專利名稱:虛擬路由冗余協(xié)議路由器防攻擊的方法和接入設(shè)備的制作方法
虛擬路由冗余協(xié)議路由器防攻擊的方法和接入設(shè)備
技術(shù) 領(lǐng)域本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域��,尤其涉及一種虛擬路由冗余協(xié)議路由器防攻擊的方法和接入設(shè)備�。
背景技術(shù):
虛擬路由冗余協(xié)議(VirtualRouter Redundancy Protocol��,簡(jiǎn)稱為VRRP)是一種選擇協(xié)議,它可以把一個(gè)虛擬路由器的責(zé)任動(dòng)態(tài)分配到局域網(wǎng)上的一個(gè)VRRP組中多臺(tái) VRRP路由器中的一臺(tái)����。VRRP組內(nèi)多個(gè)路由器都映射為一個(gè)虛擬的路由器,擁有相同的虛擬路由器IP地址�����。VRRP保證同時(shí)有且只有一臺(tái)VRRP路由器在代表該虛擬的路由器進(jìn)行數(shù)據(jù)包的發(fā)送�?�?刂铺摂M路由器IP地址的VRRP路由器稱為主用路由器����,它負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包到虛擬路由器IP地址。一旦主用路由器不可用�����,備用路由器可以在不影響內(nèi)外數(shù)據(jù)通信的前提下進(jìn)行功能切換����,且不需要修改內(nèi)部網(wǎng)絡(luò)的參數(shù)。這就使得局域網(wǎng)內(nèi)的路由器看上去只使用了一臺(tái)路由器����,并且即使在它當(dāng)前所使用的首跳路由器不能識(shí)別的情況下仍然能夠保持路由的連通性���。VRRP采用簡(jiǎn)單競(jìng)選的方式選擇主用路由器。首先����,比較同一個(gè)VRRP組中的各臺(tái)路由器,其對(duì)應(yīng)接口上設(shè)置的VRRP優(yōu)先級(jí)�,優(yōu)先級(jí)最高的為主用路由器,它的狀態(tài)變?yōu)?MASTER�。如果對(duì)應(yīng)接口上設(shè)置的VRRP優(yōu)先級(jí)彼此相同,則比較對(duì)應(yīng)接口上的主IP地址�,主 IP地址大的為主用路由器,它的狀態(tài)變?yōu)镸ASTER�。主用路由器選出后,同一個(gè)VRRP組內(nèi)的其他路由器作為備用路由器�����,狀態(tài)變?yōu)?BACKUP�,備用路由器可以通過主用路由器定時(shí)發(fā)出的VRRP通告報(bào)文檢測(cè)主用路由器的狀態(tài)。當(dāng)正常工作時(shí)�����,主用路由器會(huì)定時(shí)發(fā)出VRRP通告報(bào)文給同一個(gè)VRRP組中的其他路由器,以通報(bào)主用路由器的設(shè)備狀態(tài)�����,即主用路由器工作狀態(tài)正常��。如果同一個(gè)VRRP組內(nèi)的備用路由器在預(yù)設(shè)的時(shí)間內(nèi)沒有收到來(lái)自主用路由器的通告報(bào)文�,則將自己狀態(tài)轉(zhuǎn)為 MASTER。當(dāng)同一個(gè)VRRP組內(nèi)有多臺(tái)狀態(tài)為MASTER的路由器時(shí)����,采用簡(jiǎn)單競(jìng)選的方式選擇一臺(tái)作為主用路由器����,從而實(shí)現(xiàn)VRRP的備份功能。如圖1所示的現(xiàn)有技術(shù)提供的VRRP組的結(jié)構(gòu)示意圖����,VRRP路由器Rl和R2屬于同一個(gè)VRRP組,在VRRP組運(yùn)行正常時(shí)�,假設(shè)Rl為MASTER,而R2為BACKUP���。Rl會(huì)每隔一個(gè)通告周期發(fā)送VRRP通告報(bào)文給R2��,用以維持VRRP組的工作狀態(tài)���。在實(shí)際的網(wǎng)絡(luò)應(yīng)用過程中��,當(dāng)攻擊者進(jìn)行攻擊時(shí)����,會(huì)發(fā)送偽造的VRRP報(bào)文�����,或者同時(shí)會(huì)偽造MASTER的主機(jī)行為���, 受到攻擊的VRRP組可能會(huì)出現(xiàn)以下兩種情況第一種情況為多MASTER情況��,第二種情況為 MASTER震蕩�����。