一种防非法二级路由器接入的方法及系统技术方案

本发明专利技术公开了一种防非法二级路由器接入的方法及系统，涉及网络安全技术领域。本发明专利技术技术要点：在一级路由器中预存合法二级路由器MAC地址列表；一级路由器监听其各接口接收到的数据帧；若数据帧中的源MAC地址及目的MAC地址均在所述合法二级路由器MAC地址列表中，则放行该数据帧；若数据帧中的目的MAC地址不在所述合法二级路由器MAC地址列表中，则将该数据帧的TTL字段改为1；若数据帧中的源MAC地址不在所述合法二级路由器MAC地址列表中，则检测数据帧中的某些字段是否合法，若合法则放行该数据帧，否则将该数据帧的源MAC地址加入非法二级路由器MAC地址列表中并丢弃该数据帧。

Method and system for preventing illegal two stage router access

The invention discloses a method and a system for preventing illegal two stage router access, and relates to the technical field of network security. Technical point of the invention: stored two legitimate router MAC address list in a router; a router receives the monitor interface data frame; if the source MAC address and destination address of the MAC data frame in the legal level two router MAC address list is for the data frame if the data frame; the destination MAC address is not in the legal level two router MAC address list, then the TTL field of the data frame is changed to 1; if the source MAC address in the frame is not in the legal level two router MAC address list, is detected in the data frame whether certain fields if the law legal, release the data frame, or source MAC address of the data frame with two illegal router MAC address list and discard the data frame.

