WO2008080324A1

WO2008080324A1 - A method and apparatus for preventing igmp message attack

Info

Publication number: WO2008080324A1
Application number: PCT/CN2007/070894
Authority: WO
Inventors: Fenghua Zhao; Liyang Wang; Peng Zhou; Yi Ling; Xueqin Liu; Yong Yu
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2006-12-31
Filing date: 2007-10-15
Publication date: 2008-07-10
Anticipated expiration: 2009-06-30
Also published as: EP2073457A1; US20090240804A1; CN101001249A; EP2073457A4

Description

一种防 IGMP报文攻击的方法和装置

本申请要求于 2006 年 12 月 31 日提交中国专利局、申请号为 200610063750.9. 发明名称为"一种防 IGMP 4艮文攻击的方法和装置，，的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络通信技术领域，尤其涉及一种防 IGMP报文攻击的方法和装置。

背景技术

因特网组管理协议 IGMP ( Internet Group Management Protocol )是应用在路由器和主机之间的通信协议，其主要功能是维护路由器和主机之间的组播组信息，以实现用户组播流量的接收。随着网络的发展，组播业务也逐渐成为 Internet网络的一个热点业务。

但是由于 IGMP报文比较简单，构造也比较容易，网络黑客通过 IGMP报文发送工具（报文发送工具比较容易获取 )快速发送大流量的 IGMP报文给设备，对于接收报文的路由器或者交换机， IGMP报文的处理往往是通过中央处理器 CPU ( Central Processing Unit )而不是转发引擎进行处理的。对于集中式设备， CPU处理能力往往不强，大量的攻击报文会导致 CPU繁忙而不能正常处理其他协议报文而引起网络异常；对于分布式设备，接口板上的转发引擎能力较强，会把这些 IGMP报文上送到接口板或者是主控板上的 CPU进行处理，同样会引起 CPU繁忙而不能正常处理其他协议报文。

目前， IGMP Snooping功能也正在成为一项成熟的技术，其功能主要是在交换机上监听 IGMP报文，学习出端口信息，其学习功能都是通过 CPU来处理的。正因为如此， IGMP报文攻击对于二层交换机的影响也越来越大。

目前普遍采用的防 IGMP>¾文攻击的手段如下：

对于集中式设备， IGMP协议报文往往是通过报文队列緩存的，对于超过队列长度的报文会被丟弃掉，通过控制队列的长度可以减 d、 IGMP报文攻击。

对于分布式设备，转发引擎上送报文往往通过令牌桶进行控制，令牌桶可以想象成是一个容量固定的容器，按照规定的速度（这个速度可以配置）向桶中存放令牌，报文通过的时候需要看令牌桶中有没有令牌，如果有足够的令牌时，则按规定的速率均匀地向外发送报文，否则丟弃报文。通过令牌桶，可以限制上送报文的速率。

但是，已有技术中防 IGMP报文攻击方案具有同样的缺点：对于短时间内大量涌现的具有同一网络地址信息的报文或消息（可以通称为 IGMP报文）无法辨识，对于这些报文或消息的地址信息不加以区别就进行速率控制，使得高速率（即短时间内大量涌现）的具有同一网络地址信息的报文或消息（往往这些报文是病毒或黑客攻击）的处理与正常的报文或消息的处理方法一样，因此导致正常报文或消息被丢弃或被挤掉，而达不到防止攻击的目的。

发明内容

本发明实施例提供一种防 IGMP"^文攻击的方法和装置，通过针对 IGMP •艮文的源地址和组播组 IP, 进行分级的防攻击，有效解决恶意 IGMP^艮文短时间内大量涌现而导致的网络异常问题。

本发明通过以下技术方案实现：

一种防 IGMP艮文攻击的方法，包括二级防攻击的步骤：

基于 IGMP报文源 IP地址防攻击 , 所述基于 IGMP报文源 IP地址防攻击以 IGMP报文源 IP地址过滤 IGMP报文防攻击；

基于 IGMP报文组播组 IP地址防攻击，所述基于 IGMP报文组播组 IP地址防攻击以端口号 Port、虚拟局域网 VLAN、组播组 IP地址过滤 IGMP报文防攻击。

