CN102546666B - 防止igmp欺骗和攻击的方法及装置 - Google Patents
防止igmp欺骗和攻击的方法及装置 Download PDFInfo
- Publication number
- CN102546666B CN102546666B CN201210048874.5A CN201210048874A CN102546666B CN 102546666 B CN102546666 B CN 102546666B CN 201210048874 A CN201210048874 A CN 201210048874A CN 102546666 B CN102546666 B CN 102546666B
- Authority
- CN
- China
- Prior art keywords
- message
- igmp
- dhcp
- information
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种防止IGMP欺骗和攻击的方法及装置,包括:S1:交换机侦听DHCP主机的IP地址请求过程建立包括用户IP、MAC地址、虚拟局域网标识和接收端口信息的DHCP绑定表;S2:交换机侦听IGMP报文,判断报文类型,如是普通组查询报文,则执行步骤S3,如是成员关系报告报文,则执行步骤S4;S3:根据接收端口信息与预先配置的信任端口是否匹配,判断报文的合法性;S4:根据报文信息与DHCP绑定表信息和每个IP允许加入的组播组数目阈值是否匹配,判断报文的合法性。本发明有效解决了IGMP普遍组查询欺骗、IGMP源地址欺骗以及IGMP成员报告报文攻击问题,该方法简单易实现,有利于网络的安全运行。
Description
技术领域
本发明涉及计算机数据通信领域,尤其涉及一种防止IGMP欺骗和攻击的方法及装置。
背景技术
随着网络宽带技术的不断发展,流媒体数据以其直观性、实用性、互动性等特点广泛应用于视频点播、网络教学、网络直播等诸多业务,这些业务都具有点对多点的特性,对于类似点对多点的业务模式如采用点对点的单播模式进行数据传输,会浪费了大量的网络资源。为了节省网络资源的占用,IP组播技术应时而生,通过IP组播技术,一个***可以将相同的数据包同时发送到同一组播组内的多个主机上。IGMP(InternetGroupManagementProtocol,互联网组管理协议)是TCP/IP协议族中负责IP组播成员管理的协议,用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。
在现有网络环境中,通过动态主机分配协议(DynamicHostConfigurationProtocol,DHCP)来完成用户IP的分配。为了防止DHCP攻击及私设DHCP服务器,一般在交换机中开启DHCP侦听(DHCPSNOOPING)功能,监测DHCP客户端通过DHCP协议获取IP的过程,从而保证用户终端获得合法的IP地址。
IGMPSNOOPING(InternetGroupManagementProtocolSnooping,互联网组管理协议侦听)是运行在二层设备上的组播约束机制,用于管理和控制组播组。运行IGMPSNOOPING的二层设备通过对收到的IGMP报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系转发组播数据。IGMPSNOOPING通过二层组播将信息只转发给有需要的接收者,减少了二层网络中的广播报文,节约了网络带宽并增强了组播信息的安全性。
在IGMP查询器选择中,如果网路上存在多个查询器,则选择IP较小者为网路上唯一的IGMP查询器。如果有非法主机伪造一个源IP较小的IGMP查询器,则根据IGMP协议,此非法主机会被选为合法查询器。如果非法用户伪造的IGMP查询器主机的IGMP离开消息,则在主机离开后,还会有组播流量流向离组播组的主机,造成带宽的浪费;如果有非法主机伪造源IP发送IGMP成员报告报文,将增加网路上组播路由器的CPU负担。此外,即使是拥有合法IP的主机,也可能发动IGMP攻击,该主机发送大量的IGMP成员报告报文,增加网路上组播路由器的CPU负担,占用大量的软件和硬件资源。
针对上述IGMP普遍组查询欺骗、IGMP源地址欺骗以及IGMP成员报告报文攻击问题,需要采用一种机制来防止IGMP欺骗和攻击。
发明内容
为了克服现有技术的缺陷和不足,本发明提出一种能够有效拦截和阻止IGMP欺骗和攻击的方法及装置。
本发明公开一种防止IGMP欺骗和攻击的方法,该方法包括:
S1:交换机侦听DHCP主机的IP地址请求过程建立包括用户IP、MAC地址、虚拟局域网标识和接收端口信息的DHCP绑定表;
S2:交换机侦听IGMP报文,判断报文类型,如是IGMP普通组查询报文,则执行步骤S3;如是IGMP成员关系报告报文,则执行步骤S4;