【技术实现步骤摘要】

本专利技术涉及网络安全
，尤其是一种防止非法二级路由器接入的方法。
技术介绍
随着网络技术的发展和网络设备的普及，不法之徒能够使用有线/无线路由器或者网卡等设备轻易地架设二级路由器，这些二级路由器连接在某一网络路由器（下文称为一级路由器以便与二级路由器区分）下，这些二级路由器下可以继续连接其他终端设备，这些终端设备通过二级路由器接入网络，这样容易使正常使用的客户端网络质量下降，还会导致非认证终端上网。目前市场能够检测非法二级路由器接入的设备较少，仅有的几款设备中，有的仅支持有线产品，有的依赖客户端软件配合检测，并且这些产品都停留在检测阶段，无法对用户提供更多的保护措施。因此有必要提供一种不仅能够检测非法二级路由器接入，而且能够对非法二级路由器进行屏蔽，使非法二级路由器无法工作的防护方法。
技术实现思路
本专利技术所要解决的技术问题是：针对上述存在的问题，提供一种防非法二级路由器接入的方法，包括：步骤1：在一级路由器中预存合法二级路由器MAC地址列表；步骤2：一级路由器监听其各接口接收到的数据帧；步骤3：若数据帧中的源MAC地址及目的MAC地址均在所述合法二级路由器MAC地址列表中，则放行该数据帧；若数据帧中的目的MAC地址不在所述合法二级路由器MAC地址列表中，则执行步骤4；若数据帧中的源MAC地址不在所述合法二级路由器MAC地址列表中，则执行步骤5：步骤4：将该数据帧的TTL字段改为1；步骤5：检测数据帧中的identification字段的变化趋势是否合法，以及检测数据帧中的操作系统字段是否合法；若均合法则放行该数据帧，否则将该数据帧的源MAC地址加入非法二级路由器MAC地址列表中并丢弃该数据帧。步骤3还包括：判断数据帧中的源MAC地址或目的MAC地址之一是否在所述非法二级路由器MAC地址列表中，若是则丢弃该数据帧。进一步，步骤5中，若检测到数据帧中的identification字段比之前接收到的与该数据帧源MAC地址相同的数据帧中的identification字段小则认为该数据帧中的identification字段的变化趋势不合法。进一步，步骤5中，若检测到数据帧中的操作系统字段比之前接收到的与该数据帧源MAC地址相同的数据帧中的操作系统字段不同则认为该数据帧中的操作系统字段不合法。本专利技术还提供了一种与前述方法步骤一一对应的防非法二级路由器接入的系统，该系统位于一级路由器上，所述一级路由器上存储有合法二级路由器MAC地址列表，该系统包括：监听模块，用于监听一级路由器各接口接收到的数据帧；合法二级路由器筛选模块，用于：当数据帧中的源MAC地址及目的MAC地址均在所述合法二级路由器MAC地址列表中时，放行该数据帧；当数据帧中的目的MAC地址不在所述合法二级路由器MAC地址列表中时，则调用TTL字段修改模块；当数据帧中的源MAC地址不在所述合法二级路由器MAC地址列表中时，则调用字段合法性检查模块；TTL字段修改模块，用于将该数据帧的TTL字段改为1；字段合法性检查模块，用于：检测数据帧中的identification字段的变化趋势是否合法，以及检测数据帧中的操作系统字段是否合法；若均合法则放行该数据帧，否则将该数据帧的源MAC地址加入非法二级路由器MAC地址列表中并丢弃该数据帧。进一步，合法二级路由器筛选模块还用于：判断数据帧中的源MAC地址或目的MAC地址之一是否在所述非法二级路由器MAC地址列表中，若是则丢弃该数据帧。进一步，字段合法性检查模块还用于，若检测到数据帧中的identification字段比之前接收到的与该数据帧源MAC地址相同的数据帧中的identification字段小则认为该数据帧中的identification字段的变化趋势不合法。进一步，字段合法性检查模块还用于，若检测到数据帧中的操作系统字段比之前接收到的与该数据帧源MAC地址相同的数据帧中的操作系统字段不同则认为该数据帧中的操作系统字段不合法。综上所述，由于采用了上述技术方案，本专利技术的有益效果是：本专利技术能够有效检测出某路由器下连接的非法二级路由器，并采取有效的防护措施使得与该二级路由器相关的数据帧无法在网络中传输，从而达到屏蔽非法二级路由器的目的。附图说明本专利技术将通过例子并参照附图的方式说明，其中：图1为本专利技术一个具体实施例的流程图。具体实施方式本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。本说明书中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。本专利技术提供的一种防非法二级路由器接入的方法，采用MAC地址过滤的方式，通过分析接入一级路由器的数据帧，又称为Data帧，来判断是否为非法二级路由器，如果匹配到是非法二级路由器，采取修改TTL值或丢弃帧的方式来对非法二级路由器进行屏蔽。需要说明的是本专利技术中所称的一级路由器与二级路由器是一个相对概念，将连接在一个路由器下面的路由器、或其他起着路由作用的设备称为二级路由器，二级路由器上一级的路由器成为一级路由器。参见图1，具体步骤包括：步骤1：在一级路由器中预存合法二级路由器MAC地址列表；此表由管理员预存入，管理员通过梳理该一级路由器下面接入的二级路由器得到。步骤2：一级路由器监听其各接口接收到的数据帧；接口可以是无线接口、有线接口，接收到的数据帧包括但不限于是与该路由器连接的合法二级路由器、非法二级路由器、其他终端设备等传来的数据帧。步骤3：数据帧中必然包含有源MAC地址及目的MAC地址，若数据帧中的源MAC地址及目的MAC地址均在所述合法二级路由器MAC地址列表中，则放行该数据帧；若数据帧中的目的MAC地址不在所述合法二级路由器MAC地址列表中，则执行步骤4；若数据帧中的源MAC地址不在所述合法二级路由器MAC地址列表中，则执行步骤5：当数据帧的目的MAC地址不在合法二级路由器MAC地址列表中时，则该目的MAC地址可能是指向一个非二级路由器的终端或者指向一个非法二级路由器，步骤4将该数据帧的TTL字段改为1。这样做的好处在于，当MAC地址是指向一个非二级路由器的终端时，这样的修改不会影响数据帧的正常传输，当MAC地址是指向一个非法二级路由器的终端时，由于路由器在转发数据帧时会先将TTL字段自动减1，再判断其值是否大于0，若是则不再转发该数据帧，因此当该数据帧传输到其目的MAC地址指向的非法二级路由器后，该非法二级路由器将不再转发该数据帧，从而起到屏蔽作用。步骤5：检测数据帧中的identification字段的变化趋势是否合法，以及检测数据帧中的操作系统字段是否合法；若均合法则放行该数据帧，否则将该数据帧的源MAC地址加入非法二级路由器MAC地址列表中并丢弃该数据帧。在其他实施例中，步骤3还包括：判断数据帧中的源MAC地址或目的MAC地址之一是否在所述非法二级路由器MAC地址列表中，若是则丢弃该数据帧。非法二级路由器MAC地址列表可以由管理人员预存，也可以在防护过程中自动建立，如步骤5那样，在检测到一个非法二级路由器时就将其MAC地址加入列表中。在又一实施例中，步骤5是这样检测数据帧字段合法性的，若检本文档来自技高网...