此外，本发明还公开了一种防止 IGMP报文攻击的装置，包括二级防攻击单元：

基于 IGMP报文源 IP地址防攻击单元，用于以 IGMP报文源 IP地址过滤 IGMP报文防攻击；

基于 IGMP报文组播组 IP地址防攻击单元，用于以端口号 Port、虚拟局域网 VLAN、组播组 IP地址过滤 IGMP艮文防攻击。

本发明实施例通过针对 IGMP■ ^文的源地址和组播组 IP, 进行分级的防攻击，有效、准确地解决恶意 IGMP 4艮文短时间内大量涌现而导致的网络异常问题。

附图说明图 1为本发明实施例的防 IGMP报文攻击的方法流程图；

图 2为本发明对 IGMP报文源 IP防攻击的一级流程图；

图 3为本发明第一实施例的防 IGMP报文攻击的设备的框图；

图 4为本发明第一实施例的防 IGMP报文攻击的方法的部分流程图；图 5为本发明第二实施例的防 IGMP报文攻击的设备的框图；

图 6为本发明第二实施例的防 IGMP报文攻击的方法的部分流程图；图 7为本发明实施例的防 IGMP报文攻击的装置结构图。

具体实施方式

贯穿说明书，示出的该优选实施例和示例应被看作本发明的范例而不受限制。

如图 1所示，本发明实施例防 IGMP报文攻击的方法包括如下步骤： 800: 开始；

810: 第一级基于 IGMP报文源 IP地址防攻击；

以 IGMP报文源 IP地址过滤，防止同一个源 IP在短时间内产生大量的 IGMP 报文。如果同一个源 IP在短时间内产生大量的 IGMP报文，则认为是病毒或黑客攻击，丟弃 IGMP报文，跳转到步骤 830; 否则，允许所述 IGMP报文通过，进入步骤 820。

820: 第二级基于 IGMP报文组播组 IP防攻击；

对于第一级防攻击，当设备接入用户数目很多，或者攻击者变化源 IP攻击的情况下，同样会造成设备的 CPU资源被大量占用，影响正常业务的处理。为解决该情况，需要针对 IGMP报文中的组播组 IP进行抑制，以达到防攻击的目的。

以端口号 Port +虚拟局域网 VLAN ID +组播组 IP过滤，对于连接用户 PC机或者源设备的路由器或者交换机，需要维护对应端口 + VLAN的组播组信息。而在实际应用中，只要本端口 + VLAN有组播组存在，就能够保证组播业务的正常应用，而无论该端口 + VLAN下接入多少个用户，同时也无需关心用户的源 IP。所以，可以针对 Port + VLAN +组播组 IP进行抑制，单位时间内只有少量的 IGMP报文允许通过，其余报文丢弃。这样可以达到防攻击的目的。

如果同一个组播组 IP在短时间内产生大量的 IGMP报文，则也认为是病毒或黑客攻击，丟弃 IGMP报文；否则，允许所述 IGMP报文通过，进入步骤 820。

830: 结束。

与上述方法相对应，本发明实施例公开了一种防 IGMP报文攻击的装置，如图 7所示，包括：第一级基于 IGMP报文源 IP地址防攻击单元 701和第二级基于 IGMP报文组播组 IP防攻击单元 702。

上述图 1中，步骤 810和 820除了判断的标准不同（步骤 810以 IGMP4艮文源 IP地址为标准，步骤 820以 Port + VLAN +组播组 IP为标准）之外，每级防攻击的原理相同，具体如图 2所示。

实施例一：

本发明实施例提供的一种防 IGMP报文攻击的模块框图，如图 3所示 ,模块 500包括统计单元 510、与该统计单元 510藕接的第一判断单元 520、与该第一判断单元 520藕接的通过单元 530和丟弃单元 540, 此外，还包括与所述第一判断单元 520藕接的配置单元 550。

本发明实施例提供的二级防 IGMP报文攻击的方法，每一级的流程如图 2 所示。图 2所示的方法可以通过图 3所示的模块 500来实现，因此，对于图 2 的说明即是对图 3中各单元功能的说明。参考图 2,所述方法开始步骤后进入：步骤 100：统计接收到的具有同一地址信息的 IGMP报文的到达速率；步骤 100由所述统计单元 510执行。值得说明的是，对于步骤 810，该地址信息即 IGMP报文的源 IP地址；对于步骤 820，该地址信息即 IGMP报文的组播组 IP地址。

步骤 200: 判断所述到达速率是否大于限制速率，如果是，则转步骤 400, 否则转步骤 300;

