CN101193045A - 线卡上捕获和限制数据报文速度的方法 - Google Patents
线卡上捕获和限制数据报文速度的方法 Download PDFInfo
- Publication number
- CN101193045A CN101193045A CNA2006101448345A CN200610144834A CN101193045A CN 101193045 A CN101193045 A CN 101193045A CN A2006101448345 A CNA2006101448345 A CN A2006101448345A CN 200610144834 A CN200610144834 A CN 200610144834A CN 101193045 A CN101193045 A CN 101193045A
- Authority
- CN
- China
- Prior art keywords
- speed
- speed limit
- message
- protocol
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种线卡(2)上捕获和限制数据报文速度的方法,利用网络处理器进行数据流捕获和限速,包括:依协议标准分析制定不同协议报文的限速门限;设置端口规则;端口初始化:生成限速器实例;按协议头特征字段捕获数据报文并发送给对应限速器进行处理。这种方法自定义捕获和处理规则,利用网络处理器进行数据流捕获和数据流限速,能基于线卡用户端口(21)对恶意协议报文攻击进行抑制,使恶意攻击不会影响同一个线卡上其他正常用户;对不同的协议报文分别抑制,使恶意攻击不会影响其它正常协议业务;使线卡和上层设备都减少了报文处理量,能专注于其它安全策略的实现,从而降低了整个宽带接入系统的开发难度并提高了可靠性。
Description
技术领域
本发明涉及计算机网络和宽带接入,具体涉及的是一种线卡上捕获和限制数据报文速度的方法。
背景技术
当前,由于宽带业务的多样化需求,宽带接入设备需要支持更多的功能,为此,需要处理多种协议报文,如点对点协议The Point-to-Point Protocol OverEthernet,简称PPPOE协议,动态主机配置协议Dynamic Host ConfigurationProtocol,简称DHCP协议,组管理协议Internet Group ManagementProtocol,简称IGMP协议,等等协议,来提供各种业务。然而,由于网络用户的增加和网络规模的扩大,宽带接入设备的转发能力和系统稳定性受到了日益严酷的挑战,如果网络协议报文被用于恶意攻击,当进行高速的协议包冲击时,宽带接入设备需要持续处理大量的协议报文,占用了大量的cpu资源和带宽,导致其它正常的业务功能受到很大影响,性能大大下降,并且一个异常用户会影响到同一设备上的其它用户,导致正常用户无法上线等故障,这给用户乃至运营商带来了极大的不便。
目前,协议报文在DSLAM系统中的处理流程大致如图1所示,线卡2获取协议报文后通过业务通道31上传给主控板1,由上层服务器进行进一步处理,主控板1将相应的应答消息通过业务通道31下发给线卡2,网络处理器设置在线卡2内,网络处理器可以是定制的ASIC芯片或FPGA芯片,线卡2还通过管理通道32向网管系统发送信息或接收参数设置。为了支持更多安全策略的实现,在线卡侧获取协议报文后,也需要进行一些信息提取工作,为此,线卡需要对一些协议报文进行捕获,并且发送给cpu进行处理。所以,在协议包攻击发生时,线卡的cpu,线卡到主控板的业务通道带宽,以及上层设备等资源都将受到冲击,导致系统性能下降。
目前,针对协议包攻击问题,已有的处理方法主要有以下几种:
1、在线卡侧,或称用户/业务板侧,采用多种算法对发送给主控板的报文进行限速,比如采用令牌桶算法进行限速。该方法只能有限的保障线卡到主控板之间的业务通道,但是无法保护线卡的cpu资源,同时,不能区别协议报文类型,也不能做到端口级的其他正常用户保护;
2、在线卡收发报文任务中,对上报给CPU的报文进行限制,即CPU接收报文限速,在CPU接收到的报文超过预定的报文数量时,通过对超标的报文进行流量限制或者流量整形,来保护CPU资源;该方法可以在一定程度上包括系统的CPU,但是由于无法对特定协议报文进行分类处理,无法在抑制某种恶意协议报文攻击的同时,保证其它正常业务的进行,并且不能区分问题端口和正常端口,导致连坐效应;同时上层设备不能获知受攻击的相关信息,不利于运营商的管理工作;
由以上分析可知,现有的技术存在以下缺点:1)、不能有效保证线卡cpu资源和带宽资源;2)、无法对不同的协议报文区别限速;3)、无法基于用户端口进行限速,一个异常用户会导致同一个用户板上其它用户的宽带业务;
随着网络技术的发展,目前各主流网络处理器Network Processor,简称NP,可以是定制的ASIC芯片或FPGA芯片,均提供了以下功能,据此DSLAM设备可以用来对数据流进行更多控制;
1、支持数据报文的捕获功能,可以捕获需要特殊处理的数据类型并进一步进行处理;
2、加强了数据流的分类功能,并且支持自定义数据流,用户可以通过指定数据帧特定数据段进行分类定义;
