技術領域

本發明涉及計算機數據通信領域，尤其涉及一種安全的組播偵聽者發現協議窺探(Multicast?Listener?Discovery?Snooping，MLD?Snooping)的方法和裝置。

背景技術

重復地址檢測是節點確定即將使用的IP地址是否被另一節點使用的過程。在節點自動配置某個接口的IPv6單播地址之前，必須在本地鏈路范圍內驗證要使用的臨時地址是唯一的，并且未被其他節點使用過。只要鄰居請求(Neighbor?Solicitation)報文發送到本地鏈路上，如果在規定時間內沒有鄰居公告(Neighbor?Advertisement)報文進行應答，則認為這個臨時單播地址在本地鏈路上是唯一的，可以分配給該接口；反之，這個臨時地址是重復的，不能使用此地址。

組播偵聽者發現協議(Multicast?Listener?Discovery，MLD)用于IPv6路由器在其直連網段上發現組播偵聽者。組播偵聽者是指那些希望接收組播數據的主機節點。

MLD?Snooping是運行在二層設備上的IPv6組播約束機制，用于管理和控制IPv6組播組。運行MLD?Snooping的二層設備通過對收到的MLD報文進行分析，為端口和MAC組播地址建立起映射關系，并根據這樣的映射關系轉發IPv6組播數據。MLD?Snooping通過二層組播將信息只轉發給有需要的接收者，這樣可以帶來以下好處：減少了二層網絡中的廣播報文，節約了網絡帶寬并增強了IPv6組播信息的安全性。

在MLD查詢器選擇中，如果網路上存在多個查詢器，則選擇IP較小者為網路上唯一的MLD查詢器。如果有非法主機偽造一個源IP較小的MLD查詢器，則根據MLD協議，此非法主機會被選為合法查詢器。如果非法用戶偽造的MLD查詢器主機的MLD離開消息，則在主機離開后，還會有組播流量流向已經離開組播組的主機，這實際上會占用網絡帶寬，造成帶寬的浪費。

如果有非法主機偽造源IP發送MLD成員報告報文，將增加網路上組播路由器的CPU負擔，這實際上是一種MLD源地址欺騙以及拒絕服務攻擊，因此，需要一種機制去過濾偽造源IP的MLD成員報告報文。

此外，即使是擁有合法IP的主機，也可能發動MLD攻擊，該主機發送大量的MLD成員報告報文，增加網路上組播路由器的CPU負擔，占用大量的軟件和硬件資源，這也是一種拒絕服務攻擊。

發明內容

本發明的目的在于提出一種安全的組播偵聽者發現協議窺探方法和裝置，可以實現更具安全性的MLD?Snooping。

為達此目的，本發明采用以下技術方案：

一種安全的組播偵聽者發現協議窺探方法，包括以下步驟：

A、接收MLD報文，判斷MLD報文的類型；

B、當所述MLD報文為MLD普通組查詢報文時，根據預設的信任端口判斷是否對MLD普通組查詢報文進行轉發；當所述MLD報文為MLD成員關系報告報文時，根據預設的每個IP地址允許請求的最大組播組個數或通過監聽重復地址檢測獲取的地址信息，判斷是否對MLD成員關系報告報文進行轉發。

步驟B中，接收到MLD普通組查詢報文時，讀取所述MLD普通組查詢報文接收端口的端口號；判斷接收端口是否為預設的信任端口，如果是信任端口，則將所述MLD普通組查詢報文通過接收端口所在VLAN內除接收端口之外的其他所有端口轉發出去；否則，丟棄所述MLD普通組查詢報文。

步驟B中，當接收到MLD成員關系報告報文時，讀取所述MLD成員關系報告報文的源IP地址，查詢所述IP地址請求的組播組列表，判斷所述IP地址請求加入組播組的個數是否超出預設的每個IP地址允許請求的最大組播組個數；如果超出，則丟棄所述MLD成員關系報告報文；否則，讀取請求加入的組播組地址；

判斷所述讀取的組播組地址是否在所述IP地址的請求組播組地址列表中；如果在，則直接將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發出去；否則，先將所述組播組地址加入到所述IP地址的請求組播組地址列表中，再將MLD成員關系報告報文通過接收端口所在VLAN內預設的信任端口轉發出去。

所述通過監聽重復地址檢測獲取的地址信息包括，鄰居公告報文以太網頭部的源MAC地址、ICMP消息部分的目標IP地址、接收所述鄰居公告報文的VLANID和端口號；