CN102158394B - 虚拟路由冗余协议路由器防攻击的方法和接入设备 - Google Patents
虚拟路由冗余协议路由器防攻击的方法和接入设备 Download PDFInfo
- Publication number
- CN102158394B CN102158394B CN2011100334403A CN201110033440A CN102158394B CN 102158394 B CN102158394 B CN 102158394B CN 2011100334403 A CN2011100334403 A CN 2011100334403A CN 201110033440 A CN201110033440 A CN 201110033440A CN 102158394 B CN102158394 B CN 102158394B
- Authority
- CN
- China
- Prior art keywords
- message
- vrrp
- router
- legal
- nodal information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种虚拟路由冗余协议路由器防攻击的方法和接入设备。该方法包括:连接VRRP路由器的接入设备接收到报文;如果所述接收到的报文为VRRP报文或者网关报文,根据本机保存的合法VRRP路由器的节点信息,判断所述接收到的报文是否为合法报文;如果否,抑制所述接收到的报文。该接入设备包括接收模块、判断模块和抑制模块。本发明提供的方案有效抑制了攻击者伪造出来的非法报文,保护了VRRP路由器的安全,并且避免了网络受到非法网关报文的攻击,维护了网络的稳定。
Description
技术领域
本发明实施例涉及网络技术领域,尤其涉及一种虚拟路由冗余协议路由器防攻击的方法和接入设备。
背景技术
虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称为:VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的一个VRRP组中多台VRRP路由器中的一台。VRRP组内多个路由器都映射为一个虚拟的路由器,拥有相同的虚拟路由器IP地址。VRRP保证同时有且只有一台VRRP路由器在代表该虚拟的路由器进行数据包的发送。控制虚拟路由器IP地址的VRRP路由器称为主用路由器,它负责转发数据包到虚拟路由器IP地址。一旦主用路由器不可用,备用路由器可以在不影响内外数据通信的前提下进行功能切换,且不需要修改内部网络的参数。这就使得局域网内的路由器看上去只使用了一台路由器,并且即使在它当前所使用的首跳路由器不能识别的情况下仍然能够保持路由的连通性。
VRRP采用简单竞选的方式选择主用路由器。首先,比较同一个VRRP组中的各台路由器,其对应接口上设置的VRRP优先级,优先级最高的为主用路由器,它的状态变为MASTER。如果对应接口上设置的VRRP优先级彼此相同,则比较对应接口上的主IP地址,主IP地址大的为主用路由器,它的状态变为MASTER。
主用路由器选出后,同一个VRRP组内的其他路由器作为备用路由器,状态变为BACKUP,备用路由器可以通过主用路由器定时发出的VRRP通告报文检测主用路由器的状态。当正常工作时,主用路由器会定时发出VRRP通告报文给同一个VRRP组中的其他路由器,以通报主用路由器的设备状态,即主用路由器工作状态正常。如果同一个VRRP组内的备用路由器在预设的时间内没有收到来自主用路由器的通告报文,则将自己状态转为MASTER。当同一个VRRP组内有多台状态为MASTER的路由器时,采用简单竞选的方式选择一台作为主用路由器,从而实现VRRP的备份功能。
如图1所示的现有技术提供的VRRP组的结构示意图,VRRP路由器R1和R2属于同一个VRRP组,在VRRP组运行正常时,假设R1为MASTER,而R2为BACKUP。R1会每隔一个通告周期发送VRRP通告报文给R2,用以维持VRRP组的工作状态。在实际的网络应用过程中,当攻击者进行攻击时,会发送伪造的VRRP报文,或者同时会伪造MASTER的主机行为,受到攻击的VRRP组可能会出现以下两种情况:第一种情况为多MASTER情况,第二种情况为MASTER震荡。其中,第一种情况一般出现在正常的VRRP路由器采用认证选举出一个正常的MASTER时,攻击者通过发送非法的VRRP报文,同时模拟MASTER的主机行为,比如对请求网关的地址解析协议(Address Resolution Protocol,简称为:ARP)请求报文进行应答,干扰正常MASTER的运行。第二种情况一般出现在正常的VRRP路由器不用认证选举出一个正常的MASTER时,攻击者通过发送非法VRRP报文,导致正常的MASTER变为BACKUP,随着攻击者发送非法VRRP报文的频率不同,就可能出现MASTER持续切换,或者正常的MASTER持续被抑制成BACKUP的情况,MASTER震荡会干扰网关与用户间的数据转发,严重时会导致网络转发中断。