3、支持对数据流进行限速,包括对特定数据流,例如广播数据流,单播数据流,以及组播数据流进行限速,同时支持对自定义的数据流进行限速。
发明内容
本发明需要解决的技术问题是提供一种线卡上捕获和限制数据报文速度的方法,能够在数字用户线接入复用器Digital Subscribe Loop AccessMultiplexer,简称DSLAM上,利用网络处理器对协议报文进行捕获,并以此为基础对用户报文的通过进行限制和过滤以阻止高速的协议包冲击DSLAM导致系统性能下降。
本发明的上述技术问题这样解决,提供一种线卡上捕获和限制数据报文速度的方法,利用DSLAM设备中的网络处理器进行数据流捕获和数据流限速,包括以下步骤:
1.1)依协议报文国际/国内标准分析制定不同协议报文各自线卡用户端口的限速门限;
1.2)设置线卡用户端口的对应规则,包括协议头特征字段和限速门限;
1.3)端口初始化:生成不同端口和不同协议的限速器实例
1.4)在该端口按所述协议头特征字段捕获不同协议数据报文并发送给对应限速器进行处理。
按照本发明提供的方法,该方法还包括步骤:
1.5)监测到攻击发生时,网络处理器给网管系统发送包含攻击报文类型和攻击端口的信息。
按照本发明提供的方法,所述限速处理是对超过所述限速门限速度的协议报文直接丢弃。
按照本发明提供的方法,所述限速处理是仅针对低于所述限速门限速度的协议报文允许通过并发送给cpu进一步分析处理。
按照本发明提供的方法,所述步骤1.4)具体包括:
1.4.1)获取数据报文的协议头特征字段;
1.4.2)依所述协议头特征字段选择限速器;
1.4.3)所述限速器将超过限速门限的数据包丢弃,低于限速门限的数据包允许通过并提取出来交给线卡cpu进一步处理。
按照本发明提供的方法,所述数据流限速包括但不限制于采用SR2CM、TRTCM和令牌桶中的任一种限速算法进行限速。
按照本发明提供的方法,所述限速门限包括但不限制于平均限速门限和突发数据包门限。
按照本发明提供的方法,所述网络处理器可以是定制的ASIC芯片或FPGA芯片。
按照本发明提供的方法,所述协议包括但不限制于PPPOE、DHCP和IGMP协议。
按照本发明提供的方法,所述数据流限速由不同的网络处理器限速器实例执行。
按照本发明提供的方法,所述设置端口对应规则可以通过人机界面进行定义。
本发明提供的一种线卡上捕获和限制数据报文速度的方法,自定义捕获和处理规则,利用网络处理器进行数据流捕获和数据流限速,较现有方法具有以下优点:1、可以基于用户端口级对恶意协议报文攻击行为进行抑制,使恶意攻击不会影响同一个线卡上其他未发起协议报文攻击的正常用户;2、对各种不同的协议报文分别抑制,一种协议报文的恶意攻击不会影响其它协议业务;3、在DSLAM设备的底层设备线卡line card上就对恶意攻击协议报文进行终结,最大限度上保护了线卡line card上的cpu资源和上联的带宽资源;4、一旦线卡line card某个用户口受到恶意协议报文攻击,可以快速向上层设备报告受攻击的用户口信息以及攻击的报文信息,上层设备可以根据这些信息采取不同的措施,为网络运营监控提供有效的数据。5、DSLAM设备中的上层设备不需要对多余的协议报文做处理,更有利于其稳定性,并且可以将更多的资源用于优质的服务;6、通过主控板配置,可以根据组网和业务要求,灵活配置对各种协议报文配置不同的抑制门限,以适应丰富多样的实际需求;因此,线卡和上层设备都可以减少了报文处理量,并可以专注于其它安全策略的实现,从而降低了整个宽带接入系统的开发难度并提高了其可靠性。
附图说明
下面结合附图和具体实施例进一步对本发明进行详细说明。
图1是DSLAM设备处理协议报文模块。
图2是实现本发明的实施例的配置流程图。
图3是实现本发明的实施例的数据流示意图。
具体实施方式
首先,说明本发明核心关键:利用网络处理器进行数据流捕获和数据流限速,即对宽带接入设备上多种协议报文(包括PPPOE,DHCP,IGMP等协议)分别进行数据报文捕获,针对不同协议数据流,实现用户端口级的不同协议报文独立流量控制功能,对用户报文的通过进行限制和过滤。
第二步,说明本发明方法,具体包括以下步骤:
步骤A.利用网络处理器Network Processor,简称NP,具体可以是定制的ASIC芯片或FPGA芯片,提供的抓包功能,根据不同的协议报文设置协单独捕获规则,包括报文特征和报文捕获后处理行为,并将符合捕获规则的数据流定义为特定数据流flowtype;
步骤B.创建基于流flow实现的限速器,根据该协议数据的使用标准制定限速规则,包含限速门限,突发数据包门限等等,然后采用限速算法进行限速,根据实际情况,可以采用单速率双色标记Single Rate Two ColorMarking,简称SR2CM,双速率三色标记Two Rate Three Color Marking,简称TRTCM,令牌桶等限速算法。
步骤C.创建报文处理行为规则,根据系统不同的组网要求,指定报文处理行为,针对超速的协议报文可以是送给cpu进一步分析处理,或者直接将报文丢弃;同时在控制方面,在监测到攻击发生时,给网管系统发送攻击报文类型,攻击端口等信息,提供管理信息;
步骤D.将限速器应用到用户端口和指定的流flowtype,不同的协议报文根据不同的限速器实例化,并且根据不同的用户需求和协议标准对端口和协议数据流进行限速,根据NP(即定制的ASIC芯片)和FPGA所支持的功能,根据限速器所作用的用户端口位置,超速的报文将在线卡用户端口被丢弃,同时从系统资源保护的角度,越早被丢弃,系统的性能保护越安全。
步骤E.注册协议报文限速器中断服务程序,当端口收到符合限速规则的数据报文后,只有在协议报文速率在限速门限以下,才由中断服务程序将报文发送给cpu进一步处理,超过限速门限的协议报文已经在限速器被丢弃。
第三步,结合具体实例例对本发明做进一步详细的说明。
(一)限速门限:
针对不同的协议报文,国内外都有相应的标准,制定协议报文交互过程以及重发机制等规则,根据这些标准,我们可以得到正常的协议报文的发包速率,从而制定出不同协议报文的限速门限。
(二)以优选线卡为例说明数据流捕获和限速:
由于需要对上下行的报文进行截取、分析、过滤等操作,一种具体的实现方式是在DSLAM的线卡上实现数据报文捕获和数据报文限速功能。如背景资料中所介绍,结合网络处理器的数据抓捕功能和数据流限速功能实现协议报文限速。下面结合附图,重点对线卡上的实现方法进行说明。
如图2所示,在线卡上实现数据报文捕获并进行限速功能的步骤如下:
步骤A.创建基于flow实现的限速器rate limter,制定限速规则Ratelimter profile,指定限速门限;
步骤B.创建报文处理限速行为规则rate limter action profile,指定报文处理行为,对速率门限下的数据包允许通过,将超过限速门限的数据进行丢弃;
步骤C.将限速器实例化,并且应用到用户端口和步骤Dfilter中将具体定义的数据流flowtype;
步骤D.设置flter rule和subrule,设置协议报文捕获特征和报文处理行为,根据不同的协议报文,制定不同的协议头特征字段作为捕获规则,将报文处理行为制定为ratelimter,即发送给限速器处理,同时,将符合捕获规则的数据流注册为限速器指定的数据流号flowtype;
步骤E.注册协议报文捕获中断服务程序,当端口收到符合数据报文捕获规则的数据报文后,将由中断服务程序根据限速器的规则进行处理,低于限速门限的包才提取出来交给线卡cpu进一步处理,超过限速门限的协议报文将在数据层即被丢弃,保护了cpu的资源。
根据上述配置,协议报文在线卡中的处理流程如图3所示,线卡2内用户端口21收到符合filter中指定的数据流后,数据捕获的中断函数将根据rate limter中定义的门限,只将在限速门限以下的协议报文提取给线卡2的cpu进一步处理,并将通过协议限速器22限速的协议报文经桥端口23和业务通道31传送给主控板2,从而减少上层设备4的报文处理量。并且在受到攻击时,将发起攻击的用户端口21以及攻击的协议包类型等信息通过管理通道32发送给网管系统,以供用户管理。
以上步骤中,数据捕获规则和限速规则支持用户灵活修改,并且对不同的用户口和PVC端口可以实现独立配置,这些创建、设备、修改等操作可以通过宽带接入设备的配置系统的人机界面实现,从而本发明方法可以根据组网实际情况灵活配置各种协议报文的独立的限速方案,在保证各种协议业务的正常功能情况下,阻止各种恶意或者无意义的协议报文冲击,进一步增强二层交换设备的稳定性和转发性能,提高DSLAM整体交换性能,并且为上层设备减少报文处理量,进一步提高网络设备整体性能。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡依本发明的权利要求书,所作的任何修改、等同修改、改进等,均应包含在本发明要求保护范围之内。
Claims (10)
1.一种线卡(2)上捕获和限制数据报文速度的方法,其特征在于,利用DSLAM设备中的网络处理器进行数据流捕获和数据流限速,包括以下步骤:
1.1)依协议报文国际/国内标准分析制定不同协议报文各自线卡用户端口(21)的限速门限;
1.2)设置线卡用户端口的对应规则,包括协议头特征字段和限速门限;
1.3)端口(21)初始化:生成对应不同端口和不同协议的限速器实例;
1.4)在该端口按所述协议头特征字段捕获不同协议数据报文并发送给对应限速器进行处理。
2.根据权利要求1所述方法,其特征在于,该方法还包括步骤:
1.5)监测到攻击发生时,网络处理器给网管系统发送包含攻击报文类型和攻击端口的信息。
3.根据权利要求1所述方法,其特征在于,所述限速处理是对超过所述限速门限速度的协议报文直接丢弃。
4.根据权利要求1所述方法,其特征在于,所述限速处理是仅针对低于所述限速门限速度的协议报文允许通过并发送给cpu进一步分析处理。
5.根据权利要求1所述方法,其特征在于,所述步骤1.4)具体包括:
1.4.1)获取数据报文的协议头特征字段;
1.4.2)依所述协议头特征字段选择限速器;
1.4.3)所述限速器将超过限速门限的数据包丢弃,低于限速门限的数据包允许通过并提取出来交给线卡cpu进一步处理。
6.根据权利要求1所述方法,其特征在于,所述数据流限速可以采用SR2CM、TRTCM和令牌桶中的任一种限速算法进行限速。
7.根据权利要求1所述方法,其特征在于,所述限速门限包括平均限速门限和突发数据包门限。
8.根据权利要求1所述方法,其特征在于,所述网络处理器可以是定制的ASIC芯片或FPGA芯片。
9.根据权利要求1所述方法,其特征在于,所述协议包括PPPOE、DHCP和IGMP协议中的一种或多种。