【技术保护点】
一种防非法二级路由器接入的方法，其特征在于，包括：步骤1：在一级路由器中预存合法二级路由器MAC地址列表；步骤2：一级路由器监听其各接口接收到的数据帧；步骤3：若数据帧中的源MAC地址及目的MAC地址均在所述合法二级路由器MAC地址列表中，则放行该数据帧；若数据帧中的目的MAC地址不在所述合法二级路由器MAC地址列表中，则执行步骤4；若数据帧中的源MAC地址不在所述合法二级路由器MAC地址列表中，则执行步骤5：步骤4：将该数据帧的TTL字段改为1；步骤5：检测数据帧中的identification字段的变化趋势是否合法，以及检测数据帧中的操作系统字段是否合法；若均合法则放行该数据帧，否则将该数据帧的源MAC地址加入非法二级路由器MAC地址列表中并丢弃该数据帧。

【技术特征摘要】
1.一种防非法二级路由器接入的方法，其特征在于，包括：步骤1：在一级路由器中预存合法二级路由器MAC地址列表；步骤2：一级路由器监听其各接口接收到的数据帧；步骤3：若数据帧中的源MAC地址及目的MAC地址均在所述合法二级路由器MAC地址列表中，则放行该数据帧；若数据帧中的目的MAC地址不在所述合法二级路由器MAC地址列表中，则执行步骤4；若数据帧中的源MAC地址不在所述合法二级路由器MAC地址列表中，则执行步骤5：步骤4：将该数据帧的TTL字段改为1；步骤5：检测数据帧中的identification字段的变化趋势是否合法，以及检测数据帧中的操作系统字段是否合法；若均合法则放行该数据帧，否则将该数据帧的源MAC地址加入非法二级路由器MAC地址列表中并丢弃该数据帧。2.根据权利要求1所述的一种防非法二级路由器接入的方法，其特征在于，步骤3还包括：判断数据帧中的源MAC地址或目的MAC地址之一是否在所述非法二级路由器MAC地址列表中，若是则丢弃该数据帧。3.根据权利要求1所述的一种防非法二级路由器接入的方法，其特征在于，步骤5中，若检测到数据帧中的identification字段比之前接收的与该数据帧源MAC地址相同的数据帧中的identification字段小则认为该数据帧中的identification字段的变化趋势不合法。4.根据权利要求1所述的一种防非法二级路由器接入的方法，其特征在于，步骤5中，若检测到数据帧中的操作系统字段比之前接收的与该数据帧源MAC地址相同的数据帧中的操作系统字段不同则认为该数据帧中的操作系统字段不合法。5.一种防非法二级路由器接入的系统，位于一级路由器上，其特征在于，所述一级路...

【专利技术属性】
技术研发人员：郭西波，
申请(专利权)人：大连网月科技股份有限公司，
类型：发明
国别省市：辽宁;21