰居公告報文,以獲取網絡主機的地址信息���。所述地址信息包括���,從所述鄰居公告報文的以太網頭部獲取源MAC地址���,ICMP消息部分的目標IP地址(同相對應的鄰居請求報文中的目標地址字段內容相同,即這個目標地址字段填充的是鄰居公告報文發(fā)送者的地址)����,并記錄接收所述鄰居公告報文的VLAN ID 和端口號。所述VLAN ID和端口號是收包驅動從芯片寄存器中讀取��,記錄在鄰居公告報文的軟件格式中的端口字段和VLAN信息字段中�,運行在CPU的軟件會從相應字段中讀取VLAN ID和端口號。步驟S502�����,接收MLD報文���,判斷MLD報文的類型。讀取MLD報文類型字段中的信息���,判斷所述MLD報文的類型����。步驟S503�����,當接收的MLD報文類型屬于MLD成員關系報告報文時,讀取所述MLD成員關系報告報文攜帶的地址信息�����,包括所述MLD成員關系報告報文IP首部的源IP地址�、以太網頭部的源MAC地址、接收所述MLD成員關系報告報文的VLAN ID和端口號���。所述VLAN ID和端口號是收包驅動從芯片寄存器中讀取����,記錄在MLD成員關系報告報文軟件格式中的端口字段和VLAN信息字段中��,運行在CPU的軟件會從相應字段中讀取 VLAN ID和端口號����。步驟S504,判斷步驟S503中讀取的地址信息與步驟S501中獲取的地址信息是否匹配�����。將步驟S503中讀取的MLD成員關系報告報文攜帶的地址信息和步驟S501中通過重復地址檢測獲取的地址信息進行匹配��,以防止網絡中的MLD源地址欺騙行為。如能匹配�, 執(zhí)行步驟S506,��;否則��,執(zhí)行步驟S505��。步驟S505����,丟棄所述MLD成員關系報告報文。步驟S506�����,將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去��。圖6是本發(fā)明具體實施方式
3提供的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探的裝置結構示意圖�����。如圖6所示�����,該裝置包括�,MLD偵聽模塊601、DAD監(jiān)聽模塊602和第一判斷模塊 603���。所述MLD偵聽模塊601����,用于接收MLD報文�����,判斷MLD報文的類型��。所述MLD偵聽模塊601�����,通過讀取MLD報文類型字段中的信息��,判斷所述MLD報文的類型��,并將所述MLD報文發(fā)送至第一判斷模塊603�。所述DAD監(jiān)聽模塊602,用于通過監(jiān)聽重復地址檢測獲取地址信息,所述地址信息包括��,鄰居公告報文以太網頭部的源MAC地址�����、ICMP消息部分的目標IP地址�、接收所述鄰居公告報文的VLAN ID和端口號。DAD監(jiān)聽模塊602將所述地址信息發(fā)送至第一判斷模塊 603��。所述第一判斷模塊603�,用于接收到MLD成員關系報告報文時,讀取所述MLD成員關系報告報文攜帶的地址信息����,讀取的地址信息包括所述MLD成員關系報告報文IP首部的源IP地址、以太網頭部的源MAC地址�、接收所述MLD成員關系報告報文的VLAN ID和端口號。將所述讀取的地址信息與所述通過監(jiān)聽重復地址檢測獲取的地址信息進行匹配�;如能匹配,則將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去���;否則�����,丟棄所述MLD成員關系報告報文���。采用本發(fā)明的技術方案,可以進行更具安全性的組播偵聽者發(fā)現(xiàn)協(xié)議窺探��,有效的解決了網絡中的MLD普遍組查詢欺騙�����、MLD源地址欺騙以及MLD成員報告報文攻擊等問題��。以上所述��,僅為本發(fā)明較佳的具體實施方式
�����,但本發(fā)明的保護范圍并不局限于此��, 任何熟悉該技術的人在本發(fā)明所揭露的技術范圍內�����,可輕易想到的變化或替換���,都應涵蓋在本發(fā)明的保護范圍之內��。因此����,本發(fā)明的保護范圍應該以權利要求的保護范圍為準。
權利要求
1.一種安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探(Multicast Listener Discovery Snooping, MLD Snooping)方法��,其特征在于����,包括以下步驟A、接收MLD報文���,判斷MLD報文的類型����;B�����、當所述MLD報文為MLD普通組查詢報文時���,根據(jù)預設的信任端口判斷是否對MLD 普通組查詢報文進行轉發(fā)��;當所述MLD報文為MLD成員關系報告報文時�,根據(jù)預設的每個IP地址允許請求的最大組播組個數(shù)或通過監(jiān)聽重復地址檢測(Duplicate Address Detection, DAD)獲取的地址信息,判斷是否對MLD成員關系報告報文進行轉發(fā)�。
2.根據(jù)權利要求1所述的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探方法,其特征在于����,步驟B 中���,接收到MLD普通組查詢報文時��,讀取所述MLD普通組查詢報文接收端口的端口號�����;判斷接收端口是否為預設的信任端口���,如果是信任端口,則將所述MLD普通組查詢報文通過接收端口所在VLAN內除接收端口之外的其他所有端口轉發(fā)出去���;否則�,丟棄所述MLD普通組查詢報文��。
3.根據(jù)權利要求1所述的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探方法,其特征在于���,步驟B 中����,當接收到MLD成員關系報告報文時�,讀取所述MLD成員關系報告報文的源IP地址,查詢所述IP地址請求的組播組列表����,判斷所述IP地址請求加入組播組的個數(shù)是否超出預設的每個IP地址允許請求的最大組播組個數(shù);如果超出���,則丟棄所述MLD成員關系報告報文����; 否則�,讀取請求加入的組播組地址;判斷所述讀取的組播組地址是否在所述IP地址的請求組播組地址列表中����;如果在,則直接將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去����;否則�����, 先將所述組播組地址加入到所述IP地址的請求組播組地址列表中���,再將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去。
4.根據(jù)權利要求1所述的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探方法�,其特征在于�,所述通過監(jiān)聽重復地址檢測獲取的地址信息包括,鄰居公告報文以太網頭部的源MAC地址���、ICMP 消息部分的目標IP地址�����、接收所述鄰居公告報文的VLANID和端口號��;步驟B中�,當接收到MLD成員關系報告報文時�����,讀取攜帶的地址信息,包括所述MLD成員關系報告報文IP首部的源IP地址����、以太網頭部的源MAC地址、接收所述MLD成員關系報告報文的VLAN ID和端口號���。
5.根據(jù)權利要求4所述的安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探方法����,其特征在于�,步驟B 中,將所述讀取的地址信息與所述通過監(jiān)聽重復地址檢測獲取的地址信息進行匹配�;如能匹配,則將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去�����;否則��,丟棄所述MLD成員關系報告報文���。
6.一種安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探裝置��,其特征在于��,所述裝置包括MLD偵聽模塊�,用于接收MLD報文,判斷MLD報文的類型�����;第一判斷模塊����,用于當所述MLD報文為MLD普通組查詢報文時,根據(jù)預設的信任端口判斷是否對所述MLD普通組查詢報文進行轉發(fā)����;當所述MLD報文為MLD成員關系報告報文時�, 根據(jù)預設的每個IP地址允許請求的最大組播組個數(shù)或通過監(jiān)聽重復地址檢測獲取的地址信息,判斷是否對所述MLD成員關系報告報文進行轉發(fā)��。
7.根據(jù)權利要求6所述的組播偵聽者發(fā)現(xiàn)協(xié)議窺探裝置�,其特征在于,所述第一判斷模塊用于接收到MLD普通組查詢報文時�����,讀取所述MLD普通組查詢報文接收端口的端口號��,判斷接收端口是否為預設的信任端口,如果是信任端口��,則將所述MLD普通組查詢報文通過接收端口所在VLAN內除接收端口之外的其他所有端口轉發(fā)出去����;否則,丟棄所述MLD普通組查詢報文���。
8.根據(jù)權利要求6所述的組播偵聽者發(fā)現(xiàn)協(xié)議窺探裝置���,其特征在于,所述裝置還包括第二判斷模塊��,則所述第一判斷模塊�,用于當接收到MLD成員關系報告報文時,讀取所述MLD成員關系報告報文的源IP地址��,查詢所述IP地址請求的組播組列表�����,判斷所述IP地址請求加入組播組的個數(shù)是否超出預設的每個IP地址允許請求的最大組播組個數(shù)���;如果超出���,則丟棄所述 MLD成員關系報告報文�;否則�����,讀取請求加入的組播組地址��;所述第二判斷模塊���,用于判斷所述讀取的組播組地址是否在所述IP地址的請求組播組地址列表中�;如果在�,則直接將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去;否則�����,先將所述組播組地址加入到所述IP地址的請求組播組地址列表中��,再將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去����。
9.根據(jù)權利要求6所述的組播偵聽者發(fā)現(xiàn)協(xié)議窺探裝置,其特征在于����,所述裝置還包括DAD監(jiān)聽模塊,則所述DAD監(jiān)聽模塊�,用于通過監(jiān)聽重復地址檢測獲取地址信息,所述地址信息包括����,鄰居公告報文以太網頭部的源MAC地址、ICMP消息部分的目標IP地址�、接收所述鄰居公告報文的VLAN ID和端口號;所述MLD偵聽模塊�����,用于接收到MLD成員關系報告報文時����,讀取攜帶的地址信息,包括所述MLD成員關系報告報文IP首部的源IP地址����、以太網頭部的源MAC地址、接收所述MLD 成員關系報告報文的VLAN ID和端口號�。
10.根據(jù)權利要求9所述的組播偵聽者發(fā)現(xiàn)協(xié)議窺探裝置,其特征在于,所述第一判斷模塊���,用于將所述讀取的地址信息與所述通過監(jiān)聽重復地址檢測獲取的地址信息進行匹配�;如能匹配�,則將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發(fā)出去;否則���,丟棄所述MLD成員關系報告報文����。
全文摘要
本發(fā)明公開了一種安全的組播偵聽者發(fā)現(xiàn)協(xié)議窺探方法和裝置�,通過設置信任端口,只有從信任端口收到的MLD普遍組查詢報文才被轉發(fā)���;啟用重復地址檢測監(jiān)聽并獲取主機地址信息�����,如果收到的MLD成員關系報告報文�����,其源主機地址信息不在主機地址信息表中,則將報文丟棄;預設每個IP地址可請求組播組的最大個數(shù)�,超過最大請求個數(shù)的報文將被丟棄。本發(fā)明有效解決了網絡中的MLD普遍組查詢欺騙�、MLD源地址欺騙和MLD成員報告報文攻擊等問題。
文檔編號H04L29/06GK102546670SQ20121005220
公開日2012年7月4日 申請日期2012年3月1日 優(yōu)先權日2012年3月1日
發(fā)明者梁小冰 申請人:神州數(shù)碼網絡(北京)有限公司