此步骤由所述第一判断单元 520执行。限制速率可以事先通过所述配置单元 550完成配置，通过比较到达速率和限制速率可以做出判断。值得说明的是，这一步骤还可以有很多变形，例如，比较到达速率的倒数和限制速率的倒数，但这些变形都属于本领域普通技术人员不用付出创造性劳动就能够得到的规避手段，因此，也当然包括在本发明的限定范围内。

步骤 300: 允许所述 IGMP报文通过后进入结束步骤。

此步骤由与所述第一判断单元 520 的否定性判断相关的通过单元 530执行。因为到达速率小于等于限制速率，说明所述网络信息不是短时间大量涌入的病毒或黑客攻击，应该是正常报文，因此允许其通过。

步骤 400：丢弃所述 IGMP报文后进入结束步骤。

此步骤由与所述第一判断单元 520 的肯定性判断相关的丢弃单元 540执行。因为到达速率大于限制速率，说明所述网络信息是短时间大量涌入的病毒或黑客攻击，因此将其丟弃，就避免了因设备的 CPU处理该类病毒网络信息而导致的性能下降进而影响网络的顺畅。

可选的，当丟弃的报文数目超过告警门限时，可以对报文的 IP地址进行告警，方便用户直接查找到攻击者。此步骤由告警单元 560来执行，相应地，告警单元 560也是可选的。

具体地，如图 3所示，统计单元 510包括获取单元 511 ,与该获取单元 511 藕接的第二判断单元 512 , 与该第二判断单元 512藕接的确定单元 513和设置单元 514。

为了使本发明实施例更加清晰，接下来将对图 2中的步骤 100详细说明，同时结合图 3中的统计单元 510说明各子单元的功能。如图 4所示，包括：步骤 110: 取出所述 IGMP报文的地址信息；

这一步骤由所述获取单元 511来执行。值得说明的是，对于步骤 810 , 该地址信息即 IGMP报文的源 IP地址；对于步骤 820，该地址信息即 IGMP报文的组播组 IP地址。

步骤 111 : 判断所述 IGMP报文是否是首次到达，如果是，则转步骤 112; 如果不是，则转步骤 113;

这一步骤由所述第二判断单元 512来执行。其目的是判断来自该 IP地址的 IGMP报文是否是第一次进入所述模块 500 , 以便能为该 IP地址建立相应的参数和进行监视，也就是后续的流程。

步骤 112: 所述 IGMP 4艮文通过其 IP地址信息初始化与该 IP地址相对应的历史时间戳和累加器，即将该历史时间戳记录为系统当前时间并将累加器置

1 ;

这一步骤是初始化某一 IP地址相应信息的，由所述设置单元 514来执行。为了统计和某一 IP地址相关的 IGMP报文的到达速率，就必须为该 IP地址建立相关的参数，例如，本实施例中历史时间戳和累加器。值得说明的是，每个 IP地址都具有自己的历史时间戳和累加器，因此，不同 IP地址拥有不同的历史时间戳和累加器。但系统当前时间在一个时间点拥有唯一的值。因此，系统当前时间在某个确定的时间点时是个常数，因此，这一步骤也就是为某个首次到达的 IP地址赋予其相关的历史时间戳和累加器的值。

步骤 113至步骤 117即根据历史时间戳、系统当前时间和累加器的值确定到达速率的步骤，由所述确定单元 513来执行。具体地：

步骤 113: 判断系统当前时间和历史时间戳的差是否在规定时间内，如果是，则转步骤 114; 否则，转步骤 116;

这一步骤中的规定时间可以通过所述配置单元 550配置，是计算所述到达速率的分母，例如，可以设定为 1秒，表示要统计 1秒内同一地址到达的 IGMP 报文的数目。

步骤 114: 将所述历史时间戳和累加器清除，具体地，将历史时间戳记录为系统当前时间，将累加器置 0;

运行到此步骤时，证明这个 IP地址到达的后一个 IGMP 文和前一个自该 IP地址到达的 IGMP报文的时间间隔超过了规定时间 , 表明到达速率必定小于限制速率。而此时则需要对与该 IP地址相关的历史时间戳和累加器清除了，以便后续统计。

步骤 115: 将到达速率赋值为比限制速率低的值，用于为下个步骤中判断到达速率是否大于限制速率做准备；当然，这个步骤是可以省略的，或者直接把到达速率小于限制速率这一信息传送到下一步骤。总之，在实现中有很多方法可以实现这一目标。

步骤 116: 累加器加 1 ;