S3:根据报文接收端口信息与预先配置的信任端口是否匹配,判断报文的合法性;
S4:根据报文信息与DHCP绑定表信息和每个IP允许加入组播组数目阈值是否匹配,判断报文的合法性。
进一步地,所述步骤S1中交换机侦听DHCP主机的IP地址请求过程建立DHCP绑定表的步骤包括:
交换机侦听用户的DHCP请求报文,根据所述报文中源MAC地址查询绑定表,如果绑定表中存在该MAC地址,将报文从可信口端转发出去;如绑定表中不存在该MAC地址,交换机创建一个临时的REQUEST绑定,记录用户的MAC地址、端口信息和虚拟局域网标识信息,将报文从可信端口转发出去;
交换机侦听服务器返回的DHCP应答报文,根据报文中的目的MAC地址查询REQUEST绑定表,如果存在相同用户MAC地址,创建一个包括用户IP、MAC地址、虚拟局域网标识和接收端口信息的绑定信息。
进一步地,所述交换机上配置的IGMP信任端口为上联组播路由器的端口。
进一步地,所述步骤S3中交换机接收IGMP普通组查询报文并解析,如报文接收端口与预先配置的信任端口不一致,则判断报文为非法报文,将所述报文丢弃;如报文接收端口与预先配置的信任端口一致,则将所述报文向其所在虚拟局域网内除接收端口外的所有端口转发。
进一步地,所述步骤S4中交换机接收IGMP成员关系报告报文并解析,判断报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息是否匹配,同时,根据报文源主机IP查询所述主机IP已请求加入的组播组列表,判断该主机IP已请求加入的组播组数目是否超过预先配置的阈值,如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息匹配且该主机IP已请求加入的组播组数目未超过预先配置的阈值,则将所述报文通过其所在虚拟局域网内的所有信任端口转发出去;否则,将所述报文丢弃。
进一步地,所述步骤S4中如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息匹配且该主机IP已请求加入的组播组数目未超过预先配置的阈值,查询所述报文的组播组地址是否已加入到该主机IP已请求加入的组播组列表中,如在列表中,则通过其所在虚拟局域网内的所有信任端口转发出去;如果不在,则将此组播组地址加入到该IP请求加入的组播组地址列表中,通过其所在虚拟局域网内的所有信任端口转发出去。
本发明还公开一种防止IGMP欺骗和攻击的装置,所述装置包括收发模块、重定向模块、绑定表生成模块和判断模块;
所述收发模块用于接收来自主机和服务器的报文并对报文进行转发;
重定向模块用于将交换机接收到的DHCP报文重定向到绑定表生成模块进行解析,将IGMP报文重定向至判断模块进行解析;
绑定表生成模块用于将DHCP主机的IP地址请求过程中解析出的用户IP、MAC地址、虚拟局域网标识和接收端口信息生成DHCP绑定表;
判断模块用于对重定向的IGMP报文进行解析并判断IGMP报文的解析结果与交换机上配置的IGMP信任端口、每个主机IP允许请求的组播组阈值和DHCP绑定表信息是否匹配,从而判断报文的合法性。
进一步地,交换机接收IGMP普通组查询报文,判断模块根据接收端口信息与预先配置的信任端口是否匹配,判断报文的合法性:如报文接收端口与预先配置的信任端口不一致,则判断报文为非法报文,将所述报文丢弃;如报文接收端口与预先配置的信任端口一致,则将所述报文向其所在虚拟局域网内除接收端口外的所有端口转发。
进一步地,交换机接收IGMP成员关系报告报文,交换机接收IGMP成员关系报告报文并解析,判断报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息是否匹配,同时,根据报文源主机IP查询所述主机IP已请求加入的组播组列表,判断该主机IP已请求加入的组播组数目是否超过预先配置的阈值,如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息匹配且该主机IP已请求加入的组播组数目未超过预先配置的阈值,则将所述报文通过其所在虚拟局域网内的所有信任端口转发出去;否则,将所述报文丢弃。
进一步地,交换机上配置的IGMP信任端口为上联组播路由器的端口。
本发明的技术方案有效解决了IGMP普遍组查询欺骗、IGMP源地址欺骗以及IGMP成员报告报文攻击问题,该方法简单易实现,有利于网络的安全运行。
附图说明
图1为本发明实施例的防止IGMP欺骗和攻击的***框图;
图2为本发明实施例的交换机的结构框图;
图3为本发明实施例的DHCP环境下防止IGMP欺骗和攻击的方法流程图;
图4为本发明实施例的步骤S3中防止IGMP普通组查询报文欺骗的方法流程图;
图5为本发明一实施例的步骤S4中防止IGMP成员关系报告报文欺骗和攻击的方法流程图;
