技術領域

本發明涉及以太網組播保護技術領域，具體涉及了一種有效的防止以太網組播數據流對組播網絡進行攻擊的方法。

背景技術

IP組播路由協議利用逆向路徑轉發(Reverse?Path?Forwarding，RPF)或輸入接口檢查的某些檢查形式，作為決定是否轉發或者丟棄輸入的組播信息包的主要機制。當組播信息包到達路由器時，路由器對信息包的RPF進行檢查，如果RPF檢查成功了，這個報文就被轉發了，否則它就被丟棄了。

當信息通過有源樹的時候，RPF檢查機制進行如下的工作：

1、路由器檢查到達的組播信息包的源地址，以確定此信息包經過的是什么接口，這些接口是否在從源到此的路徑上；

2、如果信息包在可返回源站點的接口上到達，則RPF檢查成功，且信息包被轉發；

3、如果RPF檢查失敗，放棄信息包。

而對于三層交換機來說，RPF檢查不僅僅是象上面描述的路由器那樣處理RPF檢查，路由器做RPF檢查是基于三層接口的，而三層交換機做RPF檢查是基于三層接口+二層物理接口的。

如圖1所示，三層匯聚交換機使用了5個端口，分別是A，B，C，D，E；5個端口屬于各自的vlan(Virtual?Local?Area?Network)：

Vlan?10?PortA?PortB?PortC

Vlan20??PortD

Vlan30??PoerE

此時發一條普通的組播數據流，源IP為：10.10.21.2，目的IP地址為：239.1.1.80的UDP組播報文，在端口B、C、D、E發對應組IP地址為：239.1.1.80的IGMPv2?Member?Report報文，就可以形成下面組播表。

Switch#show?ip?mroute?group?239.1.1.80

IP?Multicast?Routing?Table

Flags：D-Dense，S-Sparse，C-Connected，L-Local，P-Pruned，

????????R-RP-bit?set，F-Register?flag，T-SPT-bit?set，J-Join?SPT，

????????M-MSDP?created?entry，N-No?Used，U-Up?Send，

????????A-Advertised?via?MSDP，X-Proxy?Join?Timer?Running，

????????*-Assert?flag

Statistic：Receive?packet?count/Send?packet?count

Timers：Uptime/Expires

Interface?state：Interface，Next-Hop?or?VCD，State/Mode

(*，239.1.1.80)，00:11:47/00:03:07，RP?4.4.4.4，0/0，flags：SC

Incoming?interface：Null，RPF?nbr?0.0.0.0

Outgoing?interface?list：

vlan10，Forward/Sparse，00:11:47/00:02:43

vlan20，Forward/Sparse，00:11:47/00:02:43

vlan30，Forward/Sparse，00:11:18/00:01:59

(10.10.21.2，239.1.1.80)，00:08:38/00:03:07，820/820，flags：CTA

Incoming?interface：vlan10，RPF?nbr?0.0.0.0

Outgoing?interface?list：

Vlan20，Forward/Sparse，00:08:38/00:03:02

vlan30，Forward/Sparse，00:08:38/00:01:59

Switch#show?ip?mforwarding?module?1?group-address?239.1.1.80

IP?Forwarding?Multicast?Routing?Table

Flags：N-No?Used，U-Up?Send，L-Limit?upSend，A-Assert?send