CN100579004C - 防范无效报文攻击的方法和网络设备 - Google Patents
防范无效报文攻击的方法和网络设备 Download PDFInfo
- Publication number
- CN100579004C CN100579004C CN200710137563A CN200710137563A CN100579004C CN 100579004 C CN100579004 C CN 100579004C CN 200710137563 A CN200710137563 A CN 200710137563A CN 200710137563 A CN200710137563 A CN 200710137563A CN 100579004 C CN100579004 C CN 100579004C
- Authority
- CN
- China
- Prior art keywords
- state table
- message
- service feature
- feature state
- list item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防范无效报文攻击的方法和网络设备,属于通信领域。所述方法包括:网络设备的转发引擎层收到报文后,在业务特征状态表中查找所述报文的匹配信息,根据查找的结果判断所述报文是否有效,如果无效,丢弃所述报文。所述网络设备包括:转发引擎模块。本发明的转发引擎层通过业务特征状态表判断报文是否有效,根据判断提前丢弃无效报文,防范了无效报文对设备带宽的浪费,提高了设备防攻击的性能和安全性能。
Description
技术领域
本发明涉及通信领域,特别涉及一种防范无效报文攻击的方法和网络设备。
背景技术
现有的网络设备通常包含转发引擎层、业务处理层。转发引擎层主要完成报文的上送与转发,业务处理层根据转发引擎上送的报文完成相关的业务处理。通常,网络设备需处理哪些类型报文,网络设备究竟开启了哪些服务,在网络设备的业务层面都有明确的记录,网络设备对需上送业务处理层进行处理的相关业务都非常明确。
随着Internet的发展,组网环境日趋复杂,随之网络攻击、病毒攻击也日益频繁,对网络设备的危害性也日趋严重。DOS(Denial of Service,拒绝服务)攻击指攻击者短时间内使用大量数据包或畸形报文向网络设备不断发起连接或请求响应,致使服务器负荷过重而不能处理合法任务,从而导致网络设备业务异常。针对DOS攻击,网络设备通常使用流量限制功能进行DOS攻击防范,流量限制功能主要是限制单位时间内上送网络设备的报文字节数,采用此方法可以有效地缓解DOS攻击对网络设备带来的影响。
在实现本发明的过程中,发明人发现单纯地使用流量限制功能不能尽早阻止无效报文上送给网络设备,仍然存在通道(带宽)的浪费。
发明内容
为了有效地防范无效报文的攻击,本发明实施例提供了一种防范无效报文攻击的方法和网络设备。所述技术方案如下:一种防范无效报文攻击的方法,所述方法包括:
网络设备的业务处理层根据处理业务信息生成业务特征状态表,并将所述业务特征状态表下发给网络设备的转发引擎层;
所述网络设备的转发引擎层收到所述业务特征状态表后保存所述业务特征状态表,其中,所述业务特征状态表包括:业务信息特征码和开启状态;
当所述网络设备的转发引擎层收到报文后,提取所述报文的业务信息特征码,在业务特征状态表中查找所述报文的业务信息特征码匹配的表项,如果没有匹配的表项或所匹配的表项的开启状态为关闭,所述报文无效,丢弃所述报文。
本发明实施例还提供了一种网络设备,所述设备包括:业务处理模块,用于根据处理业务信息生成业务特征状态表,并将所述业务特征状态表下发给转发引擎模块;
转发引擎模块,用于收到所述业务处理模块下发的所述业务特征状态表后保存所述业务特征状态表,所述业务特征状态表包括:业务信息特征码和开启状态;接收报文,提取所述报文的业务信息特征码,在业务特征状态表中查找与所述报文的业务信息特征码匹配的表项,如果没有匹配的表项或所匹配的表项的开启状态为关闭,所述报文无效,丢弃所述报文。
本发明实施例提供的技术方案的有益效果是:转发引擎层通过业务特征状态表判断报文是否有效,根据判断提前丢弃无效报文,防范了无效报文对设备带宽的浪费,提高了设备防攻击的性能和安全性能。
附图说明
图1是本发明实施例1提供的防范无效报文攻击的方法流程图;
图2是本发明实施例2提供的网络设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。本发明实施例采用网络设备的业务处理层与转发引擎层联动的方法,在转发引擎层判断出报文是否有效,将无效报文在网络设备的转发引擎层丢弃。
实施例1
本实施例提供了一种防范无效报文攻击的方法,该方法包括:
网络设备的转发引擎层收到报文后,在业务特征状态表中查找报文的匹配信息,根据查找的结果判断该报文是否有效,如果无效,丢弃该报文。
网络设备转发引擎层中的业务特征状态表可以通过业务处理层下发,也可以通过人工配置,如由管理员根据网络设备处理业务的情况,为转发引擎层配置业务特征状态表。
本实施例优选由网络设备的业务处理层下发业务特征状态表,由业务处理层统一管理设备开启的业务信息,并定义这些业务信息的报文的业务信息特征码以及开启状态。