现有技术中针对攻击者发起攻击方式的不同,可以通过如下几种方式防止攻击者的攻击:
如果攻击者通过网络传递VRRP攻击报文,对VRRP路由器进行远程攻击,其解决方式为强制要求VRRP报文中的TTL=255,TTL小于255的VRRP报文认为是非法报文,直接进行丢弃。这里应用的主要原理是远程攻击者发送的VRRP攻击报文通过网络传输,其TTL值必定小于255。
如果攻击者通过攻击VRRP配置使其出现错误从而导致VRRP运行异常,其解决方式为对VRRP报文进行加密,但是加密并不能避免第二种情况多MASTER行为的发生。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
上述VRRP路由器防攻击的方法并不能有效防止VRRP报文攻击和模拟主用路由器行为的攻击。
发明内容
本发明实施例提供一种虚拟路由冗余协议路由器防攻击的方法和接入设备,用以解决现有技术中的问题,实现了有效防止VRRP报文攻击和模拟主用路由器行为的攻击的目的。
本发明实施例提供一种虚拟路由冗余协议VRRP路由器防攻击的方法,包括:
连接VRRP路由器的接入设备接收到报文;
如果所述接收到的报文为VRRP报文或者网关报文,根据本机保存的合法VRRP路由器的节点信息,判断所述接收到的报文是否为合法报文;
如果否,抑制所述接收到的报文;
其中,所述合法VRRP路由器的节点信息包括:合法VRRP路由器的标识、所述合法VRRP路由器参加的VRRP组的标识、所述合法VRRP路由器在所述参加的VRRP组中的优先级、所述参加的VRRP组对应的虚拟路由器IP和主用路由器标识、以及接入设备上用以标识所述合法VRRP路由器所在位置的物理端口,则所述根据本机保存的合法VRRP路由器的节点信息,判断所述接收到的报文是否为合法报文包括:
当所述接收到的报文为VRRP报文时,从所述VRRP报文中提取发送所述VRRP报文的VRRP路由器的标识、参加的VRRP组以及所述参加的VRRP组对应的虚拟路由器IP,并获得所述接入设备上接收到所述VRRP报文的物理端口,将上述信息与所述本机保存的合法VRRP路由器的节点信息相比较,如果全部相同,则所述VRRP报文为合法报文;
当所述接收到的报文为网关报文时,从所述网关报文中提取发送所述网关报文的VRRP路由器参加的VRRP组对应的虚拟路由器IP以及主用路由器标识,并获得所述接入设备上接收到所述网关报文的物理端口,将上述信息与所述本机保存的合法VRRP路由器的节点信息相比较,如果全部相同,则所述网关报文为合法报文。
本发明实施例还提供一种接入设备,包括:
接收模块,用于接收到报文;
判断模块,用于如果所述接收模块接收到的报文为虚拟路由冗余协议VRRP报文或者网关报文,根据本机保存的合法VRRP路由器的节点信息,判断所述接收到的报文是否为合法报文;
抑制模块,用于如果所述判断模块的判断结果为否,抑制所述接收到的报文;
其中,所述合法VRRP路由器的节点信息包括:合法VRRP路由器的标识、所述合法VRRP路由器参加的VRRP组的标识、所述合法VRRP路由器在所述参加的VRRP组中的优先级、所述参加的VRRP组对应的虚拟路由器IP和主用路由器标识、以及接入设备上用以标识所述合法VRRP路由器所在位置的物理端口,则所述判断模块包括:
第一判断单元,用于当所述接收到的报文为VRRP报文时,从所述VRRP报文中提取发送所述VRRP报文的VRRP路由器的标识、参加的VRRP组以及所述参加的VRRP组对应的虚拟路由器IP,并获得所述接入设备上接收到所述VRRP报文的物理端口,将上述信息与所述本机保存的合法VRRP路由器的节点信息相比较,如果全部相同,则所述VRRP报文为合法报文;
和/或,
第二判断单元,用于当所述接收到的报文为网关报文时,从所述网关报文中提取发送所述网关报文的VRRP路由器参加的VRRP组对应的虚拟路由器IP以及主用路由器标识,并获得所述接入设备上接收到所述网关报文的物理端口,将上述信息与所述本机保存的合法VRRP路由器的节点信息相比较,如果全部相同,则所述网关报文为合法报文。
本发明实施例提供的VRRP路由器防攻击的方法和接入设备,通过在接入设备上保存合法VRRP路由器的节点信息,并根据合法VRRP路由器的节点信息进行非法VRRP报文和非法的网关报文的抑制,有效抑制了攻击者伪造出来的非法报文,保护了VRRP路由器的安全,并且避免了网络受到非法网关报文的攻击,维护了网络的稳定。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术提供的VRRP组的结构示意图;
图2为本发明一个实施例提供的VRRP路由器防攻击的方法流程图;
图3为本发明另一个实施例提供的VRRP路由器防攻击的方法流程图;
图4为本发明实施例提供的一种注册响应报文格式;
图5为本发明实施例提供的一种VRRP网络结构示意图;
