CN101426014A - 防止组播源攻击的方法及系统 - Google Patents
防止组播源攻击的方法及系统 Download PDFInfo
- Publication number
- CN101426014A CN101426014A CNA2008102279362A CN200810227936A CN101426014A CN 101426014 A CN101426014 A CN 101426014A CN A2008102279362 A CNA2008102279362 A CN A2008102279362A CN 200810227936 A CN200810227936 A CN 200810227936A CN 101426014 A CN101426014 A CN 101426014A
- Authority
- CN
- China
- Prior art keywords
- multicast
- unknown
- multicast message
- packets
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止组播源攻击的方法,包括:专用集成电路芯片的端口接收组播源发来的组播报文;判断该组播报文是否为未知组播报文,若该组播报文为已知组播报文,将该已知组播报文上送组播协议进程处理,结束当前处理流程;若该组播报文为未知组播报文,则记录该未知组播报文,并将接收该未知组播报文的端口的计数器加1;判断计数器记录的端口接收的未知组播报文的个数是否超过预设阈值,若未超过阈值,则将该当前接收的未知组播报文上送组播协议进程处理;否则,将当前接收的未知组播报文丢弃,结束当前处理流程。本发明还公开了一种防止组播源攻击的系统。采用本发明的方法及系统,能有效预防组播源的攻击,最终提高CPU的资源利用率。
Description
技术领域
本发明涉及网络通信中的防范网络攻击技术,尤其涉及一种防止组播源攻击的方法及系统。
背景技术
随着互联网协议(IP)网络的高速发展,组播技术的应用也越来越广泛。现有的组播网络中,中高端网络交换路由设备基本上都采用专用集成电路(ASIC)硬件转发与CPU软件处理相结合的架构。在对组播报文的处理上,CPU先运行组播协议生成组播路由表,并将组播路由表保存到底层的ASIC芯片中,之后组播源发送的组播报文按照ASIC中保存的组播路由表进行转发。但是,ASIC芯片的硬件资源非常有限,不能保存大量的组播路由表表项。如果有组播源恶意地发送组播报文,且CPU在处理这些组播报文时生成对应的组播路由表表项,并将所生成的组播路由表表项均写入组播路由表,就会导致组播路由表被这些无效的组播路由表表项占满。当有新的组播源发送组播报文时,组播路由表就无法保存新的组播路由表表项,从而会导致新的组播报文丢失。可见,防止组播源的恶意攻击成为网络设备中急需解决的重要问题。
为防止组播源的恶意攻击,现有技术主要有以下几种解决方式:
1、采用访问控制列表(ACL)来限制对特定组播地址发送组播报文的组播源的地址范围,进而控制发送组播报文的组播源。但是,网络设备中的ACL是静态的,当需要更改对组播源的限制时,则需要人工参与,因而此方法不适合组播网络对组播源的自动实时管理。
2、采用组播源认证服务器对组播源进行实时控制管理。此方法需要在组播网络的接入层中增加新的网络设备,还要求操作人员熟悉设备的控制管理,因而增加了网络的成本以及组网的复杂度。
由以上分析可知,现有技术还未能充分、有效地利用现有网络设备来防止组播源对组播系统的恶意攻击。
发明内容
有鉴于此,本发明的主要目的在于提供一种防止组播源攻击的方法及系统,阻止生成过多的与未知组播报文对应的组播路由表表项,进而有效预防组播源的攻击。
为达到上述目的,本发明的技术方案是这样实现的:
一种防止组播源攻击的方法,其包括:
专用集成电路芯片的端口接收组播源发来的组播报文;
判断所接收的组播报文是否为未知组播报文,若所述组播报文为已知组播报文,则将已知组播报文上送组播协议进程处理,结束当前处理流程;
若所述组播报文为未知组播报文,则记录所述未知组播报文,并将接收所述未知组播报文的端口的计数器加1;判断所述计数器记录的端口接收的未知组播报文的个数是否超过预设阈值,若未超过阈值,则将当前接收的未知组播报文上送组播协议进程处理,否则,将当前接收的未知组播报文丢弃。
其中,所述判断组播报文是否为未知组播报文具体为:将当前接收到的组播报文的关键字与已记录的组播报文的关键字进行匹配。
其中,所述记录未知组播报文具体为:记录所述未知组播报文的关键字。
其中,所述关键字包括组播报文的源地址、组播报文的目的组地址以及接收该组播报文的端口。
其中,所述阈值为每个端口允许接收的未知组播报文的最大个数。
其中,所述防止组播源攻击的方法还包括:
设置定时器;
定时器时间到时,遍历专用集成电路芯片端口的计数器;
