一種防止組播數(shù)據(jù)攻擊的方法和設備技術(shù)

技術(shù)編號：7936850 閱讀：241 留言：0更新日期：2012-11-01 07:27

本發(fā)明專利技術(shù)公開了一種防止組播數(shù)據(jù)攻擊的方法和設備，該方法包括：三層組播設備在接收到組播數(shù)據(jù)后，利用所述組播數(shù)據(jù)的源地址、組地址以及入接口匹配報文過濾策略；當所述組播數(shù)據(jù)與所述報文過濾策略匹配時，則所述三層組播設備為所述組播數(shù)據(jù)設置非法標識，并在通過所述非法標識查詢到具有該非法標識的非法報文過濾表項之后，丟棄所述組播數(shù)據(jù)。本發(fā)明專利技術(shù)實施例中，能夠減少驅(qū)動資源的消耗。

全部詳細技術(shù)資料下載

【技術(shù)實現(xiàn)步驟摘要】

本專利技術(shù)涉及通信
，特別是涉及了ー種防止組播數(shù)據(jù)攻擊的方法和設備。
技術(shù)介紹
組播(Multicast)技術(shù)能夠解決單點發(fā)送、多點接收的問題,實現(xiàn)網(wǎng)絡中點到多點的高效數(shù)據(jù)傳送，節(jié)約大量的網(wǎng)絡帶寬、并降低網(wǎng)絡負載；其中，組播傳輸?shù)奶攸c包括(I)組播組是使用IP組播地址進行標識的接收者集合，主機通過加入組播組成為該組播組的成員，從而接收發(fā)往該組播組的組播數(shù)據(jù)；(2) —個組播源可同時向多個組播組發(fā)送信息，多個組播源也可同時向ー個組播組發(fā)送信息；(3)加入組播組的主機為該組播組的成員，組播組中成員是動態(tài)的，主機可在任何時刻加入或離開組播組；(4)支持三層組播功能的路由器或三層交換機為組播路由器(或三層組播設備)，組播路由器能提供組播路由功能，且在與用戶連接的末梢網(wǎng)段上提供組播組成員的管理功能。在組播實現(xiàn)中，與組播轉(zhuǎn)發(fā)相關(guān)的表項包括(I)每個組播路由協(xié)議都有ー個協(xié)議自身路由表，如PIM (Protocol Independent Multicast,協(xié)議無關(guān)組播)路由表；(2)各組播路由協(xié)議的組播路由信息經(jīng)過綜合形成一個總的組播路由表；(3)組播轉(zhuǎn)發(fā)表將直接用于控制組播數(shù)據(jù)包的轉(zhuǎn)發(fā)。需要注意的是，上述協(xié)議自身路由表和組播路由表在控制層面維護，而組播轉(zhuǎn)發(fā)表(即組播源組)需要下發(fā)到驅(qū)動，且組播轉(zhuǎn)發(fā)表中的(S，G)表項是由組播數(shù)據(jù)驅(qū)動建立的，且每個(S，G)表項的建立和保存都會消耗驅(qū)動資源。現(xiàn)有技術(shù)中，采用du_y (臨時)表的方式防止非法組播源的組播數(shù)據(jù)被轉(zhuǎn)發(fā)；具體的，當在使能了三層組播的端ロ收到組播數(shù)據(jù)后，建立dummy表；如果組播數(shù)據(jù)能滿足RPF (R...

【技術(shù)保護點】
一種防止組播數(shù)據(jù)攻擊的方法，其特征在于，該方法包括：三層組播設備在接收到組播數(shù)據(jù)后，利用所述組播數(shù)據(jù)的源地址、組地址以及入接口匹配報文過濾策略；其中，所述報文過濾策略用于過濾匹配到源地址、組地址以及入接口的組播數(shù)據(jù)；當所述組播數(shù)據(jù)與所述報文過濾策略匹配時，所述三層組播設備為所述組播數(shù)據(jù)設置非法標識，并在通過所述非法標識查詢到具有該非法標識的非法報文過濾表項之后，丟棄所述組播數(shù)據(jù)。

