CN100586106C - 报文处理方法、系统和设备 - Google Patents
报文处理方法、系统和设备 Download PDFInfo
- Publication number
- CN100586106C CN100586106C CN200710107569A CN200710107569A CN100586106C CN 100586106 C CN100586106 C CN 100586106C CN 200710107569 A CN200710107569 A CN 200710107569A CN 200710107569 A CN200710107569 A CN 200710107569A CN 100586106 C CN100586106 C CN 100586106C
- Authority
- CN
- China
- Prior art keywords
- message
- network equipment
- list item
- user terminal
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种报文处理方法,包括:首先,接收用户终端发送的报文,该报文携带标识信息;然后,根据该标识信息确定是否命中正常绑定表项;当未命中时,将该标识信息存储在黑名单绑定表项中。本发明还提供了一种报文处理系统和设备,增加了一种黑名单绑定表项,可以有效跟踪攻击者的具体行为和信息,便于故障的定位和排除。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种报文处理方法、系统和设备。
背景技术
随着网络规模的扩大和网络复杂度的提高,网络配置越来越复杂,经常出现计算机位置变化和计算机数量超过可分配IP地址的情况,现有技术通常采用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议),来解决IP地址动态分配的问题,DHCP具有对重新使用的网络地址进行自动分配和附加配置选项的功能。
DHCP在应用过程中遇到很多安全方面的问题,攻击者利用DHCP进行攻击的主要手段包括:DoS(Denial OfService,拒绝服务)攻击、DHCP Server仿冒攻击以及中间人攻击和IP/MAC(Media Access Control,媒体接入控制)欺骗攻击等。其中,中间人攻击和IP/MAC欺骗攻击主要是由攻击者向受害者发送带有欺骗信息的虚假报文,让受害者学习到该欺骗信息,并根据该欺骗信息进行报文的转发,从而使得受害者无法正常接收或发送报文。
现有技术通常采用在接入用户终端的网络设备处使能DHCP Snooping(Dynamic Host Configuration Protocol Snooping,动态主机配置协议监听)功能,DHCP Snooping协议栈通过监听DHCP报文,建立IP、MAC、端口和VLAN(Virtual Local Area Network,虚拟局域网)绑定表;在转发报文时,利用绑定表对ARP(Address Resolution Protocol,地址解析协议)报文、IP报文进行检查,解决上述的欺骗攻击安全问题。
图1是现有技术中采用DHCP Snooping解决欺骗攻击安全问题的示意图。如图1所示,在接入用户终端的网关交换机上,使能DHCP Snooping功能,则无论是正常用户终端,如用户终端B,还是其它可能有攻击行为的用户终端,如用户终端C,首先必须通过DHCP进行首次IP地址申请。网关交换机监听申请过程中的所有DHCP报文,通过分析往来的DHCP报文,建立图1所示的DHCP Snooping绑定表。那么,当攻击者发起欺骗攻击时,如用户终端C发起一个免费ARP报文给B欺骗用户终端B说,IP地址为10.1.1.1网关路由器的MAC为C,那么在网关交换机处将对此ARP报文进行检测,该ARP报文携带的信息,包括其源MAC地址,源IP地址以及入接口信息,如图1所示,MAC地址为C、IP地址为10.1.1.1、PORT(端口)为E2、VLAN(VirtualLocal Area Network,虚拟局域网)为3,去查找绑定表,由于没有对应的表项,因此网关交换机将该报文丢弃,则此欺骗ARP报文将无法到达其它任何用户终端,包括用户终端B,从而制止了用户终端C的攻击行为。
但是,现有技术中采用DHCP Snooping解决攻击者攻击的方法中,由于对攻击者的行为没有任何记录,因此,无法有效跟踪攻击者的具体行为和信息,从而导致故障的定位和排除非常困难。
发明内容