运行到此步骤时，证明在确定时间内又一个具有同一 IP地址信息的 IGMP 报文到达了，自然与该 IP地址相对应的累加器要累加，至于加多少，可以根据到达速率和限制速率的规定灵活设置，此处给出的仅是一个优选的值。

步骤 117: 利用累加器和规定时间计算到达速率。

具体说明：对于在规定时间内（例如 1 秒钟）频繁到来的具有同一源 IP 地址的 IGMP报文，如果规定了限制速率为每秒 8个，那么前 8个 IGMP报文由于其到来时累加器的值和规定时间的值的比值即到达速率还小于限制速率，这 8个 IGMP 文会执行到步骤 300, 即被允许通过。而在这 1秒内第 9个及以后到来的则会由于超过限制速率而被丢弃掉。由于每个 IGMP报文都会很快通过模块 500, 因此，不会引起 IGMP报文在模块 500中滞留的现象。但同时也由于这个原因，导致漏丢的现象，例如前述的那前 8个就允许通过了。

实施例二：

本发明实施例提供的另一种防 IGMP报文攻击的模块框图如图 5所示。同时参考图 3，模块 600与模块 500的区别之处在于：统计单元的实现方式不同，其它都相同。具体地，模块 600包括统计单元 610，与该统计单元 610藕接的第一判断单元 620, 与该第一判断单元 620藕接的通过单元 630 和丢弃单元 640, 与丟弃单元 640藕接的告警单元 660, 此外，还包括与所述第一判断单元 620藕接的配置单元 650。。各单元的功能同模块 500的功能相同，与模块 500不同之处在于统计单元的实现方式不同。具体地，所述统计单元 610包括获取单元 611，与该获取单元 611藕接的第二判断单元 612、启动单元 614和累加单元 616, 与第二判断单元 612藕接的第三判断单元 613、启动单元 614, 与第三判断单元 613藕接的确定单元 615和累加单元 616。。

本发明实施例提供的对图 2中步骤 100的另一种实施方式，如图 6所示：步骤 120和步骤 121分别与步骤 110和步驟 111相同，分别由所述获取单元 611和第二判断单元 612执行，可以参考上文中关于步骤 110和 111的说明，在此不再赘述。

步骤 122: 启动与所述 IGMP 4艮文的 IP地址信息相关的定时器，同时将与所述 IGMP报文的 IP地址信息相关的累加器置 1 , 并且返回到步骤 120；这一步骤是初始化某一 IP地址相应信息的，由所述启动单元 614来执行。为了统计和某一 IP地址相关的 IGMP报文的到达速率，就必须为该 IP地址建立相关的参数，例如本实施例中定时器和累加器。值得说明的是，每个 IP地址都具有自己的定时器和累加器，因此，不同 IP地址拥有不同的定时器和累加器。，这一步骤是为某个首次到达的 IP地址赋启动其定时器和累加器置 1 , 当然具体数值并不是关键。初始化后立即返回步骤 120继续取下一条 IGMP报文进^"处理。步骤 123: 判断定时器是否结束，如果是则转步骤 124; 否则转步骤 125, 由所述第三判断单元 613执行；

步骤 124：计算到达速率，具体地可以用对应的累加器与对应的定时器的比值代表到达速率，由所述确定单元 615执行。

步骤 125: 将对应的累加器加 1后返回步骤 120, 继续取下一条网络信息处理，由所述累加单元 616执行。

可以看出，在这个具体实施例中， IGMP报文在模块 600中有滞留。这是因为对于每个 IP地址而言，与这个 IP地址相对应的在模块 600中有个定时器，在定时器的规定时间内，与该 IP地址相关的 IGMP报文会滞留在模块 600中，只有等到该定时器结束，计算出到达速率后才会决定是否允许这些 IGMP报文通过还是丟弃。但如此一来，就不会有漏丢的现象发生了，对于某个 IP地址，如果在定时器时间内有很多网络信息到达模块 600 , 就会因为到达速率超过限制速率而遭到全部丟弃，因此不会有漏丟现象。

值得说明的是，本发明实施例提供的这种方法和模块可以以软件、硬件或固件的形式实施，可以实施为防火墙设备 /软件或杀毒设备 /软件。如果通过硬件，例如 ASIC (专用芯片）实施，会具有处理速度快等优点。

以上所揭露的仅为本发明的优选实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明申请专利范围所作的等同变化，仍属本发明所涵盖的范围。

