The invention discloses a method and a system for preventing illegal two stage router access, and relates to the technical field of network security. Technical point of the invention: stored two legitimate router MAC address list in a router; a router receives the monitor interface data frame; if the source MAC address and destination address of the MAC data frame in the legal level two router MAC address list is for the data frame if the data frame; the destination MAC address is not in the legal level two router MAC address list, then the TTL field of the data frame is changed to 1; if the source MAC address in the frame is not in the legal level two router MAC address list, is detected in the data frame whether certain fields if the law legal, release the data frame, or source MAC address of the data frame with two illegal router MAC address list and discard the data frame.
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其是一种防止非法二级路由器接入的方法。
技术介绍
随着网络技术的发展和网络设备的普及,不法之徒能够使用有线/无线路由器或者网卡等设备轻易地架设二级路由器,这些二级路由器连接在某一网络路由器(下文称为一级路由器以便与二级路由器区分)下,这些二级路由器下可以继续连接其他终端设备,这些终端设备通过二级路由器接入网络,这样容易使正常使用的客户端网络质量下降,还会导致非认证终端上网。目前市场能够检测非法二级路由器接入的设备较少,仅有的几款设备中,有的仅支持有线产品,有的依赖客户端软件配合检测,并且这些产品都停留在检测阶段,无法对用户提供更多的保护措施。因此有必要提供一种不仅能够检测非法二级路由器接入,而且能够对非法二级路由器进行屏蔽,使非法二级路由器无法工作的防护方法。
技术实现思路
本专利技术所要解决的技术问题是:针对上述存在的问题,提供一种防非法二级路由器接入的方法,包括:步骤1:在一级路由器中预存合法二级路由器MAC地址列表;步骤2:一级路由器监听其各接口接收到的数据帧;步骤3:若数据帧中的源MAC地址及目的MAC地址均在所述合法二级路由器MAC地址列表中,则放行该数据帧;若数据帧中的目的MAC地址不在所述合法二级路由器MAC地址列表中,则执行步骤4;若数据帧中的源MAC地址不在所述合法二级路由器MAC地址列表中,则执行步骤5:步骤4:将该数据帧的TTL字段改为1;步骤5:检测数据帧中的identification字段的变化趋势是否合法,以及检测数据帧中的操作系统字段是否合法;若均合法则放行该数据帧,否则将该数据帧的源MAC地址 ...
【技术保护点】
一种防非法二级路由器接入的方法,其特征在于,包括:步骤1:在一级路由器中预存合法二级路由器MAC地址列表;步骤2:一级路由器监听其各接口接收到的数据帧;步骤3:若数据帧中的源MAC地址及目的MAC地址均在所述合法二级路由器MAC地址列表中,则放行该数据帧;若数据帧中的目的MAC地址不在所述合法二级路由器MAC地址列表中,则执行步骤4;若数据帧中的源MAC地址不在所述合法二级路由器MAC地址列表中,则执行步骤5:步骤4:将该数据帧的TTL字段改为1;步骤5:检测数据帧中的identification字段的变化趋势是否合法,以及检测数据帧中的操作系统字段是否合法;若均合法则放行该数据帧,否则将该数据帧的源MAC地址加入非法二级路由器MAC地址列表中并丢弃该数据帧。
【技术特征摘要】
1.一种防非法二级路由器接入的方法,其特征在于,包括:步骤1:在一级路由器中预存合法二级路由器MAC地址列表;步骤2:一级路由器监听其各接口接收到的数据帧;步骤3:若数据帧中的源MAC地址及目的MAC地址均在所述合法二级路由器MAC地址列表中,则放行该数据帧;若数据帧中的目的MAC地址不在所述合法二级路由器MAC地址列表中,则执行步骤4;若数据帧中的源MAC地址不在所述合法二级路由器MAC地址列表中,则执行步骤5:步骤4:将该数据帧的TTL字段改为1;步骤5:检测数据帧中的identification字段的变化趋势是否合法,以及检测数据帧中的操作系统字段是否合法;若均合法则放行该数据帧,否则将该数据帧的源MAC地址加入非法二级路由器MAC地址列表中并丢弃该数据帧。2.根据权利要求1所述的一种防非法二级路由器接入的方法,其特征在于,步骤3还包括:判断数据帧中的源MAC地址或目的MAC地址之一是否在所述非法二级路由器MAC地址列表中,若是则丢弃该数据帧。3.根据权利要求1所述的一种防非法二级路由器接入的方法,其特征在于,步骤5中,若检测到数据帧中的identification字段比之前接收的与该数据帧源MAC地址相同的数据帧中的identification字段小则认为该数据帧中的identification字段的变化趋势不合法。4.根据权利要求1所述的一种防非法二级路由器接入的方法,其特征在于,步骤5中,若检测到数据帧中的操作系统字段比之前接收的与该数据帧源MAC地址相同的数据帧中的操作系统字段不同则认为该数据帧中的操作系统字段不合法。5.一种防非法二级路由器接入的系统,位于一级路由器上,其特征在于,所述一级路...
【专利技术属性】
技术研发人员:郭西波,
申请(专利权)人:大连网月科技股份有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。