专利名称:一种防止以太网组播遭恶意攻击的方法
技术领域:
本发明涉及以太网组播保护技术领域,具体涉及了一种有效的防止以太网组播数据流对组播网络进行攻击的方法。
背景技术:
IP组播路由协议利用逆向路径转发(Reverse Path Forwarding,RPF)或输入接口检查的某些检查形式,作为决定是否转发或者丢弃输入的组播信息包的主要机制。当组播信息包到达路由器时,路由器对信息包的RPF进行检查,如果RPF检查成功了,这个报文就被转发了,否则它就被丢弃了。
当信息通过有源树的时候,RPF检查机制进行如下的工作1、路由器检查到达的组播信息包的源地址,以确定此信息包经过的是什么接口,这些接口是否在从源到此的路径上;2、如果信息包在可返回源站点的接口上到达,则RPF检查成功,且信息包被转发;3、如果RPF检查失败,放弃信息包。
而对于三层交换机来说,RPF检查不仅仅是象上面描述的路由器那样处理RPF检查,路由器做RPF检查是基于三层接口的,而三层交换机做RPF检查是基于三层接口+二层物理接口的。
如图1所示,三层汇聚交换机使用了5个端口,分别是A,B,C,D,E;5个端口属于各自的vlan(Virtual Local Area Network)Vlan 10 PortA PortB PortC
Vlan20 PortDVlan30 PoerE此时发一条普通的组播数据流,源IP为10.10.21.2,目的IP地址为239.1.1.80的UDP组播报文,在端口B、C、D、E发对应组IP地址为239.1.1.80的IGMPv2 Member Report报文,就可以形成下面组播表。
Switch#show ip mroute group 239.1.1.80IP Multicast Routing TableFlagsD-Dense,S-Sparse,C-Connected,L-Local,P-Pruned,R-RP-bit set,F-Register flag,T-SPT-bit set,J-Join SPT,M-MSDP created entry,N-No Used,U-Up Send,A-Advertised via MSDP,X-Proxy Join Timer Running,*-Assert flagStatisticReceive packet count/Send packet countTimersUptime/ExpiresInterface stateInterface,Next-Hop or VCD,State/Mode(*,239.1.1.80),00:11:47/00:03:07,RP 4.4.4.4,0/0,flagsSCIncoming interfaceNull,RPF nbr 0.0.0.0Outgoing interface listvlan10,Forward/Sparse,00:11:47/00:02:43vlan20,Forward/Sparse,00:11:47/00:02:43vlan30,Forward/Sparse,00:11:18/00:01:59(10.10.21.2,239.1.1.80),00:08:38/00:03:07,820/820,flagsCTAIncoming interfacevlan10,RPF nbr 0.0.0.0Outgoing interface listVlan20,Forward/Sparse,00:08:38/00:03:02vlan30,Forward/Sparse,00:08:38/00:01:59
Switch#show ip mforwarding module 1 group-address 239.1.1.80IP Forwarding Multicast Routing TableFlagsN-No Used,U-Up Send,L-Limit upSend,A-Assert send(10.10.21.2,239.1.1.80),FlagsA,HitFlag0,Incoming interfacevlan10portA,LastSrcIp0.0.0.0Outgoing vlan interface list20 30L2bitmap0x0000000000000000 L3bitmap0x0000000000000018(*,239.1.1.80),FlagsA,HitFlag0,Incoming interfaceNullLastSrcIp0.0.0.0Outgoing vlan interface list10 20 30L2bitmap0x0000000000000000 L3bitmap0x0000000000000000从上表中看出,此三层交换机对于目的IP地址为239.1.1.80的这个组的RPF入接口是vlan10+portA。