图6为本发明另一实施例的步骤S4中防止IGMP成员关系报告报文欺骗和攻击的方法流程图。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以详细说明。
图1为本发明实施例的DHCP环境下防止IGMP欺骗和攻击的***框图。该***包括DHCP主机、交换机、组播路由器、DHCP服务器和组播源,DHCP主机通过交换机与组播路由器连接,组播路由器与组播源连接,组播路由器上联DHCP服务器;其中,所述组播路由器用于发起IGMP成员查询并让有需要的节点做出回应;交换机用于侦听DHCP主机的IP地址请求过程建立包括用户IP、MAC地址、虚拟局域网标识和接收端口信息的DHCP绑定表;所述交换机通过侦听IGMP报文,将IGMP报文重定向到判断模块进行解析,根据报文的解析结果与预先配置的信任端口、每个主机IP允许请求的组播组阈值和DHCP绑定表是否匹配,判断IGMP报文的合法性,如报文为非法报文,则将报文丢弃;如报文为合法报文,则将报文进行转发,有效解决了IGMP普遍组查询欺骗、IGMP源地址欺骗以及IGMP成员报告报文攻击问题。
图2为本发明实施例的交换机的结构框图。交换机基于图1所示***实现防止IGMP欺骗和攻击的功能。
所述交换机包括收发模块、重定向模块、绑定表生成模块和判断模块;所述收发模块用于接收来自主机和服务器的报文并对报文进行转发;重定向模块用于将交换机接收到的DHCP报文重定向到绑定表生成模块进行解析,将IGMP报文重定向至判断模块进行解析;绑定表生成模块用于将DHCP主机的IP地址请求过程中解析出的用户IP、MAC地址、虚拟局域网标识和接收端口信息生成DHCP绑定表;判断模块用于对重定向的IGMP报文进行解析并判断IGMP报文的解析结果与交换机上配置的IGMP信任端口、每个主机IP允许请求的组播组阈值和DHCP绑定表信息是否匹配,从而判断报文的合法性。
交换机侦听IGMP报文,判断报文类型并通过重定向模块将IGMP报文重定向到判断模块进行解析,如交换机接收到IGMP普通组查询报文,判断模块则根据接收端口信息与预先配置的信任端口是否匹配,判断报文的合法性:如报文接收端口与预先配置的信任端口不一致,则判断报文为非法报文,将所述报文丢弃;如报文接收端口与预先配置的信任端口一致,则将所述报文向其所在虚拟局域网内除接收端口外的所有端口转发;如交换机接收到IGMP成员关系报告报文,则根据报文信息与DHCP绑定表信息和每个IP允许请求加入的组播组数目阈值是否匹配,判断报文的合法性:如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息一致且该主机IP已请求加入的组播组数目未超过预先配置的阈值,则将所述报文通过其所在虚拟局域网内的所有信任端口转发出去;否则,将所述报文丢弃。
其中,交换机接收IGMP成员关系报告报文并解析,如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息匹配且该主机IP已请求加入的组播组数目未超过预先配置的阈值,查询所述报文的组播组地址是否已加入到该主机IP已请求加入的组播组列表中,如在列表中,则通过其所在虚拟局域网内的所有信任端口转发出去;如果不在,则将此组播组地址加入到该IP请求加入的组播组地址列表中,通过其所在虚拟局域网内的所有信任端口转发出去,从而防止了IGMP成员关系报告报文的欺骗和攻击。
交换机上配置的IGMP信任端口为上联组播路由器的端口,可以为交换机的二层物理端口或者汇聚端口。交换机启用DHCPSNOOPING功能和IGMPSNOOPING功能,侦听DHCP报文和IGMP报文,下发重定向规则,不执行硬件转发行为,将接收到的DHCP报文重定向到绑定表生成模块进行解析,将IGMP报文重定向至判断模块进行解析;绑定表生成模块根据DHCP请求报文及其回应报文的解析结果生成DHCP绑定表,所述DHCP绑定表中每一个绑定信息包括用户IP、MAC地址、虚拟局域网标识和接收端口信息。
图3为本发明实施例的DHCP环境下防止IGMP欺骗和攻击的方法流程图。参见图3,该方法包括如下步骤:
步骤S301:交换机侦听DHCP主机的IP地址请求过程建立包括用户IP、MAC地址、虚拟局域网标识和接收端口信息的DHCP绑定表。
交换机使能DHCPSNOOPING功能,侦听用户的DHCP请求报文,下发重定向规则,重定向模块将所述DHCP请求报文重定向到绑定表生成模块进行解析,根据报文中源MAC地址查询绑定表,如果绑定表中存在该MAC地址,将所述报文从可信端口转发出去;如绑定表中不存在该MAC地址,交换机创建一个临时的REQUEST绑定,记录用户的MAC地址、接收端口信息和虚拟局域网标识信息,将报文从可信端口转发出去;交换机侦听服务器返回的DHCP应答报文,根据报文中的目的MAC地址查询REQUEST绑定表,如果存在相同用户MAC地址,则创建一个绑定信息,记录DHCP主机的MAC地址、IP地址、租期、虚拟局域网标识和接收端口信息等,绑定表生成模块根据其中的用户IP、MAC地址、虚拟局域网标识和接收端口信息生成DHCP绑定表。
