CN101106518B - 为中央处理器提供负载保护的拒绝服务方法 - Google Patents
为中央处理器提供负载保护的拒绝服务方法 Download PDFInfo
- Publication number
- CN101106518B CN101106518B CN2006100985668A CN200610098566A CN101106518B CN 101106518 B CN101106518 B CN 101106518B CN 2006100985668 A CN2006100985668 A CN 2006100985668A CN 200610098566 A CN200610098566 A CN 200610098566A CN 101106518 B CN101106518 B CN 101106518B
- Authority
- CN
- China
- Prior art keywords
- message
- processing unit
- central processing
- bandwidth
- load protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开一种为中央处理器提供负载保护的拒绝服务方法,涉及计算机网络通信领域。为解决现有IP网络中大量报文涌入路由器或交换机导致中央处理器的处理性能下降甚至使中央处理器无法提供正常服务的问题而发明。本发明的方法对路由器或交换机转发给中央处理器的报文进行分类;然后根据报文分类的类别对将要进入中央处理器的报文进行限速处理或再次进行限速处理。本发明的方法有选择的对进入中央处理器的报文进行限速,保证了路由器或交换机等设备的正常运行,同时也保证了中央处理器能够响应正常的服务请求。
Description
技术领域
本发明涉及计算机网络通信领域的互联网协议IP网络通信设备中央处理器的负载保护方法,具体涉及在网络设备中提供一种DoS(Denial of service,拒绝服务)的方法,从而实现对中央处理器的保护。
背景技术
在IP网络通信中,高端路由器、三层交换机等网络设备通常通过高效的硬件转发引擎来转发报文,通过软件来对设备进行管理维护。硬件转发引擎处理报文通常有以下几种情况:(1)正常转发,根据路由表信息将报文发到下一网络设备或终端;(2)丢弃;(3)转交软件处理,对于路由信息不充分、或需由本网络设备处理的报文转交由软件处理。由于硬件转发引擎的处理速度远远大于软件的处理速度,因此可能在某一瞬间出现大量的报文交由软件处理,从而导致中央处理器负荷过载,软件处理效率降低,影响系统的正常运行。
在某些情况下,会出现大量的人为恶意制造的报文,此类报文经由硬件引擎处理后需要交由软件处理,从而造成中央处理器负载过重,性能下降。DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到正常的服务响应。DoS针对路由器或交换机中央处理器的攻击可以分为以下两种类型:
1、利用网络自身的广播功能进行攻击,例如ARP(地址解析)请求等。当网络中的一个或多个主机发送广播报文时,路由器或交换机需要对收到的广播报文上送CPU进行处理。当广播报文很多时,就会占用大量的CPU处理资源,使中央处理器负荷过载。
2、网络中的一个或多个主机向路由器或者交换机发送大量必须由路由器或者交换机中央处理器处理的报文,如ARP、DHCP(动态主机配置协议)、RIP(路由信息协议)、OSPF(开放最短路由)、BGP(边界网关协议)、ICMP(国际消息控制协议)等等,或者是路由器或交换机无法找到下一跳的报文,这些报文将会耗尽中央处理器的资源,使其无法提供正常的服务。
当需要处理报文大量涌入中央处理器造成过载时,中央处理器通常会随机丢弃部分报文,使得夹杂在数据报文之间的控制报文被随机丢弃,只有少量被中央处理器处理,从而导致路由器或交换机部分协议功能、管理功能失效。
中国专利CN1411230A提出针对无路由上送的报文,生成一条新的抛弃路由,通过抛弃无路由上送报文,达到减小中央处理器负载的效果,但对人为恶意制造的ICMP、ARP、广播等报文造成的DoS攻击缺少有效的防范。
发明内容
为了克服上述缺陷,本发明的目的在于提供一种为中央处理器提供负载保护的拒绝服务的方法,该方法对涌入中央处理器的报文进行分类,限制大量涌入中央处理器的数据报文,保证了中央处理器能够响应正常的服务请求。
为达到上述目的,本发明为中央处理器提供负载保护的拒绝服务方法,包括:
(1)对硬件转发引擎转发给中央处理器的报文进行分类;
(2)根据报文分类的类别对将要进入中央处理器的报文进行限速处理。
其中,所述的步骤(2)之后还包括:
(3)对将要进入中央处理器的报文进行限速处理后再次进行分类,根据再次分类后报文的类别对进入中央处理器的报文再次进行限速处理。
其中,所述的限速处理具体为:
(21)根据报文分类的类别设定承诺允许转交中央处理器报文的带宽或速率;
(22)通过对分类后的报文的监控和分析,将分析出来的当前报文所占用的带宽或者包速率与步骤(21)中设定的承诺带宽或包速率进行比较,若当前报文所占用的带宽或者包速率小于步骤(21)中预先设定的承诺带宽或包速率,则允许转交给中央处理器处理,否则进行丢弃。
其中,所述对报文进行分类的方式为:基于流进行分类。
其中,所述对报文进行分类的方式为:基于流的属性进行分类。
其中,所述流的属性包括:源IP地址、目标IP地址、协议类型、优先级别中的任一属性或它们的组合。
其中,所述步骤(21)中,设定承诺允许转交中央处理器报文的带宽或速率的设定方式为静态设置方式,该静态设置方式具体为:基于流的带宽值或单位时间的包个数进行速率设置。
其中,所述步骤(21)中,设定承诺允许转交中央处理器报文的带宽或速率的设定方式为动态设置方式,该动态设置方式具体为:当中央处理器利用率高时,则减小允许转交中央处理器处理的报文速率的设定值;当中央处理器利用率低时,则增加允许转交中央处理器处理的报文速率值。
本发明提出的为中央处理器提供负载保护的拒绝服务的方法,利用CAR(承诺接入速率)算法对交由中央处理器的报文进行分类,对报文分类后进行限速,可以有效地防范DoS攻击,限制了大量涌入中央处理器的数据报文,有选择的控制进入中央处理器的报文速率,保证路由器或交换机等设备的正常运行,同时也保证了中央处理器能够响应正常的服务请求;该方法设计简单、容易实现、实施成本低,无需改动现有的硬件引擎,有很好的实用效果;在IPV4、IPV6网络设备(如路由器、交换机、IP网关等)中都可以获得较好的应用。
附图说明
图1为现有的网络拓扑结构图;
图2为本发明的转交中央处理器的报文进行间级CAR限速示例图;
图3为本发明的转交中央处理器的报文进行多级CAR限速示例图。
具体实施方式
下面结合附图和具体实施例对本发明的技术方案进行详细说明:
图1是路由器、交换机等网络设备应用的一种网络拓扑图。
各终端之间通过路由器或交换机交换报文进行通信。在DoS攻击中,某个或者某些终端在某一瞬间同时发送大量的需由路由器或交换机中央处理器处理的报文,造成中央处理器过载。
本发明方法的应用如图2和图3所示,在DoS拒绝服务中,通过对报文分类、使用CAR算法进行限速来抑制送入中央处理器的报文。
图2所示的是对转交中央处理器的报文进行单级CAR限速的实施例。
其中终端可以是多种不同的设备,如PC、IP网关等等,每个终端向路由器或者交换机发送多种不同的报文。硬件引擎对这些报文进行处理,丢弃、转发这些报文,或者转交由中央处理器进行处理。通常情况下,由病毒或者黑客等人为形成的大量报文,都具有一定的规律性。因此在将报文转发中央处理器之前先按照某种流或某个流进行分类,或是按照某些属性对报文进行分类,如按照源IP、源MAC、协议类型等,甚至可以进一步细化为根据4层端口、某段IP域、MAC群组等。分类的原则是将可能导致中央处理器过载的DoS攻击的报文进行归类限速,从而保证中央处理器能够对正常的功能、服务进行处理。假设来自某个终端或者某些终端的ARP请求报文单位时间内不能超过N个,那么在单位时间内,低于N个的ARP请求报文将会被转交给中央处理器处理,而超出N个的ARP请求报文将会被丢弃,从而降低中央处理器的负荷。
在CAR限速部分,包含一个令牌桶机制,用于判断来自某个分类的报文是否超过了预先设定的速率。在令牌桶机制中通常包含三个参数:时间间隔P,即每隔时间段P就向令牌桶内添加单位令牌;令牌桶大小M,即包的最大突发量;当前的令牌量T,即当前允许的突发量。
假定按照包个数对转发中央处理器的报文进行限速。当收到一个报文时,如果令牌桶中有令牌,该报文被转发,同时从令牌桶中取走一个令牌,T=T-1,如果令牌桶中的令牌为零,则丢弃该报文。与此同时,令牌桶中的令牌每过时间段P进行积累,T=T+1。当令牌桶中的令牌T=M时,积累的新令牌溢出。下面的伪代码说明了当一个报文来临时的处理情况:
If T>0
T=T-1;
Pass packet;
Else
Drop packet;
End if
同时,每过时间段P:If T<M
T=T+1;
End if
如上所述,每一个令牌桶对应一个定义的流分类。如果定义了多个流分类,则需要设置多个令牌桶与之对应。针对每一个终端,或者针对报文的每一个属性设置一个令牌桶与之对应,将会为限制转交中央处理器处理的报文提供更好的可控性和灵活性,但需要较多的令牌桶,设置的复杂性也比较高。而针对多个终端,或报文的多个属性,或多个终端的报文的多个属性设置对应的令牌桶,则需要少量的令牌桶,设置简单。在DoS攻击中,大部分攻击的报文具有许多共性,通过预先的分析和判断,针对该部分报文设置相应的令牌桶,抑制此类报文对中央处理器资源的消耗,就可以达到对中央处理器负载的保护。
在DoS攻击中,有时候由于攻击源的分散性或者攻击报文的多样性,通过单级限速并不能很好的对攻击报文进行限制。在这种情况下,采用分级限速可以更好的实现对中央处理器很好的保护。如图3所示,报文分类A对经由硬件引擎处理需要转交中央处理器的报文分类进行初步限速,此时可以是针对某个终端的报文按照报文的某个或某些属性进行分类,允许通过的报文汇总进入报文分类B,再次针对所有终端报文的某个或某些属性进行分类,并对再次分类后的报文进行限速,从而为中央处理器提供更好的保护。
当路由器或交换机中央处理器在收到每秒2万个以上的报文(ARP请求报文)需要处理时,CPU占用率100%。其他正常的业务功能与管理功能几乎失效。在设置了针对该分类(ARP请求报文)的令牌桶进行限速,允许其的通过率为每秒1000个,CPU占用率显著下降,正常的业务功能与管理功能恢复正常使用,测试结果表明,使用该方法具有显著的效果。。
本发明提出的为中央处理器提供负载保护的DoS拒绝服务方法,对交由中央处理器的报文进行分类,对报文分类后进行限速,可以有效地防范DoS攻击,限制了大量涌入中央处理器的数据报文,有选择的控制进入中央处理器的报文速率,保证路由器或交换机等设备的正常运行,同时也保证了中央处理器能够响应正常的服务请求;该方法设计简单、容易实现、实施成本低,无需改动现有的硬件引擎,有很好的实用效果;在IPV4、IPV6网络设备(如路由器、交换机、IP网关等)中都可以获得较好的应用。
Claims (5)
1.一种为中央处理器提供负载保护的拒绝服务方法,包括:
(1)对硬件转发引擎转发给中央处理器的报文基于流或者流的属性进行归类;
(2)根据报文归入的类别对将要进入中央处理器的报文进行初步限速处理;
(3)对将要进入中央处理器的报文进行初步限速处理后再次进行归类,根据再次归类后报文归入的类别对进入中央处理器的报文进行下一级限速处理。
2.如权利要求1所述的为中央处理器提供负载保护的拒绝服务方法,其特征在于,所述的限速处理具体为:
(21)根据报文归类的类别设定承诺允许转交中央处理器报文的带宽或速率;
(22)通过对归类后的报文的监控和分析,将分析出来的当前报文所占用的带宽或者包速率与步骤(21)中设定的承诺带宽或包速率进行比较,若当前报文所占用的带宽或者包速率小于步骤(21)中预先设定的承诺带宽或包速率,则允许转交给中央处理器处理,否则进行丢弃。
3.如权利要求1或2所述的为中央处理器提供负载保护的拒绝服务方法,其特征在于,所述流的属性包括:源IP地址、目标IP地址、协议类型、优先级别中的任一属性或它们的组合。
4.如权利要求2所述的为中央处理器提供负载保护的拒绝服务方法,其特征在于,所述步骤(21)中,设定承诺允许转交中央处理器报文的带宽或速率的设定方式为静态设置方式,该静态设置方式具体为:基于流的带宽值或单位时间的包个数进行速率设置。
5.如权利要求2所述的为中央处理器提供负载保护的拒绝服务方法,其特征在于,所述步骤(21)中,设定承诺允许转交中央处理器报文的带宽或速率的设定方式为动态设置方式,该动态设置方式具体为:当中央处理器利用率高时,则减小允许转交中央处理器处理的报文速率的设定值;当中央处理器利用率低时,则增加允许转交中央处理器处理的报文速率值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100985668A CN101106518B (zh) | 2006-07-10 | 2006-07-10 | 为中央处理器提供负载保护的拒绝服务方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100985668A CN101106518B (zh) | 2006-07-10 | 2006-07-10 | 为中央处理器提供负载保护的拒绝服务方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101106518A CN101106518A (zh) | 2008-01-16 |
| CN101106518B true CN101106518B (zh) | 2011-10-26 |
Family
ID=39000204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100985668A Expired - Fee Related CN101106518B (zh) | 2006-07-10 | 2006-07-10 | 为中央处理器提供负载保护的拒绝服务方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101106518B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101217472B (zh) * | 2007-12-29 | 2010-09-29 | 福建星网锐捷网络有限公司 | 模块化交换机报文路由方法 |
| CN101478408A (zh) * | 2008-12-30 | 2009-07-08 | 华为技术有限公司 | 实现上送速率动态联动的方法、装置和系统 |
| US9049251B2 (en) * | 2012-02-28 | 2015-06-02 | Futurewei Technologies, Inc. | Method and apparatus for internet protocol based content router |
| CN103780488B (zh) * | 2012-10-23 | 2018-07-06 | 中国电信股份有限公司 | 广播报文处理方法和设备 |
| CN103812687B (zh) * | 2012-11-15 | 2017-12-15 | 华为技术有限公司 | 处理器的防护方法和设备 |
| CN102984069B (zh) * | 2012-11-30 | 2016-01-27 | 福建星网锐捷网络有限公司 | 表项调整方法、装置和交换设备 |
| CN105122740B (zh) * | 2014-02-26 | 2018-07-20 | 华为技术有限公司 | 一种分流上报的方法、交换机、控制器及系统 |
| CN105791248A (zh) * | 2014-12-26 | 2016-07-20 | 中兴通讯股份有限公司 | 网络攻击分析方法和装置 |
| WO2017035717A1 (zh) * | 2015-08-29 | 2017-03-09 | 华为技术有限公司 | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 |
| CN108449160A (zh) * | 2017-02-16 | 2018-08-24 | 中兴通讯股份有限公司 | 报文发送方法及装置 |
| US10686833B2 (en) | 2017-03-31 | 2020-06-16 | Samsung Electronics Co., Ltd. | System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-of-based computer storage array |
| CN110995586B (zh) * | 2019-11-15 | 2022-07-15 | 锐捷网络股份有限公司 | 一种bgp报文的处理方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411230A (zh) * | 2002-10-14 | 2003-04-16 | 北京港湾网络有限公司 | 一种网络设备中央处理器负载保护方法 |
| CN1716868A (zh) * | 2004-06-29 | 2006-01-04 | 华为技术有限公司 | 一种抵御拒绝服务攻击的方法 |
-
2006
- 2006-07-10 CN CN2006100985668A patent/CN101106518B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411230A (zh) * | 2002-10-14 | 2003-04-16 | 北京港湾网络有限公司 | 一种网络设备中央处理器负载保护方法 |
| CN1716868A (zh) * | 2004-06-29 | 2006-01-04 | 华为技术有限公司 | 一种抵御拒绝服务攻击的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101106518A (zh) | 2008-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101106518B (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
| US10425328B2 (en) | Load distribution architecture for processing tunnelled internet protocol traffic | |
| CN101083563B (zh) | 一种防分布式拒绝服务攻击的方法及设备 | |
| US9001827B2 (en) | Methods for configuring network switches | |
| US7529186B2 (en) | Control plane security and traffic flow management | |
| US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
| CN109768955B (zh) | 基于软件定义网络防御分布式拒绝服务攻击的系统及方法 | |
| CN101286996A (zh) | 一种风暴攻击抵抗方法与装置 | |
| US10805240B2 (en) | System and method of processing network data | |
| US8630296B2 (en) | Shared and separate network stack instances | |
| JP2002124990A (ja) | ポリシ実行スイッチ | |
| CN102546355A (zh) | 路由器的负载均衡方法 | |
| CN101789949A (zh) | 一种实现负荷分担的方法和路由设备 | |
| CN106470187A (zh) | 防止dos攻击方法、装置和系统 | |
| US20090003354A1 (en) | Method and System for Packet Traffic Congestion Management | |
| Krishnan et al. | Mechanisms for optimizing link aggregation group (LAG) and equal-cost multipath (ECMP) component link utilization in networks | |
| JP5178573B2 (ja) | 通信システムおよび通信方法 | |
| RU2675212C1 (ru) | Адаптивная балансировка нагрузки при обработке пакетов | |
| KR20120008478A (ko) | 3단계 동적 분류를 통한 10기가급 대용량 플로우 생성 및 제어방법 | |
| US7072352B2 (en) | Inverse multiplexing of unmanaged traffic flows over a multi-star network | |
| CN100479419C (zh) | 防止拒绝服务型攻击的方法 | |
| JP2003244223A (ja) | 輻輳制御方法、エッジ型パケット転送装置及びネットワーク | |
| JP2006135776A (ja) | セッション中継装置およびセッション中継方法 | |
| US11838197B2 (en) | Methods and system for securing a SDN controller from denial of service attack | |
| CN109104437B (zh) | 路由域、用于在路由域中处理ip报文的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111026 Termination date: 20150710 |
|
| EXPY | Termination of patent right or utility model |