此时如果下游有一台PC1模仿了这一条流,如图2所示,从和二层交换机1相连的接口发出,而且此二层交换机1没有开启igmp snooping,组播报文在这台设备上是纯透传的,所以这个攻击组播报文可以很轻松的到达三层汇聚交换机的port B。
这时三层汇聚交换机就要做这个组的RPF检查了,结果发现报文是从vlan10上来的,RPF三层接口检查通过,但是是从Port B上来的,不是从Por tA上来的,二层接口检查不通过。三层交换机对于这样的报文是采用上送组播管理模块修正RPF入接口为vlan10+portB,而不是直接丢弃,因为按照三层组播协议,只规定了RPF三层接口检查不通过的报文需要丢弃,而对于交换机这种RPF三层接口检查通过,但是二层接口检查不通过的情况,采用主动修正二层出接口方式,让数据继续正常转发。
上面主动修正的原因是认为组播数据流确实从port B上来了,这样修正是必要的,但是很可惜的是,这个从端口B上来的报文,是PC恶意伪装的,但是交换机识别不出来,还是按照正常的流程发生了RPF切换到了入接口vlan10+portBSwitch#show ip mforwarding module 1 group-address 239.1.1.80IP Forwarding Multicast Routing TableFlagsN-No Used,U-Up Send,L-Limit upSend,A-Assert send(10.10.21.2,239.1.1.80),FlagsA,HitFlag0,Incoming interfacevlan10portB,LastSrcIp0.0.0.0Outgoing vlan interface list20 30L2bitmap0x0000000000000000 L3bitmap0x0000000000000018(*,239.1.1.80),FlagsA,HitFlag0,Incoming interfaceNullLastSrcIp0.0.0.0Outgoing vlan interface list10 20 30L2bitmap0x0000000000000000 L3bitmap0x0000000000000000这是正常的数据流还是从port A进来,由于此时RPF入接口已经是vlan10+portB了,这时的组播数据报文已经不能正常转发了,它由于也发生了RPF三层接口检查通过,二层接口检查不通过的情况,所以这样的报文也会送上送组播管理模块修正RPF入接口为vlan10+portA,如果在这个过程中频繁的执行显示转发表的命令,可以发现RPF接口始终在vlan10+portA和vlan10+portB之间动荡。显然这个时候正常的组播数据报文会出现时通时断的情况,在IPTV(Internet Protocol Television)网络中,如果出现这种时通时断的情况是相当致命的。
因此,现有技术有待于完善和发展。
发明内容
本发明的目的在于提供一种提高了网络环境中组播管理模块的抗攻击能力和应用能力,防止以太网组播遭恶意攻击的方法。
为了解决上述目的,本发明提供一种防止以太网组播遭恶意攻击的方法,包括如下步骤A、由接收站点开始往数据源方向寻找以太网汇聚交换机;B、确定该交换机为最上层汇聚交换机;C、找出组播组网数据流的出端口;D、将所述出端口的属性设置成拒绝发生逆向路径转发入接口切换;E、确定所述属性的设置,以太网保护机制正式生效。
其中,所述方法中,还包括步骤F、当接收站点发送来的恶意攻击组播数据包时,由所述逆向路径转发将该数据包直接丢弃,确保正常的组播数据流的正常转发。
其中,所述方法中,所述组播组网为从数据流到用户为非线型组网。
其中,所述方法中,所述从数据流到用户为非线型组网有一边缘节点,呈树状分布。
与现有技术相比,本发明方法是在三层以太网组播中,采用将最上层的三层汇聚交换机的出端口的端口属性设置成拒绝发生RPF入接口切换,以阻止接收站点发送来的恶意攻击组播数据包,从而达到提高网络营运环境,及提高组播管理模块的抗攻击能力和应用能力。