其中����,第一種情況一般出現(xiàn)在正常的VRRP路由器采用認(rèn)證選舉出一個(gè)正常的 MASTER時(shí)����,攻擊者通過發(fā)送非法的VRRP報(bào)文�,同時(shí)模擬MASTER的主機(jī)行為�����,比如對(duì)請(qǐng)求網(wǎng)關(guān)的地址解析協(xié)議(Address Resolution Protocol���,簡(jiǎn)稱為ARP)請(qǐng)求報(bào)文進(jìn)行應(yīng)答���,干擾正常MASTER的運(yùn)行。第二種情況一般出現(xiàn)在正常的VRRP路由器不用認(rèn)證選舉出一個(gè)正常的MASTER時(shí)�����,攻擊者通過發(fā)送非法VRRP報(bào)文���,導(dǎo)致正常的MASTER變?yōu)锽ACKUP,隨著攻擊者發(fā)送非法VRRP報(bào)文的頻率不同����,就可能出現(xiàn)MASTER持續(xù)切換,或者正常的MASTER持續(xù)被抑制成BACKUP的情況�����,MASTER震蕩會(huì)干擾網(wǎng)關(guān)與用戶間的數(shù)據(jù)轉(zhuǎn)發(fā),嚴(yán)重時(shí)會(huì)導(dǎo)致網(wǎng)絡(luò)轉(zhuǎn)發(fā)中斷?���,F(xiàn)有技術(shù)中針對(duì)攻擊者發(fā)起攻擊方式的不同,可以通過如下幾種方式防止攻擊者的攻擊如果攻擊者通過網(wǎng)絡(luò)傳遞VRRP攻擊報(bào)文�,對(duì)VRRP路由器進(jìn)行遠(yuǎn)程攻擊,其解決方式為強(qiáng)制要求VRRP報(bào)文中的TTL = 255���,TTL小于255的VRRP報(bào)文認(rèn)為是非法報(bào)文����,直接進(jìn)行丟棄���。這里應(yīng)用的主要原理是遠(yuǎn)程攻擊者發(fā)送的VRRP攻擊報(bào)文通過網(wǎng)絡(luò)傳輸�,其TTL 值必定小于255��。如果攻擊者通過攻擊VRRP配置使其出現(xiàn)錯(cuò)誤從而導(dǎo)致VRRP運(yùn)行異常�����,其解決方式為對(duì)VRRP報(bào)文進(jìn)行加密,但是加密并不能避免第二種情況多MASTER行為的發(fā)生���。在實(shí)現(xiàn)本發(fā)明過程中���,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題上述VRRP路由器防攻擊的方法并不能有效防止VRRP報(bào)文攻擊和模擬主用路由器行為的攻擊。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種虛擬路由冗余協(xié)議路由器防攻擊的方法和接入設(shè)備��,用以解決現(xiàn)有技術(shù)中的問題�����,實(shí)現(xiàn)了有效防止VRRP報(bào)文攻擊和模擬主用路由器行為的攻擊的目的�。本發(fā)明實(shí)施例提供一種虛擬路由冗余協(xié)議VRRP路由器防攻擊的方法,包括連接VRRP路由器的接入設(shè)備接收到報(bào)文����;如果所述接收到的報(bào)文為VRRP報(bào)文或者網(wǎng)關(guān)報(bào)文,根據(jù)本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息�����,判斷所述接收到的報(bào)文是否為合法報(bào)文���;如果否,抑制所述接收到的報(bào)文。本發(fā)明實(shí)施例還提供一種接入設(shè)備����,包括接收模塊,用于接收到報(bào)文��;判斷模塊��,用于如果所述接收模塊接收到的報(bào)文為虛擬路由冗余協(xié)議VRRP報(bào)文或者網(wǎng)關(guān)報(bào)文����,根據(jù)本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息,判斷所述接收到的報(bào)文是否為合法報(bào)文�;抑制模塊,用于如果所述判斷模塊的判斷結(jié)果為否���,抑制所述接收到的報(bào)文����。本發(fā)明實(shí)施例提供的VRRP路由器防攻擊的方法和接入設(shè)備�����,通過在接入設(shè)備上保存合法VRRP路由器的節(jié)點(diǎn)信息���,并根據(jù)合法VRRP路由器的節(jié)點(diǎn)信息進(jìn)行非法VRRP報(bào)文和非法的網(wǎng)關(guān)報(bào)文的抑制��,有效抑制了攻擊者偽造出來(lái)的非法報(bào)文�,保護(hù)了 VRRP路由器的安全,并且避免了網(wǎng)絡(luò)受到非法網(wǎng)關(guān)報(bào)文的攻擊�,維護(hù)了網(wǎng)絡(luò)的穩(wěn)定。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹���,顯而易見地���,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講���,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)這些附圖獲得其他的附圖��。