步骤S302:交换机侦听IGMP报文,判断IGMP报文类型,如是IGMP普通组查询报文,则执行步骤S303;如是IGMP成员关系报告报文,则执行步骤S304。
步骤S303:根据报文接收端口信息与预先配置的信任端口是否匹配,判断报文的合法性。
图4为本发明实施例的所述步骤S303中防止IGMP普通组查询报文欺骗的方法流程图。具体步骤为:交换机接收到IGMP普通组查询报文,通过解析得到报文的接收端口信息,由判断模块判断报文接收端口与预先配置的信任端口是否一致,如否,则将所述报文丢弃;如是,则将报文向其所在虚拟局域网内除接收端口外的所有端口转发。
其中,预先配置的信任端口为交换机上联组播路由器的端口,所述信任端口可以为交换机的二层物理端口或汇聚端口。
步骤S304:根据报文信息与DHCP绑定表信息和每个IP允许加入组播组数目阈值是否匹配,判断报文的合法性。
图5为本发明一实施例的所述步骤S304中防止IGMP成员关系报告报文欺骗和攻击的方法流程图。具体步骤为:交换机接收IGMP成员关系报告报文,通过对报文解析,从报文的IP首部获取源IP地址,从以太网头获取源MAC地址,并记录接收报文的虚拟局域网标识和接收端口信息,由判断模块判断报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息是否匹配,同时,判断模块根据报文源主机IP查询所述主机IP已请求加入的组播组列表,判断该主机IP已请求加入的组播组数目是否超过预先配置的阈值,如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息匹配且该主机IP已请求加入的组播组数目未超过预先配置的阈值,则将所述报文通过其所在虚拟局域网内的所有信任端口转发出去;否则,将所述报文丢弃,从而有效防止IGMP成员关系报告报文的欺骗和攻击行为。
其中,如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息匹配且该主机IP已请求加入的组播组数目未超过预先配置的阈值时,查询所述报文的组播组地址是否已加入到该主机IP已请求加入的组播组列表中,如在列表中,则通过其所在虚拟局域网内的所有信任端口转发出去;如果不在,则将此组播组地址加入到该IP请求加入的组播组地址列表中,通过其所在虚拟局域网内的所有信任端口转发出去。
图6为本发明另一实施例的所述步骤S304中防止IGMP成员关系报告报文欺骗和攻击的方法流程图。该实施例按照先后顺序判断IGMP成员关系报告报文的合法性,具体步骤为:交换机接收IGMP成员关系报告报文,通过对报文解析,从报文的IP首部获取源IP地址,从以太网头获取源MAC地址,并记录接收报文的虚拟局域网标识和接收端口信息,由判断模块判断报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息是否匹配,如否,则将所述报文丢弃;如是,则查询所述IP已请求加入的组播组列表,判断该IP已请求加入的组播组数目是否超过预先配置的阈值,如是,则将所述报文丢弃;如否,则根据报文源IP地址查询所述报文的组播组地址是否已加入到该主机IP已请求加入的组播组列表中,如在列表中,则通过其所在虚拟局域网内的所有信任端口转发出去;如果不在,则将此组播组地址加入到该IP请求加入的组播组地址列表中,通过其所在虚拟局域网内的所有信任端口转发出去,有效防止了IGMP成员关系报告报文的欺骗和攻击。
其中,每个主机IP允许请求的组播组阈值在交换机上预先配置,所述阈值可根据组播***的复杂程度或具体情况进行设置,如设阈值为K,K值可选,如5、10等。
本发明的技术方案有效解决了IGMP普遍组查询欺骗、IGMP源地址欺骗以及IGMP成员报告报文攻击问题,该方法简单易实现,有利于网络的安全运行。
上述仅为本发明的较佳实施例及所运用技术原理,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围内。
Claims (10)
1.一种防止IGMP欺骗和攻击的方法,其特征在于,该方法包括:
S1:交换机侦听DHCP主机的IP地址请求过程建立包括用户IP、MAC地址、虚拟局域网标识和接收端口信息的DHCP绑定表;
S2:交换机侦听IGMP报文,判断报文类型,如是IGMP普通组查询报文,则执行步骤S3;如是IGMP成员关系报告报文,则执行步骤S4;
S3:根据报文接收端口信息与预先配置的信任端口是否匹配,判断报文的合法性;
S4:根据报文信息与DHCP绑定表信息和每个IP允许加入组播组数目阈值是否匹配,判断报文的合法性。