图6为本发明实施例提供的接入设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图2为本发明一个实施例提供的VRRP路由器防攻击的方法流程图,如图2所示,该方法包括:
步骤101:与合法VRRP路由器相连接的接入设备接收到报文;
其中,接入设备接收到的报文,既可能是合法VRRP路由器发送的报文,又可能是非法攻击者发送的报文,在此步骤101中,接入设备暂不能分辨出接收到的报文的合法性。
步骤102:如果上述报文为VRRP报文或者网关报文,则根据接入设备本机保存的合法VRRP路由器的节点信息,判断该报文是否为合法报文;
其中,接入设备在本机保存有合法VRRP路由器的节点信息,通过判断接收到的报文中携带的信息是否与本机保存的合法VRRP路由器的节点信息相匹配,如果匹配,则说明该报文是合法报文,如果不匹配,则说明该报文是非法报文。
网关报文是对于具有相同特性的报文的统称,用于代表与网关行为有关的报文,例如ARP请求与应答等需要网关执行相应操作的报文。
步骤103:如果否,抑制该报文。
对于非法的VRRP报文或者非法的网关报文,接入设备会对其进行抑制,阻止其攻击VRRP路由器,对VRRP路由器造成不良影响。
本发明实施例提供的VRRP路由器防攻击的方法,通过在接入设备上保存合法VRRP路由器的节点信息,并根据合法VRRP路由器的节点信息进行非法VRRP报文和非法网关报文的抑制,有效抑制了攻击者伪造出来的非法VRRP报文和非法网关报文,保护了VRRP路由器的安全,并且避免了网络受到非法网关报文的攻击,维护了网络的稳定。
图3为本发明另一个实施例提供的VRRP路由器防攻击的方法流程图,如图3所示,该方法包括:
步骤201:接入设备接收到报文,如果该报文为VRRP报文或者网关报文,根据本机保存的合法VRRP路由器的节点信息判断该报文是否为合法报文;
如果是,执行步骤202;
如果否,直接丢弃该报文。
其中,合法VRRP路由器的节点信息可以但不限于包括:VRRP路由器本机上参加的VRRP组的标识、每个VRRP组对应的虚拟路由器IP以及该虚拟路由器的实际路由器信息。虚拟路由器的实际路由器信息可以但不限于包括:VRRP路由器的标识、在特定VRRP组的VRRP路由器的优先级以及接入设备上用以标识该VRRP路由器所在位置的物理端口以及接入设备上对同一个VRRP组内根据选举规则选举出来的主用路由器的设备标识(MASTERIP)。如表1所示的节点信息:
表1
其中,根据本机保存的合法VRRP路由器的节点信息判断该接收到的报文是否为合法报文可以包括:在保存的合法VRRP路由器的节点信息中查询是否存在这样一条节点信息,该节点信息中的VRRP路由器标识、虚拟路由器IP、参加的VRRP组以及端口与该接收到报文的相应内容是完全相同的,如果相同,认为该接收到的报文为合法报文。
步骤202:判断该接收到的报文中是否携带有VRRP路由器的节点信息;
如果有,执行步骤203;
如果没有,执行步骤204。
步骤203:提取该接收到的报文中携带的VRRP路由器的节点信息,注册或更新本机保存的合法VRRP路由器的节点信息。
其中,携带有节点信息的报文可以是注册响应报文,也可以是VRRP通告报文。节点信息的注册或更新方法可以包括自动注册和手动注册两种。自动注册可以区分为接入设备主动发起注册流程和VRRP路由器主动发起注册流程两类。对于无法实现自动注册的VRRP路由器,可以通过管理员手动注册的方式实现合法VRRP路由器的节点信息的注册及更新。
对于接入设备主动发起注册流程包括:接入设备发送注册查询报文给其连接的合法VRRP路由器,VRRP路由器接收到注册查询报文后,发送注册响应报文给接入设备,接入设备根据注册响应报文实现合法VRRP路由器的节点信息的注册或更新。对于VRRP路由器主动发起注册流程包括:VRRP路由器直接发送注册响应报文给其连接的接入设备,由接入设备根据接收到的注册响应报文携带的信息实现本机保存的合法VRRP路由器的节点信息的注册或更新。
其中,注册查询报文的主要用途在于触发VRRP路由器发送注册响应报文,所以结构上可以简单一些,在本发明实施例中,出于尽量选择协议已有定义的内容来完成本发明,以达到节约资源和实现方法简单化的目的,注册查询报文可以使用VRRP通告报文,修改其中的type字段值,定义其为注册查询报文即可,或者,可以只包含VRRP通告报文中的组播帧信息即可。注册响应报文的主要用途在于将合法VRRP路由器的节点信息发送给接入设备,所以需要携带节点信息。可以使用VRRP通告报文,优点是修订简单,缺点是每个VRRP路由器上参加多少个VRRP组,就需要发送多少个报文,对设备性能和网络带宽都造成一定程度的影响;还可以使用扩展的VRRP通告报文,具体的扩展方式可以是在VRRP通告报文中增加自定义字段,将VRRP路由器上的节点信息填入到自定义字段中,也可以使用VRRP通告报文中已有的字段携带节点信息。为了节约网络资源,这些节点信息可以打包后在一个报文中发送,一个报文发送不了的,还可以采取分片发送。图4为本发明实施例提供的一种注册响应报文格式。
