本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,尤其是一種防止非法二級路由器接入的方法�。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)設(shè)備的普及,不法之徒能夠使用有線/無線路由器或者網(wǎng)卡等設(shè)備輕易地架設(shè)二級路由器�����,這些二級路由器連接在某一網(wǎng)絡(luò)路由器(下文稱為一級路由器以便與二級路由器區(qū)分)下���,這些二級路由器下可以繼續(xù)連接其他終端設(shè)備�����,這些終端設(shè)備通過二級路由器接入網(wǎng)絡(luò)��,這樣容易使正常使用的客戶端網(wǎng)絡(luò)質(zhì)量下降�����,還會導(dǎo)致非認證終端上網(wǎng)�����。
目前市場能夠檢測非法二級路由器接入的設(shè)備較少�,僅有的幾款設(shè)備中���,有的僅支持有線產(chǎn)品�����,有的依賴客戶端軟件配合檢測,并且這些產(chǎn)品都停留在檢測階段��,無法對用戶提供更多的保護措施�。
因此有必要提供一種不僅能夠檢測非法二級路由器接入,而且能夠?qū)Ψ欠ǘ壜酚善鬟M行屏蔽��,使非法二級路由器無法工作的防護方法�。
技術(shù)實現(xiàn)要素:
本發(fā)明所要解決的技術(shù)問題是:針對上述存在的問題,提供一種防非法二級路由器接入的方法�,包括:
步驟1:在一級路由器中預(yù)存合法二級路由器MAC地址列表;
步驟2:一級路由器監(jiān)聽其各接口接收到的數(shù)據(jù)幀�����;
步驟3:若數(shù)據(jù)幀中的源MAC地址及目的MAC地址均在所述合法二級路由器MAC地址列表中,則放行該數(shù)據(jù)幀�����;若數(shù)據(jù)幀中的目的MAC地址不在所述合法二級路由器MAC地址列表中�,則執(zhí)行步驟4;若數(shù)據(jù)幀中的源MAC地址不在所述合法二級路由器MAC地址列表中��,則執(zhí)行步驟5:
步驟4:將該數(shù)據(jù)幀的TTL字段改為1�����;
步驟5:檢測數(shù)據(jù)幀中的identification字段的變化趨勢是否合法��,以及檢測數(shù)據(jù)幀中的操作系統(tǒng)字段是否合法�����;若均合法則放行該數(shù)據(jù)幀��,否則將該數(shù)據(jù)幀的源MAC地址加入非法二級路由器MAC地址列表中并丟棄該數(shù)據(jù)幀�����。
步驟3還包括:判斷數(shù)據(jù)幀中的源MAC地址或目的MAC地址之一是否在所述非法二級路由器MAC地址列表中�,若是則丟棄該數(shù)據(jù)幀�����。
進一步,步驟5中�����,若檢測到數(shù)據(jù)幀中的identification字段比之前接收到的與該數(shù)據(jù)幀源MAC地址相同的數(shù)據(jù)幀中的identification字段小則認為該數(shù)據(jù)幀中的identification字段的變化趨勢不合法�����。
進一步��,步驟5中�����,若檢測到數(shù)據(jù)幀中的操作系統(tǒng)字段比之前接收到的與該數(shù)據(jù)幀源MAC地址相同的數(shù)據(jù)幀中的操作系統(tǒng)字段不同則認為該數(shù)據(jù)幀中的操作系統(tǒng)字段不合法����。
本發(fā)明還提供了一種與前述方法步驟一一對應(yīng)的防非法二級路由器接入的系統(tǒng),該系統(tǒng)位于一級路由器上��,所述一級路由器上存儲有合法二級路由器MAC地址列表����,該系統(tǒng)包括:
監(jiān)聽模塊���,用于監(jiān)聽一級路由器各接口接收到的數(shù)據(jù)幀;