2.根据权利要求1所述的防止IGMP欺骗和攻击的方法,其特征在于,所述步骤S1中交换机侦听DHCP主机的IP地址请求过程建立DHCP绑定表的步骤包括:
交换机侦听用户的DHCP请求报文,根据所述报文中源MAC地址查询绑定表,如果绑定表中存在该MAC地址,将报文从可信端口转发出去;如绑定表中不存在该MAC地址,交换机创建一个临时的REQUEST绑定,记录用户的MAC地址、端口信息和虚拟局域网标识信息,将报文从可信端口转发出去;
交换机侦听服务器返回的DHCP应答报文,根据报文中的目的MAC地址查询REQUEST绑定表,如果存在相同用户MAC地址,创建一个包括用户IP、MAC地址、虚拟局域网标识和接收端口信息的绑定信息。
3.根据权利要求1所述的防止IGMP欺骗和攻击的方法,其特征在于,所述交换机上配置的IGMP信任端口为上联组播路由器的端口。
4.根据权利要求1所述的防止IGMP欺骗和攻击的方法,其特征在于,所述步骤S3中交换机接收IGMP普通组查询报文并解析,如报文接收端口与预先配置的信任端口不一致,则判断报文为非法报文,将所述报文丢弃;如报文接收端口与预先配置的信任端口一致,则将所述报文向其所在虚拟局域网内除接收端口外的所有端口转发。
5.根据权利要求1所述的防止IGMP欺骗和攻击的方法,其特征在于,所述步骤S4中交换机接收IGMP成员关系报告报文并解析,判断报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息是否匹配,同时,根据报文源主机IP查询所述主机IP已请求加入的组播组列表,判断该主机IP已请求加入的组播组数目是否超过预先配置的阈值,如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息匹配且该主机IP已请求加入的组播组数目未超过预先配置的阈值,则将所述报文通过其所在虚拟局域网内的所有信任端口转发出去;否则,将所述报文丢弃。
6.根据权利要求5所述的防止IGMP欺骗和攻击的方法,其特征在于,所述步骤S4中如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息匹配且该主机IP已请求加入的组播组数目未超过预先配置的阈值,查询所述报文的组播组地址是否已加入到该主机IP已请求加入的组播组列表中,如在列表中,则通过其所在虚拟局域网内的所有信任端口转发出去;如果不在,则将此组播组地址加入到该IP请求加入的组播组地址列表中,通过其所在虚拟局域网内的所有信任端口转发出去。
7.一种防止IGMP欺骗和攻击的装置,所述装置包括收发模块、重定向模块、绑定表生成模块和判断模块;
所述收发模块用于接收来自主机和服务器的报文并对报文进行转发;
重定向模块用于将收发模块接收到的DHCP报文重定向到绑定表生成模块进行解析,将IGMP报文重定向至判断模块进行解析;
绑定表生成模块用于将DHCP主机的IP地址请求过程中解析出的用户IP、MAC地址、虚拟局域网标识和接收端口信息生成DHCP绑定表;
判断模块用于对重定向的IGMP报文进行解析并判断IGMP报文的解析结果与交换机上配置的IGMP信任端口、每个主机IP允许请求的组播组阈值和DHCP绑定表信息是否匹配,从而判断报文的合法性;
其中,所述判断模块具体用于:在接收到IGMP普通组查询报文时,根据接收端口信息与预先配置的信任端口是否匹配,判断报文的合法性,在接收到IGMP成员关系报告报文时,根据报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息是否匹配,以及该主机IP已请求加入的组播组数目是否超过预先配置的阈值,判断报文的合法性。
8.根据权利要求7所述的防止IGMP欺骗和攻击的装置,其特征在于,在报文类型为IGMP普通组查询报文时,所述判断模块用于:如报文接收端口与预先配置的信任端口不一致,则判断报文为非法报文,将所述报文丢弃;如报文接收端口与预先配置的信任端口一致,则将所述报文向其所在虚拟局域网内除接收端口外的所有端口转发。
9.根据权利要求7所述的防止IGMP欺骗和攻击的装置,其特征在于,在报文类型为IGMP成员关系报告报文时,所述判断模块还用于:根据报文源主机IP查询所述主机IP已请求加入的组播组列表,判断该主机IP已请求加入的组播组数目是否超过预先配置的阈值,如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息匹配且该主机IP已请求加入的组播组数目未超过预先配置的阈值,则将所述报文通过其所在虚拟局域网内的所有信任端口转发出去;否则,将所述报文丢弃。