步骤204:根据本机保存的合法VRRP路由器的节点信息转发该报文。
其中,接入设备根据本机保存的合法VRRP路由器的节点信息,获得该接收到的报文的目的VRRP组,将该VRRP报文仅发送给目的VRRP组内除发送该报文的VRRP路由器以外的其他VRRP路由器。
需要说明的是,转发方式可以为:
根据合法VRRP路由器的节点信息,对同一个VRID,收到的VRRP报文转发给除发送报文接口外的其他合法VRRP路由器的端口上。只有合法VRRP路由器的节点信息中存在的端口可以接收报文,合法VRRP路由器的节点信息中不存在的端口不转发报文。
进一步的,该方法还可以包括:
步骤205:接入设备根据本机保存的节点信息获得主用路由器所在的端口;
如果接收到的报文是网关报文且由主用路由器所在的端口发送,则允许该报文的传递;
如果接收到的报文是网关报文但不是由主用路由器所在端口发送,则直接丢弃该报文。
本实施例中并不限定步骤205与上述步骤201~204之间的执行顺序,可以同步执行,也可以在步骤201~204中的某一步骤之后执行。该步骤205主要用于接入设备对MASTER进行监控处理,对于MASTER所在端口的网关报文,比如对网关ARP请求的ARP应答报文进行放行,而对不在MASTER所在端口发送的网关报文进行过滤。这样可以有效实现对非法MASTER网关行为攻击的过滤。
进一步的,需要说明的是,携带有节点信息的报文(包括注册响应报文和VRRP通告报文)是由合法的VRRP路由器发出的,一般情况下,合法的VRRP路由器会在如下几种可能的情况下向接入设备发送携带有节点信息的报文,一种是当接口状态发生切换时发送,另一种是当收到接入设备发送的注册查询报文时发送。为了保证接入设备中保存的合法VRRP路由器的节点信息能够及时更新,该方法还可以包括:
步骤206:接入设备在每次接收到VRRP路由器发送的携带有节点信息的报文时,开始计时,如果计时超过第一预设值,则向相应的VRRP路由器发送注册查询报文。
步骤206可以通过注册查询定时器(Register_Query_Timer,简称为:RQT)完成,RQT的超时时间(第一预设值)可以根据实际情况进行设定,本实施例中优选为1分钟。
本实施例中并不限定步骤206与上述步骤201~204、205之间的执行顺序,可以同步执行,也可以在步骤201~204、205中的某一步骤之后执行。
进一步的,每一个VRRP路由器都有自己的生命周期,当一个VRRP路由器的生命周期结束时,表明该VRRP路由器已经不再工作,也就不会发送注册响应报文给接入设备。为了节约网络资源,避免出现接入设备在不清楚VRRP路由器的生命周期已经结束的情况下,不断发送注册查询报文给VRRP路由器的问题,该方法还可以包括:
步骤207:接入设备在每次接收到VRRP路由器发送的携带有节点信息的报文时,开始计时;
如果在计时未超过第二预设值的情况下,接收到VRRP路由器发送的携带有节点信息的报文,则重新开始计时;
如果在计时超过第二预设值的情况下,仍未收到VRRP路由器发送的携带有节点信息的报文,则停止发送注册查询报文。
步骤207可以通过注册查询撤销定时器(Register_Query_Cancel_Timer,简称为:RQCT)完成,RQCT的超时时间(第二预设值)可以根据实际情况进行设定,本实施例优选为3分钟。
下面,以一个具体实例对上述VRRP路由器防攻击的方法进行说明。图5为本发明实施例提供的一种VRRP网络结构示意图,在图5中,R1和R2均为合法的VRRP路由器,对于VRID=1的VRRP组,R1为MASTER。VRRP路由器防攻击的方法包括:
1、接入设备S启动,初始化合法VRRP路由器的节点信息。
其中,当R1接入S的端口1时,R1ip=1.1.1.1的接口启动,由于接口状态发生变化,R1发送一个VRRP注册响应报文给S。S接收到R1发送的VRRP注册响应报文后,更新自己合法VRRP路由器的节点信息,该节点信息包括:{[1,1.1.1.254,1.1.1.1,(1.1.1.1,200,端口1)]}。
假设R2没有实现注册机制,则网络管理员手动在S上添加R2的合法信息,如果R2尚未启动,这时接入设备S上保存的节点信息包括:{[1,1.1.1.254,1.1.1.1,(1.1.1.1,200,端口1),(1.1.1.2,null,端口2)]}。
2、R2启动后,接口从init转化为Backup,由于接口状态发生变化,R2发送VRRP通告报文给S,S收到VRRP通告报文后,查阅上述保存的节点信息发现该端口是静态注册的合法端口,且报文的源IP与节点信息中的IP相同,因此,根据收到的VRRP通告报文的报文内容,更新节点信息。这时接入设备S上保存的节点信息包括:{[1,1.1.1.254,1.1.1.1,(1.1.1.1,200,端口1),(1.1.1.2,100,端口2)]}。
