[发明专利]安全的组播侦听者发现协议窥探方法和装置

说明书

技术领域

本发明涉及计算机数据通信领域，尤其涉及一种安全的组播侦听者发现协议窥探(Multicast Listener Discovery Snooping，MLD Snooping)的方法和装置。

背景技术

重复地址检测是节点确定即将使用的IP地址是否被另一节点使用的过程。在节点自动配置某个接口的IPv6单播地址之前，必须在本地链路范围内验证要使用的临时地址是唯一的，并且未被其他节点使用过。只要邻居请求(Neighbor Solicitation)报文发送到本地链路上，如果在规定时间内没有邻居公告(Neighbor Advertisement)报文进行应答，则认为这个临时单播地址在本地链路上是唯一的，可以分配给该接口；反之，这个临时地址是重复的，不能使用此地址。

组播侦听者发现协议(Multicast Listener Discovery，MLD)用于IPv6路由器在其直连网段上发现组播侦听者。组播侦听者是指那些希望接收组播数据的主机节点。

MLD Snooping是运行在二层设备上的IPv6组播约束机制，用于管理和控制IPv6组播组。运行MLD Snooping的二层设备通过对收到的MLD报文进行分析，为端口和MAC组播地址建立起映射关系，并根据这样的映射关系转发IPv6组播数据。MLD Snooping通过二层组播将信息只转发给有需要的接收者，这样可以带来以下好处：减少了二层网络中的广播报文，节约了网络带宽并增强了IPv6组播信息的安全性。

在MLD查询器选择中，如果网路上存在多个查询器，则选择IP较小者为网路上唯一的MLD查询器。如果有非法主机伪造一个源IP较小的MLD查询器，则根据MLD协议，此非法主机会被选为合法查询器。如果非法用户伪造的MLD查询器主机的MLD离开消息，则在主机离开后，还会有组播流量流向已经离开组播组的主机，这实际上会占用网络带宽，造成带宽的浪费。

如果有非法主机伪造源IP发送MLD成员报告报文，将增加网路上组播路由器的CPU负担，这实际上是一种MLD源地址欺骗以及拒绝服务攻击，因此，需要一种机制去过滤伪造源IP的MLD成员报告报文。

此外，即使是拥有合法IP的主机，也可能发动MLD攻击，该主机发送大量的MLD成员报告报文，增加网路上组播路由器的CPU负担，占用大量的软件和硬件资源，这也是一种拒绝服务攻击。

发明内容

本发明的目的在于提出一种安全的组播侦听者发现协议窥探方法和装置，可以实现更具安全性的MLD Snooping。

为达此目的，本发明采用以下技术方案：

一种安全的组播侦听者发现协议窥探方法，包括以下步骤：

A、接收MLD报文，判断MLD报文的类型；

B、当所述MLD报文为MLD普通组查询报文时，根据预设的信任端口判断是否对MLD普通组查询报文进行转发；当所述MLD报文为MLD成员关系报告报文时，根据预设的每个IP地址允许请求的最大组播组个数或通过监听重复地址检测获取的地址信息，判断是否对MLD成员关系报告报文进行转发。

步骤B中，接收到MLD普通组查询报文时，读取所述MLD普通组查询报文接收端口的端口号；判断接收端口是否为预设的信任端口，如果是信任端口，则将所述MLD普通组查询报文通过接收端口所在VLAN内除接收端口之外的其他所有端口转发出去；否则，丢弃所述MLD普通组查询报文。

步骤B中，当接收到MLD成员关系报告报文时，读取所述MLD成员关系报告报文的源IP地址，查询所述IP地址请求的组播组列表，判断所述IP地址请求加入组播组的个数是否超出预设的每个IP地址允许请求的最大组播组个数；如果超出，则丢弃所述MLD成员关系报告报文；否则，读取请求加入的组播组地址；

判断所述读取的组播组地址是否在所述IP地址的请求组播组地址列表中；如果在，则直接将MLD成员关系报告报文通过接收端口所在VLAN内预设的信任端口转发出去；否则，先将所述组播组地址加入到所述IP地址的请求组播组地址列表中，再将MLD成员关系报告报文通过接收端口所在VLAN内预设的信任端口转发出去。

所述通过监听重复地址检测获取的地址信息包括，邻居公告报文以太网头部的源MAC地址、ICMP消息部分的目标IP地址、接收所述邻居公告报文的VLANID和端口号；