10.根据权利要求1所述方法,其特征在于,所述设置端口对应规则可以通过人机界面进行定义。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006101448345A CN101193045A (zh) | 2006-11-21 | 2006-11-21 | 线卡上捕获和限制数据报文速度的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006101448345A CN101193045A (zh) | 2006-11-21 | 2006-11-21 | 线卡上捕获和限制数据报文速度的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101193045A true CN101193045A (zh) | 2008-06-04 |
Family
ID=39487807
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006101448345A Withdrawn CN101193045A (zh) | 2006-11-21 | 2006-11-21 | 线卡上捕获和限制数据报文速度的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101193045A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780488A (zh) * | 2012-10-23 | 2014-05-07 | 中国电信股份有限公司 | 广播报文处理方法和设备 |
| CN103825812A (zh) * | 2014-02-17 | 2014-05-28 | 杭州华三通信技术有限公司 | 一种网络限速装置及方法 |
| CN104298565A (zh) * | 2014-10-30 | 2015-01-21 | 北京星网锐捷网络技术有限公司 | 一种初始化端口的方法及装置 |
| CN104954134A (zh) * | 2015-05-25 | 2015-09-30 | 北京金玉衡科技有限责任公司 | 可视卡的安全通讯方法 |
| CN105591981A (zh) * | 2014-11-14 | 2016-05-18 | 中兴通讯股份有限公司 | 一种数据包的下发方法、装置及宽带接入设备 |
| CN108965005A (zh) * | 2018-07-18 | 2018-12-07 | 烽火通信科技股份有限公司 | 网络设备的自适应限速方法及其系统 |
| CN112351082A (zh) * | 2020-10-27 | 2021-02-09 | 北京健康之家科技有限公司 | Http请求报文的限流方法及装置 |
| CN112383484A (zh) * | 2020-10-19 | 2021-02-19 | 深圳市源拓光电技术有限公司 | 一种基于fpga的以太网端口流量限速系统与方法 |
| CN113489656A (zh) * | 2021-07-04 | 2021-10-08 | 芯河半导体科技(无锡)有限公司 | 网络设备中一种协议报文限速的实现方法 |
-
2006
- 2006-11-21 CN CNA2006101448345A patent/CN101193045A/zh not_active Withdrawn
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780488A (zh) * | 2012-10-23 | 2014-05-07 | 中国电信股份有限公司 | 广播报文处理方法和设备 |
| CN103780488B (zh) * | 2012-10-23 | 2018-07-06 | 中国电信股份有限公司 | 广播报文处理方法和设备 |
| CN103825812A (zh) * | 2014-02-17 | 2014-05-28 | 杭州华三通信技术有限公司 | 一种网络限速装置及方法 |
| CN104298565B (zh) * | 2014-10-30 | 2017-11-24 | 北京星网锐捷网络技术有限公司 | 一种初始化端口的方法及装置 |
| CN104298565A (zh) * | 2014-10-30 | 2015-01-21 | 北京星网锐捷网络技术有限公司 | 一种初始化端口的方法及装置 |
| CN105591981B (zh) * | 2014-11-14 | 2019-10-25 | 南京中兴软件有限责任公司 | 一种数据包的下发方法、装置及宽带接入设备 |
| WO2016074362A1 (zh) * | 2014-11-14 | 2016-05-19 | 中兴通讯股份有限公司 | 一种数据包的下发方法、装置及宽带接入设备 |
| CN105591981A (zh) * | 2014-11-14 | 2016-05-18 | 中兴通讯股份有限公司 | 一种数据包的下发方法、装置及宽带接入设备 |
| CN104954134A (zh) * | 2015-05-25 | 2015-09-30 | 北京金玉衡科技有限责任公司 | 可视卡的安全通讯方法 |
| CN108965005A (zh) * | 2018-07-18 | 2018-12-07 | 烽火通信科技股份有限公司 | 网络设备的自适应限速方法及其系统 |
| CN108965005B (zh) * | 2018-07-18 | 2021-05-14 | 烽火通信科技股份有限公司 | 网络设备的自适应限速方法及其系统 |
| CN112383484A (zh) * | 2020-10-19 | 2021-02-19 | 深圳市源拓光电技术有限公司 | 一种基于fpga的以太网端口流量限速系统与方法 |
| CN112351082A (zh) * | 2020-10-27 | 2021-02-09 | 北京健康之家科技有限公司 | Http请求报文的限流方法及装置 |
| CN113489656A (zh) * | 2021-07-04 | 2021-10-08 | 芯河半导体科技(无锡)有限公司 | 网络设备中一种协议报文限速的实现方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101193045A (zh) | 线卡上捕获和限制数据报文速度的方法 | |
| CN101188607A (zh) | 基于网络处理器的dslam设备防止协议包攻击的方法 | |
| EP3253025A1 (en) | Sdn-based ddos attack prevention method, device and system | |
| CN102447711B (zh) | 协议报文发送方法及装置 | |
| WO2008141548A1 (fr) | Procédé et dispositif de prévention d'attaque pour un équipement de réseau | |
| CN101106518B (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
| EP2587755A1 (en) | Method, apparatus and system for implementing multicast | |
| CN101286996A (zh) | 一种风暴攻击抵抗方法与装置 | |
| CN101018156A (zh) | 防止带宽型拒绝服务攻击的方法、设备及系统 | |
| EP1843624B1 (en) | Method for protecting digital subscriber line access multiplexer, DSLAM and XDSL single service board | |
| EP2073457A1 (en) | A method and apparatus for preventing igmp message attack | |
| Khanna et al. | Adaptive selective verification: An efficient adaptive countermeasure to thwart dos attacks | |
| CN100454895C (zh) | 一种通过报文处理提高网络安全性的方法 | |
| CN101340440A (zh) | 一种防御网络攻击的方法及其装置 | |
| TW201124876A (en) | System and method for guarding against dispersive blocking attacks | |
| CN1145318C (zh) | 一种因特网服务提供者安全防护的实现方法 | |
| CN101834785A (zh) | 一种实现流过滤的方法和装置 | |
| CN104160735A (zh) | 发报文处理方法、转发器、报文处理设备、报文处理系统 | |
| CN102130792A (zh) | 通信量监视系统 | |
| CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
| CN101136917B (zh) | 一种传输控制协议拦截模块及其软切换方法 | |
| CN101883050B (zh) | 一种实现业务限速的系统及方法 | |
| Khanna et al. | Adaptive selective verification | |
| CN101355567A (zh) | 一种对交换路由设备中央处理器进行安全保护的方法 | |
| CN102547714A (zh) | 一种无线局域网中防御洪泛攻击的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C04 | Withdrawal of patent application after publication (patent law 2001) | ||
| WW01 | Invention patent application withdrawn after publication |