CN101883054A - 组播报文处理方法、装置和设备 - Google Patents
组播报文处理方法、装置和设备 Download PDFInfo
- Publication number
- CN101883054A CN101883054A CN2010102292383A CN201010229238A CN101883054A CN 101883054 A CN101883054 A CN 101883054A CN 2010102292383 A CN2010102292383 A CN 2010102292383A CN 201010229238 A CN201010229238 A CN 201010229238A CN 101883054 A CN101883054 A CN 101883054A
- Authority
- CN
- China
- Prior art keywords
- defence
- multicast
- data flow
- multicast message
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种组播报文处理方法、装置和设备。该方法包括:当防御装置接收到交换芯片上报的组播报文时,提取组播报文对应组播流的防御参数;防御装置将组播流的防御参数进行统计,形成防御统计值;当防御装置判断出防御统计值等于或大于设定防御阈值时,将防御参数配置到交换芯片的防御策略中,防御策略用于指示交换芯片将与防御参数匹配的组播报文丢弃。本发明动态统计分析,可针对相应的防御参数实施有针对性的防御策略,能够在尽量保证正常组播流转发的基础上,更有效的保护组播表项资源不被攻击组播流占用,CPU处理资源不会被攻击组播流过度消耗,防御策略在交换芯片中动态配置,也不会消耗过多的交换芯片硬件资源。
Description
技术领域
本发明实施例涉及组播报文转发技术,尤其涉及一种组播报文处理方法、装置和设备。
背景技术
在因特网络(Internet)中,诸如视频会议和网络电视等单点发送多点接收的多媒体业务正在成为信息传送的重要组成部分,为避免浪费带宽资源,多采用组播技术作为这类业务的通信方式。采用组播技术,当发送者向一组接收者发送数据时,只需将数据报文用一个预约组播组的组地址发送,只有加入该组播组的接收者才可以接收到组播的数据报文。对发送者而言,数据报文只需发送一次就可以发送到所有接收者,大大减轻了网络的负载和发送者的负担。
数据报文在网络中进行转发需要通过交换设备和路由设备来完成。交换设备和路由设备分别服务于开放系统互联(Open System Internetwork,简称OSI)经典网络模型的第二层和第三层,即数据链路层和网络层。三层路由设备负责在不同的网络间转发数据报文;二层交换设备负责在同一网络内,通常是在局域网内或虚拟局域网(Virtual Local Area Network,简称VLAN)内的不同设备间转发数据报文,现有技术中,二层设备和三层设备既可以独立设置,也可以结合设置在同一个物理实体中。
二层交换设备主要利用交换芯片进行业务流中数据报文的高速转发,对数据报文的处理过程如图1所示。每个交换芯片100由端口110和转发模块120组成。二层交换设备中的中央处理器(CPU)200根据协议处理生成转发规则,并将转发规则基于控制流设置到交换芯片100以形成转发表,交换芯片100从端口110接收数据报文,由转发模块120根据转发表直接将数据报文从对应端口110转发给不同的下游设备。一般情况下,CPU200无需处理数据报文的转发,仅当交换芯片100的专用集成电路(Application Specific Integrated Circuit,简称ASIC)无法处理某些数据报文时,才会上报给CPU 200进行处理。目前一般会采用组播侦听者发现(Multicast Listener Discovery,简称MLD)协议窥探(Snooping)技术,MLD Snooping技术由CPU 200中的相应窥探模块210来实现,依据协议交互触发组播转发表项的创建,作为CPU 200生成转发规则的一部分。对于无法创建组播转发表项的组播数据流,其数据报文会被交换芯片100直接丢弃。
