[发明专利]防止IGMP欺骗和攻击的方法及装置

权利要求书

1.一种防止IGMP欺骗和攻击的方法，其特征在于，该方法包括：

S1：交换机侦听DHCP主机的IP地址请求过程建立包括用户IP、MAC地址、虚拟局域网标识和接收端口信息的DHCP绑定表；

S2：交换机侦听IGMP报文，判断报文类型，如是IGMP普通组查询报文，则执行步骤S3；如是IGMP成员关系报告报文，则执行步骤S4；

S3：根据报文接收端口信息与预先配置的信任端口是否匹配，判断报文的合法性；

S4：根据报文信息与DHCP绑定表信息和每个IP允许加入组播组数目阈值是否匹配，判断报文的合法性。

2.根据权利要求1所述的防止IGMP欺骗和攻击的方法，其特征在于，所述步骤S1中交换机侦听DHCP主机的IP地址请求过程建立DHCP绑定表的步骤包括：

交换机侦听用户的DHCP请求报文，根据所述报文中源MAC地址查询绑定表，如果绑定表中存在该MAC地址，将报文从可信端口转发出去；如绑定表中不存在该MAC地址，交换机创建一个临时的REQUEST绑定，记录用户的MAC地址、端口信息和虚拟局域网标识信息，将报文从可信端口转发出去；

交换机侦听服务器返回的DHCP应答报文，根据报文中的目的MAC地址查询REQUEST绑定表，如果存在相同用户MAC地址，创建一个包括用户IP、MAC地址、虚拟局域网标识和接收端口信息的绑定信息。

3.根据权利要求1所述的防止IGMP欺骗和攻击的方法，其特征在于，所述交换机上配置的IGMP信任端口为上联组播路由器的端口。

4.根据权利要求1所述的防止IGMP欺骗和攻击的方法，其特征在于，所述步骤S3中交换机接收IGMP普通组查询报文并解析，如报文接收端口与预先配置的信任端口不一致，则判断报文为非法报文，将所述报文丢弃；如报文接收端口与预先配置的信任端口一致，则将所述报文向其所在虚拟局域网内除接收端口外的所有端口转发。

5.根据权利要求1所述的防止IGMP欺骗和攻击的方法，其特征在于，所述步骤S4中交换机接收IGMP成员关系报告报文并解析，判断报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息是否匹配，同时，根据报文源主机IP查询所述主机IP已请求加入的组播组列表，判断该主机IP已请求加入的组播组数目是否超过预先配置的阈值，如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息匹配且该主机IP已请求加入的组播组数目未超过预先配置的阈值，则将所述报文通过其所在虚拟局域网内的所有信任端口转发出去；否则，将所述报文丢弃。

6.根据权利要求5所述的防止IGMP欺骗和攻击的方法，其特征在于，所述步骤S4中如报文源主机IP、源MAC地址、虚拟局域网标识和接收端口信息与DHCP绑定表中信息匹配且该主机IP已请求加入的组播组数目未超过预先配置的阈值，查询所述报文的组播组地址是否已加入到该主机IP已请求加入的组播组列表中，如在列表中，则通过其所在虚拟局域网内的所有信任端口转发出去；如果不在，则将此组播组地址加入到该IP请求加入的组播组地址列表中，通过其所在虚拟局域网内的所有信任端口转发出去。

7.一种防止IGMP欺骗和攻击的装置，所述装置包括收发模块、重定向模块、绑定表生成模块和判断模块；

所述收发模块用于接收来自主机和服务器的报文并对报文进行转发；

重定向模块用于将收发模块接收到的DHCP报文重定向到绑定表生成模块进行解析，将IGMP报文重定向至判断模块进行解析；

绑定表生成模块用于将DHCP主机的IP地址请求过程中解析出的用户IP、MAC地址、虚拟局域网标识和接收端口信息生成DHCP绑定表；

判断模块用于对重定向的IGMP报文进行解析并判断IGMP报文的解析结果与交换机上配置的IGMP信任端口、每个主机IP允许请求的组播组阈值和DHCP绑定表信息是否匹配，从而判断报文的合法性。

8.根据权利要求7所述的防止IGMP欺骗和攻击的装置，其特征在于，交换机接收IGMP普通组查询报文，判断模块根据接收端口信息与预先配置的信任端口是否匹配，判断报文的合法性：如报文接收端口与预先配置的信任端口不一致，则判断报文为非法报文，将所述报文丢弃；如报文接收端口与预先配置的信任端口一致，则将所述报文向其所在虚拟局域网内除接收端口外的所有端口转发。