[发明专利]虚拟路由冗余协议路由器防攻击的方法和接入设备

说明书

技术领域

本发明实施例涉及网络技术领域，尤其涉及一种虚拟路由冗余协议路由器防攻击的方法和接入设备。

背景技术

虚拟路由冗余协议(Virtual Router Redundancy Protocol，简称为：VRRP)是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的一个VRRP组中多台VRRP路由器中的一台。VRRP组内多个路由器都映射为一个虚拟的路由器，拥有相同的虚拟路由器IP地址。VRRP保证同时有且只有一台VRRP路由器在代表该虚拟的路由器进行数据包的发送。控制虚拟路由器IP地址的VRRP路由器称为主用路由器，它负责转发数据包到虚拟路由器IP地址。一旦主用路由器不可用，备用路由器可以在不影响内外数据通信的前提下进行功能切换，且不需要修改内部网络的参数。这就使得局域网内的路由器看上去只使用了一台路由器，并且即使在它当前所使用的首跳路由器不能识别的情况下仍然能够保持路由的连通性。

VRRP采用简单竞选的方式选择主用路由器。首先，比较同一个VRRP组中的各台路由器，其对应接口上设置的VRRP优先级，优先级最高的为主用路由器，它的状态变为MASTER。如果对应接口上设置的VRRP优先级彼此相同，则比较对应接口上的主IP地址，主IP地址大的为主用路由器，它的状态变为MASTER。

主用路由器选出后，同一个VRRP组内的其他路由器作为备用路由器，状态变为BACKUP，备用路由器可以通过主用路由器定时发出的VRRP通告报文检测主用路由器的状态。当正常工作时，主用路由器会定时发出VRRP通告报文给同一个VRRP组中的其他路由器，以通报主用路由器的设备状态，即主用路由器工作状态正常。如果同一个VRRP组内的备用路由器在预设的时间内没有收到来自主用路由器的通告报文，则将自己状态转为MASTER。当同一个VRRP组内有多台状态为MASTER的路由器时，采用简单竞选的方式选择一台作为主用路由器，从而实现VRRP的备份功能。

如图1所示的现有技术提供的VRRP组的结构示意图，VRRP路由器R1和R2属于同一个VRRP组，在VRRP组运行正常时，假设R1为MASTER，而R2为BACKUP。R1会每隔一个通告周期发送VRRP通告报文给R2，用以维持VRRP组的工作状态。在实际的网络应用过程中，当攻击者进行攻击时，会发送伪造的VRRP报文，或者同时会伪造MASTER的主机行为，受到攻击的VRRP组可能会出现以下两种情况：第一种情况为多MASTER情况，第二种情况为MASTER震荡。其中，第一种情况一般出现在正常的VRRP路由器采用认证选举出一个正常的MASTER时，攻击者通过发送非法的VRRP报文，同时模拟MASTER的主机行为，比如对请求网关的地址解析协议(Address Resolution Protocol，简称为：ARP)请求报文进行应答，干扰正常MASTER的运行。第二种情况一般出现在正常的VRRP路由器不用认证选举出一个正常的MASTER时，攻击者通过发送非法VRRP报文，导致正常的MASTER变为BACKUP，随着攻击者发送非法VRRP报文的频率不同，就可能出现MASTER持续切换，或者正常的MASTER持续被抑制成BACKUP的情况，MASTER震荡会干扰网关与用户间的数据转发，严重时会导致网络转发中断。

现有技术中针对攻击者发起攻击方式的不同，可以通过如下几种方式防止攻击者的攻击：

如果攻击者通过网络传递VRRP攻击报文，对VRRP路由器进行远程攻击，其解决方式为强制要求VRRP报文中的TTL＝255，TTL小于255的VRRP报文认为是非法报文，直接进行丢弃。这里应用的主要原理是远程攻击者发送的VRRP攻击报文通过网络传输，其TTL值必定小于255。

如果攻击者通过攻击VRRP配置使其出现错误从而导致VRRP运行异常，其解决方式为对VRRP报文进行加密，但是加密并不能避免第二种情况多MASTER行为的发生。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

上述VRRP路由器防攻击的方法并不能有效防止VRRP报文攻击和模拟主用路由器行为的攻击。

发明内容

本发明实施例提供一种虚拟路由冗余协议路由器防攻击的方法和接入设备，用以解决现有技术中的问题，实现了有效防止VRRP报文攻击和模拟主用路由器行为的攻击的目的。

本发明实施例提供一种虚拟路由冗余协议VRRP路由器防攻击的方法，包括：

连接VRRP路由器的接入设备接收到报文；