圖1為現(xiàn)有技術(shù)提供的VRRP組的結(jié)構(gòu)示意圖���;圖2為本發(fā)明一個(gè)實(shí)施例提供的VRRP路由器防攻擊的方法流程圖�;圖3為本發(fā)明另一個(gè)實(shí)施例提供的VRRP路由器防攻擊的方法流程圖�����;圖4為本發(fā)明實(shí)施例提供的一種注冊(cè)響應(yīng)報(bào)文格式��;圖5為本發(fā)明實(shí)施例提供的一種VRRP網(wǎng)絡(luò)結(jié)構(gòu)示意圖����;圖6為本發(fā)明實(shí)施例提供的接入設(shè)備的結(jié)構(gòu)示意圖。
具體實(shí)施方式
為使本發(fā)明實(shí)施例的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例�,而不是全部的實(shí)施例?����;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍��。圖2為本發(fā)明一個(gè)實(shí)施例提供的VRRP路由器防攻擊的方法流程圖�����,如圖2所示�����, 該方法包括步驟101 與合法VRRP路由器相連接的接入設(shè)備接收到報(bào)文����;其中�����,接入設(shè)備接收到的報(bào)文���,既可能是合法VRRP路由器發(fā)送的報(bào)文�,又可能是非法攻擊者發(fā)送的報(bào)文���,在此步驟101中�,接入設(shè)備暫不能分辨出接收到的報(bào)文的合法性。步驟102 如果上述報(bào)文為VRRP報(bào)文或者網(wǎng)關(guān)報(bào)文���,則根據(jù)接入設(shè)備本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息,判斷該報(bào)文是否為合法報(bào)文�;其中,接入設(shè)備在本機(jī)保存有合法VRRP路由器的節(jié)點(diǎn)信息�����,通過判斷接收到的報(bào)文中攜帶的信息是否與本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息相匹配�����,如果匹配����,則說(shuō)明該報(bào)文是合法報(bào)文,如果不匹配��,則說(shuō)明該報(bào)文是非法報(bào)文��。網(wǎng)關(guān)報(bào)文是對(duì)于具有相同特性的報(bào)文的統(tǒng)稱���,用于代表與網(wǎng)關(guān)行為有關(guān)的報(bào)文�����, 例如ARP請(qǐng)求與應(yīng)答等需要網(wǎng)關(guān)執(zhí)行相應(yīng)操作的報(bào)文�。步驟103 如果否,抑制該報(bào)文�����。對(duì)于非法的VRRP報(bào)文或者非法的網(wǎng)關(guān)報(bào)文�,接入設(shè)備會(huì)對(duì)其進(jìn)行抑制,阻止其攻擊VRRP路由器��,對(duì)VRRP路由器造成不良影響�。本發(fā)明實(shí)施例提供的VRRP路由器防攻擊的方法,通過在接入設(shè)備上保存合法 VRRP路由器的節(jié)點(diǎn)信息���,并根據(jù)合法VRRP路由器的節(jié)點(diǎn)信息進(jìn)行非法VRRP報(bào)文和非法網(wǎng)關(guān)報(bào)文的抑制�����,有效抑制了攻擊者偽造出來(lái)的非法VRRP報(bào)文和非法網(wǎng)關(guān)報(bào)文�����,保護(hù)了 VRRP 路由器的安全�,并且避免了網(wǎng)絡(luò)受到非法網(wǎng)關(guān)報(bào)文的攻擊,維護(hù)了網(wǎng)絡(luò)的穩(wěn)定��。