3、R1发送VRRP通告报文,S接收到后,根据节点信息,将报文转发给端口2,端口3由于不在节点信息中,因此无法收到该报文。
4、假设端口3的攻击者进行VRRP报文攻击,由于端口3没有在合法VRRP路由器的节点信息中,S对端口3发送的VRRP报文会进行抑制,端口1和端口2连接的R1和R2不会受到VRRP报文攻击。
5、假设端口3的攻击者进行MASTER网关攻击,对网关MASTER的ARP请求进行虚假应答,由于端口3没有在合法VRRP路由器的节点信息中,S对端口3发送的ARP应答报文进行抑制,而端口1是合法的MASTER所在的端口,发送的ARP应答报文会被放行。
本发明实施例提供的VRRP路由器防攻击的方法,通过在接入设备上保存合法VRRP路由器的节点信息,并根据合法VRRP路由器的节点信息进行非法VRRP报文的抑制,有效抑制了攻击者伪造出来的非法报文,保护了VRRP路由器的安全。合法VRRP路由器的节点信息是通过注册机制保存在接入设备本机上的,有效保证了节点信息的更新速度和正确性。
图6为本发明实施例提供的接入设备的结构示意图,如图6所示,该接入设备包括:接收模块601、判断模块602以及抑制模块603。接收模块601用于接收到报文;判断模块602用于如果接收模块601接收到的报文为VRRP报文或者网关报文,根据本机保存的合法VRRP路由器的节点信息,判断该报文是否为合法报文;抑制模块603用于如果判断模块602的判断结果为否,抑制该接收到的报文。
其中的节点信息包括:合法VRRP路由器的标识、该合法VRRP路由器参加的VRRP组、合法VRRP路由器在各参加的VRRP组中的优先级、参加的VRRP组对应的虚拟路由器IP和主用路由器标识,以及接入设备上用以标识该合法路由器所在位置的物理端口,则判断模块602包括:第一判断单元和/或第二判断单元,该第一判断单元用于当该接收到的报文为VRRP报文时,从该VRRP报文中提取发送该VRRP报文的VRRP路由器的标识、参加的VRRP组以及参加的VRRP组对应的虚拟路由器IP,并获得接入设备上接收到该VRRP报文的物理端口,将上述信息与本机保存的合法VRRP路由器的节点信息相比较,如果全部相同,则VRRP报文为合法报文;该第二判断单元用于当报文为网关报文时,从网关报文中提取发送该报文的VRRP路由器参加的VRRP组对应的虚拟路由器IP以及主用路由器标识,并获得接入设备上接收到该网关报文的物理端口,将上述信息与本机保存的合法VRPP路由器的节点信息相比较,如果完全相同,则该网关报文为合法报文。
其中,如果判断模块602的判断结果为是,则该判断模块602还包括:第三判断单元,用于判断报文中是否携带节点信息;该接入设备还包括:更新模块,该更新模块用于如果第三判断单元的判断结果为是,根据报文中携带的节点信息更新本机保存的合法VRRP路由器的节点信息。
其中,更新模块具体包括:更新单元和/或注册单元。其中的更新单元用于如果本机保存的节点信息中包含发送该报文的VRRP路由器的信息,则使用报文中携带的节点信息更新本机保存的合法VRRP路由器的节点信息;注册单元用于如果本机保存的节点信息中不包含发送该报文的VRRP路由器的信息,则将报文中携带的节点信息添加至本机保存的合法VRRP路由器的节点信息中。
如果接收模块601接收到的报文为合法VRRP路由器发送的携带有节点信息的报文,该携带有节点信息的报文可以是注册响应报文或VRRP通告报文;则该接入设备还可以包括:发送模块,用于发送注册查询报文给VRRP路由器,以使VRRP路由器在接收到注册查询报文后发送携带有节点信息的报文给接入设备。
进一步的,该接入设备还可以包括:计时模块,用于接收模块601接收到携带有节点信息的报文时开始计时,相应的,发送模块用于当计时模块的计时超过第一预设值,发送注册查询报文给VRRP路由器。
该发送模块还可以用于:如果计时模块计时超过第二预设值,接收模块601未收到VRRP路由器发送的携带有节点信息的报文,则停止发送注册查询报文。
进一步的,该接入设备还可以包括:获得模块,该获得模块用于根据本机保存的合法VRRP路由器的节点信息获得同一VRRP组内的主用路由器端口,相应的,抑制模块603用于当接收模块601接收到的报文为网关报文时,如果该网关报文的接收端口与合法VRRP路由器的节点信息内保存的主用路由器端口不同,则抑制该网关报文。
本发明实施例提供的接入设备,通过在接入设备上保存合法VRRP路由器的节点信息,并根据合法VRRP路由器的节点信息进行非法VRRP报文和非法网关报文的抑制,有效抑制了攻击者伪造出来的非法报文,保护了VRRP路由器的安全,并且避免了网络受到非法网关报文的攻击,维护了网络的稳定。合法VRRP路由器的节点信息是通过注册机制保存在接入设备本机上的,有效保证了节点信息的更新速度和正确性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种虚拟路由冗余协议VRRP路由器防攻击的方法,其特征在于,包括:
连接VRRP路由器的接入设备接收到报文;
