[发明专利]一种防非法二级路由器接入的方法及装置

权利要求书

1.一种防非法二级路由器接入的方法，其特征在于，包括：

步骤1：在一级路由器中预存合法二级路由器MAC地址列表；

步骤2：一级路由器监听其各接口接收到的数据帧；

步骤3：若数据帧中的源MAC地址及目的MAC地址均在所述合法二级路由器MAC地址列表中，则放行该数据帧；若数据帧中的目的MAC地址不在所述合法二级路由器MAC地址列表中，则执行步骤4；若数据帧中的源MAC地址不在所述合法二级路由器MAC地址列表中，则执行步骤5；判断数据帧中的源MAC地址或目的MAC地址之一是否在非法二级路由器MAC地址列表中，若是则丢弃该数据帧；所述非法二级路由器MAC地址列表在防护过程中自动建立；

步骤4：将该数据帧的TTL字段改为1；

步骤5：检测数据帧中的identification字段的变化趋势是否合法，以及检测数据帧中的操作系统字段是否合法；若均合法则放行该数据帧，否则将该数据帧的源MAC地址加入非法二级路由器MAC地址列表中并丢弃该数据帧；其中，若检测到数据帧中的identification字段比之前接收的与该数据帧源MAC地址相同的数据帧中的identification字段小则认为该数据帧中的identification字段的变化趋势不合法。

2.根据权利要求1所述的一种防非法二级路由器接入的方法，其特征在于，步骤5中，若检测到数据帧中的操作系统字段比之前接收的与该数据帧源MAC地址相同的数据帧中的操作系统字段不同则认为该数据帧中的操作系统字段不合法。

3.一种防非法二级路由器接入的装置，位于一级路由器上，其特征在于，所述一级路由器上存储有合法二级路由器MAC地址列表，系统包括：

监听模块，用于监听一级路由器各接口接收到的数据帧；

合法二级路由器筛选模块，用于：当数据帧中的源MAC地址及目的MAC地址均在所述合法二级路由器MAC地址列表中时，放行该数据帧；当数据帧中的目的MAC地址不在所述合法二级路由器MAC地址列表中时，则调用TTL字段修改模块；当数据帧中的源MAC地址不在所述合法二级路由器MAC地址列表中时，则调用字段合法性检查模块；判断数据帧中的源MAC地址或目的MAC地址之一是否在非法二级路由器MAC地址列表中，若是则丢弃该数据帧；所述非法二级路由器MAC地址列表在防护过程中自动建立；

TTL字段修改模块，用于将该数据帧的TTL字段改为1；

字段合法性检查模块，用于：检测数据帧中的identification字段的变化趋势是否合法，以及检测数据帧中的操作系统字段是否合法；若均合法则放行该数据帧，否则将该数据帧的源MAC地址加入非法二级路由器MAC地址列表中并丢弃该数据帧；其中，若检测到数据帧中的identification字段比之前接收的与该数据帧源MAC地址相同的数据帧中的identification字段小则认为该数据帧中的identification字段的变化趋势不合法。

4.根据权利要求3所述的一种防非法二级路由器接入的装置，其特征在于，字段合法性检查模块还用于，若检测到数据帧中的操作系统字段比之前接收的与该数据帧源MAC地址相同的数据帧中的操作系统字段不同则认为该数据帧中的操作系统字段不合法。