圖3為本發(fā)明另一個(gè)實(shí)施例提供的VRRP路由器防攻擊的方法流程圖���,如圖3所示�����,該方法包括步驟201 接入設(shè)備接收到報(bào)文,如果該報(bào)文為VRRP報(bào)文或者網(wǎng)關(guān)報(bào)文�����,根據(jù)本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息判斷該報(bào)文是否為合法報(bào)文�;如果是,執(zhí)行步驟202; 如果否���,直接丟棄該報(bào)文�。 其中����,合法VRRP路由器的節(jié)點(diǎn)信息可以但不限于包括VRRP路由器本機(jī)上參加的 VRRP組的標(biāo)識(shí)��、每個(gè)VRRP組對(duì)應(yīng)的虛擬路由器IP以及該虛擬路由器的實(shí)際路由器信息���。虛擬路由器的實(shí)際路由器信息可以但不限于包括VRRP路由器的標(biāo)識(shí)、在特定VRRP組的VRRP 路由器的優(yōu)先級(jí)以及接入設(shè)備上用以標(biāo)識(shí)該VRRP路由器所在位置的物理端口以及接入設(shè)備上對(duì)同一個(gè)VRRP組內(nèi)根據(jù)選舉規(guī)則選舉出來(lái)的主用路由器的設(shè)備標(biāo)識(shí)(MASTERIP)�。如表1所示的節(jié)點(diǎn)信息表 權(quán)利要求
1.一種虛擬路由冗余協(xié)議VRRP路由器防攻擊的方法,其特征在于��,包括連接VRRP路由器的接入設(shè)備接收到報(bào)文�;如果所述接收到的報(bào)文為VRRP報(bào)文或者網(wǎng)關(guān)報(bào)文,根據(jù)本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息�����,判斷所述接收到的報(bào)文是否為合法報(bào)文����;如果否,抑制所述接收到的報(bào)文�����。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于���,所述合法VRRP路由器的節(jié)點(diǎn)信息包括 合法VRRP路由器的標(biāo)識(shí)�����、所述合法VRRP路由器參加的VRRP組的標(biāo)識(shí)����、所述合法VRRP路由器在所述參加的VRRP組中的優(yōu)先級(jí)�、所述參加的VRRP組對(duì)應(yīng)的虛擬路由器IP和主用路由器標(biāo)識(shí)、以及接入設(shè)備上用以標(biāo)識(shí)所述合法VRRP路由器所在位置的物理端口,則所述根據(jù)本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息,判斷所述接收到的報(bào)文是否為合法報(bào)文包括當(dāng)所述接收到的報(bào)文為VRRP報(bào)文時(shí)����,從所述VRRP報(bào)文中提取發(fā)送所述VRRP報(bào)文的 VRRP路由器的標(biāo)識(shí)、參加的VRRP組以及所述參加的VRRP組對(duì)應(yīng)的虛擬路由器IP����,并獲得所述接入設(shè)備上接收到所述VRRP報(bào)文的物理端口,將上述信息與所述本機(jī)保存的合法 VRRP路由器的節(jié)點(diǎn)信息相比較����,如果全部相同,則所述VRRP報(bào)文為合法報(bào)文;當(dāng)所述接收到的報(bào)文為網(wǎng)關(guān)報(bào)文時(shí)����,從所述網(wǎng)關(guān)報(bào)文中提取發(fā)送所述網(wǎng)關(guān)報(bào)文的VRRP 路由器參加的VRRP組對(duì)應(yīng)的虛擬路由器IP以及主用路由器標(biāo)識(shí),并獲得所述接入設(shè)備上接收到所述網(wǎng)關(guān)報(bào)文的物理端口����,將上述信息與所述本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息相比較,如果全部相同��,則所述網(wǎng)關(guān)報(bào)文為合法報(bào)文���。
3.根據(jù)權(quán)利要求1或2所述的方法��,其特征在于�,如果所述接收到的報(bào)文為合法報(bào)文��, 所述方法還包括判斷所述接收到的報(bào)文中是否攜帶節(jié)點(diǎn)信息���;如果是��,根據(jù)所述接收到的報(bào)文中攜帶的節(jié)點(diǎn)信息更新所述本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息�。