图1为现有技术边缘节点正常情况下组播数据流分发的拓扑结构图;图2为现有技术边缘节点异常情况下组播数据流分发的拓扑结构图;图3本发明方法核心边缘相结合的一个拓扑图。
具体实施例方式
下面结合附图,对本发明的较佳实施例作进一步详细说明。
本发明方法以在三层以太网交换机运行三层组播路由协议的情况下,避免恶意的组播数据流从错误的接口进来,发生逆向路径转发(Reverse PathForwarding,RPF)切换,用以保护以太网遭恶意攻击。
本发明提供了一种防止以太网组播遭恶意攻击的方法,如图3所示,包括如下步骤A、由接收站点1开始往数据源方向寻找三层以太网汇聚交换机;B、从接收站点1往上到三层汇聚交换机1,确定该三层以太网汇聚交换机1为最上层交换机,再往上就分到路由器1和路由器4了;C、从接收站点2往上经过三层汇聚交换机2,到达三层汇聚交换机1就已经是最上层交换机了,再往上就分到路由器1和路由器4了;D、确定最上层交换机就是三层汇聚交换机1;E、从三层汇聚交换机1再往接收站点走,即用户侧,也就是沿着路径由最上层交换机向最底层的接收站点方向走,经过的所有路径上的出端口,如图3所示,即三层汇聚交换机1的PortC和PortD,及三层汇聚交换机2的PortB;F、分别把上面找到的三个出端口的端口属性设置成拒绝发生RPF入接口切换;G、确定所述属性的设置,以太网保护机制正式生效;H、从接收站点1或接收站点2发送过来的恶意攻击组播数据包,直接被丢弃,不会上送组播管理模块去更新入接口,这样就保证了正常的组播数据流的正常转发了。
总而言之,根据实际的组播组网环境,有些核心节点呈星型组网,即这种组网形式是从数据流到用户为非线型组网,RPF是允许发生在这样的接口上的,那么就把端口上的这个属性设置成允许发生RPF入接口切换。
但是,类似于图1所示的组网,这个组网环境已经到了边缘节点,边缘节点环境比较简单,呈简单的树状结构,这部分组网从数据流的分发角度,是不会发生RPF切换的,这个时候就可以把端口上的这个属性设置成拒绝发生RPF入接口切换。
请参阅图1,描述的已经是一个边缘节点了,这边的网络呈现简单的树状结构,不应该发生RPF入接口切换,所以这个时候就可以把PortB,PortC,PortD及PortE的这个属性设置成拒绝发生RPF入接口切换。这样无论下面的PC怎么模拟组播数据流,都没办法导致三层汇聚交换机发生异常的RPF切换。这样,最上游的数据流量就可以一直正常的转发下来了。
综上所述,本发明方法是在三层以太网组播中,采用将最上层的三层汇聚交换机的出端口的端口属性设置成拒绝发生RPF入接口切换,以阻止接收站点发送来的恶意攻击组播数据包,从而达到提高网络营运环境,及提高组播管理模块的抗攻击能力和应用能力。
总之,本发明并不限于上述实施方式,任何熟悉此技术者,在不脱离本发明的精神和范围内,都应该落在本发明的保护范围之内。
权利要求
1.一种防止以太网组播遭恶意攻击的方法,其特征在于,该方法包括如下步骤A、由接收站点开始往数据源方向寻找以太网汇聚交换机;B、确定该交换机为最上层汇聚交换机;C、找出组播组网数据流的出端口;D、将所述出端口的属性设置成拒绝发生逆向路径转发入接口切换;E、确定所述属性设置,以太网保护机制正式生效。
2.根据权利要求1所述的方法,其特征在于,该方法还包括步骤F、当接收到接收站点发送来的恶意攻击组播数据包时,由所述逆向路径转发将该数据包直接丢弃,确保正常的组播数据流的正常转发。
3.根据权利要求2所述的方法,其特征在于,所述组播组网为从数据流到用户为非线型组网。
4.根据权利要求3所述的方法,其特征在于,所述从数据流到用户为非线型组网有一边缘节点,呈树状分布。
全文摘要
本发明公开了一种防止以太网组播遭恶意攻击的方法,包括步骤1.由接收站点开始往数据源方向寻找三层以太网汇聚交换机;2.确定该交换机为最上层汇聚交换机;3.找出组播组网数据流的出端口;4.将所述出端口的属性设置成拒绝发生逆向路径转发入接口切换;5.确定所述属性的设置,以太网保护机制正式生效。与现有技术相比,本发明方法是在三层以太网组播中,采用将最上层的三层汇聚交换机的出端口的端口属性设置成拒绝发生RPF入接口切换,以阻止接收站点发送来的恶意攻击组播数据包,从而达到提高网络营运环境,及提高组播管理模块的抗攻击能力和应用能力。
文档编号H04L12/28GK101076020SQ20071007622
公开日2007年11月21日 申请日期2007年6月25日 优先权日2007年6月25日
发明者高峰, 纪小利 申请人:中兴通讯股份有限公司