【技術(shù)特征摘要】
1.一種防止組播數(shù)據(jù)攻擊的方法，其特征在于，該方法包括三層組播設備在接收到組播數(shù)據(jù)后，利用所述組播數(shù)據(jù)的源地址、組地址以及入接口匹配報文過濾策略；其中，所述報文過濾策略用于過濾匹配到源地址、組地址以及入接口的組播數(shù)據(jù)；當所述組播數(shù)據(jù)與所述報文過濾策略匹配時，所述三層組播設備為所述組播數(shù)據(jù)設置非法標識，并在通過所述非法標識查詢到具有該非法標識的非法報文過濾表項之后，丟棄所述組播數(shù)據(jù)。2.如權(quán)利要求I所述的方法，其特征在于，所述三層組播設備利用所述組播數(shù)據(jù)的源地址、組地址以及入接口匹配報文過濾策略，之后還包括當所述組播數(shù)據(jù)與所述報文過濾策略不匹配時，則所述三層組播設備利用所述組播數(shù)據(jù)的源地址、組地址以及入接口建立臨時表項，并判斷所述組播數(shù)據(jù)是否為非法組播數(shù)據(jù)；如果是非法組播數(shù)據(jù)，則所述三層組播設備為所述組播數(shù)據(jù)設置非法標識，并判斷當前是否存在具有非法標識的非法報文過濾表項；如果存在具有非法標識的非法報文過濾表項，則所述三層組播設備丟棄所述組播數(shù)據(jù)，刪除所述臨時表項，并利用所述組播數(shù)據(jù)的源地址、組地址以及入接口設置報文過濾策略；如果不存在具有非法標識的非法報文過濾表項，則所述三層組播設備建立具有非法標識的非法報文過濾表項，丟棄所述組播數(shù)據(jù)，刪除所述臨時表項，并利用所述組播數(shù)據(jù)的源地址、組地址以及入接口設置報文過濾策略；如果不是非法組播數(shù)據(jù)，則所述三層組播設備將所述臨時表項轉(zhuǎn)化為合法的組播轉(zhuǎn)發(fā)表項。3.如權(quán)利要求2所述的方法，其特征在于，所述三層組播設備利用所述組播數(shù)據(jù)的源地址、組地址以及入接口設置報文過濾策略，之后還包括在判斷出所述組播數(shù)據(jù)不是非法組播數(shù)據(jù)之后，所述三層組播設備刪除利用所述組播數(shù)據(jù)的源地址、組地址以及入接口設置的報文過濾策略；或者，在利用所述組播數(shù)據(jù)的源地址、組地址以及入接口設置報文過濾策略之后，所述三層組播設備為所述報文過濾策略設置老化定時器，且在所述老化定時器超時后，所述三層組播設備刪除利用所述組播數(shù)據(jù)的源地址、組地址以及入接口設置的報文過濾策略。4.如權(quán)利要求2或3所述的方法，其特征在于，所述三層組播設備判斷所述組播數(shù)據(jù)是否為非法組播數(shù)據(jù)的過程，進一步包括當所述組播數(shù)據(jù)的源地址位于設定組播源地址范圍，所述組播數(shù)據(jù)的組地址位于設定組播組地址范圍，且在使能三層組播的接口收到非直連組播源的組播數(shù)據(jù)后獲知不存在組播數(shù)據(jù)的源地址的路由，組播數(shù)據(jù)的入接口與指向匯聚點的路由接口相同時，所述三層組播設備確定所述組播數(shù)據(jù)不是非法組播數(shù)據(jù)；否則，所述三層組播設備確定所述組播數(shù)據(jù)是非法組播數(shù)據(jù)。5.如權(quán)利要求2或3所述的方法，其特征在于，所述三層組播設備判斷所述組播數(shù)據(jù)是否為非法組播數(shù)據(jù)的過程，進一步包括所述三層組播設備判斷所述組播數(shù)據(jù)的源地址是否位于設定組播源地址范圍，如果是，所述三層組播設備確定所述組播數(shù)據(jù)不是非法組播數(shù)據(jù)；否則，所述三層組播設備確定所述組播數(shù)據(jù)是非法組播數(shù)據(jù)；或者，所述三層組播設備判斷所述組播數(shù)據(jù)的組地址是否位于設定組播組地址范圍，如果是，所述三層組播設備確定所述組播數(shù)據(jù)不是非法組播數(shù)據(jù)；否則，所述三層組播設備確定所述組播數(shù)據(jù)是非法組播數(shù)據(jù)；或者，所述三層組播設備在使能三層組播的接口收到非直連組播源的組播數(shù)據(jù)后，如果不存在所述組播數(shù)據(jù)的源地址的路由，且所述組播數(shù)據(jù)的入接口與指向匯聚點的路由接口相同，則所述三層組播設備確定所述組播數(shù)據(jù)不是非法組播數(shù)據(jù)；否則，所述三層組播設備確定所述組播數(shù)據(jù)是非法組播數(shù)據(jù)。6.如權(quán)利要求I或2所述的方法，其特征在于，所述具有非法...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：馬臻，王偉，
申請(專利權(quán))人：杭州華三通信技術(shù)有限公司，
類型：發(fā)明
國別省市：

全部詳細技術(shù)資料下載我是這個專利的主人

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條評論

還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。

發(fā)布您的意見

相關(guān)領(lǐng)域技術(shù)

vlc發(fā)送組播數(shù)據(jù)技術(shù)

組播技術(shù)

組播mac地址技術(shù)