4.根據(jù)權(quán)利要求3所述的方法���,其特征在于�����,所述攜帶有節(jié)點(diǎn)信息的報(bào)文為注冊(cè)響應(yīng)報(bào)文或VRRP通告報(bào)文����,則在所述接入設(shè)備接收到報(bào)文之前,所述方法還包括所述接入設(shè)備發(fā)送注冊(cè)查詢報(bào)文給VRRP路由器�����,以使所述VRRP路由器在接收到所述注冊(cè)查詢報(bào)文后發(fā)送攜帶有節(jié)點(diǎn)信息的報(bào)文給所述接入設(shè)備�����。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于�,所述接入設(shè)備發(fā)送注冊(cè)查詢報(bào)文給VRRP 路由器����,包括接收到攜帶有節(jié)點(diǎn)信息的報(bào)文開始計(jì)時(shí),如果計(jì)時(shí)超過第一預(yù)設(shè)值,則發(fā)送注冊(cè)查詢報(bào)文給VRRP路由器����。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于��,所述方法還包括如果計(jì)時(shí)超過第二預(yù)設(shè)值�,仍未收到所述VRRP路由器發(fā)送的攜帶有節(jié)點(diǎn)信息的報(bào)文, 則停止發(fā)送所述注冊(cè)查詢報(bào)文���。
7.根據(jù)權(quán)利要求1或2所述的方法�,其特征在于���,當(dāng)所述接收到的報(bào)文為網(wǎng)關(guān)報(bào)文時(shí)��, 所述方法還包括根據(jù)所述本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息獲得同一 VRRP組內(nèi)的主用路由器端Π �����;如果所述網(wǎng)關(guān)報(bào)文的接收端口與所述合法VRRP路由器的節(jié)點(diǎn)信息內(nèi)保存的主用路由器端口不同��,抑制所述網(wǎng)關(guān)報(bào)文���。
8.一種接入設(shè)備���,其特征在于,包括接收模塊����,用于接收到報(bào)文;判斷模塊���,用于如果所述接收模塊接收到的報(bào)文為虛擬路由冗余協(xié)議VRRP報(bào)文或者網(wǎng)關(guān)報(bào)文���,根據(jù)本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息,判斷所述接收到的報(bào)文是否為合法報(bào)文�;抑制模塊,用于如果所述判斷模塊的判斷結(jié)果為否����,抑制所述接收到的報(bào)文。
9.根據(jù)權(quán)利要求8所述的接入設(shè)備����,其特征在于,所述合法VRRP路由器的節(jié)點(diǎn)信息包括合法VRRP路由器的標(biāo)識(shí)����、所述合法VRRP路由器參加的VRRP組的標(biāo)識(shí)、所述合法VRRP 路由器在所述參加的VRRP組中的優(yōu)先級(jí)���、所述參加的VRRP組對(duì)應(yīng)的虛擬路由器IP和主用路由器標(biāo)識(shí)����、以及接入設(shè)備上用以標(biāo)識(shí)所述合法VRRP路由器所在位置的物理端口����,則所述判斷模塊包括第一判斷單元,用于當(dāng)所述接收到的報(bào)文為VRRP報(bào)文時(shí)�����,從所述VRRP報(bào)文中提取發(fā)送所述VRRP報(bào)文的VRRP路由器的標(biāo)識(shí)�����、參加的VRRP組以及所述參加的VRRP組對(duì)應(yīng)的虛擬路由器IP�����,并獲得所述接入設(shè)備上接收到所述VRRP報(bào)文的物理端口���,將上述信息與所述本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息相比較����,如果全部相同,則所述VRRP報(bào)文為合法報(bào)文����;和/或,第二判斷單元�,用于當(dāng)所述接收到的報(bào)文為網(wǎng)關(guān)報(bào)文時(shí),從所述網(wǎng)關(guān)報(bào)文中提取發(fā)送所述網(wǎng)關(guān)報(bào)文的VRRP路由器參加的VRRP組對(duì)應(yīng)的虛擬路由器IP以及主用路由器標(biāo)識(shí)����,并獲得所述接入設(shè)備上接收到所述網(wǎng)關(guān)報(bào)文的物理端口,將上述信息與所述本機(jī)保存的合法 VRRP路由器的節(jié)點(diǎn)信息相比較�����,如果全部相同��,則所述網(wǎng)關(guān)報(bào)文為合法報(bào)文�����。