Claims

权利要求

1、一种防 IGMP^艮文攻击的方法，其特征在于，包括二级防攻击的步骤：基于 IGMP报文源 IP地址防攻击，所述基于 IGMP报文源 IP地址防攻击以

IGMP报文源 IP地址过滤 IGMP报文防攻击；

2、根据权利要求 1所述的方法，其特征在于，每级防攻击的步骤具体包括：统计接收到的具有同一地址信息的 IGMP报文的到达速率；

判断所述到达速率是否大于限制速率，如果是，则

丢弃所述 IGMP 艮文；否则

允许所述艮文通过。

3、根据权利要求 2所述的方法，其特征在于：所述统计接收到的具有同一地址信息的 IGMP报文的到达速率包括：

取出所述 IGMP 艮文的地址信息；

判断该地址是否为首次到达，如果是，则

将历史时间戳记录为系统当前时间并将累加器置 1 ; 否则

利用所述历史时间戳、系统当前时间和累加器确定到达速率。

4、根据权利要求 2所述的方法，其特征在于:所述统计接收到的具有同一地址信息的 IGMP报文的到达速率包括：

取出所述 IGMP才艮文的地址信息；

判断该地址是否为首次到达，如果是，则

启动定时器，并将累加器置 1后返回取出所述 IGMP报文的地址信息步骤；否则

判断定时器是否结束，如果是，贝' J

根据定时器和累加器确定到达速率；否则

累加器累加 1 , 返回取出所述 IGMP报文的地址信息步骤。

5、根据权利要求 2至 4任意一项所述的方法，其特征在于，还包括配置限制速率。

6、根据权利要求 5所述的方法，其特征在于，所述丢弃所述 IGMP报文之后还包括：当丟弃的报文数目超过告警门限时，对所述 IGMP报文的 IP地址进行告警。

7、一种防止 IGMP报文攻击的装置，其特征在于，包括二级防攻击单元：基于 IGMP报文源 IP地址防攻击单元，用于以 IGMP报文源 IP地址过滤 IGMP艮文防攻击；

基于艮文组播组 IP地址防攻击单元，用于以端口号 Port、虚拟局域网 VLAN、组播组 IP地址过滤 IGMP报文防攻击。

8、根据权利要求 7所述的防 IGMP报文攻击的装置，其特征在于，所述每级防攻击单元包括：

统计单元，用于统计接收到的具有同一地址信息的 IGMP报文的到达速率；与所述统计单元藕接的第一判断单元，用于判断所述统计单元统计的到达速率是否大于限制速率，产生肯定结果或否定结果；

与所述第一判断单元藕接的与所述肯定结果相关的丢弃单元，用于丟弃所述 IGMP报文；

与所述第一判断单元藕接的与所述否定结果相关的通过单元，用于允许所述 IGMP 艮文通过。

9、根据权利要求 8所述的装置，其特征在于：所述统计单元包括：获取单元，用于取出所述 IGMP报文的地址信息；

与所述获取单元藕接的第二判断单元，用于判断所述获取单元取出的地址是否为首次到达，产生第二肯定结果或第二否定结果；

与所述第二判断单元藕接的与所述第二肯定结果相关的设置单元，用于将历史时间戳记录为系统当前时间并将累加器置 1 ;

与所述第二判断单元藕接的与所述第二否定结果相关的确定单元，用于利用历史时间戳、系统当前时间和累加器确定到达速率。

10、根据权利要求 8所述的装置，其特征在于：所述统计单元包括：获取单元，用于取出所述 IGMP报文的地址信息；

与所述第二判断单元藕接的与所述第二肯定结果相关的启动单元，用于启动定时器，并将累加器置 1后返回所述获取单元；

与所述第二判断单元藕接的与所述第二否定结果相关的第三判断单元，用于判断定时器是否结束，产生第三肯定结果或第三否定结果；

与所述第三判断单元藕接的与所述第三肯定结果相关的确定单元，用于根据定时器和累加器确定到达速率；

与所述第三判断单元藕接的与所述第三否定结果相关的累加单元，用于使累加器累加 1 , 并返回所述获取单元。

11、根据权利要求 8至 10任意一项所述的装置，其特征在于，还包括与所述判断单元藕接的配置单元，用于配置所述限制速率。

12. 根据权利要求 11 所述的装置，其特征在于，还包括与所述丢弃单元藕接的告警单元，当丟弃的报文数目超过告警门限时，对所述 IGMP报文的 IP 地址进行告警。