如果所述接收到的报文为VRRP报文或者网关报文,根据本机保存的合法VRRP路由器的节点信息,判断所述接收到的报文是否为合法报文;
如果否,抑制所述接收到的报文;
其中,所述合法VRRP路由器的节点信息包括:合法VRRP路由器的标识、所述合法VRRP路由器参加的VRRP组的标识、所述合法VRRP路由器在所述参加的VRRP组中的优先级、所述参加的VRRP组对应的虚拟路由器IP和主用路由器标识、以及接入设备上用以标识所述合法VRRP路由器所在位置的物理端口,则所述根据本机保存的合法VRRP路由器的节点信息,判断所述接收到的报文是否为合法报文包括:
当所述接收到的报文为VRRP报文时,从所述VRRP报文中提取发送所述VRRP报文的VRRP路由器的标识、参加的VRRP组以及所述参加的VRRP组对应的虚拟路由器IP,并获得所述接入设备上接收到所述VRRP报文的物理端口,将上述信息与所述本机保存的合法VRRP路由器的节点信息相比较,如果全部相同,则所述VRRP报文为合法报文;
当所述接收到的报文为网关报文时,从所述网关报文中提取发送所述网关报文的VRRP路由器参加的VRRP组对应的虚拟路由器IP以及主用路由器标识,并获得所述接入设备上接收到所述网关报文的物理端口,将上述信息与所述本机保存的合法VRRP路由器的节点信息相比较,如果全部相同,则所述网关报文为合法报文。
2.根据权利要求1所述的方法,其特征在于,如果所述接收到的报文为合法报文,所述方法还包括:
判断所述接收到的报文中是否携带节点信息;
如果是,根据所述接收到的报文中携带的节点信息更新所述本机保存的合法VRRP路由器的节点信息。
3.根据权利要求2所述的方法,其特征在于,所述携带有节点信息的报文为注册响应报文或VRRP通告报文,则在所述接入设备接收到报文之前,所述方法还包括:
所述接入设备发送注册查询报文给VRRP路由器,以使所述VRRP路由器在接收到所述注册查询报文后发送携带有节点信息的报文给所述接入设备。
4.根据权利要求3所述的方法,其特征在于,所述接入设备发送注册查询报文给VRRP路由器,包括:
接收到携带有节点信息的报文开始计时,如果计时超过第一预设值,则发送注册查询报文给VRRP路由器。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
如果计时超过第二预设值,仍未收到所述VRRP路由器发送的携带有节点信息的报文,则停止发送所述注册查询报文。
6.根据权利要求1所述的方法,其特征在于,当所述接收到的报文为网关报文时,所述方法还包括:
根据所述本机保存的合法VRRP路由器的节点信息获得同一VRRP组内的主用路由器端口;
如果所述网关报文的接收端口与所述合法VRRP路由器的节点信息内保存的主用路由器端口不同,抑制所述网关报文。
7.一种接入设备,其特征在于,包括:
接收模块,用于接收到报文;
判断模块,用于如果所述接收模块接收到的报文为虚拟路由冗余协议VRRP报文或者网关报文,根据本机保存的合法VRRP路由器的节点信息,判断所述接收到的报文是否为合法报文;
抑制模块,用于如果所述判断模块的判断结果为否,抑制所述接收到的报文;
其中,所述合法VRRP路由器的节点信息包括:合法VRRP路由器的标识、所述合法VRRP路由器参加的VRRP组的标识、所述合法VRRP路由器在所述参加的VRRP组中的优先级、所述参加的VRRP组对应的虚拟路由器IP和主用路由器标识、以及接入设备上用以标识所述合法VRRP路由器所在位置的物理端口,则所述判断模块包括:
第一判断单元,用于当所述接收到的报文为VRRP报文时,从所述VRRP报文中提取发送所述VRRP报文的VRRP路由器的标识、参加的VRRP组以及所述参加的VRRP组对应的虚拟路由器IP,并获得所述接入设备上接收到所述VRRP报文的物理端口,将上述信息与所述本机保存的合法VRRP路由器的节点信息相比较,如果全部相同,则所述VRRP报文为合法报文;
和/或,
第二判断单元,用于当所述接收到的报文为网关报文时,从所述网关报文中提取发送所述网关报文的VRRP路由器参加的VRRP组对应的虚拟路由器IP以及主用路由器标识,并获得所述接入设备上接收到所述网关报文的物理端口,将上述信息与所述本机保存的合法VRRP路由器的节点信息相比较,如果全部相同,则所述网关报文为合法报文。
8.根据权利要求7所述的接入设备,其特征在于,如果所述判断模块的判断结果为是,则所述判断模块还包括:第三判断单元,用于判断所述接收到的报文中是否携带节点信息;
所述接入设备还包括:更新模块,用于如果所述第三判断单元的判断结果为是,根据所述接收到的报文中携带的节点信息更新所述本机保存的合法VRRP路由器的节点信息。
9.根据权利要求8所述的接入设备,其特征在于,所述接收模块接收到的携带有节点信息的报文为注册响应报文或VRRP通告报文,则所述接入设 备还包括:发送模块,所述发送模块用于发送注册查询报文给VRRP路由器,以使所述VRRP路由器在接收到所述注册查询报文后发送携带有节点信息的报文给所述接入设备。