判断所述计数器的自动清零使能开关是否开启,若所述计数器的自动清零使能开关开启,则该计数器清零;若所述计数器的自动清零使能开关未开启,则该计数器不清零。
其中,所述定时器为1秒定时器。
一种防止组播源攻击的系统,其包括:
组播报文类型判断模块,用于判断专用集成电路芯片的端口接收的组播报文是否为未知组播报文,并将判断结果送至组播报文记录模块或未知组播报文处理模块;
组播报文记录模块,用于根据组播报文类型判断模块的判断结果记录未知组播报文;
计数器,用于记录所述计数器对应的端口接收的未知组播报文的个数;
未知组播报文数目比较模块,用于比较所述计数器记录的端口接收的未知组播报文的个数与预设的阈值,并将比较结果送至未知组播报文处理模块;
未知组播报文处理模块,用于根据收到的比较模块的比较结果,决定将未知组播报文丢弃或者上送组播协议进程处理;或者用于根据组播报文类型判断模块的判断结果,将已知组播报文上送组播协议进程处理。
其中,所述系统还包括定时器,用于决定是否将计数器清零。
其中,所述定时器为1秒定时器。
由以上技术方案可以看出,本发明通过监控一定时间内在ASIC芯片端口上接收的未知组播报文的数目,并将该未知组播报文的数目与预设的阈值进行比较,来判断源网段是否存在恶意的组播源攻击,从而保护组播系统。如果某一端口上接收的未知组播报文的数目超过了预设的阈值,则丢弃数目超过阈值的那部分未知组播报文,相应地,CPU也就不会生成对应这部分未知组播报文的组播路由表表项,因此不会占用大量的CPU资源,从而减少未知组播报文对CPU的攻击,提高CPU资源的有效利用率。综上所述,与现有技术相比,本发明更有效地预防了组播源对组播系统的攻击,简化了组网的复杂度,加强了对网络设备的保护。
附图说明
图1为本发明防止组播源攻击的方法的实现流程图;
图2为本发明定时器的处理流程图。
具体实施方式
为使本发明所属技术领域的技术人员更清楚地了解本发明,现结合附图详细说明。
本发明方法的基本思想是:通过控制进入ASIC芯片端口的未知组播报文的个数来防止组播源攻击。
本发明方法的实现流程如图1所示,包括以下步骤:
步骤101,组播源发送组播报文,ASIC芯片的端口接收该组播报文。
步骤102,判断该组播报文是否为未知组播报文;
该步骤的具体实现过程为:首先提取该组播报文的关键字,所述关键字包括:组播报文的源地址(source)、组播报文的目的组地址(group)以及接收该组播报文的端口(port),然后将所提取的组播报文的这些关键字与之前已记录的组播报文的关键字进行匹配。其中,需将组播报文的源地址、目的组地址以及接收端口均匹配上才能确定其是已知组播报文,这样处理的目的是为了防止源网段不断出现新的源地址对组播系统进行攻击,从而提高组播系统的安全性。
步骤103,若该组播报文的关键字与已记录的某一组播报文的关键字匹配,则该组播报文为已知组播报文,因此将该已知组播报文直接上送组播协议进程处理,之后结束当前处理流程;
其中,所述上送组播协议进程处理具体是:将其按照已有的组播路由表进行转发,或者由CPU进行其他处理,具体如何转发、CPU如何进行其他处理为已有技术,这里不再赘述。
步骤104,若该组播报文的关键字与已记录的任一组播报文的关键字均不匹配,则该组播报文为未知组播报文,因此记录该未知组播报文,并将接收该未知组播报文的端口的计数器加1;
这里,所述计数器是为了对端口接收的未知组播报文进行计数而预先设置的,对于每个端口,都要设置相应的计数器;
记录未知组播报文具体为:记录该未知组播报文的关键字,即记录该未知组播报文的源地址、组播报文的目的组地址以及接收端口。
步骤105~106,判断上述计数器记录的端口接收的未知组播报文的个数是否超过预设的阈值;若未超过阈值,则返回步骤103,将该未知组播报文上送组播协议进程处理,生成与其对应的组播路由表表项;否则,将该未知组播报文丢弃,结束当前处理流程。
其中,该阈值为每个端口允许接收的未知组播报文的最大个数,其可根据组网规模以及用户规模确定。
由以上分析可知,假设某一端口允许接收的未知组播报文的最大个数为500个,则从501个开始未知组播报文将都被丢弃,而不会被上送组播协议进程处理,也不会生成相应的组播路由表表项。因此,为了控制是否要永远禁止超过预设阈值的未知组播报文进入,本发明防止组播源攻击的方法还包括以下步骤:设置定时器。相应地,定时器处理流程如图2所示,包括以下步骤:
步骤201,当定时器时间到时,遍历ASIC芯片所有端口的计数器;
步骤202~204,判断每个计数器的自动清零使能开关是否开启,若计数器的自动清零使能开关开启,则该计数器清零;若计数器的自动清零使能开关未开启,则该计数器不清零。
其中,采用的定时器较佳为1秒定时器,这样即可瞬时判断端口的计数器是否清零。
如果计数器清零,则在下一定时时间开始后将立即重新计数。因此,如果在某一定时时间内未知组播报文的个数过多,超过预设的阈值,也不会影响下一定时时间内端口对未知组播报文的接收。
如果计数器不清零,若在某一定时时间内未知组播报文的个数过多,超过预设的阈值,则以后组播源发送来的未知组播报文都将被丢弃,而不会被上送组播协议处理。
为实现上述方法,本发明还提出了一种防止组播源攻击的系统,包括:
组播报文类型判断模块,用于判断专用集成电路芯片的端口接收的组播报文是否为未知组播报文,并将判断结果送至组播报文记录模块或未知组播报文处理模块;
组播报文记录模块,用于根据组播报文类型判断模块的判断结果记录未知组播报文;
计数器,用于记录计数器对应的端口接收的未知组播报文的个数;
未知组播报文数目比较模块,用于比较上述计数器记录的端口接收的未知组播报文的个数与预设的阈值,并将比较结果送至未知组播报文处理模块;
未知组播报文处理模块,用于根据收到的比较模块的比较结果,决定将未知组播报文丢弃或者上送组播协议进程处理,生成与其对应的组播路由表表项;或者用于根据组播报文类型判断模块的判断结果,将已知组播报文上送组播协议进程处理。
为了使上述系统能实现定时自动清零功能,使端口能够接收更多的未知组播报文,上述系统还可包括定时器,用于决定当定时器时间到时,是否将计数器清零。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1、一种防止组播源攻击的方法,其特征在于,该方法包括:
专用集成电路芯片的端口接收组播源发来的组播报文;
判断所接收的组播报文是否为未知组播报文,若所述组播报文为已知组播报文,则将已知组播报文上送组播协议进程处理,结束当前处理流程;
若所述组播报文为未知组播报文,则记录所述未知组播报文,并将接收所述未知组播报文的端口的计数器加1;判断所述计数器记录的端口接收的未知组播报文的个数是否超过预设阈值,若未超过阈值,则将当前接收的未知组播报文上送组播协议进程处理,否则,将当前接收的未知组播报文丢弃。
2、根据权利要求1所述的防止组播源攻击的方法,其特征在于,所述判断组播报文是否为未知组播报文具体为:将当前接收到的组播报文的关键字与已记录的组播报文的关键字进行匹配。
3、根据权利要求1所述的防止组播源攻击的方法,其特征在于,所述记录未知组播报文具体为:记录所述未知组播报文的关键字。
4、根据权利要求2或3所述的防止组播源攻击的方法,其特征在于,所述关键字包括组播报文的源地址、组播报文的目的组地址以及接收该组播报文的端口。
5、根据权利要求1所述的防止组播源攻击的方法,其特征在于,所述阈值为每个端口允许接收的未知组播报文的最大个数。
6、根据权利要求1所述的防止组播源攻击的方法,其特征在于,该方法还包括:
设置定时器;
定时器时间到时,遍历专用集成电路芯片端口的计数器;
判断所述计数器的自动清零使能开关是否开启,若所述计数器的自动清零使能开关开启,则该计数器清零;若所述计数器的自动清零使能开关未开启,则该计数器不清零。
7、根据权利要求6所述的防止组播源攻击的方法,其特征在于,所述定时器为1秒定时器。
8、一种防止组播源攻击的系统,其特征在于,该系统包括:
组播报文类型判断模块,用于判断专用集成电路芯片的端口接收的组播报文是否为未知组播报文,并将判断结果送至组播报文记录模块或未知组播报文处理模块;
组播报文记录模块,用于根据组播报文类型判断模块的判断结果记录未知组播报文;
计数器,用于记录所述计数器对应的端口接收的未知组播报文的个数;
未知组播报文数目比较模块,用于比较所述计数器记录的端口接收的未知组播报文的个数与预设的阈值,并将比较结果送至未知组播报文处理模块;
未知组播报文处理模块,用于根据收到的比较模块的比较结果,决定将未知组播报文丢弃或者上送组播协议进程处理;或者用于根据组播报文类型判断模块的判断结果,将已知组播报文上送组播协议进程处理。
9、根据权利要求8所述的防止组播源攻击的系统,其特征在于,所述系统还包括定时器,用于决定是否将计数器清零。
10、根据权利要求9所述的防止组播源攻击的系统,其特征在于,所述定时器为1秒定时器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810227936 CN101426014B (zh) | 2008-12-02 | 2008-12-02 | 防止组播源攻击的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810227936 CN101426014B (zh) | 2008-12-02 | 2008-12-02 | 防止组播源攻击的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101426014A true CN101426014A (zh) | 2009-05-06 |
| CN101426014B CN101426014B (zh) | 2013-04-03 |
Family
ID=40616344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810227936 Expired - Fee Related CN101426014B (zh) | 2008-12-02 | 2008-12-02 | 防止组播源攻击的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101426014B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098285A (zh) * | 2010-12-14 | 2011-06-15 | 成都市华为赛门铁克科技有限公司 | 一种防范钓鱼攻击的方法及装置 |
| CN102394813A (zh) * | 2011-10-28 | 2012-03-28 | 杭州华三通信技术有限公司 | 一种组播路由表项管理方法和路由器 |
| CN101662425B (zh) * | 2009-09-17 | 2012-07-04 | 中兴通讯股份有限公司 | 一种检测访问控制列表生效的方法和装置 |
| CN103368850A (zh) * | 2013-07-16 | 2013-10-23 | 杭州华三通信技术有限公司 | 一种目的未知单播报文的处理方法和设备 |
| CN103607392A (zh) * | 2010-12-14 | 2014-02-26 | 华为数字技术(成都)有限公司 | 一种防范钓鱼攻击的方法及装置 |
| CN106302188A (zh) * | 2015-05-18 | 2017-01-04 | 中兴通讯股份有限公司 | 一种交换机设备的组播报文转发控制方法及装置 |
| CN107645452A (zh) * | 2016-07-20 | 2018-01-30 | 中兴通讯股份有限公司 | 一种未知组播报文的处理方法和装置 |
| CN113572698A (zh) * | 2021-06-29 | 2021-10-29 | 青岛海尔科技有限公司 | 组播组容量的测试方法和装置、存储介质及电子装置 |
| CN115987920A (zh) * | 2022-12-23 | 2023-04-18 | 南京盛科通信有限公司 | 一种bier组播报文的处理方法及装置 |
| CN116155827A (zh) * | 2023-01-17 | 2023-05-23 | 中国联合网络通信集团有限公司 | 数据传输方法、装置、路由器、电子设备和存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100499587C (zh) * | 2006-01-10 | 2009-06-10 | 杭州华三通信技术有限公司 | 交换设备及其防止流量冲击的报文处理方法 |
-
2008
- 2008-12-02 CN CN 200810227936 patent/CN101426014B/zh not_active Expired - Fee Related
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101662425B (zh) * | 2009-09-17 | 2012-07-04 | 中兴通讯股份有限公司 | 一种检测访问控制列表生效的方法和装置 |
| CN102098285A (zh) * | 2010-12-14 | 2011-06-15 | 成都市华为赛门铁克科技有限公司 | 一种防范钓鱼攻击的方法及装置 |
| CN102098285B (zh) * | 2010-12-14 | 2013-12-04 | 华为数字技术(成都)有限公司 | 一种防范钓鱼攻击的方法及装置 |
| CN103607392A (zh) * | 2010-12-14 | 2014-02-26 | 华为数字技术(成都)有限公司 | 一种防范钓鱼攻击的方法及装置 |
| CN102394813B (zh) * | 2011-10-28 | 2014-12-24 | 杭州华三通信技术有限公司 | 一种组播路由表项管理方法和路由器 |
| CN102394813A (zh) * | 2011-10-28 | 2012-03-28 | 杭州华三通信技术有限公司 | 一种组播路由表项管理方法和路由器 |
| CN103368850A (zh) * | 2013-07-16 | 2013-10-23 | 杭州华三通信技术有限公司 | 一种目的未知单播报文的处理方法和设备 |
| CN103368850B (zh) * | 2013-07-16 | 2016-12-28 | 杭州华三通信技术有限公司 | 一种目的未知单播报文的处理方法和设备 |
| CN106302188A (zh) * | 2015-05-18 | 2017-01-04 | 中兴通讯股份有限公司 | 一种交换机设备的组播报文转发控制方法及装置 |
| CN107645452A (zh) * | 2016-07-20 | 2018-01-30 | 中兴通讯股份有限公司 | 一种未知组播报文的处理方法和装置 |
| CN113572698A (zh) * | 2021-06-29 | 2021-10-29 | 青岛海尔科技有限公司 | 组播组容量的测试方法和装置、存储介质及电子装置 |
| CN113572698B (zh) * | 2021-06-29 | 2023-12-01 | 青岛海尔科技有限公司 | 组播组容量的测试方法和装置、存储介质及电子装置 |
| CN115987920A (zh) * | 2022-12-23 | 2023-04-18 | 南京盛科通信有限公司 | 一种bier组播报文的处理方法及装置 |
| CN116155827A (zh) * | 2023-01-17 | 2023-05-23 | 中国联合网络通信集团有限公司 | 数据传输方法、装置、路由器、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101426014B (zh) | 2013-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101426014B (zh) | 防止组播源攻击的方法及系统 | |
| CN1968074B (zh) | 网络封包串流仿真方法 | |
| US10735501B2 (en) | System and method for limiting access request | |
| KR101593168B1 (ko) | 물리적 단방향 통신 장치 및 방법 | |
| CN102055674B (zh) | Ip报文及基于该ip报文的信息处理方法及装置 | |
| Yang et al. | Stateful intrusion detection for IEC 60870-5-104 SCADA security | |
| WO2014101758A1 (zh) | 一种检测邮件攻击的方法、装置及设备 | |
| US7478168B2 (en) | Device, method and program for band control | |
| US8301712B1 (en) | System and method for protecting mail servers from mail flood attacks | |
| CN101594359A (zh) | 防御传输控制协议同步洪泛攻击方法及传输控制协议代理 | |
| WO2009059504A1 (fr) | Procédé et système de défense contre des attaques tcp | |
| CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
| Chen et al. | Isolation forest based interest flooding attack detection mechanism in ndn | |
| Masumi et al. | Towards efficient labeling of network incident datasets using tcpreplay and snort | |
| CN101355585B (zh) | 一种分布式架构数据通信设备的消息保护系统及方法 | |
| Kim et al. | An effective defense against SYN flooding attack in SDN | |
| Mogul | Network locality at the scale of processes | |
| CN101043465A (zh) | 动态主机配置协议服务管理方法以及系统 | |
| Sharma et al. | SCADA Communication Protocols: Modbus & IEC 60870–5 | |
| CN102546387B (zh) | 一种数据报文的处理方法、装置及系统 | |
| CN106470421A (zh) | 一种防止恶意终端非法占用核心网资源的方法和设备 | |
| CN114268458A (zh) | 一种终端公网安全通信用安全防护模块的防护方法 | |
| CN1996960A (zh) | 一种即时通信消息的过滤方法及即时通信系统 | |
| CN105245471A (zh) | 报文发送方法及报文发送装置 | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130403 Termination date: 20171202 |