CN101155034A - 一种在网络设备上防止用户特定包攻击的方法 - Google Patents
一种在网络设备上防止用户特定包攻击的方法 Download PDFInfo
- Publication number
- CN101155034A CN101155034A CNA2006101596633A CN200610159663A CN101155034A CN 101155034 A CN101155034 A CN 101155034A CN A2006101596633 A CNA2006101596633 A CN A2006101596633A CN 200610159663 A CN200610159663 A CN 200610159663A CN 101155034 A CN101155034 A CN 101155034A
- Authority
- CN
- China
- Prior art keywords
- control plane
- bandwidth
- specified packet
- message
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在网络设备上防止用户特定包攻击的方法,首先,控制平面定时检测用户特定包的流量,在超过设定阈值时,控制平面以源MAC地址为关键字、以限制带宽和报文类型为参数增加带宽限制表;转发平面收到需要上送控制平面的特定包后,提取特定包中的源MAC地址和报文类型,并依据源MAC地址查找带宽限制表,如果查到,则根据报文类型获取带宽限制表中相应的限制带宽信息,根据限制带宽信息对用户特定包进行带宽限制,将所述特定包转发到控制平面。本发明既防止用户特定包的攻击,又能允许特定包以限定的带宽进行传送。
Description
技术领域
本发明涉及通讯技术领域中的宽带接入技术,尤其涉及宽带接入中网络设备上防止用户攻击的方法。
背景技术
目前,宽带接入设备中防火墙技术应用日益广泛,但这些防火墙技术都是局限于对某类报文作绝对的限制,即禁止该类报文通过,而不能为特定类的报文分配一定的带宽,也不能针对特定用户的特定包进行带宽限制,尤其是需要协议栈进行复杂处理的报文。在一些病毒爆发或某些用户对设备进行恶意攻击时,设备需要正常处理的报文过多,就会对业务的正常运行造成严重的影响,甚至造成设备瘫痪,或者攻击报文占用正常用户的正常报文的带宽,从而使正常用户的业务受到影响。
因此,针对特定包或特定用户的特定包,既要防止用户发送大量特定包进行攻击,又要允许用户特定包进行发送,则需要一种能防止用户特定包攻击、同时也能限制该特定包占用带宽的方法。
发明内容
本发明所要解决的技术问题在于,提供一种在网络设备上防止用户特定包攻击的方法,既防止用户特定包的攻击,又能允许特定包以限定的带宽进行传送。
本发明提供一种在网络设备上防止用户特定包攻击的方法,所述网络设备具有控制平面、以及将用户报文转发到控制平面的转发平面,所述方法包括如下步骤:
(1)控制平面接收用户特定包,定时检测并记录所述用户特定包的流量;
(2)当定时检测发现所述特定包的流量超过设定阀值时,控制平面以源MAC地址为关键字、以限制带宽和报文类型为参数增加带宽限制表;
(3)转发平面收到需要上送控制平面的特定包后,提取特定包中的源MAC地址和报文类型,并依据源MAC地址查找带宽限制表,如果查到,则根据报文类型获取带宽限制表中相应的限制带宽信息;
(4)转发平面根据限制带宽信息对用户特定包进行带宽限制,将所述特定包转发到控制平面。
进一步地,所述特定包是ARP、或RIP、或OSPF、或IGMP、或PPP-ECHO、或PPPOE-DISCOVERY、或UDP报文。
进一步地,所述带宽限制表至少包括源MAC地址、报文类型、和限制带宽信息,其由控制平面生成,存储在控制平面和转发平面都能访问的共享存储区。
进一步地,步骤(1)中是利用一个定时器进行定时,在定时到达时开始检测用户特定包的流量。
进一步地,步骤(2)中所述阈值,是根据控制平面硬件的处理能力和具体业务的需求,由管理人员根据情况预先设定。
本发明利用控制面板通过检测特定用户包流量是否超过阈值,对超过阈值的特定包建立带宽限制表,转发模块转发时,对特定包查表,如果能查到,则以相应带宽限制信息,对带宽进行限制。本发明既可以避免对特定包的绝对限制,允许特定包接入,又能够较好地解决用户特定包攻击的问题。
附图说明
图1是本发明实施例中涉及的网络设备的结构原理图;
图2是本发明实施例中控制平面增加带宽限制表的流程图;
图3是本发明实施例中转发平面进行带宽限制处理的流程图。
具体实施方式
下面结合附图及具体实施例对本发明所述的防止用户特定包攻击的方法,作进一步详细说明。
如图1所示,显示了网络设备中通常的结构原理图,通常网络设备上包括有控制平面和转发平面,所述转发平面能够将接收到的用户报文转发到控制平面进行处理。在本发明中,为了防止用户特定包攻击,控制平面主要实现对用户特定包的流量检测,而转发平面实现对用户报文的带宽限制,将限制带宽的用户特定包转发到控制平面。
在本发明所述的防止用户特定包攻击的方法中,分别包括在控制平面和转发平面的流程。
如图2所示,显示了控制平面增加带宽限制表的流程图,主要包括如下步骤:
(1)控制平面设置定时器,定时检测用户特定包流量,并可以记录所述的特定包流量,例如可以设置定时器的定时时间为1秒,每一秒钟进行一次报文流量检测,该定时器定时时间是可以改变的,也可以是0.5秒或2秒;
(2)根据检测结果,判断用户特定包流量是否超过设定阀值;
(3)如果检测流量超过阈值,则以源MAC地址为关键字、以限制带宽和报文类型为参数,增加带宽限制表;
(4)如果检测流量未超过阈值,则结束。
如图3所示,显示了转发平面进行带宽限制处理的流程图,主要包括如下步骤:
(1)转发平面接收到送往控制平面的用户特定包;
(2)转发平面从所述特定包中提取源MAC地址,查找带宽限制表;
(3)如果查到表,则根据特定包的报文类型对应的带宽信息,对该特定包进行带宽限制;
(4)如果查不到,则结束。
在发明中,带宽限制表是本发明新设计的表,存放在控制平面和转发平面都可以访问的共享存储区。控制平面在增加带宽限制表时,MAC地址是关键字,报文类型是参数,一张MAC表是由不同报文类型的带宽限制信息组成的,以报文类型作偏移定位到特定报文类型的信息;在转发平面查表时,以MAC地址查表,用报文类型作偏移得到相应报文的带宽限制信息。
在本发明所述的方法中,所述特定包可以具体是某一类报文,例如可以是ARP、RIP、OSPF、IGMP、PPP-ECHO、PPPOE-DISCOVERY、ICMP消息(如ping)或UDP报文等网络报文。
控制平面中流量限制的阀值,是根据控制平面硬件的处理能力和具体业务的需求,由管理人员根据情况预先设定。
应当指出的是,本发明方法对本领域普通技术人员来说,可以根据本发明的技术方案及其有益效果进行改变或替换,而所有这些改变或替换都应属于本发明的权利要求的保护范围。
Claims (5)
1.一种在网络设备上防止用户特定包攻击的方法,所述网络设备具有控制平面、以及将用户报文转发到控制平面的转发平面,其特征在于,所述方法包括如下步骤:
(1)控制平面接收用户特定包,定时检测并记录所述用户特定包的流量;
(2)当定时检测发现所述特定包的流量超过设定阀值时,控制平面以源MAC地址为关键字、以限制带宽和报文类型为参数增加带宽限制表;
(3)转发平面收到需要上送控制平面的特定包后,提取特定包中的源MAC地址和报文类型,并依据源MAC地址查找带宽限制表,如果查到,则根据报文类型获取带宽限制表中相应的限制带宽信息;
(4)转发平面根据限制带宽信息对用户特定包进行带宽限制,将所述特定包转发到控制平面。
2.如权利要求1所述的方法,其特征在于,所述特定包是ARP、或RIP、或OSPF、或IGMP、或PPP-ECHO、或PPPOE-DISCOVERY、或UDP报文。
3.如权利要求1所述的方法,其特征在于,所述带宽限制表至少包括源MAC地址、报文类型、和限制带宽信息,其由控制平面生成,存储在控制平面和转发平面都能访问的共享存储区。
4.如权利要求1所述的方法,其特征在于,步骤(1)中是利用一个定时器进行定时,在定时到达时开始检测用户特定包的流量。
5.如权利要求1所述的方法,其特征在于,步骤(2)中所述阈值,是根据控制平面硬件的处理能力和具体业务的需求,由管理人员根据情况预先设定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006101596633A CN101155034A (zh) | 2006-09-30 | 2006-09-30 | 一种在网络设备上防止用户特定包攻击的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006101596633A CN101155034A (zh) | 2006-09-30 | 2006-09-30 | 一种在网络设备上防止用户特定包攻击的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101155034A true CN101155034A (zh) | 2008-04-02 |
Family
ID=39256495
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006101596633A Pending CN101155034A (zh) | 2006-09-30 | 2006-09-30 | 一种在网络设备上防止用户特定包攻击的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101155034A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368909A (zh) * | 2012-03-30 | 2013-10-23 | 迈普通信技术股份有限公司 | 一种通信设备控制平面保护装置及方法 |
WO2014094254A1 (zh) * | 2012-12-19 | 2014-06-26 | 华为技术有限公司 | 监控网络的方法、装置及网络设备 |
CN107612907A (zh) * | 2017-09-15 | 2018-01-19 | 北京外通电子技术公司 | 虚拟专用网络vpn安全防护方法及fpga |
-
2006
- 2006-09-30 CN CNA2006101596633A patent/CN101155034A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368909A (zh) * | 2012-03-30 | 2013-10-23 | 迈普通信技术股份有限公司 | 一种通信设备控制平面保护装置及方法 |
CN103368909B (zh) * | 2012-03-30 | 2016-12-14 | 迈普通信技术股份有限公司 | 一种通信设备控制平面保护装置及方法 |
WO2014094254A1 (zh) * | 2012-12-19 | 2014-06-26 | 华为技术有限公司 | 监控网络的方法、装置及网络设备 |
CN107612907A (zh) * | 2017-09-15 | 2018-01-19 | 北京外通电子技术公司 | 虚拟专用网络vpn安全防护方法及fpga |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9621581B2 (en) | IPV6/IPV4 resolution-less forwarding up to a destination | |
Azzouni et al. | Limitations of openflow topology discovery protocol | |
US20190116220A1 (en) | Neighbor Discovery for IPV6 Switching Systems | |
CN101115006B (zh) | 三层报文转发方法及路由设备和二层交换模块 | |
CN103609089B (zh) | 一种防止附连到子网的主机上拒绝服务攻击的方法及装置 | |
WO2007035655A3 (en) | Using overlay networks to counter denial-of-service attacks | |
US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
US8830997B1 (en) | Preventing denial-of-service attacks employing broadcast packets | |
CN102014109A (zh) | 一种泛洪攻击的防范方法及装置 | |
CN101247353A (zh) | 流老化方法及网络设备 | |
Wei et al. | Counteracting UDP flooding attacks in SDN | |
CN106657126A (zh) | 检测及防御DDoS攻击的装置及方法 | |
WO2011029361A1 (zh) | 一种降低交换机中央处理器使用率的方法和装置及交换芯片 | |
CN101155034A (zh) | 一种在网络设备上防止用户特定包攻击的方法 | |
CN101552677B (zh) | 一种地址检测报文的处理方法和交换设备 | |
WO2008017255A1 (fr) | Procédé et dispositif pour réaliser une vérification de trajet inverse d'envoi individuel | |
CN112437077A (zh) | 第三方arp攻击、异常处理方法、vrrp网络及系统 | |
CN103607350A (zh) | 一种路由生成方法及装置 | |
CN112217687B (zh) | 一种实现任意IP地址ping回复的方法 | |
TW201132055A (en) | Routing device and related packet processing circuit | |
US20130246652A1 (en) | Discover IPv4 Directly Connected Host Conversations Using ARP in Distributed Routing Platforms | |
CN105635145B (zh) | Capwap dtls隧道的芯片级安全防护方法 | |
KR101188308B1 (ko) | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 | |
CN101110668A (zh) | 溯源到二层交换机端口的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20080402 |