[发明专利]防止IGMP欺骗和攻击的方法及装置

说明书

技术领域

本发明涉及计算机数据通信领域，尤其涉及一种防止IGMP欺骗和攻击的方法及装置。

背景技术

随着网络宽带技术的不断发展，流媒体数据以其直观性、实用性、互动性等特点广泛应用于视频点播、网络教学、网络直播等诸多业务，这些业务都具有点对多点的特性，对于类似点对多点的业务模式如采用点对点的单播模式进行数据传输，会浪费了大量的网络资源。为了节省网络资源的占用，IP组播技术应时而生，通过IP组播技术，一个系统可以将相同的数据包同时发送到同一组播组内的多个主机上。IGMP(Internet Group Management Protocol，互联网组管理协议)是TCP/IP协议族中负责IP组播成员管理的协议，用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。

在现有网络环境中，通过动态主机分配协议(Dynamic Host Configuration Protocol，DHCP)来完成用户IP的分配。为了防止DHCP攻击及私设DHCP服务器，一般在交换机中开启DHCP侦听(DHCP SNOOPING)功能，监测DHCP客户端通过DHCP协议获取IP的过程，从而保证用户终端获得合法的IP地址。

IGMP SNOOPING(Internet Group Management Protocol Snooping，互联网组管理协议侦听)是运行在二层设备上的组播约束机制，用于管理和控制组播组。运行IGMP SNOOPING的二层设备通过对收到的IGMP报文进行分析，为端口和MAC组播地址建立起映射关系，并根据这样的映射关系转发组播数据。IGMP SNOOPING通过二层组播将信息只转发给有需要的接收者，减少了二层网络中的广播报文，节约了网络带宽并增强了组播信息的安全性。

在IGMP查询器选择中，如果网路上存在多个查询器，则选择IP较小者为网路上唯一的IGMP查询器。如果有非法主机伪造一个源IP较小的IGMP查询器，则根据IGMP协议，此非法主机会被选为合法查询器。如果非法用户伪造的IGMP查询器主机的IGMP离开消息，则在主机离开后，还会有组播流量流向离组播组的主机，造成带宽的浪费；如果有非法主机伪造源IP发送IGMP成员报告报文，将增加网路上组播路由器的CPU负担。此外，即使是拥有合法IP的主机，也可能发动IGMP攻击，该主机发送大量的IGMP成员报告报文，增加网路上组播路由器的CPU负担，占用大量的软件和硬件资源。

针对上述IGMP普遍组查询欺骗、IGMP源地址欺骗以及IGMP成员报告报文攻击问题，需要采用一种机制来防止IGMP欺骗和攻击。

发明内容

为了克服现有技术的缺陷和不足，本发明提出一种能够有效拦截和阻止IGMP欺骗和攻击的方法及装置。

本发明公开一种防止IGMP欺骗和攻击的方法，该方法包括：

S1：交换机侦听DHCP主机的IP地址请求过程建立包括用户IP、MAC地址、虚拟局域网标识和接收端口信息的DHCP绑定表；

S2：交换机侦听IGMP报文，判断报文类型，如是IGMP普通组查询报文，则执行步骤S3；如是IGMP成员关系报告报文，则执行步骤S4；

S3：根据报文接收端口信息与预先配置的信任端口是否匹配，判断报文的合法性；

S4：根据报文信息与DHCP绑定表信息和每个IP允许加入组播组数目阈值是否匹配，判断报文的合法性。

进一步地，所述步骤S1中交换机侦听DHCP主机的IP地址请求过程建立DHCP绑定表的步骤包括：

交换机侦听用户的DHCP请求报文，根据所述报文中源MAC地址查询绑定表，如果绑定表中存在该MAC地址，将报文从可信口端转发出去；如绑定表中不存在该MAC地址，交换机创建一个临时的REQUEST绑定，记录用户的MAC地址、端口信息和虚拟局域网标识信息，将报文从可信端口转发出去；

交换机侦听服务器返回的DHCP应答报文，根据报文中的目的MAC地址查询REQUEST绑定表，如果存在相同用户MAC地址，创建一个包括用户IP、MAC地址、虚拟局域网标识和接收端口信息的绑定信息。

进一步地，所述交换机上配置的IGMP信任端口为上联组播路由器的端口。