合法二級路由器篩選模塊����,用于:當數(shù)據(jù)幀中的源MAC地址及目的MAC地址均在所述合法二級路由器MAC地址列表中時,放行該數(shù)據(jù)幀����;當數(shù)據(jù)幀中的目的MAC地址不在所述合法二級路由器MAC地址列表中時,則調(diào)用TTL字段修改模塊�����;當數(shù)據(jù)幀中的源MAC地址不在所述合法二級路由器MAC地址列表中時���,則調(diào)用字段合法性檢查模塊;
TTL字段修改模塊��,用于將該數(shù)據(jù)幀的TTL字段改為1�����;
字段合法性檢查模塊,用于:檢測數(shù)據(jù)幀中的identification字段的變化趨勢是否合法��,以及檢測數(shù)據(jù)幀中的操作系統(tǒng)字段是否合法���;若均合法則放行該數(shù)據(jù)幀�����,否則將該數(shù)據(jù)幀的源MAC地址加入非法二級路由器MAC地址列表中并丟棄該數(shù)據(jù)幀�����。
進一步��,合法二級路由器篩選模塊還用于:判斷數(shù)據(jù)幀中的源MAC地址或目的MAC地址之一是否在所述非法二級路由器MAC地址列表中����,若是則丟棄該數(shù)據(jù)幀�����。
進一步�����,字段合法性檢查模塊還用于,若檢測到數(shù)據(jù)幀中的identification字段比之前接收到的與該數(shù)據(jù)幀源MAC地址相同的數(shù)據(jù)幀中的identification字段小則認為該數(shù)據(jù)幀中的identification字段的變化趨勢不合法�。
進一步,字段合法性檢查模塊還用于����,若檢測到數(shù)據(jù)幀中的操作系統(tǒng)字段比之前接收到的與該數(shù)據(jù)幀源MAC地址相同的數(shù)據(jù)幀中的操作系統(tǒng)字段不同則認為該數(shù)據(jù)幀中的操作系統(tǒng)字段不合法。
綜上所述��,由于采用了上述技術(shù)方案��,本發(fā)明的有益效果是:
本發(fā)明能夠有效檢測出某路由器下連接的非法二級路由器���,并采取有效的防護措施使得與該二級路由器相關(guān)的數(shù)據(jù)幀無法在網(wǎng)絡(luò)中傳輸�����,從而達到屏蔽非法二級路由器的目的��。
附圖說明
本發(fā)明將通過例子并參照附圖的方式說明,其中:
圖1為本發(fā)明一個具體實施例的流程圖����。
具體實施方式
本說明書中公開的所有特征,或公開的所有方法或過程中的步驟����,除了互相排斥的特征和/或步驟以外��,均可以以任何方式組合����。
本說明書中公開的任一特征��,除非特別敘述����,均可被其他等效或具有類似目的的替代特征加以替換。即���,除非特別敘述�����,每個特征只是一系列等效或類似特征中的一個例子而已�。
本發(fā)明提供的一種防非法二級路由器接入的方法�,采用MAC地址過濾的方式,通過分析接入一級路由器的數(shù)據(jù)幀�,又稱為Data幀,來判斷是否為非法二級路由器�����,如果匹配到是非法二級路由器,采取修改TTL值或丟棄幀的方式來對非法二級路由器進行屏蔽���。
需要說明的是本發(fā)明中所稱的一級路由器與二級路由器是一個相對概念�����,將連接在一個路由器下面的路由器����、或其他起著路由作用的設(shè)備稱為二級路由器�,二級路由器上一級的路由器成為一級路由器。
參見圖1�����,具體步驟包括:
步驟1:在一級路由器中預(yù)存合法二級路由器MAC地址列表���;此表由管理員預(yù)存入��,管理員通過梳理該一級路由器下面接入的二級路由器得到。
步驟2:一級路由器監(jiān)聽其各接口接收到的數(shù)據(jù)幀���;接口可以是無線接口����、有線接口,接收到的數(shù)據(jù)幀包括但不限于是與該路由器連接的合法二級路由器�、非法二級路由器、其他終端設(shè)備等傳來的數(shù)據(jù)幀�。
步驟3:數(shù)據(jù)幀中必然包含有源MAC地址及目的MAC地址,若數(shù)據(jù)幀中的源MAC地址及目的MAC地址均在所述合法二級路由器MAC地址列表中��,則放行該數(shù)據(jù)幀��;若數(shù)據(jù)幀中的目的MAC地址不在所述合法二級路由器MAC地址列表中�����,則執(zhí)行步驟4����;若數(shù)據(jù)幀中的源MAC地址不在所述合法二級路由器MAC地址列表中,則執(zhí)行步驟5:
當數(shù)據(jù)幀的目的MAC地址不在合法二級路由器MAC地址列表中時���,則該目的MAC地址可能是指向一個非二級路由器的終端或者指向一個非法二級路由器���,步驟4將該數(shù)據(jù)幀的TTL字段改為1���。這樣做的好處在于,當MAC地址是指向一個非二級路由器的終端時��,這樣的修改不會影響數(shù)據(jù)幀的正常傳輸����,當MAC地址是指向一個非法二級路由器的終端時,由于路由器在轉(zhuǎn)發(fā)數(shù)據(jù)幀時會先將TTL字段自動減1���,再判斷其值是否大于0���,若是則不再轉(zhuǎn)發(fā)該數(shù)據(jù)幀,因此當該數(shù)據(jù)幀傳輸?shù)狡淠康腗AC地址指向的非法二級路由器后��,該非法二級路由器將不再轉(zhuǎn)發(fā)該數(shù)據(jù)幀����,從而起到屏蔽作用。
步驟5:檢測數(shù)據(jù)幀中的identification字段的變化趨勢是否合法��,以及檢測數(shù)據(jù)幀中的操作系統(tǒng)字段是否合法�����;若均合法則放行該數(shù)據(jù)幀�����,否則將該數(shù)據(jù)幀的源MAC地址加入非法二級路由器MAC地址列表中并丟棄該數(shù)據(jù)幀�。
在其他實施例中,步驟3還包括:判斷數(shù)據(jù)幀中的源MAC地址或目的MAC地址之一是否在所述非法二級路由器MAC地址列表中��,若是則丟棄該數(shù)據(jù)幀����。非法二級路由器MAC地址列表可以由管理人員預(yù)存,也可以在防護過程中自動建立����,如步驟5那樣,在檢測到一個非法二級路由器時就將其MAC地址加入列表中��。
在又一實施例中����,步驟5是這樣檢測數(shù)據(jù)幀字段合法性的,若檢測到數(shù)據(jù)幀中的identification字段比之前接收到的與該數(shù)據(jù)幀源MAC地址相同的數(shù)據(jù)幀中的identification字段小則認為該數(shù)據(jù)幀中的identification字段的變化趨勢不合法�。按照TCP/IP協(xié)議,設(shè)備每發(fā)一次數(shù)據(jù)幀���,數(shù)據(jù)幀的IP報文中的identification字段的數(shù)值會自動增大�,當檢測到來自同一源MAC地址的數(shù)據(jù)幀的identification字段變小���,則可認為該數(shù)據(jù)幀是非法路由器發(fā)來的�����。
若檢測到數(shù)據(jù)幀中的操作系統(tǒng)字段與之前接收到的與該數(shù)據(jù)幀源MAC地址相同的數(shù)據(jù)幀中的操作系統(tǒng)字段不同則認為該數(shù)據(jù)幀中的操作系統(tǒng)字段不合法���。一般說來,同一源MAC地址發(fā)來的數(shù)據(jù)幀���,其IP報文操作系統(tǒng)字段中的內(nèi)容是一樣的,若出現(xiàn)更改��,則認為該數(shù)據(jù)幀是非法路由器發(fā)來的。
本發(fā)明并不局限于前述的具體實施方式�。本發(fā)明擴展到任何在本說明書中披露的新特征或任何新的組合,以及披露的任一新的方法或過程的步驟或任何新的組合�。