10.根据权利要求7所述的防止IGMP欺骗和攻击的装置,其特征在于,所述装置上配置的IGMP信任端口为上联组播路由器的端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210048874.5A CN102546666B (zh) | 2012-02-28 | 2012-02-28 | 防止igmp欺骗和攻击的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210048874.5A CN102546666B (zh) | 2012-02-28 | 2012-02-28 | 防止igmp欺骗和攻击的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102546666A CN102546666A (zh) | 2012-07-04 |
CN102546666B true CN102546666B (zh) | 2016-04-27 |
Family
ID=46352624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210048874.5A Active CN102546666B (zh) | 2012-02-28 | 2012-02-28 | 防止igmp欺骗和攻击的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102546666B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104009967A (zh) * | 2013-02-27 | 2014-08-27 | 上海斐讯数据通信技术有限公司 | 防止非信任服务器攻击的方法 |
CN103259675B (zh) * | 2013-04-11 | 2016-04-13 | 深圳市共进电子股份有限公司 | 一种交互式网络电视业务报文在端口间隔离的实现方法 |
CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
CN105871846A (zh) * | 2016-03-31 | 2016-08-17 | 杭州华三通信技术有限公司 | 一种组播组的管理方法及装置 |
CN109951575B (zh) * | 2017-12-20 | 2022-06-10 | 新智数字科技有限公司 | 拦截指定域名的方法和*** |
CN108600110B (zh) * | 2018-04-24 | 2020-12-29 | 新华三技术有限公司 | 一种pim报文处理方法和装置 |
CN113014530B (zh) * | 2019-12-19 | 2023-06-13 | 中国航发上海商用航空发动机制造有限责任公司 | Arp欺骗攻击防范方法及*** |
CN112350961B (zh) * | 2020-11-11 | 2022-07-12 | 迈普通信技术股份有限公司 | 报文处理方法、装置、电子设备及可读存储介质 |
CN112688958B (zh) * | 2020-12-30 | 2023-03-21 | 联想未来通信科技(重庆)有限公司 | 一种信息处理方法及电子设备 |
CN114268594A (zh) * | 2021-12-16 | 2022-04-01 | 锐捷网络股份有限公司 | 数据处理方法、***及虚拟交换机 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101001249A (zh) * | 2006-12-31 | 2007-07-18 | 华为技术有限公司 | 一种防igmp报文攻击的方法和装置 |
CN101022340A (zh) * | 2007-03-30 | 2007-08-22 | 武汉烽火网络有限责任公司 | 实现城域以太网交换机接入安全的智能控制方法 |
CN101227287A (zh) * | 2008-01-28 | 2008-07-23 | 华为技术有限公司 | 一种数据报文处理方法及数据报文处理装置 |
CN101478542A (zh) * | 2009-01-14 | 2009-07-08 | 华为技术有限公司 | 一种处理报文的方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101166084B (zh) * | 2006-10-17 | 2010-09-29 | 中兴通讯股份有限公司 | 防止组播用户攻击的安全方法 |
-
2012
- 2012-02-28 CN CN201210048874.5A patent/CN102546666B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101001249A (zh) * | 2006-12-31 | 2007-07-18 | 华为技术有限公司 | 一种防igmp报文攻击的方法和装置 |
CN101022340A (zh) * | 2007-03-30 | 2007-08-22 | 武汉烽火网络有限责任公司 | 实现城域以太网交换机接入安全的智能控制方法 |
CN101227287A (zh) * | 2008-01-28 | 2008-07-23 | 华为技术有限公司 | 一种数据报文处理方法及数据报文处理装置 |
CN101478542A (zh) * | 2009-01-14 | 2009-07-08 | 华为技术有限公司 | 一种处理报文的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102546666A (zh) | 2012-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102546666B (zh) | 防止igmp欺骗和攻击的方法及装置 | |
US9571382B2 (en) | Method, controller, and system for processing data packet | |
EP1715628B1 (en) | A method for realizing the multicast service | |
US8539088B2 (en) | Session monitoring method, apparatus, and system based on multicast technologies | |
CN100433730C (zh) | 组播点播方法及*** | |
WO2018205982A1 (zh) | 软件定义网络中广播、组播实现方法、装置及存储介质 | |
US20070280230A1 (en) | Method and system for service discovery across a wide area network | |
US20050111474A1 (en) | IP multicast communication system | |
US20050195817A1 (en) | Switching device and multicast packet processing method therefor | |
KR101604810B1 (ko) | 단말기의 멀티캐스트 상태를 얻기 위한 방법 | |
GB2505747A (en) | Remote port mirroring using IGMP publish/join functions to establish mirrored data streams | |
CN102025799A (zh) | 一种发现及自动配置设备的ip地址的方法 | |
CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换***及方法 | |
CN101610254A (zh) | 组播用户权限控制方法、组播认证服务器和接入设备 | |
CN102546308A (zh) | 基于重复地址检测实现邻居发现代理的方法和*** | |
CN102546663A (zh) | 一种防止重复地址检测攻击的方法和装置 | |
TWI660284B (zh) | 網路封鎖方法及設備,以及電腦可讀取儲存媒體 | |
CN105791318A (zh) | 一种组播安全接入装置及方法 | |
Haberman et al. | Multicast Router Discovery | |
WO2008141516A1 (fr) | Procédé de transmission d'un message, dispositif de transmission et système de transmission | |
US8625456B1 (en) | Withholding a data packet from a switch port despite its destination address | |
WO2012139448A1 (zh) | 一种生成组播转发表、组播传输的方法及装置 | |
JP4554420B2 (ja) | ゲートウェイ装置及びそのプログラム | |
KR100764063B1 (ko) | 멀티캐스트 기반 다자간 협업 환경에서의 유디피멀티캐스트 터널링 방법 및 그 시스템 | |
US20100135298A1 (en) | Method and system for providing source specific multicast service on ethernet network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |