一种检测端口环路的方法技术

本分案申请公开一种检测端口环路的方法，属于数据通信领域，用于解决对现有技术中的环路或病毒软件攻击检测的问题，技术要点是：具有：Sa.构造环路检测报文的步骤；及Sb.判断端口有无环路或者病毒攻击可能的步骤；及Sc.判断是否有物理环或病毒攻击的步骤。效果是：实现了环路或病毒软件攻击的检测。

A method of detecting port loop

This sub-case applies to disclose a method for detecting port loops, which belongs to the field of data communication and is used to solve the problem of detecting loops or virus software attacks in existing technologies. The main technical points are as follows: Sa. steps to construct loop detection messages; and Sb. steps to determine whether the port has loops or virus attacks; and Sc. To determine whether physical ring or virus attack steps. The result is that the loop or virus attack is detected.

【技术实现步骤摘要】
一种检测端口环路的方法本申请为申请号201610005061.6、申请日2016-01-05、专利技术名称“检测端口环路的方法和装置及防止端口环路检测报文攻击的方法”的分案申请。
本专利技术涉及数据通信领域，具体的说是涉及一种防止端口环路检测报文攻击的方法。
技术介绍
网络连接或配置的错误会导致网络中出现环路。一旦网络中出现环路，网络设备(交换机)就会对广播报文、组播报文和未知单播报文进行重复发送，从而造成广播风暴、导致网络瘫痪。为了解决网络环路引起的这一问题，可以采用各种生成树协议(STP、RSTP、MSTP)、快速环网保护协议(RRPP)等协议避免环路的出现。然而，生成树协议无法检测出单端口下存在的环路，当环网的网络流量过大或单向不通时上述协议也会失效。因此，需要提供一种检测机制，能将网络中出现的环路检测出来。于是不少网络设备商开发了环路检测技术：网络设备通过发送环路检测报文、并检测其是否返回本设备，若环路检测报文返回本设备就认定为该端口存在环路。但是现有端口环路检测会受到病毒软件的攻击：病毒软件自己构造环路检测报文或将捕获的环路检测报文发送给网络设备，造成网络设备在实际上可能没有环路的时候，却误报有环路。因此网络设备就需要防范病毒软件对环路检测机制的攻击。如公布号CN101005412A的中国专利技术专利申请，公开了一种防止端口环路检测报文攻击的实现方法及系统，其中，基于随机码的环路检测报文实现方法，其具体方案为“1.根据设备机架MAC地址和系统时钟，每1秒产生1个唯一的随机码；2.构造带有随机码的环路检测报文；3.侦听环路检测报文，若在1秒内至少接收到100份与随机码匹配的则认为存在环路，否则认为不存在环路。若1秒内没有收到环路检测报文，则重新构造随机码。”该方法尽管能够达到一定的检测效果，但是尚存在下述缺陷或问题：即如果物理网络上不存在环路，但是，病毒软件对接收到的含有随机码的环路检测报文进行复制，然后立即重复发送多次(超过100次)，这样网络设备依然会在1秒内接收到超过100份与随机码匹配的环路检测报文，从而误判为存在环路。
技术实现思路
鉴于已有技术存在的缺陷，本专利技术所要解决的技术问题是：对现有技术中的环路或病毒软件攻击检测；并力求全面、准确区分环路、或者病毒软件。为了实现上述目的，本专利技术采用如下技术方案：一种检测端口环路的方法，具有：Sa.构造环路检测报文的步骤；及Sb.判断端口有无环路或者病毒攻击可能的步骤；及Sc.判断是否有物理环或病毒攻击的步骤。本专利技术还涉及一种检测端口环路的装置，包括：构造模块，构造环路检测报文；环路与病毒攻击可能判断模块，判断端口有无环路或者病毒攻击可能；物理环或病毒攻击判断模块，判断是否有物理环或病毒攻击。本专利技术还涉及一种防止端口环路检测报文攻击的方法：包括如下步骤：步骤1.构造私有单播MAC地址池P；步骤2.从私有单播MAC地址池P中随机选取2个私有单播MAC地址A0和A1；步骤3.交换机构造环路检测报文F0和F1；环路检测报文F0通过以随机选取的私有单播MAC地址A0为目的MAC地址、源MAC地址为桥MAC地址或接口MAC地址构造；环路检测报文F1通过以A1为目的MAC地址，A0为源MAC地址构造；步骤4.交换机发送环路检测报文F0；步骤5.交换机等待接收环路检测报文F0；步骤6.若在设定的T0时间内没有收到环路检测报文F0，返回步骤2；否则确认疑似存在环路，转至步骤7；步骤7.若在T1时间内没有收到环路检测报文F0，转至步骤8；否则，转至步骤9；步骤8.若交换机MAC地址表中该端口下的MAC地址数为1并且为F0的源MAC地址，则判定为该端口自环；否则，则判定为病毒软件单次攻击，等待T0时间结束后，返回步骤2；步骤9.交换机发送环路检测报文F1；步骤10.等待设定的某一段时间T2；步骤11.交换机能接收到环路检测报文F0，则判定为病毒软件无限次攻击或T1时间段内不停歇攻击；否则，转至步骤12；步骤12.若能接收到环路检测报文F1，则判定为该接口下存在环路；否则，判定为病毒软件有限次攻击。与现有技术相比，本专利技术的有益效果：1.由于私有单播MAC地址是随机选取的，因此，病毒软件若想构造环路检测报文发起主动攻击是很难成功的(病毒软件难以猜测到本轮随机选取的私有单播MAC地址是哪一个)。2.病毒软件难以通过反射的方式发起被动攻击，因为环路检测报文的目的MAC地址不是固定的组播地址(广播地址)，病毒软件难以判定所收到的报文哪个是环路检测报文。3.若病毒软件发起被动攻击(接收判断出是环路检测报文后，复制并发送)，无论病毒软件发起有限次攻击(只发1次或在某段时间内只发数次)还是发起无限次攻击(或一定时间段内不停歇攻击)，本算法都能识别出来。具有单口自环、物理环或者病毒攻击的全面和准确的检测与判断。附图说明图1为本专利技术方法步骤流程图。具体实施方式下面结合附图以及具体的实施例进一步说明本专利技术的技术方案。实施例1:一种防止端口环路检测报文攻击的方法，步骤流程为：1.构造私有单播MAC地址池P。私有单播MAC地址是指：不会分配给某具体网络设备(接口)的单播MAC地址，或本地网络中所有网络设备(接口)不使用的单播MAC地址。由于私有单播MAC地址在本地网络中不被其它设备(接口)使用，因此，交换机在收到目的MAC地址为私有单播MAC地址的报文后将进行泛洪转发。网络设备商可使用自己公司的私有单播MAC地址池，如神州数码公司的私有MAC地址池起始地址为00-30-0F-30-00-00；也可以使用本公司LocalAdministratedAddress作为私有单播MAC地址池，如神州数码公司可使用OUI为00-30-0F来构造私有单播MAC地址池起始地址为02-30-0F-00-00-00。也可以使用IANA保留的单播地址池00-00-5E-00-00-00到00-00-5E-FF-FF-FF。私有单播MAC地址池中的地址数量不能太少也不必太多，几百到几千即可。2.从私有单播MAC地址池中随机选取2个私有单播MAC地址A0和A1。3.构造环路检测报文F0和F1。以随机选取的私有单播MAC地址A0为目的MAC地址、源MAC地址为桥MAC地址(或接口MAC地址)构造一个环路检测报文F0。以A1为目的MAC地址，A0为源MAC地址构造环路检测报文F1。为了防止病毒软件根据环路检测报文的Type字段值进行识别，F0和F1的Type字段值可以在规定的取值范围内随机取值。4.发送环路检测报文F0。由于F0的目的MAC地址A0在本地网络中不被其它设备(接口)使用，因此，收到F0的交换机将进行泛洪。5.等待接收环路检测报文F0。6.若在设定的T0时间内(比如1秒)没有收到环路检测报文F0，返回第2步；否则(疑似存在环路)，转第7步。7.若在T1时间内(比如0.1秒，T1小于交换机MAC地址表的老化时间)没有收到F0，转第8步；否则，转第9步。8.若交换机MAC地址表(CAM表)中该端口下的MAC地址数为1并且为F0的源MAC地址，则判定为该端口自环；否则，则判定为病毒软件单次攻击，等待T0时间结束后，返回第2步。9.发送环路检测报文F1。由于F1的源MAC地址是A0，若存在物理环路F1将消解环路中的F本文档来自技高网...

【技术保护点】
1.一种检测端口环路的方法，其特征在于，具有：Sa.构造环路检测报文的步骤；及Sb.判断端口有无环路或者病毒攻击可能的步骤；及Sc.判断是否有物理环或病毒攻击的步骤。

【技术特征摘要】
1.一种检测端口环路的方法，其特征在于，具有：Sa.构造环路检测报文的步骤；及Sb.判断端口有无环路或者病毒攻击可能的步骤；及Sc.判断是否有物理环或病毒攻击的步骤。2.如权利要求1所述的检测端口环路的方法，其特征在于，在所述Sb.判断端口有无环路或者病毒攻击可能的步骤，及Sc.判断是否有物理环或病毒攻击的步骤之间，具有Sbc.判断是否有单口自环的步骤。3.如权利要求1所述的检测端口环路的方法，其特征在于，所述步骤Sa中，构造检测报文F0、F1，且所述Sb.判断端口有无环路或者病毒攻击可能的步骤具体为：Sb1.网络设备发送环路检测报文F0；Sb2.网络设备等待接收环路检测报文F0；Sb3.若在设定的T0时间内收到环路检测报文F0，则判断存在环路或者病毒攻击的可能。4.如权利要求1或3所述的检测端口环路的方法，其特征在于，所述Sc.判断是否有物理环或病毒攻击的步骤具体为：Sc1.网络设备发送环路检测报文F1；Sc2.等待设定的某一段时间T2；Sc3.若在时间T2内，网络设备接收到环路检测报文F0，则判定为病毒无限次攻击或...

【专利技术属性】
技术研发人员：王德高，刘向东，
申请(专利权)人：大连民族大学，
类型：发明
国别省市：辽宁,21