例如:SNMP(Simple Network Management Protocol,简单网络管理协议)报文的业务信息特征码为UDP(User Datagram Protocol,用户数据报协议)端口号,即161;DHCP(DynamicHost Configuration Protocol,动态主机分配协议)报文的业务信息特征码为UDP端口号,即67或68。网络设备业务处理层将业务特征状态表下发到该网络设备的转发引擎层中;网络设备转发引擎层收到业务特征状态表后,将业务特征状态表保存在本层内。
参见图1,上述防范无效报文攻击的方法具体包括以下步骤:
步骤101:转发引擎层收到报文后,提取报文的业务信息特征码;
步骤102:在业务特征状态表中查找是否有与所提取的业务信息特征码匹配的表项,如果有,执行步骤103,否则,执行步骤105。
步骤103:检查所匹配表项中的开启状态是否为开启,如果是,执行步骤104;否则执行步骤105。
步骤104:对该报文进行上送。
步骤105:在转发引擎层丢弃该报文。
通过上述方法,转发引擎层只对匹配了业务信息特征码,且开启状态为开启的报文进行上送,对不匹配业务信息特征码的报文进行丢弃,不上送处理;对匹配了业务信息特征但开启状态为关闭的报文在转发引擎直接进行丢弃,不上送处理。
网络设备的业务处理层通过配置命令可以感知业务的开启状态是否发生变化,可以实时或每隔一段时间(一天或者一周)对配置命令进行检查,当得知某一业务的开启状态发生变化后,将对业务特征状态表中的该业务的开启状态进行更新,并将更新的后的业务特征状态表及时下发到网络设备的转发引擎层,转发引擎层更新业务特征状态表,并根据更新后的业务特征状态表对接收到的报文进行判断。
业务特征状态表的更新也可以通过管理员实现,即通过管理员每隔一段时间(一天或者一周)对网络设备处理业务的情况进行调整,人工修改业务特征状态表中的信息。
本发明实施例提到的网络设备可以是防火墙、路由器、以太网交换机、宽带接入网络设备,但不局限于上述网络设备,也可以在其他网络设备。
本实施例通过转发引擎层对报文是否有效进行判断,进而提前丢弃无效报文,防止了无效报文对网络设备带宽的浪费,提高了网络设备防攻击的性能和安全性能。
实施例2
参见图2,本实施例提供了一种网络设备,包括:
转发引擎模块201,用于接收报文,在业务特征状态表中查找该报文的匹配信息,根据查找的结果判断该报文是否有效,如果无效,丢弃该报文。
其中,转发引擎模块201包括:
报文特征提取单元201a,用于接收报文,并提取报文的业务信息特征码;
报文丢弃单元201b,用于在业务特征状态表中查找与报文特征提取单元201a提取的业务信息特征码匹配的表项,如果没有匹配表项或所匹配的表项的开启状态为关闭,该报文无效,丢弃该报文。
进一步地,转发引擎模块201还包括:
报文上送单元,用于上送报文的业务信息特征码在业务特征状态表中有匹配表项,且所匹配表项中的开启状态为开启的报文;
相应地,上述设备还包括:
业务处理模块,用于对转发引擎模块201上送的报文进行处理。
其中,业务处理模块还包括:
业务特征状态表生成单元,用于根据处理业务信息生成业务特征状态表,该业务特征状态表包括业务信息特征码和开启状态;
业务特征状态表下发单元,用于将业务特征状态表生成单元生成的业务特征状态表下发给转发引擎模块201。
进一步地,业务处理模块还包括:
业务特征状态表更新单元,用于根据配置命令更新所述业务特征状态表,并通知业务特征状态表下发单元下发更新后的业务特征状态表。
上述实施例通过在网络设备的转发引擎层提前丢弃了无效报文,解决了无效报文对网络设备带宽的浪费,提高了网络设备防攻击的性能和安全性能;
网络设备的转发引擎层通过与业务处理层进行实时联动,不但可感知网络设备是否可处理此类业务报文,而且可感知此类业务的配置状态,只有在配置状态开启的情况下才上送报文,进一步提高了网络设备防攻击的性能和安全性能。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤102中的查找与报文的业务信息特征码匹配的表项和步骤103中检查所匹配的表项中的开启状态等,所述的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种防范无效报文攻击的方法,其特征在于,所述方法包括:
网络设备的业务处理层根据处理业务信息生成业务特征状态表,并将所述业务特征状态表下发给网络设备的转发引擎层;
所述网络设备的转发引擎层收到所述业务特征状态表后保存所述业务特征状态表,其中,所述业务特征状态表包括:业务信息特征码和开启状态;
当所述网络设备的转发引擎层收到报文后,提取所述报文的业务信息特征码,在所述业务特征状态表中查找与所述报文的业务信息特征码匹配的表项,如果没有匹配的表项或所匹配的表项的开启状态为关闭,所述报文无效,丢弃所述报文。
2.如权利要求1所述的防范无效报文攻击的方法,其特征在于,所述提取所述报文的业务信息特征码,在所述业务特征状态表中查找与所述报文的业务信息特征码匹配的表项,如果没有匹配的表项或所匹配的表项的开启状态为关闭,所述报文无效的步骤包括:
提取所述报文的业务信息特征码,在业务特征状态表中查找是否有与所述报文的业务信息特征码匹配的表项;
如果没有匹配表项,所述报文无效;
如果有匹配表项,检查所匹配的表项中的开启状态是否为开启,如果是开启,所述报文有效,如果是关闭,所述报文无效。
3.如权利要求1所述的防范无效报文攻击的方法,其特征在于,所述方法还包括:
所述网络设备的业务处理层根据配置命令更新业务特征状态表,并将更新后的业务特征状态表下发给所述转发引擎层;
所述转发引擎层收到所述更新后的业务特征状态表后,更新所述转发引擎层的业务特征状态表。
4.一种网络设备,其特征在于,所述设备包括:
业务处理模块,用于根据处理业务信息生成业务特征状态表,并将所述业务特征状态表下发给转发引擎模块;
转发引擎模块,用于收到所述业务处理模块下发的所述业务特征状态表后保存所述业务特征状态表,所述业务特征状态表包括:业务信息特征码和开启状态;接收报文,提取所述报文的业务信息特征码,在所述业务特征状态表中查找与所述报文的业务信息特征码匹配的表项,如果没有匹配的表项或所匹配的表项的开启状态为关闭,所述报文无效,丢弃所述报文。
5.如权利要求4所述的网络设备,其特征在于,所述转发引擎模块包括:
报文特征提取单元,用于接收报文,并提取所述报文的业务信息特征码;
报文丢弃单元,用于在业务特征状态表中查找与所述报文特征提取单元提取的业务信息特征码匹配的表项,如果没有匹配表项或所匹配的表项的开启状态为关闭,所述报文无效,丢弃所述报文。
6.如权利要求4所述的网络设备,其特征在于,所述转发引擎模块还包括:
报文上送单元,用于上送报文的业务信息特征码在所述业务特征状态表中有匹配表项,且所匹配表项中的开启状态为开启的报文;
相应地,所述业务处理模块还用于对所述转发引擎模块上送的报文进行处理。
7.如权利要求4所述的网络设备,其特征在于,所述业务处理模块还包括:
业务特征状态表生成单元,用于根据处理业务信息生成业务特征状态表,所述业务特征状态表包括业务信息特征码和开启状态;
业务特征状态表下发单元,用于将所述业务特征状态表生成单元生成的业务特征状态表下发给所述转发引擎模块。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710137563A CN100579004C (zh) | 2007-08-08 | 2007-08-08 | 防范无效报文攻击的方法和网络设备 |
| EP08783874A EP2154813A4 (en) | 2007-08-08 | 2008-08-05 | METHOD AND NETWORK DEVICE FOR PREVENTING AN ATTACK WITH AN INVALID MESSAGE |
| PCT/CN2008/071881 WO2009018769A1 (fr) | 2007-08-08 | 2008-08-05 | Procédé et dispositif réseau de défense contre une attaque par message invalide |
| US12/650,935 US20100107239A1 (en) | 2007-08-08 | 2009-12-31 | Method and network device for defending against attacks of invalid packets |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710137563A CN100579004C (zh) | 2007-08-08 | 2007-08-08 | 防范无效报文攻击的方法和网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101102183A CN101102183A (zh) | 2008-01-09 |
| CN100579004C true CN100579004C (zh) | 2010-01-06 |
Family
ID=39036297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710137563A Expired - Fee Related CN100579004C (zh) | 2007-08-08 | 2007-08-08 | 防范无效报文攻击的方法和网络设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100107239A1 (zh) |
| EP (1) | EP2154813A4 (zh) |
| CN (1) | CN100579004C (zh) |
| WO (1) | WO2009018769A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100579004C (zh) * | 2007-08-08 | 2010-01-06 | 华为技术有限公司 | 防范无效报文攻击的方法和网络设备 |
| CN101272254B (zh) * | 2008-05-09 | 2010-09-29 | 华为技术有限公司 | 生成攻击特征库的方法、防范网络攻击的方法以及装置 |
| CN101494531B (zh) * | 2009-02-24 | 2013-06-26 | 华为技术有限公司 | 调整滑动窗口的方法和装置 |
| CN108566384B (zh) * | 2018-03-23 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 一种流量攻击防护方法、装置、防护服务器及存储介质 |
| US12069153B2 (en) * | 2020-12-02 | 2024-08-20 | Maxlinear, Inc. | Abbreviated header communication |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5864554A (en) * | 1993-10-20 | 1999-01-26 | Lsi Logic Corporation | Multi-port network adapter |
| US6219706B1 (en) * | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
| US7103647B2 (en) * | 1999-08-23 | 2006-09-05 | Terraspring, Inc. | Symbolic definition of a computer system |
| US6795918B1 (en) * | 2000-03-07 | 2004-09-21 | Steven T. Trolan | Service level computer security |
| US7152240B1 (en) * | 2000-07-25 | 2006-12-19 | Green Stuart D | Method for communication security and apparatus therefor |
| US20020107953A1 (en) * | 2001-01-16 | 2002-08-08 | Mark Ontiveros | Method and device for monitoring data traffic and preventing unauthorized access to a network |
| US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| GB2380279B (en) * | 2001-10-01 | 2006-05-10 | Soundvoice Ltd | Computer firewall system and method |
| US7359962B2 (en) * | 2002-04-30 | 2008-04-15 | 3Com Corporation | Network security system integration |
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US7596807B2 (en) * | 2003-07-03 | 2009-09-29 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
| US7346922B2 (en) * | 2003-07-25 | 2008-03-18 | Netclarity, Inc. | Proactive network security system to protect against hackers |
| KR100558658B1 (ko) * | 2003-10-02 | 2006-03-14 | 한국전자통신연구원 | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 |
| CN100362802C (zh) * | 2004-06-29 | 2008-01-16 | 华为技术有限公司 | 一种抵御拒绝服务攻击的方法 |
| US20070276950A1 (en) * | 2006-05-26 | 2007-11-29 | Rajesh Dadhia | Firewall For Dynamically Activated Resources |
| CN1941775A (zh) * | 2006-07-19 | 2007-04-04 | 华为技术有限公司 | 一种防止网络消息攻击的方法及设备 |
| US8136162B2 (en) * | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
| CN100555991C (zh) * | 2006-12-29 | 2009-10-28 | 华为技术有限公司 | 报文访问控制的方法、转发引擎装置和通信设备 |
| US7941838B2 (en) * | 2007-05-09 | 2011-05-10 | Microsoft Corporation | Firewall control with multiple profiles |
| CN100579004C (zh) * | 2007-08-08 | 2010-01-06 | 华为技术有限公司 | 防范无效报文攻击的方法和网络设备 |
-
2007
- 2007-08-08 CN CN200710137563A patent/CN100579004C/zh not_active Expired - Fee Related
-
2008
- 2008-08-05 EP EP08783874A patent/EP2154813A4/en not_active Withdrawn
- 2008-08-05 WO PCT/CN2008/071881 patent/WO2009018769A1/zh active Application Filing
-
2009
- 2009-12-31 US US12/650,935 patent/US20100107239A1/en not_active Abandoned
Non-Patent Citations (2)
| Title |
|---|
| "移动 ad hoc 网络中DOS攻击及其防御机制". 易平等.计算机研究与发展,第2005年04期. 2005 |
| "移动 ad hoc 网络中DOS攻击及其防御机制". 易平等.计算机研究与发展,第2005年04期. 2005 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009018769A1 (fr) | 2009-02-12 |
| EP2154813A4 (en) | 2010-05-05 |
| CN101102183A (zh) | 2008-01-09 |
| US20100107239A1 (en) | 2010-04-29 |
| EP2154813A1 (en) | 2010-02-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
| CN101267437B (zh) | 网络设备的报文访问控制方法及系统 | |
| CN100579004C (zh) | 防范无效报文攻击的方法和网络设备 | |
| CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
| CN101022343B (zh) | 网络入侵检测/抵御系统及方法 | |
| CN103650428B (zh) | 网络检疫系统、网络检疫方法及其程序 | |
| US20040255162A1 (en) | Security gateway system and method for intrusion detection | |
| CN100534096C (zh) | 一种反网络钓鱼的系统和方法 | |
| CN102428677A (zh) | 分组的杀毒处理 | |
| CN100391180C (zh) | 一种以太网二层交换设备绑定硬件地址和端口的方法 | |
| CN102045220A (zh) | 木马监控审计方法及系统 | |
| CN104270467A (zh) | 一种用于混合云的虚拟机管控方法 | |
| CN105049412A (zh) | 一种不同网络间数据安全交换方法、装置及设备 | |
| CN111866030B (zh) | 一种拟态边缘网关的工业协议识别装置及方法 | |
| CN103124226A (zh) | 一种家庭宽带上网监控系统及方法 | |
| CN101102323B (zh) | 防止dos攻击的方法及设备 | |
| WO2007035207A1 (en) | Method for defending against denial of service attacks in ip networks by target victim self-identification and control | |
| EP1176786A3 (en) | Integrated information communication system | |
| CN113709211A (zh) | 基于旁路控制技术的网络终端准入控制方法 | |
| CN101599889B (zh) | 一种以太网交换设备中防止mac地址欺骗的方法 | |
| CN102263837B (zh) | 一种域名系统dns解析方法及装置 | |
| CN101227287A (zh) | 一种数据报文处理方法及数据报文处理装置 | |
| CN109803030A (zh) | 一种匿名中间代理服务器及其通信方法 | |
| CN101582880B (zh) | 一种基于被审计对象的报文过滤方法及系统 | |
| CN102045366A (zh) | 主动发现网络遭受病毒攻击的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100106 Termination date: 20150808 |
|
| EXPY | Termination of patent right or utility model |