为避免组播数据流由于无法通过MLD Snooping创建组播转发表项而被丢弃的问题,现有技术提出一种解决方案,其处理流程如图2所示。数据报文进入交换芯片100的转发模块120后,若转发模块120无法在转发表中查找到相应的表项,则将该数据报文送往CPU 200进行处理。CPU 200从接收模块220收到数据报文之后,经过处理模块230进行一些基础的、与组播无关的处理之后,送达窥探模块210;窥探模块210根据组播流设定组播转发表给交换芯片100,该组播流后续数据报文将不再上报CPU 200处理。
但是,上述技术引入了如下缺陷:由于交换设备的CPU必须直接对组播数据流进行处理后,才能创建组播转发表项配置到交换芯片,导致查询不到转发表项的组播报文都被交付给CPU处理。对于目前不确定网络环境中可能出现的大量组播流攻击,非法组播流都需要上报给CPU来创建组播转发表项,上述技术将给CPU带来过大的工作负荷,甚至导致系统瘫痪。另外,针对非法组播流产生的组播转发表项还会消耗交换芯片的转发表项资源。
为解决上述问题,现有技术提出了多种解决方案,一种方案是采用访问控制列表(Access Control List,简称ACL)进行静态控制,将需要拦截的组播流表项配置到ACL中,从而避免非法组播流进入CPU的组播处理逻辑。但是该方案会消耗较多的ACL资源,且静态设置不灵活,配置规则较多时需要较大的工作量。另一种方案是对送往二层交换设备CPU的组播报文进行统一速率限制,例如:每秒只允许128个组播报文送往CPU处理,当速率超过预设速率后,则将报文丢弃,不再送往CPU。但是该方案不能区分合法组播流和非法组播流,不能解决组播表被过度消耗的问题,还会影响正常的组播服务。
发明内容
本发明提供一种组播报文处理方法、装置和设备,以实现有效防御非法组播流的攻击,减小对中央处理器和交换芯片资源的占用。
本发明实施例提供了一种组播报文处理方法,包括:
当防御装置接收到交换芯片上报的组播报文时,提取所述组播报文对应组播流的防御参数;
所述防御装置将所述组播流的防御参数进行统计,形成防御统计值;
当所述防御装置判断出所述防御统计值等于或大于设定防御阈值时,将所述防御参数配置到交换芯片的防御策略中,所述防御策略用于指示所述交换芯片将与防御参数匹配的组播报文丢弃。
本发明实施例还提供了一种防御装置,包括:
提取单元,用于当接收到交换芯片上报的组播报文时,提取所述组播报文对应组播流的防御参数;
统计单元,用于将所述组播流的防御参数进行统计,形成防御统计值;
配置单元,用于当判断出所述防御统计值等于或大于设定防御阈值时,将所述防御参数配置到交换芯片的防御策略中,所述防御策略用于指示所述交换芯片将与防御参数匹配的组播报文丢弃。
本发明实施例还提供了一种组播交换设备,包括交换芯片和中央处理器,还包括本发明所提供的防御装置,所述防御装置独立设置或集成在所述中央处理器中;且所述交换芯片包括策略匹配单元和转发匹配单元,其中,
所述策略匹配单元用于将接收到的组播报文在所述交换芯片内配置的防御策略中进行匹配,并将与防御策略匹配的组播报文丢弃;
所述转发匹配单元用于将接收到的组播报文在组播转发表项中进行匹配,将未与组播转发表项匹配的组播报文上报给防御装置。