本发明实施例提供一种报文处理方法、系统和设备,以解决现有技术中采用DHCP Snooping解决报文攻击安全问题时,对攻击者的行为没有跟踪记录,故障定位排除困难的缺陷。
为达上述目的,本发明实施例提供了一种报文处理方法,包括:
网络设备接收用户终端发送的报文,所述报文携带标识信息;
根据所述标识信息确定是否命中正常绑定表项;
当未命中时,将所述标识信息存储在黑名单绑定表项中,所述网络设备记录所述报文的接收时间和命中次数,所述网络设备根据所述接收时间和命中次数计算所述报文的发送频率,所述网络设备将所述发送频率存储在所述黑名单绑定表项中。
本发明实施例还提供了一种报文处理系统,包括:
用户终端,用于向网络设备发送报文,所述报文携带标识信息;
网络设备,用于判断所述报文是否命中正常绑定表项,当未命中时,将所述标识信息存储在黑名单绑定表项中,记录所述报文的接收时间和命中次数,根据所述接收时间和命中次数计算所述报文的发送频率,将所述发送频率存储在所述黑名单绑定表项中。
本发明实施例还提供了一种网络设备,包括:
报文判断单元,用于判断所接收的报文是否命中正常绑定表项;
信息存储单元,用于当所述报文未命中所述正常绑定表项时,将所述报文的标识信息进行存储,并记录所述报文的发送频率;
所述信息存储单元包括:
标识信息存储子单元,用于存储所述报文的标识信息;
记录子单元,用于记录所述报文的接收时间和命中次数;
频率计算子单元,用于根据所述接收时间和命中次数计算所述报文的发送频率;
频率存储子单元,用于存储所述报文的发送频率。
与现有技术相比,本发明实施例增加了黑名单绑定表项,可以有效跟踪攻击者的具体行为和信息,方便了故障的定位和排除。
附图说明
图1是现有技术中采用DHCP Snooping解决欺骗攻击安全问题的示意图;
图2是本发明实施例一的报文处理方法流程图;
图3是本发明实施例二的报文处理方法流程图;
图4是本发明实施例绑定表信息异常丢失的示意图;
图5是本发明实施例设置黑名单绑定表项的示意图;
图6是本发明实施例重新建立绑定表项的示意图;
图7是本发明实施例三的报文处理方法流程图;
图8是本发明实施例一种报文处理系统的示意图。
具体实施方式
下面以具体实施例结合附图对本发明进一步加以阐述。
本发明实施例提供了一种报文处理方法。现有技术中的绑定表只包括有KEY,如图1中所示的源MAC、源IP、PORT和VLAN,本发明的实施例在保持现有技术KEY不变的基础上,增加了两个字段,其中一个字段用来表示该绑定表的类型,一类是正常DHCP Snooping绑定表项,另一类是非正常DHCPSnooping绑定表项,由于某报文没有命中正常绑定表项而从该报文中提取相关信息创建的绑定表项,也称为黑名单绑定表项;另一个字段用来表示该黑名单绑定表项被命中的频率。通过对用户终端的信息在黑名单绑定表项被命中频率的统计,从而有效监控攻击者的行为和信息。本发明实施例采用一个字段来标识同一绑定表中的正常绑定表项和黑名单绑定表项,当然,在实际应用中,也可采用单独的绑定表来分别存储正常绑定表项和黑名单绑定表项的信息。
本发明实施例一的报文处理方法的流程图,如图2所示,包括以下步骤:
步骤201,网络设备接收用户终端发送的报文,该报文中携带标识信息。该报文包括用户终端的正常上网报文,当然也可能存在攻击者发送的攻击报文。
步骤202,网络设备根据该标识信息确定是否命中正常绑定表项。
网络设备所接收的报文中包括用户终端的正常上网报文,但是也可能存在攻击者发送的攻击报文,网络设备需要对所接收的报文进行辨别。
由于在网络设备的入端口使能了DHCP Snooping功能,因此,网络设备需要对所有接收到的报文进行分析判断,解析所接收报文的标识信息,该标识信息包括报文的:源MAC地址、源IP地址、PORT和VLAN,然后将该源MAC地址、源IP地址、PORT和VLAN与网络设备正常绑定表项中对应的源MAC地址、源IP地址、PORT和VLAN信息进行匹配。也就是说,网络设备根据所接收报文的标识信息,查找正常绑定表项中有无对应的信息,若查找到对应信息,则信息匹配成功;若没有查找到对应信息,则信息匹配不成功。若信息匹配成功,则称命中正常绑定表项;若信息匹配不成功,则称没有命中正常绑定表项。本发明实施例中是将报文标识信息中的源MAC地址、源IP地址、PORT和VLAN进行匹配,当然,在实际应用中,用来进行匹配的标识信息也可根据具体需要,在源MAC地址、源IP地址、PORT和VLAN之间进行任意搭配。
步骤203,当未命中时,网络设备将该标识信息存储在黑名单绑定表项中。
当网络设备接收到的报文未命中正常绑定表项时,网络设备从没命中正常绑定表项的报文中提取源MAC地址、源IP地址、PORT和VLAN信息,并将该些源MAC地址、源IP地址、PORT和VLAN信息存储在黑名单绑定表项的对应各表项中。并且网络设备记录该没命中正常绑定表项报文的接收时间和命中次数,通过记录的接收时间和命中次数计算出该非正常报文的发送频率,并将计算出的发送频率存储在黑名单绑定表项中用来存储频率信息的字段中。
上述本发明的实施例,在现有绑定表的基础上增加黑名单绑定表项类型,用来存储没命中正常绑定表项的报文的相关信息,并且通过对报文命中黑名单绑定表项的频率进行统计,从而可实现对攻击者的攻击行为和信息进行有效跟踪和监控。
在实际应用中,也会出现用户终端发送的正常报文无法命中网络设备正常绑定表项的情况,例如:网络设备中正常绑定表项信息的异常丢失。网络设备正常绑定表项信息异常丢失的原因有很多种,包括:
由于一个网络设备上要接入大量的用户终端,而用于存放正常绑定表项的空间有限,因此,需要对长期没有命中的正常绑定表项项进行删除;
或者,由于使能DHCP Snooping功能的网络设备重新启动,而原正常绑定表项保存恢复过程中发生部分数据丢失;
或者,使能DHCP Snooping功能的网络设备由于自身内部通信原因,而造成的正常绑定表项中的数据丢失;
再或者,网络设备的一个端口上一旦使能DHCP Snooping功能,那么在使能前已经通过DHCP获得IP地址的用户终端将在网络设备中没有DHCP绑定表项,此时也可以理解为该用户终端的绑定表数据异常丢失。
现有技术中采用DHCP Snooping对报文进行监听,一旦用户终端通过DHCP动态申请IP地址成功以后,能否上网,完全取决于用户终端报文的相关信息能否与网络设备正常绑定表项中某一项匹配,如果不匹配,用户终端报文将被丢弃,用户终端将无法上网。在由于上述正常绑定表项异常丢失,导致用户终端无法正常上网的情况下,如果用户终端需要继续上网,则只能通过手工触发用户终端重新通过DHCP进行IP地址申请,或者等目前申请的IP地址过期后再上网。
所谓手工触发用户终端重新通过DHCP进行IP地址申请,是指用户终端释放现有的IP地址,然后向网络设备重新发送IP地址申请请求;通过重新发送IP地址申请,用户终端重新获得新的IP地址,同时在网络设备上建立新的绑定表信息。手工触发用户终端重新进行IP地址申请,需要用户终端首先感知到已无法正常上网的情况,但是在实际应用中,从用户终端无法正常上网到用户终端感知到无法正常上网的时间会比较长,因此会导致较长时间的用户终端上网中断。
所谓等目前申请的IP地址过期后再上网,是指等用户终端目前申请的IP地址过期后,用户终端会检测到IP地址过期,然后自动向网络设备发送IP地址申请请求;通过重新发送IP地址申请,用户终端重新获得新的IP地址,同时在网络设备上建立新的绑定表信息。等目前申请的IP地址过期后再上网,显然更需要用户终端等待较长的时间,从而会导致用户终端长时间的上网中断。
针对上述的问题,本发明实施例二在网络设备接收到用户终端发送的报文无法命中正常绑定表项的情况下,主动向用户终端发送IP地址不可用信息,触发用户终端向网络设备重新发送IP地址申请请求,立即申请新的IP地址,快速恢复上网。如图3所示,图3为本发明实施例二的报文处理方法流程图,包括以下步骤:
步骤301,网络设备接收用户终端发送的报文无法命中正常绑定表项。
在网络设备上由于前述的某种原因,或者其它原因,导致网络设备的正常绑定表项信息丢失,则一般用户终端无法感知此情况的发生,甚至很有可能都不知道在网络设备上使能了DHCP Snooping功能。此时,用户终端会继续正常上网,并向网络设备发送报文,该发送的报文包括两种类型:一种是用户终端正常上网的数据报文,如IP报文或ARP报文等;另一种是由于IP租约期将至,用户终端发送的租期续约请求报文。
网络设备从所接收的报文中提取源MAC地址、源IP地址、PORT和VLAN信息,然后将该源MAC地址、源IP地址、PORT和VLAN信息与网络设备正常绑定表项中对应的源MAC地址、源IP地址、PORT和VLAN信息进行匹配,无法匹配成功,也即用户终端发送的报文没有命中网络设备的正常绑定表项。
例如,如图4所示的本发明实施例绑定表信息异常丢失示意图。用户终端B向网关交换机发送报文,该报文中携带有用户终端的源IP地址和源MAC地址信息,源IP地址信息为:10.1.1.2,源MAC地址信息为:B。网关交换机接收到该报文后,从中提取源MAC地址信息和源IP地址信息,再加上网关交换机的端口信息,也即网关交换机的端口号和VLAN信息,去查找绑定表中的对应信息。但是,由于网关交换机中对应用户终端B的绑定表信息丢失,因此无法查找到绑定表中的对应信息,也就无法命中绑定表。
步骤302,网络设备将没命中正常绑定表项的报文标识信息存储在黑名单绑定表项中。
网络设备从没命中正常绑定表项的报文中提取源MAC地址、源IP地址、PORT和VLAN信息,并将该些源MAC地址、源IP地址、PORT和VLAN信息存储在黑名单绑定表项中。并且网络设备在黑名单绑定表项中,记录该没命中正常绑定表项报文的接收时间和命中次数,通过记录的接收时间和命中次数计算出该没命中正常绑定表项的报文发送频率,并将计算出的发送频率存储在黑名单绑定表项中用来存储频率信息的字段中。
仍以步骤301中的举例为例,用户终端B发送的报文没能命中网关交换机的绑定表,因此该报文被网关交换机判定为非正常报文。网关交换机会对应绑定表中的存储表项,从该报文中提取源IP地址、源MAC地址信息、端口号和VLAN等信息,将该些信息存入绑定表的对应表项中。网关交换机还会记录该报文的接收时间和当前命中次数,通过记录的接收时间和命中次数计算出该没命中正常绑定表项的报文发送频率,并将计算出的发送频率存储在黑名单绑定表项中用来存储频率信息的字段中。在黑名单绑定表项中建立一个字段来标识该段绑定表信息的类型,即非正常报文。举例来说,该黑名单绑定表项如图5中所示,在绑定表中建立BLK字段,在该BLK字段中设置不同的标识,代表该段绑定表的不同类型。Y代表该段绑定表为正常绑定表项,N代表该段绑定表为黑名单绑定表项;并在绑定表中建立一个RATE(频率)字段,将计算出没命中正常绑定表项的报文发送频率存储在RATE字段中。
步骤303,网络设备向用户终端发送IP地址不可用信息。
网络设备向用户终端发送IP地址不可用信息,以告知该用户终端当前的IP地址已经不可用。用户终端接收到网络设备发送的IP地址不可用信息后,得知当前的IP地址已经不能再使用,用户终端若再使用当前的IP地址已不能再上网。若用户终端需要继续上网,可以向网络设备重新发送IP地址申请请求,重新申请新的IP地址。
接续步骤302中的举例,网关交换机将该没命中正常绑定表项的报文重定向到DHCP Snooping功能模块,并由DHCP Snooping功能模块向用户终端B发送一个DHCPNAK报文,仿冒DHCP服务器告知用户终端B其IP地址不可用。DHCPNAK,是DHCP服务器用来告诉用户终端其IP地址已经不正确,或租约期时间过期,而向用户终端发送的报文。如果用户终端B收到DHCPNAK消息后,它将不再使用原有的IP地址,而重新启动DHCP配置流程来重新申请新的IP地址。
步骤304,用户终端接收到IP地址不可用信息后,向网络设备重新发送IP地址申请请求。
用户终端接收到网络设备发送的IP地址不可用信息后,得知当前的IP地址已经不能再使用,用户终端若再使用当前的IP地址已不能再上网。若用户终端需要继续上网,则可以向网络设备重新发送IP地址申请请求,重新申请新的IP地址。网络设备按照正常的DHCP Snooping流程,通过监听用户终端发送的DHCP报文,重新建立针对该用户终端的绑定表,则该用户终端在申请IP地址成功之后可以照常上网了。
接续步骤303中的举例,用户终端B接收到网关交换机发送的DHCPNAK报文后,得知当前的IP地址已经不能再使用,于是按照DHCP流程,用户终端B向网关交换机重新发起首次IP地址申请的请求。网关交换机按照正常的DHCP Snooping流程,通过监听用户终端B发送的DHCP报文,重新建立针对用户终端B的绑定表项,如图6所示,图6是本发明实施例重新建立绑定表项的示意图,该重新建立的绑定表项包括源IP地址、源MAC地址、端口号、VLAN和BLK等信息,由于用户终端B在网关交换机上重新建立的绑定表项属于正常绑定表项,绑定表项中的BLK标识为Y,而RATE表项是用来记录没命中正常绑定表项的报文的频率信息,因此该重新建立的绑定表项中也就不存在RATE信息,也可认为RATE信息为空。用户终端B在申请新的IP地址成功之后即可照常上网了。
上述本发明的实施例,在网络设备接收到的报文无法命中正常绑定表项的情况下,主动向用户终端发送IP地址不可用信息,从而能够触发因网络异常导致无法正常上网的用户终端重新发起IP地址申请流程,即可快速恢复上网功能,大大提高了网络服务质量。
但是,考虑到实际应用中,攻击者会向网络设备频繁发送无法通过DHCPSnooping认证的报文,由于该报文无法命中正常绑定表项,按照本发明实施例二的流程,网络设备则会频繁向用户终端发送IP地址不可用信息,从而会增加网络设备的处理工作量,降低系统性能。
针对上述问题,本发明实施例三对前述的实施例进行改进,在网络设备中设定一个阀值,将黑名单绑定表项中的报文发送频率和该阀值进行比较,当报文发送频率大于阀值的时候,网络设备则停止向发送该报文的用户终端发送IP地址不可用信息。当然,上述阀值可以预先在网络设备上设定好,也可在实际应用中根据具体情况进行修改,重新设定。如图7所示,图7是本发明实施例三的报文处理方法流程图,具体包括以下步骤:
步骤701,网络设备接收用户终端发送的报文无法命中正常绑定表项。该步骤的具体实施过程与前述相同,在此不再多述。
步骤702,网络设备将没命中正常绑定表项的报文标识信息存储在黑名单绑定表项中。该步骤的具体实施过程与前述相同,在此也不再多述。
步骤703,网络设备根据黑名单绑定表项中的频率信息判断是否向用户终端发送IP地址不可用信息。
该频率信息是网络设备根据记录报文的发送时间和命中次数计算出来的,网络设备每收到一次该没命中正常绑定表项的报文,则记录该报文的发送时间和命中次数,然后根据记录的发送时间和命中次数计算出该报文的频率信息。网络设备将该频率和设定的阀值进行比较,若该频率小于阀值,则网络设备向用户终端发送IP地址不可用信息;若该频率大于阀值,则网络设备停止向用户终端发送IP地址不可用信息。网络设备将发送频率大于阀值的报文判定为攻击报文,网络设备对该攻击报文直接丢弃,不再做任何处理。
上述本发明的实施例,将发送频率大于设定的阀值的报文判定为攻击报文,并停止向发送攻击报文的用户终端发送IP地址不可用信息,可有效避免攻击者的频繁攻击。
本发明的实施例还提供了一种报文处理系统,如图8所示,包括:用户终端100和网络设备200。其中,用户终端100,用于向网络设备200发送报文。
网络设备200,用于将所接收报文中,没命中正常绑定表项的报文标识信息存储在黑名单绑定表项中。
其中,网络设备200包括:报文判断单元210和信息存储单元220。报文判断单元210,用于判断所接收报文是否命中正常绑定表项。报文判断单元210根据所接收报文的标识信息,查找正常绑定表项中有无对应的信息,若查找到对应信息,则信息匹配成功;若没有查找到对应信息,则信息匹配不成功。若信息匹配成功,则命中正常绑定表项;若信息匹配不成功,则没有命中正常绑定表项。信息存储单元220,用于存储没命中正常绑定表项的报文标识信息。网络设备200从没命中正常绑定表项的报文中提取相关信息,并将该些信息存入信息存储单元220的对应表项中。
信息存储单元220包括:标识信息存储子单元221、记录子单元222、频率计算子单元223和频率存储子单元224。标识信息存储子单元221,用于存储没命中绑定表报文的标识信息。记录子单元222,连接标识信息存储子单元221,用于记录没命中绑定表报文的接收时间和命中次数。频率计算子单元223,连接记录子单元222,用于根据记录子单元222中所记录报文的接收时间和命中次数计算没命中绑定表报文的发送频率。频率存储子单元224,连接频率计算子单元223,用于存储没命中绑定表报文的发送频率。
本发明另一实施例在上述网络设备200的基础上,增设了频率比较单元230和信息发送单元240。频率比较单元230,连接信息存储单元220,用于将信息存储单元220中没命中绑定表报文的发送频率和设定的阀值进行比较,作为是否向用户终端发送IP地址不可用信息的依据。信息发送单元240,连接信息存储单元220和频率比较单元230,用于没命中绑定表报文的发送频率小于阀值时,向用户终端发送IP地址不可用信息。
本发明的实施例增加了一种黑名单绑定表项类型,可以有效跟踪攻击者的具体行为和信息,了解攻击者的攻击频率,以及主要攻击对象。本发明的实施例中,在用户终端的报文无法命中绑定表,从而导致用户终端无法正常上网的情况下,可以主动触发用户终端重新发起地址申请流程,即可快速恢复上网功能,大大提高了网络服务质量。本发明实施例中的网络设备包括交换机、路由器等具有报文处理能力的网络设备。且本发明实施例中对应的软件可以存储在一个计算机可读取存储介质中。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (9)
1、一种报文处理方法,其特征在于,包括:
网络设备接收用户终端发送的报文,所述报文携带标识信息;
根据所述标识信息确定是否命中正常绑定表项;
当未命中时,将所述标识信息存储在黑名单绑定表项中,所述网络设备记录所述报文的接收时间和命中次数,所述网络设备根据所述接收时间和命中次数计算所述报文的发送频率,所述网络设备将所述发送频率存储在所述黑名单绑定表项中。
2、如权利要求1所述报文处理方法,其特征在于,在所述网络设备将所述发送频率存储在所述黑名单绑定表项中之后,还包括:
所述网络设备将所述发送频率与设定的阀值进行比较,若所述发送频率小于所述阀值,则所述网络设备向所述用户终端发送IP地址不可用信息,若所述发送频率大于所述阀值,则所述网络设备停止向所述用户终端发送IP地址不可用信息。
3、如权利要求2所述报文处理方法,其特征在于,所述网络设备向所述用户终端发送IP地址不可用信息,具体包括:
所述网络设备将所述报文重定向到网络设备上的动态主机配置协议监听DHCP Snooping功能模块;
所述DHCP Snooping功能模块向所述用户终端发送IP地址不可用信息。
4、如权利要求1所述报文处理方法,其特征在于,所述根据所述标识信息确定是否命中正常绑定表项,具体包括:
所述网络设备将所述标识信息与所述正常绑定表项中的信息进行匹配;
若匹配成功,则所述报文命中正常绑定表项;
若匹配不成功,则所述报文没命中正常绑定表项。
5、如权利要求1所述报文处理方法,其特征在于,所述标识信息包括:所述报文的源媒体接入控制MAC地址、源IP地址、端口PORT和虚拟局域网VLAN。
6、一种报文处理系统,其特征在于,包括:
用户终端,用于向网络设备发送报文,所述报文携带标识信息;
网络设备,用于判断所述报文是否命中正常绑定表项,当未命中时,将所述标识信息存储在黑名单绑定表项中,记录所述报文的接收时间和命中次数,根据所述接收时间和命中次数计算所述报文的发送频率,将所述发送频率存储在所述黑名单绑定表项中。
7、一种网络设备,其特征在于,包括:
报文判断单元,用于判断所接收的报文是否命中正常绑定表项;
信息存储单元,用于当所述报文未命中所述正常绑定表项时,将所述报文的标识信息进行存储,并记录所述报文的发送频率;
所述信息存储单元包括:
标识信息存储子单元,用于存储所述报文的标识信息;
记录子单元,用于记录所述报文的接收时间和命中次数;
频率计算子单元,用于根据所述接收时间和命中次数计算所述报文的发送频率;
频率存储子单元,用于存储所述报文的发送频率。
8、如权利要求7所述网络设备,其特征在于,所述网络设备还包括频率比较单元,连接所述信息存储单元,用于将所述报文的发送频率和设定的阀值进行比较。
9、如权利要求8所述网络设备,其特征在于,所述网络设备还包括信息发送单元,用于当所述报文的发送频率小于所述阀值时,向发送所述报文的用户终端发送IP地址不可用信息,当所述报文的发送频率大于所述阀值时,停止向发送所述报文的用户终端发送IP地址不可用信息。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710107569A CN100586106C (zh) | 2007-05-22 | 2007-05-22 | 报文处理方法、系统和设备 |
PCT/CN2008/071043 WO2008141584A1 (en) | 2007-05-22 | 2008-05-22 | Message processing method, system, and equipment |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710107569A CN100586106C (zh) | 2007-05-22 | 2007-05-22 | 报文处理方法、系统和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101060495A CN101060495A (zh) | 2007-10-24 |
CN100586106C true CN100586106C (zh) | 2010-01-27 |
Family
ID=38866391
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200710107569A Active CN100586106C (zh) | 2007-05-22 | 2007-05-22 | 报文处理方法、系统和设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN100586106C (zh) |
WO (1) | WO2008141584A1 (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100563149C (zh) * | 2007-04-25 | 2009-11-25 | 华为技术有限公司 | 一种dhcp监听方法及其装置 |
CN100586106C (zh) * | 2007-05-22 | 2010-01-27 | 华为技术有限公司 | 报文处理方法、系统和设备 |
CN101296182A (zh) * | 2008-05-20 | 2008-10-29 | 华为技术有限公司 | 一种数据传输控制方法以及数据传输控制装置 |
CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
CN102413205A (zh) * | 2011-12-23 | 2012-04-11 | 华为技术有限公司 | 一种ip地址分配方法及相关中继设备、服务器和系统 |
CN103095722A (zh) * | 2013-02-01 | 2013-05-08 | 华为技术有限公司 | 一种更新网络安全表的方法及网络设备、dhcp服务器 |
CN105991791A (zh) * | 2015-05-12 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
US9900247B2 (en) * | 2015-12-30 | 2018-02-20 | Juniper Networks, Inc. | Media access control address and internet protocol address binding proxy advertisement for network devices of a network |
CN106878479B (zh) * | 2016-12-23 | 2020-07-07 | 新华三技术有限公司 | 一种地址分配方法及装置 |
CN109274588A (zh) * | 2017-07-18 | 2019-01-25 | 中兴通讯股份有限公司 | Ip报文的处理方法及装置 |
TWI669930B (zh) * | 2018-05-08 | 2019-08-21 | 威聯通科技股份有限公司 | 網路位址解析方法及裝置 |
US11258757B2 (en) | 2019-02-28 | 2022-02-22 | Vmware, Inc. | Management of blacklists and duplicate addresses in software defined networks |
CN110995877B (zh) * | 2019-11-12 | 2022-08-16 | 锐捷网络股份有限公司 | 自动更新ip地址的方法、窥探设备和dhcp服务器 |
CN111431912B (zh) * | 2020-03-30 | 2021-12-28 | 上海尚往网络科技有限公司 | 用于检测dhcp劫持的方法和设备 |
CN112383646B (zh) * | 2020-11-13 | 2022-04-22 | 新华三大数据技术有限公司 | 一种安全表项的配置方法、装置、sdn控制器及介质 |
CN113114799B (zh) * | 2021-04-25 | 2023-06-16 | 新华三信息安全技术有限公司 | decline报文攻击下防IP禁锢方法、系统及网络设备、存储介质 |
CN114827077A (zh) * | 2022-03-31 | 2022-07-29 | 中国电信股份有限公司 | 报文处理方法、装置、计算机可读存储介质及电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1450766A (zh) * | 2002-04-10 | 2003-10-22 | 深圳市中兴通讯股份有限公司 | 一种基于动态主机配置协议的用户管理方法 |
CN1695341A (zh) * | 2002-11-06 | 2005-11-09 | 艾利森电话股份有限公司 | 防止非法使用ip地址的方法和装置 |
CN1874303A (zh) * | 2006-03-04 | 2006-12-06 | 华为技术有限公司 | 一种黑名单实现的方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1167227C (zh) * | 2001-10-31 | 2004-09-15 | 华为技术有限公司 | 光纤同轴混合接入网中的虚拟局域网接入方法 |
US20050015626A1 (en) * | 2003-07-15 | 2005-01-20 | Chasin C. Scott | System and method for identifying and filtering junk e-mail messages or spam based on URL content |
US20060095955A1 (en) * | 2004-11-01 | 2006-05-04 | Vong Jeffrey C V | Jurisdiction-wide anti-phishing network service |
CN100586106C (zh) * | 2007-05-22 | 2010-01-27 | 华为技术有限公司 | 报文处理方法、系统和设备 |
-
2007
- 2007-05-22 CN CN200710107569A patent/CN100586106C/zh active Active
-
2008
- 2008-05-22 WO PCT/CN2008/071043 patent/WO2008141584A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1450766A (zh) * | 2002-04-10 | 2003-10-22 | 深圳市中兴通讯股份有限公司 | 一种基于动态主机配置协议的用户管理方法 |
CN1695341A (zh) * | 2002-11-06 | 2005-11-09 | 艾利森电话股份有限公司 | 防止非法使用ip地址的方法和装置 |
CN1874303A (zh) * | 2006-03-04 | 2006-12-06 | 华为技术有限公司 | 一种黑名单实现的方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2008141584A1 (en) | 2008-11-27 |
CN101060495A (zh) | 2007-10-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100586106C (zh) | 报文处理方法、系统和设备 | |
CN101453495B (zh) | 防止授权地址解析协议信息丢失的方法、系统和设备 | |
CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
US7234163B1 (en) | Method and apparatus for preventing spoofing of network addresses | |
KR100992968B1 (ko) | 네트워크 스위치 및 그 스위치의 주소충돌방지방법 | |
CN101179603B (zh) | IPv6网络中用于控制用户网络接入的方法和装置 | |
CN105516080A (zh) | Tcp连接的处理方法、装置及系统 | |
CN109450841B (zh) | 一种基于云+端设备按需联动模式的抗大规模DDoS攻击的防御方法 | |
CN101820432A (zh) | 无状态地址配置的安全控制方法及装置 | |
CN101247396A (zh) | 一种分配ip地址的方法、装置及系统 | |
CN104883360A (zh) | 一种arp欺骗的细粒度检测方法及系统 | |
CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
CN101321102A (zh) | Dhcp服务器的检测方法与接入设备 | |
CN111654485B (zh) | 一种客户端的认证方法以及设备 | |
CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
CN101577645B (zh) | 检测仿冒网络设备的方法和装置 | |
CN104901953A (zh) | 一种arp欺骗的分布式检测方法及系统 | |
CN102137073A (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
CN101621455A (zh) | 网络设备的管理方法和网络管理站、设备 | |
CN101729314A (zh) | 动态表项的回收方法、装置及动态主机分配协议侦听设备 | |
CN109561004B (zh) | 报文转发方法、装置及交换机 | |
CN107682226B (zh) | Nat板的监控方法及装置 | |
CN108234358B (zh) | 一种组播报文传输方法、装置及机器可读存储介质 | |
CN101505478B (zh) | 一种过滤报文的方法、装置和系统 | |
CN105827420A (zh) | 一种识别非法服务器的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |