CN101286996A - 一种风暴攻击抵抗方法与装置 - Google Patents
一种风暴攻击抵抗方法与装置 Download PDFInfo
- Publication number
- CN101286996A CN101286996A CNA2008101138047A CN200810113804A CN101286996A CN 101286996 A CN101286996 A CN 101286996A CN A2008101138047 A CNA2008101138047 A CN A2008101138047A CN 200810113804 A CN200810113804 A CN 200810113804A CN 101286996 A CN101286996 A CN 101286996A
- Authority
- CN
- China
- Prior art keywords
- message
- speed limit
- flow
- threshold value
- isolation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种风暴攻击抵抗方法与装置,通过接收并分类报文;当确定同类报文的流量大于等于预先设定的限速阈值时,丢弃所述报文。本发明实施例的方案,可以有效地抵抗风暴攻击与其它风暴攻击。在受到风暴攻击时,丢弃超过限速阈值的所有同类报文,有效地降低了CPU的利用率,使得CPU能够继续正常服务,确保了网络的正常运行。
Description
技术领域
本发明涉及计算机与通信技术领域,尤其涉及一种风暴攻击抵抗方法与装置。
背景技术
Internet控制消息协议(ICMP,Internet Control Message Protocol)是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
向目标主机长时间、连续、大量地发送ICMP数据包,会大量耗费目标主机的CPU资源,使得目标主机无法正常工作。而当目标主机为网络服务设备如交换机时,就会导致网络瘫痪。这就是通常所说的ICMP风暴攻击。
现有技术中,对于风暴攻击没有十分有效的抵抗方法
发明内容
本发明实施例提供一种风暴攻击抵抗方法与装置,用以解决现有技术中网络设备无法有效抵抗风暴攻击的问题。
一种风暴攻击抵抗方法,该方法包括:
接收并分类报文;
确定同类报文的流量大于等于预先设定的限速阈值时,丢弃所述报文。
一种风暴攻击抵抗装置,该装置包括流分类单元与限速单元,其中,
所述流分类单元,用于接收并分类报文;
所述限速单元,用于判断同类报文的流量是否大于等于预先设定的限速阈值,如果是,丢弃所述报文;否则,发送所述报文。
本发明实施例提供的风暴攻击抵抗方法与装置,通过接收并分类报文;当确定同类报文的流量大于等于预先设定的限速阈值时,丢弃所述报文。本发明实施例的方案,可以有效地抵抗风暴攻击与其它风暴攻击。在受到风暴攻击时,丢弃超过限速阈值的所有同类报文,有效地降低了CPU的利用率,使得CPU能够继续正常服务,确保了网络的正常运行。
附图说明
图1为本发明实施例1的主要实现原理流程图;
图2为本发明实施例2的主要实现原理流程图;
图3为本发明实施例提供装置的结构示意图之一;
图4为本发明实施例提供装置的结构示意图之二。
具体实施方式
本发明实施例提供了一种使网络设备能够抵抗风暴攻击的方法与装置,使网络在风暴攻击下依然能够提供正常服务,并能够主动隔离攻击源。本发明的技术点包括:报文流分类、设置策略、限速和隔离保护、设置特权用户以及通知网络管理等方法。
本发明实施例所指的风暴攻击为ICMP风暴攻击或其它任何相类似的风暴攻击,下面结合各个附图,以ICMP风暴攻击为例对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。
如图1所示,本发明实施例1的主要实现原理流程如下:
步骤11,接收并分类报文。
在网络通信中,网络设备会接收到各种报文,这些报文可以分为不同的种类,也就是采用一定的分类规则识别出符合某类特征的报文。分类规则指管理员根据管理需求配置的过滤规则。分类规则包括:根据报文类型分类、根据报文源分类、根据报文所属用户分类和/或根据报文头的协议号分类。其中,根据报文源分类是指根据报文源MAC、源IP地址等信息分类报文,根据报文所属用户分类是指根据发出或接收报文的用户来分类报文。
依据报文的类型,可以将报文分为ARP,IPv4,IPv6,other四大类。在这四大类的基础上,还可以继续细分到用户的粒度,如IPv4报文中还可以根据源MAC、源IP地址等相关信息来确定出某用户的IPv4报文。更细的分类还可以根据IPv4报文头部的协议号来确定出某用户的各种协议报文。
在本发明实施例中,可以利用IPv4报文头部的协议号来分离出ICMP报文,用户的识别可以是基于源IP,也可以是基于源MAC等。
步骤12,确定同类报文的流量大于等于预先设定的限速阈值时,丢弃所述报文。
当在规定时间内接收到的某用户的ICMP报文数量大于等于预先设定的限速阈值时,认为同类报文的流量大于等于预先设定的限速阈值,就会将超过阈值后到来的ICMP报文丢弃,这就是限速保护。进一步的,虽然将ICMP报文丢弃了,但队列的统计值依然在增加。如果这个统计值大于等于预先设定的攻击阈值,就会对该用户实施隔离,在隔离时间内不再接受该用户的ICMP报文。这里的限速阈值、攻击阈值、隔离时间都是预先根据需要设定,并可以根据需要进行调整。
本实施例中,经过分类的ICMP报文流可以放入相应的队列中。队列维护着ICMP报文流对应的策略信息,包括限速阈值、攻击阈值、隔离时间等。这些策略信息可以有效避免CPU资源过多的浪费在攻击报文上,保证其处理正常的控制管理等报文,同时限速阈值和攻击阈值还可以让管理员根据网络的实际情况进行调控。在队列中会对每个用户的ICMP流量进行统计。然后将统计值与策略值进行比较,以决定是否实施限速或者隔离。
较佳地,本实施例的保护方案还可以分为软件保护和硬件保护两类,硬件保护在前,软件保护在后,或者单独用硬件保护或软件保护。在硬件支持的条件下,可以将隔离功能转移到硬件上实现,这样以减少软件隔离,可以在少占用资源的情况下更高效的执行保护。
本实施例还考虑到有特殊需求的特权用户,不能像普通用户那样进行限速和隔离,于是增加了一个特权用户的角色。特权用户不受限制,它发送的ICMP报文将直接送给CPU进行发送处理。
本实施例还可以支持网络管理,在确定发生限速或隔离后,可以向网络管理发送攻击信息。这里的网络管理可以是网络管理软件、网络管理服务器或者其它网络管理员可操作的网络设备。网络管理员可以配置一个snmp服务器地址,当检测到某个用户的ICMP流量大于攻击阈值时,设备就会向该地址发送这个攻击消息。这样网络管理员就可以利用软件实时跟踪网络中的攻击消息。
较佳地,如图2所示,为本发明实施例2的主要实现原理流程,本实施例中,以用户为分类粒度来分类ICMP报文,其流程如下:
步骤21,报文流经过流分类后分离出ICMP报文。
步骤22,检查该ICMP报文的源IP地址,判断该IP是否已经被隔离,如果该IP已被隔离,执行步骤26,直接丢弃该报文;否则,将该源IP地址的对应的ICMP报文统计值加1,执行步骤23。
步骤23,检查该ICMP报文的源IP地址,判断是否为特权用户,如果为特权用户,执行步骤25,直接送CPU发送处理;否则执行步骤24。
步骤24,判断该ICMP报文所属用户的IP是否应该被限速或隔离,方法为:检查该ICMP报文的源IP对应的ICMP报文统计值,如果这个统计值小于设置的限速阈值或隔离阈值,则执行步骤25,将报文送给CPU发送处理;否则,执行步骤26。
步骤25,将该ICMP报文发送CPU进行处理。
步骤26,丢弃该ICMP报文。
如果步骤24中,判断该ICMP报文所属用户的IP被隔离,也就是说,统计值大于设置的攻击阈值,则还需要将隔离该用户,并且向snmp服务器发送攻击消息。
较佳地,上述步骤23,可以位于上述流程中的任意位置,也就是说,可以在执行该流程的任意时间判断报文所属用户是否为特权用户,如果是,直接交由CPU发送处理,否则,再执行其余相应操作。
相应地,本发明实施例还提供了一种风暴攻击抵抗装置,如图3所示,该装置包括流分类单元31与限速单元32,具体如下:
流分类单元31,用于接收并分类报文;
限速单元32,用于判断同类报文的流量是否大于等于预先设定的限速阈值,如果是,丢弃所述报文;否则,发送所述报文。
较佳地,如图4所示,如上所述的装置进一步包括隔离单元33,用于判断同类报文的流量是否大于等于预先设定的隔离阈值,如果是,隔离同类报文;否则,发送所述报文。
较佳地,上述装置进一步包括特权用户判断单元,用于判断报文所属用户是否为预先设定的特权用户,如果是,直接发送该报文;否则,执行其余相应操作。
较佳地,如上所述的装置进一步包括通知单元34,用于在确定同类报文的流量大于等于预先设定的限速阈值和/或隔离阈值时,通知网络管理。这里的网络管理可以使网络管理服务器或网络管理员。
本发明实施例可以有效地抵抗ICMP风暴攻击。在受到ICMP风暴攻击时,丢弃了超过限速阈值的所有ICMP报文,隔离了超过攻击阈值的用户,有效地降低了CPU的利用率,使得CPU能够继续正常服务。并且,本发明实施例方案基于源IP进行ICMP流量统计,可以主动隔离攻击源,直接丢弃该源IP发送的ICMP报文。这样一来,即使攻击源持续不断地进行ICMP报文攻击,也不会占用设备的CPU。
本发明实施例方案允许管理员自行设置策略值。这样就可以根据设备所处的网络环境设置适宜的策略值,以适应不同的网络环境需求。本发明实施例方案还考虑到有些可信任的用户的确需要发送较多的ICMP报文,可以将这些用户设置为特权用户,避免这些用户的正常活动无法进行,或者为满足这些用户的需要而设置的较大阈值,影响抵抗效果。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (9)
1、一种风暴攻击抵抗方法,其特征在于,该方法包括:
接收并分类报文;
确定同类报文的流量大于等于预先设定的限速阈值时,丢弃所述报文。
2、如权利要求1所述的方法,其特征在于,所述接收并分类报文,包括:
接收报文,并按照预先设定的分类规则对所述报文进行分类;
所述分类规则包括:根据报文类型分类、根据报文源分类、根据报文所属用户分类和/或根据报文头的协议号分类。
3、如权利要求2所述的方法,其特征在于,所述方法进一步包括:
确定同类报文的流量大于等于预先设定的隔离阈值时,隔离同类报文。
4、如权利要求3所述的方法,其特征在于,所述隔离同类报文,进一步包括:
预先设定隔离时间,在隔离时间内隔离后续接收到的同类报文。
5、如权利要求1~4任一所述的方法,其特征在于,包括:
确定同类报文的流量大于等于预先设定的限速阈值和/或隔离阈值时,通知网络管理。
6、如权利要求5所述的方法,其特征在于,该方法还包括:
判断所述报文是否为特权用户发送,如果是,发送所述报文;否则,丢弃所述报文和/或隔离同类报文。
7、一种风暴攻击抵抗装置,其特征在于,该装置包括流分类单元与限速单元,其中,
所述流分类单元,用于接收并分类报文;
所述限速单元,用于判断同类报文的流量是否大于等于预先设定的限速阈值,如果是,丢弃所述报文;否则,发送所述报文。
8、如权利要求7所述的装置,其特征在于,该装置进一步包括隔离单元,用于判断同类报文的流量是否大于等于预先设定的隔离阈值,如果是,隔离同类报文;否则,发送所述报文。
9、如权利要求7或8所述的装置,其特征在于,该装置进一步包括通知单元,用于在确定同类报文的流量大于等于预先设定的限速阈值和/或隔离阈值时,通知网络管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101138047A CN101286996A (zh) | 2008-05-30 | 2008-05-30 | 一种风暴攻击抵抗方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101138047A CN101286996A (zh) | 2008-05-30 | 2008-05-30 | 一种风暴攻击抵抗方法与装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101286996A true CN101286996A (zh) | 2008-10-15 |
Family
ID=40058963
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008101138047A Pending CN101286996A (zh) | 2008-05-30 | 2008-05-30 | 一种风暴攻击抵抗方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101286996A (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895446A (zh) * | 2010-08-11 | 2010-11-24 | 广东省电力调度中心 | 广播风暴的检测方法与装置 |
| CN102223261A (zh) * | 2011-05-17 | 2011-10-19 | 中兴通讯股份有限公司 | 一种针对报文进行采样的方法及装置 |
| CN102547714A (zh) * | 2011-12-28 | 2012-07-04 | 福建三元达通讯股份有限公司 | 一种无线局域网中防御洪泛攻击的方法 |
| CN102025483B (zh) * | 2009-09-17 | 2012-07-04 | 国基电子(上海)有限公司 | 无线路由器及利用该无线路由器预防恶意扫描的方法 |
| CN102833268A (zh) * | 2012-09-17 | 2012-12-19 | 福建星网锐捷网络有限公司 | 抵抗无线网络泛洪攻击的方法、设备及系统 |
| CN102833364A (zh) * | 2012-08-22 | 2012-12-19 | 深圳市共进电子股份有限公司 | 一种域名解析代理方法及网关设备 |
| CN103166784A (zh) * | 2011-12-14 | 2013-06-19 | 中兴通讯股份有限公司 | 抑制snmp报文冲击的方法与装置 |
| CN103181128A (zh) * | 2010-10-28 | 2013-06-26 | 日本电气株式会社 | 网络系统和通信业务控制方法 |
| CN103812687A (zh) * | 2012-11-15 | 2014-05-21 | 华为技术有限公司 | 处理器的防护方法和设备 |
| CN104486340A (zh) * | 2014-12-16 | 2015-04-01 | 上海斐讯数据通信技术有限公司 | 防御数据流攻击的方法及系统 |
| CN104780060A (zh) * | 2015-03-09 | 2015-07-15 | 青岛海信网络科技股份有限公司 | 一种应用于信号机的控制数据链路通断方法及装置 |
| CN106790299A (zh) * | 2017-03-20 | 2017-05-31 | 京信通信技术(广州)有限公司 | 一种在无线接入点ap上应用的无线攻击防御方法和装置 |
| CN107659512A (zh) * | 2017-10-18 | 2018-02-02 | 盛科网络(苏州)有限公司 | 一种处理网卡报文的方法和装置 |
| CN109672545A (zh) * | 2017-10-16 | 2019-04-23 | 中兴通讯股份有限公司 | 一种处理链路检测报文的方法、装置、设备及存储介质 |
| CN110224947A (zh) * | 2019-06-05 | 2019-09-10 | 东软集团股份有限公司 | 一种多核转发系统中的报文处理方法、装置及设备 |
| CN110519301A (zh) * | 2019-09-25 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种攻击检测方法及装置 |
| CN116155827A (zh) * | 2023-01-17 | 2023-05-23 | 中国联合网络通信集团有限公司 | 数据传输方法、装置、路由器、电子设备和存储介质 |
-
2008
- 2008-05-30 CN CNA2008101138047A patent/CN101286996A/zh active Pending
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025483B (zh) * | 2009-09-17 | 2012-07-04 | 国基电子(上海)有限公司 | 无线路由器及利用该无线路由器预防恶意扫描的方法 |
| CN101895446B (zh) * | 2010-08-11 | 2012-04-11 | 广东省电力调度中心 | 广播风暴的检测方法与装置 |
| CN101895446A (zh) * | 2010-08-11 | 2010-11-24 | 广东省电力调度中心 | 广播风暴的检测方法与装置 |
| CN103181128A (zh) * | 2010-10-28 | 2013-06-26 | 日本电气株式会社 | 网络系统和通信业务控制方法 |
| CN102223261A (zh) * | 2011-05-17 | 2011-10-19 | 中兴通讯股份有限公司 | 一种针对报文进行采样的方法及装置 |
| CN103166784A (zh) * | 2011-12-14 | 2013-06-19 | 中兴通讯股份有限公司 | 抑制snmp报文冲击的方法与装置 |
| CN102547714A (zh) * | 2011-12-28 | 2012-07-04 | 福建三元达通讯股份有限公司 | 一种无线局域网中防御洪泛攻击的方法 |
| CN102833364A (zh) * | 2012-08-22 | 2012-12-19 | 深圳市共进电子股份有限公司 | 一种域名解析代理方法及网关设备 |
| CN102833268B (zh) * | 2012-09-17 | 2015-03-11 | 福建星网锐捷网络有限公司 | 抵抗无线网络泛洪攻击的方法、设备及系统 |
| CN102833268A (zh) * | 2012-09-17 | 2012-12-19 | 福建星网锐捷网络有限公司 | 抵抗无线网络泛洪攻击的方法、设备及系统 |
| CN103812687B (zh) * | 2012-11-15 | 2017-12-15 | 华为技术有限公司 | 处理器的防护方法和设备 |
| CN103812687A (zh) * | 2012-11-15 | 2014-05-21 | 华为技术有限公司 | 处理器的防护方法和设备 |
| CN104486340A (zh) * | 2014-12-16 | 2015-04-01 | 上海斐讯数据通信技术有限公司 | 防御数据流攻击的方法及系统 |
| CN104486340B (zh) * | 2014-12-16 | 2018-02-06 | 上海斐讯数据通信技术有限公司 | 防御数据流攻击的方法及系统 |
| CN104780060A (zh) * | 2015-03-09 | 2015-07-15 | 青岛海信网络科技股份有限公司 | 一种应用于信号机的控制数据链路通断方法及装置 |
| CN104780060B (zh) * | 2015-03-09 | 2018-11-30 | 青岛海信网络科技股份有限公司 | 一种应用于信号机的控制数据链路通断方法及装置 |
| CN106790299A (zh) * | 2017-03-20 | 2017-05-31 | 京信通信技术(广州)有限公司 | 一种在无线接入点ap上应用的无线攻击防御方法和装置 |
| CN106790299B (zh) * | 2017-03-20 | 2020-06-23 | 京信通信系统(中国)有限公司 | 一种在无线接入点ap上应用的无线攻击防御方法和装置 |
| CN109672545A (zh) * | 2017-10-16 | 2019-04-23 | 中兴通讯股份有限公司 | 一种处理链路检测报文的方法、装置、设备及存储介质 |
| CN109672545B (zh) * | 2017-10-16 | 2022-04-15 | 中兴通讯股份有限公司 | 一种处理链路检测报文的方法、装置、设备及存储介质 |
| CN107659512A (zh) * | 2017-10-18 | 2018-02-02 | 盛科网络(苏州)有限公司 | 一种处理网卡报文的方法和装置 |
| CN110224947A (zh) * | 2019-06-05 | 2019-09-10 | 东软集团股份有限公司 | 一种多核转发系统中的报文处理方法、装置及设备 |
| CN110519301A (zh) * | 2019-09-25 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种攻击检测方法及装置 |
| CN116155827A (zh) * | 2023-01-17 | 2023-05-23 | 中国联合网络通信集团有限公司 | 数据传输方法、装置、路由器、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101286996A (zh) | 一种风暴攻击抵抗方法与装置 | |
| WO2021008028A1 (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| EP3253025B1 (en) | Sdn-based ddos attack prevention method, device and system | |
| KR101900154B1 (ko) | DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치 | |
| Feng et al. | BLUE: A new class of active queue management algorithms | |
| CN101106518B (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
| US9819590B2 (en) | Method and apparatus for notifying network abnormality | |
| US7729271B2 (en) | Detection method for abnormal traffic and packet relay apparatus | |
| CN101060531B (zh) | 网络设备攻击防范的方法和装置 | |
| TWI495301B (zh) | 控制封包的階層式速率限制 | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| EP1592197B1 (en) | Network amplification attack mitigation | |
| US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
| US20090240804A1 (en) | Method and apparatus for preventing igmp packet attack | |
| CN103200123A (zh) | 一种交换机端口安全控制方法 | |
| CN102882894A (zh) | 一种识别攻击的方法及装置 | |
| WO2017035717A1 (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| EP3292665A1 (en) | Reducing traffic overload in software defined network | |
| WO2017143897A1 (zh) | 一种攻击处理方法、设备及系统 | |
| CN102510385A (zh) | 防ip数据报分片攻击的方法 | |
| Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
| JP2010538551A (ja) | Ipネットワーク上のipリンクの接続性状態を自動的に確認するための方法およびシステム | |
| CN107612937B (zh) | 一种sdn网络下对dhcp泛洪攻击的检测与防御方法 | |
| CN102984031A (zh) | 一种使编码设备安全接入监控网络的方法和装置 | |
| US20130081131A1 (en) | Communication system, communication device, server, and communication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Zhou Jian Document name: Notification of Passing Examination on Formalities |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20081015 |