10.根據(jù)權(quán)利要求8或9所述的接入設(shè)備�����,其特征在于�����,如果所述判斷模塊的判斷結(jié)果為是���,則所述判斷模塊還包括第三判斷單元���,用于判斷所述接收到的報(bào)文中是否攜帶節(jié)點(diǎn) fn息;所述接入設(shè)備還包括更新模塊�,用于如果所述第三判斷單元的判斷結(jié)果為是,根據(jù)所述接收到的報(bào)文中攜帶的節(jié)點(diǎn)信息更新所述本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息��;
11.根據(jù)權(quán)利要求10所述的接入設(shè)備�����,其特征在于�����,所述接收模塊接收到的攜帶有節(jié)點(diǎn)信息的報(bào)文為注冊(cè)響應(yīng)報(bào)文或VRRP通告報(bào)文�,則所述接入設(shè)備還包括發(fā)送模塊,所述發(fā)送模塊用于發(fā)送注冊(cè)查詢報(bào)文給VRRP路由器����,以使所述VRRP路由器在接收到所述注冊(cè)查詢報(bào)文后發(fā)送攜帶有節(jié)點(diǎn)信息的報(bào)文給所述接入設(shè)備����。
12.根據(jù)權(quán)利要求11所述的接入設(shè)備����,其特征在于,還包括計(jì)時(shí)模塊���,用于所述接收模塊接收到攜帶有節(jié)點(diǎn)信息的報(bào)文開始計(jì)時(shí)���;相應(yīng)的,所述發(fā)送模塊用于當(dāng)所述計(jì)時(shí)模塊的計(jì)時(shí)超過第一預(yù)設(shè)值�,發(fā)送注冊(cè)查詢報(bào)文給VRRP路由器。
13.根據(jù)權(quán)利要求12所述的接入設(shè)備����,其特征在于,所述發(fā)送模塊還用于如果所述計(jì)時(shí)模塊計(jì)時(shí)超過第二預(yù)設(shè)值���,所述接收模塊仍未收到所述VRRP路由器發(fā)送的攜帶有節(jié)點(diǎn)信息的報(bào)文���,則停止發(fā)送所述注冊(cè)查詢報(bào)文��。
14.根據(jù)權(quán)利要求8或9所述的接入設(shè)備���,其特征在于,還包括獲得模塊����,用于根據(jù)所述本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息獲得同一 VRRP組內(nèi)的主用路由器端口��;相應(yīng)的�,所述抑制模塊用于當(dāng)所述接收模塊接收到的報(bào)文為網(wǎng)關(guān)報(bào)文時(shí),如果所述網(wǎng)關(guān)報(bào)文的接收端口與所述合法VRRP路由器的節(jié)點(diǎn)信息內(nèi)保存的主用路由器端口不同���,抑制所述網(wǎng)關(guān)報(bào)文���。
全文摘要
本發(fā)明提供一種虛擬路由冗余協(xié)議路由器防攻擊的方法和接入設(shè)備。該方法包括連接VRRP路由器的接入設(shè)備接收到報(bào)文��;如果所述接收到的報(bào)文為VRRP報(bào)文或者網(wǎng)關(guān)報(bào)文���,根據(jù)本機(jī)保存的合法VRRP路由器的節(jié)點(diǎn)信息�,判斷所述接收到的報(bào)文是否為合法報(bào)文;如果否��,抑制所述接收到的報(bào)文�����。該接入設(shè)備包括接收模塊��、判斷模塊和抑制模塊�����。本發(fā)明提供的方案有效抑制了攻擊者偽造出來(lái)的非法報(bào)文����,保護(hù)了VRRP路由器的安全,并且避免了網(wǎng)絡(luò)受到非法網(wǎng)關(guān)報(bào)文的攻擊�����,維護(hù)了網(wǎng)絡(luò)的穩(wěn)定�。
文檔編號(hào)H04L12/56GK102158394SQ201110033440
公開日2011年8月17日 申請(qǐng)日期2011年1月30日 優(yōu)先權(quán)日2011年1月30日
發(fā)明者楊敬民 申請(qǐng)人:福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司