10.根据权利要求9所述的接入设备,其特征在于,还包括:计时模块,用于所述接收模块接收到携带有节点信息的报文开始计时;相应的,所述发送模块用于:当所述计时模块的计时超过第一预设值,发送注册查询报文给VRRP路由器。
11.根据权利要求10所述的接入设备,其特征在于,所述发送模块还用于:如果所述计时模块计时超过第二预设值,所述接收模块仍未收到所述VRRP路由器发送的携带有节点信息的报文,则停止发送所述注册查询报文。
12.根据权利要求7所述的接入设备,其特征在于,还包括:
获得模块,用于根据所述本机保存的合法VRRP路由器的节点信息获得同一VRRP组内的主用路由器端口;
相应的,所述抑制模块用于:当所述接收模块接收到的报文为网关报文时,如果所述网关报文的接收端口与所述合法VRRP路由器的节点信息内保存的主用路由器端口不同,抑制所述网关报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100334403A CN102158394B (zh) | 2011-01-30 | 2011-01-30 | 虚拟路由冗余协议路由器防攻击的方法和接入设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100334403A CN102158394B (zh) | 2011-01-30 | 2011-01-30 | 虚拟路由冗余协议路由器防攻击的方法和接入设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102158394A CN102158394A (zh) | 2011-08-17 |
| CN102158394B true CN102158394B (zh) | 2013-11-20 |
Family
ID=44439591
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100334403A Active CN102158394B (zh) | 2011-01-30 | 2011-01-30 | 虚拟路由冗余协议路由器防攻击的方法和接入设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102158394B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594808B (zh) * | 2012-02-06 | 2016-12-14 | 神州数码网络(北京)有限公司 | 一种防止DHCPv6服务器欺骗的系统及方法 |
| CN102571806B (zh) * | 2012-02-08 | 2016-12-07 | 神州数码网络(北京)有限公司 | 一种主动防止路由器公告报文欺骗的装置和方法 |
| CN104601465B (zh) * | 2015-01-05 | 2018-05-08 | 新华三技术有限公司 | 一种vrrp报文的处理方法和设备 |
| CN107241307B (zh) * | 2017-04-26 | 2023-08-08 | 北京立思辰计算机技术有限公司 | 一种基于报文内容的自学习的网络隔离安全装置和方法 |
| CN111953561B (zh) * | 2020-07-28 | 2022-12-13 | 锐捷网络股份有限公司 | Vrrp震荡的抑制方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878061A (zh) * | 2006-07-11 | 2006-12-13 | 杭州华为三康技术有限公司 | 网桥协议数据单元报文验证方法和装置 |
| WO2009155812A1 (zh) * | 2008-06-23 | 2009-12-30 | 华为技术有限公司 | 终端接入方法、接入管理方法网络设备以及通信系统 |
| CN101651696A (zh) * | 2009-09-17 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种防止nd攻击的方法及装置 |
| CN101741742A (zh) * | 2009-12-18 | 2010-06-16 | 华为技术有限公司 | 报文处理方法、接入设备和通信系统 |
-
2011
- 2011-01-30 CN CN2011100334403A patent/CN102158394B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878061A (zh) * | 2006-07-11 | 2006-12-13 | 杭州华为三康技术有限公司 | 网桥协议数据单元报文验证方法和装置 |
| WO2009155812A1 (zh) * | 2008-06-23 | 2009-12-30 | 华为技术有限公司 | 终端接入方法、接入管理方法网络设备以及通信系统 |
| CN101651696A (zh) * | 2009-09-17 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种防止nd攻击的方法及装置 |
| CN101741742A (zh) * | 2009-12-18 | 2010-06-16 | 华为技术有限公司 | 报文处理方法、接入设备和通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102158394A (zh) | 2011-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10601766B2 (en) | Determine anomalous behavior based on dynamic device configuration address range | |
| US9634991B2 (en) | Method, apparatus, host, and network system for processing packet | |
| Nadas | Virtual router redundancy protocol (VRRP) version 3 for IPv4 and IPv6 | |
| US7107481B2 (en) | Server takeover system and method | |
| CN102158394B (zh) | 虚拟路由冗余协议路由器防攻击的方法和接入设备 | |
| Nordmark et al. | FCFS SAVI: First-Come, first-served source address validation improvement for locally assigned IPv6 addresses | |
| CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
| CN112134891B (zh) | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 | |
| CN104243472A (zh) | 具有mac表溢出保护的网络 | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| CN106302525B (zh) | 一种基于伪装的网络空间安全防御方法及系统 | |
| US20140289800A1 (en) | System and method for filtering network traffic | |
| CN101035012B (zh) | 基于dhcp和ip的以太网多层交换机安全防护方法 | |
| CN100589434C (zh) | 在接入模式下实现业务服务器地址防欺骗的方法 | |
| US20140082693A1 (en) | Updating security bindings in a network device | |
| CN105959282A (zh) | Dhcp攻击的防护方法及装置 | |
| JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
| CN102025734A (zh) | 一种防止mac地址欺骗的方法、系统及交换机 | |
| US7551559B1 (en) | System and method for performing security actions for inter-layer binding protocol traffic | |
| CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| CN101494562B (zh) | 一种网络设备上终端表项的维护方法和一种网络设备 | |
| CN114115068A (zh) | 一种内生安全交换机的异构冗余防御策略下发方法 | |
| CN101494536B (zh) | 一种防arp攻击的方法、装置和系统 | |
| CN110505243A (zh) | 网络攻击的处理方法及装置、存储介质、电子装置 | |
| CN116566752B (zh) | 安全引流系统、云主机及安全引流方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee after: RUIJIE NETWORKS Co.,Ltd. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd. |