本发明提供的技术方案根据动态统计分析组播流攻击报文的特征,可针对相应的防御参数实施有针对性的防御策略,阻断攻击报文,减少对CPU的冲击,保护其他正常业务的运行,更为智能化。能够在尽量保证正常组播流转发的基础上,更有效的保护组播表项资源不被攻击组播流占用,CPU处理资源不会被攻击组播流过度消耗,从而防止交换机设备在受到攻击时影响其业务的正常运行。防御策略在交换芯片中动态配置,也不会消耗过多的交换芯片硬件资源。
附图说明
图1为现有技术中一种二层交换设备的结构示意图;
图2为现有技术中另一种二层交换设备的结构示意图;
图3为本发明实施例一提供的组播报文处理方法的流程图;
图4为本发明实施例二提供的组播报文处理方法的流程图;
图5为本发明实施例三提供的组播报文处理方法的流程图;
图6为本发明实施例三中防御策略删除机制的流程图;
图7为本发明实施例四提供的防御装置的结构示意图;
图8为本发明实施例五提供的组播交换设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
图3为本发明实施例一提供的组播报文处理方法的流程图,本实施例具体可以由二层交换设备或支持二层交换功能的路由设备来执行,其中增设防御装置,防御装置可以由CPU的功能来实现,也可以是独立于CPU的控制部件。本实施例的具体流程如下:
步骤310、当防御装置接收到交换芯片上报的组播报文时,提取该组播报文对应组播流的防御参数;
每条组播流一般都包括多个组播报文,在步骤310中具体是提取该组播报文所对应的组播流的防御参数。
步骤320、防御装置将各组播流的防御参数进行统计,形成针对该防御参数的防御统计值,实际上是涉及该防御参数的组播流的数量;
防御参数可以根据具体需求确定,例如,针对连接交换机某端口的网络中不确定数量的主机向交换机发送大量组播流的这种攻击情况,防御装置可以将组播流的接收端口号进行统计,形成接收端口号的防御统计值,其中,接收端口号作为组播流的防御参数。针对网络中的某台主机向交换机发送大量的组播流的这种攻击情况。防御装置可以将组播流的源媒体访问控制(Media Access Control,简称MAC)地址进行统计,形成源MAC地址的防御统计值,其中,源MAC地址作为组播流的防御参数,MAC地址可以标识主机。可以确定一个防御参数,也可以确定多个防御参数,防御策略可以单独实施也可以组合实施。
步骤330、当防御装置判断出防御统计值等于或大于设定防御阈值时,将防御参数配置到交换芯片的防御策略中,该防御策略用于指示交换芯片将与防御参数匹配的组播报文丢弃。
即,上述组播报文处理方法中,在步骤310之前,还可以包括:
当交换芯片接收到组播报文时,在交换芯片内配置的防御策略中进行匹配,并将与防御策略匹配的组播报文丢弃,将未与防御策略匹配的组播报文在组播转发表项中进行匹配,将未与组播转发表项匹配的组播报文上报给防御装置。
在上述步骤310中,提取防御参数后的组播报文可以继续执行常规处理,即进入窥探模块,创建组播转发表项,将组播转发表项配置到交换芯片中。由于当防御统计值达到设定防御阈值时会丢弃后续其他攻击性组播报文的,所以即使在开始时会针对非法组播流创建一些组播转发表项,但也不会过多占用交换芯片的转发表项资源。交换芯片在接收到组播报文时先匹配防御策略,再匹配转发表项,可以避免执行对非法组播报文的匹配转发操作。
采用上述技术方案,可以动态地对防御参数进行统计,动态地向交换芯片配置防御策略,提供了防止组播流攻击网络交换设备的方案。上述技术方案,一方面可以有效的防止攻击行为的大量组播报文占用CPU的资源,从而提高了系统工作的可靠性;另一方面,由于通过防御参数的设置,区分了攻击性的非法组播流和正常组播流,所以降低了为正常组播流提供组播服务的影响;再一方面,动态配置的防御策略,相比于静态配置更加灵活,减少了配置工作量。
在步骤310中,为避免针对同一组播流重复提取防御参数,优选采用如下方式:
步骤311、当防御装置接收到交换芯片上报的组播报文时,提取该组播报文的组播流标识;一般而言,组播报文中通常至少会携带下述参数:源MAC地址M,组播组地址G,接收端口号P,所在VLAN的标识VID,在不使用VLAN的设备上,VID取“0”。其中组播组地址G和VLAN标识VID的二元组可唯一标识组播流。组播流攻击主要通过发送大量不同组播组地址G的组播流为特征。
步骤312、防御装置判断本地是否存储有该组播流标识,若否,则将组播流标识记录在本地,并提取该组播报文的防御参数作为对应组播流的防御参数,若是,则表示该组播报文已经不是该组播流被处理的第一个组播报文,可以不进行后续的统计处理。
采用上述方式即针对每条组播流,仅提取其第一个组播报文的防御参数,后续组播报文不必重复处理。当然,在具体应用中,也可以利用其他方式防止重复统计组播流的防御参数,例如在交换芯片中截止相同组播流的重复组播报文上报等。
实施例二
图4为本发明实施例二提供的组播报文处理方法的流程图,本实施例在实施例一的基础上,还包括如下步骤:
步骤410、当防御装置获取到组播流的老化信息时,将组播流从防御统计值中删除;
步骤420、当防御装置判断出防御统计值低于设定删除阈值时,将防御参数从交换芯片的防御策略中删除。
本实施例增加了防御策略的动态删除机制。当某条组播流老化,即几乎不会再接收到该组播流的报文时,则可以将防御统计值减一。当防御统计值减小至低于设定删除阈值时,则表示该防御参数所对应的攻击行为已经基本结束或者在接受范围内,可以取消防御策略。采用动态删除防御策略的方案,可以避免防御策略对交换芯片资源的过度消耗。进行防御策略时所依据的设定防御阈值与删除防御策略时所采用的设定删除阈值可以相同,也可以不同,或者是限定在一定的取值范围内。优选的是设定删除阈值小于配置防御策略时的设定防御阈值,从而使防御策略的删除更加严格。
防御装置获取组播流老化信息的途径有多种,典型的是:
防御装置按照设定时间周期检测交换芯片中转发表项的命中状态,当检测到处于未命中状态的转发表项时,即获取到该转发表项所对应组播流的老化信息。现有交换设备一般都会针对组播流进行老化处理,例如,当报文在交换芯片的转发表中进行匹配时,若匹配到某一转发表项,则交换芯片将该转发表项记为命中。CPU在计时器的控制下定时读取交换芯片中记载的转发表项的命中状态,在转发表项的命中状态被CPU读取之后再恢复至未命中。当CPU检测到某一转发表项的状态为未命中时,则表示该转发表项在一个计时周期内都没有被命中,视为该转发表项所对应的组播流已经老化,相当于获取到了组播流的老化信息。
或者,防御装置可以检测组播流的存在持续时间是否达到设定时间门限值,若是,则视为获取到该组播流的老化信息。该方式是由防御装置或CPU自行检测某条组播流的存在时间,由于攻击性组播流通常不可能持续很长时间,所以可按照经验值进行设定,组播流存在持续时间达到一定值时即视为其老化。
上述技术方案,能够定时从交换芯片获取组播流老化信息的技术,动态删除防御策略,有效利用交换芯片的硬件资源。
实施例三
图5为本发明实施例三提供的组播报文处理方法的流程图,本实施例给出由二层交换设备执行本发明方案的优选实例,该二层交换设备包括交换芯片和CPU,在CPU中包含有组播流攻击防御模块和窥探模块(MLD Snopping),该防御模块就相当于是防御装置,用于对组播流的报文进行统计,判断是否应触发启用防御策略。窥探模块可以如常规所进行的操作那样根据组播报文创建组播转发表项。本实施例的防御策略以针对接收端口和发起报文的主机进行防御参数统计为例进行说明,可预先在防御模块中设定防御参数为接收端口号p,以及MAC地址m,另预先设定接收端口号的设定防御阈值T(p)以及MAC地址设定防御阈值T(m),超过设定防御阈值即可触发防御策略。
本实施例的操作流程具体如下:
步骤501、当组播报文达到二层交换设备时,首先是由交换芯片的端口接收到该组播报文;
步骤502、交换芯片将该组播报文的防御参数在本地已配置的防御策略中进行匹配,例如,作为防御参数的接收端口号、发起该组播报文的源MAC地址是否存在于防御策略中,若匹配到一致的防御参数,则执行步骤503,否则执行步骤504;
步骤503、丢弃该组播报文,并结束该组播报文的处理流程;
步骤504、交换芯片将该组播报文在本地已配置的转发表项中进行匹配,与常规的转发表项匹配类似,当匹配到对应的转发表项,则将组播报文按照转发表项中的出端口进行转发,若未匹配到对应的转发表项,则将组播报文上报给CPU;
步骤505、CPU接收到组播报文时首先交由防御模块进行处理,防御模块从该组播报文中提取所对应组播流的防御参数,防御参数从报文信息中来,这些报文信息可包括源MAC地址M、组播组地址G、接收端口号P以及所在VLAN的标识VID等,其中至少根据防御策略提取了防御参数,本实施例中防御参数为接收端口号P和源MAC地址M;
步骤506、防御模块针对组播流,将接收端口号P和源MAC地址M分别进行计数统计,得到防御统计值C(p)和C(m);
在步骤505和步骤506中,属于同一组播流的报文不重复统计,可以采用前述实施例的方法来避免对同一组播流的组播报文进行重复统计,具体的,如果在记录中找不到组播报文所属的组播流(G,VID),则C(p)或C(m)增加1,并且记录(G,VID)。如果此前曾经统计过该组播流,则C(p)或C(m)不增加。所统计出的接收端口号防御统计值C(p)实际是某一端口所接收的组播流的条数,源MAC地址防御统计值C(m)实际是该MAC地址所对应主机发起的组播流的条数。
步骤507、防御模块判断接收端口号防御统计值C(p)是否达到接收端口号设定防御阈值T(p),若是,则执行步骤508,否则执行步骤509;
步骤508、防御模块将接收端口号作为防御参数配置到交换芯片的防御策略中,即指示交换芯片针对该接收端口号P,丢弃所有由该端口P进入的未知名组播数据报文,或者也可以是丢弃该端口P进入的所有组播报文,正如步骤502所执行的操作,而后执行步骤509;
步骤509、防御模块判断源MAC地址防御统计值C(m)是否达到源MAC地址设定防御阈值T(m),若是,则执行步骤510,否则该组播报文的防御处理结束,可以继续执行报文的常规处理操作,例如交付到窥探模块中创建转发表项,或者,其他常规处理操作也可以与防御策略的配置同步执行。当然,步骤507和步骤509对防御参数统计值的判断顺序不限,既可以只判断一个防御参数,也可以按照其他设定顺序判断防御参数统计值是否达到设定防御阈值。
步骤510、防御模块将源MAC地址作为防御参数配置到交换芯片的防御策略中,即指示交换芯片针对该源MAC地址,丢弃所有由该源MAC地址所标示主机发起的未知名组播数据报文,正如步骤502所执行的操作。
在二层交换设备执行的过程中,防御模块还可以进一步执行动态撤销防御策略的机制。具体操作如图6所示,包括如下步骤:
步骤601、可以在CPU中预设一定时器,定时器按照设定时间周期启动;
步骤602、当定时器启动唤醒后,防御模块检测交换芯片中转发表项的命中状态,当检测到处于未命中状态的转发表项时,即获取到该转发表项所对应组播流的老化信息,将该组播流所对应的防御参数从防御统计值中删除;
在上述步骤中,当攻击可能停止时,交换芯片不会再收到该组播流的组播报文,则由于组播转发表项在设定时间内未被使用,所以在老化机制下,该转发表项的命中状态为未命中,CPU通过定时的读取命中状态,可获取组播流的老化信息,同时可以获取到该组播流的标识,例如组播组地址G和VLAN的标识VID,以及防御参数,例如接收端口号、源MAC地址等。防御模块利用该老化信息,将该组播流所对应的防御参数从防御统计值中删除,例如,一条组播流老化,则可以将其对应的接收端口号防御统计值C(p)减一。由于防御策略是在达到设定防御阈值时才触发的,所以首先发起的数条攻击性组播流在未触发防御策略时,有机会被创建组播转发表项,也就能够通过老化机制删除这些组播流的转发表项。
步骤603、防御模块判断防御参数统计值是否低于设定删除阈值,若是,则将该防御参数从交换芯片的防御策略中删除,若否,则不对防御策略进行操作。
执行防御策略动态删除的方案,当针对某个防御参数所统计的组播流数量低于设定删除阈值时,就可以取消丢弃组播报文的防御策略。从而既可以减少对交换芯片上资源的占用,而且还能尽量减少对正常组播流的影响。
本发明各实施例的技术方案不仅适用于二层交换设备,也适用于支持交换功能的路由设备,能广泛适用于IPv6和IPv4组播协议。本发明实施例根据动态统计分析组播流攻击报文的特征,可针对相应的防御参数实施有针对性的防御策略,阻断攻击报文,减少对二层交换设备CPU的冲击,保护其他正常业务的运行,更为智能化。
例如,某交换机的端口p1接收的组播流为10条,将该端口的防御参数设定防御阈值设置为100,当端口p1所连接的网络中突然出现100条以上组播流时,对端口p1实施防御,阻止端口p1收到的所有组播流。这样可以保护该交换机的其他端口的组播业务正常运行。
再例如,网络中单台主机发送的组播流为10条,设置主机的源MAC地址m1的所对应的设定防御阈值为35。当以m1为源MAC地址的组播流达到或超过35条时,对该源MAC地址的组播流进行封堵。这样可以保护其他主机的组播业务正常运行。
本发明实施例与静态配置ACL的现有方式相比,使用更方便,防攻击更加迅速。由于防御规则是动态生成,攻击消失后,自动删除,所以资源利用率比静态配置更高。
综上所述,本发明能够在尽量保证正常组播流转发的基础上,更有效的保护组播表项资源不被攻击组播流占用,CPU处理资源不会被攻击组播流过度消耗,从而防止交换机设备在受到攻击时影响其业务的正常运行。
实施例四
图7为本发明实施例四提供的防御装置的结构示意图,该防御装置具体是防御模块,可以独立于交换设备的CPU设置,也可以集成在CPU中,与交换芯片直接相连。该防御装置具体包括:提取单元710、统计单元720和配置单元730。其中,提取单元710用于当接收到交换芯片上报的组播报文时,提取该组播报文对应组播流的防御参数;统计单元720用于将组播流的防御参数进行统计,形成防御统计值;配置单元730用于当判断出防御统计值等于或大于设定防御阈值时,将防御参数配置到交换芯片的防御策略中,该防御策略用于指示交换芯片将与防御参数匹配的组播报文丢弃。
防御参数的具体取值可以根据经验或实际情况进行设定,例如:防御装置可以将组播流的接收端口号进行统计,形成接收端口号的防御统计值,其中,接收端口号作为组播流的防御参数。
或者,防御装置还可以将组播流的源媒体访问控制地址进行统计,形成源媒体访问控制地址的防御统计值,其中,源媒体访问控制地址作为组播流的防御参数。
优选的是提取单元710包括:标识提取子单元711和参数提取子单元712。其中,标识提取子单元711用于当接收到交换芯片上报的组播报文时,提取该组播报文的组播流标识;参数提取子单元712用于判断本地是否存储有组播流标识,若否,则将组播流标识记录在本地,并提取组播报文的防御参数作为对应组播流的防御参数。
进一步的,该防御装置还可以配置防御策略动态删除机制,即该装置还包括:删除单元740和取消单元750。其中,删除单元740用于当获取到组播流的老化信息时,将组播流从防御统计值中删除;取消单元750用于当判断出防御统计值低于设定删除阈值时,将防御参数从交换芯片的防御策略中删除。
删除单元获取老化信息的形式有多种,例如,可以按照设定时间周期检测交换芯片中转发表项的命中状态,当检测到处于未命中状态的转发表项时,即获取到转发表项所对应组播流的老化信息。或者,可以设计当删除单元检测到组播流的存在持续时间达到设定时间门限值时,即获取到组播流的老化信息。老化信息的具体获取过程可参见前述方法实施例中的描述。
实施例五
图8为本发明实施例五提供的组播交换设备的结构示意图,该组播交换设备既可以是二层交换设备,也可以是支持二层交换功能的路由设备等。该组播交换设备包括交换芯片810和CPU 820,还包括本发明任意实施例所提供的防御装置830,该防御装置830可以独立设置或集成在CPU 820中,优选是如图8所示作为CPU 820的一部分,当然,CPU 820还可以按照功能需求包括其他功能模块;且交换芯片810包括策略匹配单元811和转发匹配单元812,其中,策略匹配单元811用于将接收到的组播报文在交换芯片810内配置的防御策略中进行匹配,并将与防御策略匹配的组播报文丢弃;转发匹配单元812用于将接收到的组播报文在组播转发表项中进行匹配,将未与组播转发表项匹配的组播报文上报给防御装置830。
策略匹配单元811和转发匹配单元812与交换芯片810的端口813之间的连接顺序不限,即进行防御策略匹配和转发表项匹配的先后顺序并不限定。例如可以先进行转发匹配单元812的转发表项匹配操作,当匹配到转发表项即转发报文,当未匹配转发表项时是通过策略匹配单元811进行上报。策略匹配单元811需要对待上报的报文进行进一步的筛选,即进行防御策略的匹配,将与防御策略匹配的组播报文丢弃,将未匹配的报文上报给防御装置830。但实际应用中优选的是策略匹配单元811设置在交换芯片端口813与转发匹配单元812之间,首先进行防御策略的匹配,将未与防御策略匹配的组播报文提供给转发匹配单元812进行转发表项匹配,转发匹配单元812未匹配到转发表项时就直接上报给防御装置830。
本发明实施例所提供的防御装置和组播交换设备可以用于执行本发明所提供的组播报文处理方法,具备相应的功能模块。本发明能够根据动态统计分析组播流攻击报文的特征,可针对相应的防御参数实施有针对性的防御策略,阻断攻击报文,减少对CPU的冲击,保护其他正常业务的运行,更为智能化。能够在尽量保证正常组播流转发的基础上,更有效的保护组播表项资源不被攻击组播流占用,CPU处理资源不会被攻击组播流过度消耗,从而防止交换机设备在受到攻击时影响其业务的正常运行。防御策略在交换芯片中动态配置,也不会消耗过多的交换芯片硬件资源。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种组播报文处理方法,其特征在于,包括:
当防御装置接收到交换芯片上报的组播报文时,提取所述组播报文对应组播流的防御参数;
所述防御装置将所述组播流的防御参数进行统计,形成防御统计值;
当所述防御装置判断出所述防御统计值等于或大于设定防御阈值时,将所述防御参数配置到交换芯片的防御策略中,所述防御策略用于指示所述交换芯片将与防御参数匹配的组播报文丢弃。
2.根据权利要求1所述的组播报文处理方法,其特征在于,还包括:
当所述防御装置获取到所述组播流的老化信息时,将所述组播流从所述防御统计值中删除;
当所述防御装置判断出所述防御统计值低于设定删除阈值时,将所述防御参数从所述交换芯片的防御策略中删除。
3.根据权利要求2所述的组播报文处理方法,其特征在于,所述防御装置获取组播流的老化信息包括:
所述防御装置按照设定时间周期检测所述交换芯片中转发表项的命中状态,当检测到处于未命中状态的转发表项时,即获取到所述转发表项所对应组播流的老化信息;或
所述防御装置检测到所述组播流的存在持续时间达到设定时间门限值时,即获取到组播流的老化信息。
4.根据权利要求1或2或3所述的组播报文处理方法,其特征在于,所述防御装置将所述组播流的防御参数进行统计,形成防御统计值包括:
所述防御装置将所述组播流的接收端口号进行统计,形成接收端口号的防御统计值,其中,所述接收端口号作为所述组播流的防御参数;和/或
所述防御装置将所述组播流的源媒体访问控制地址进行统计,形成源媒体访问控制地址的防御统计值,其中,所述源媒体访问控制地址作为所述组播流的防御参数。
5.根据权利要求1或2或3所述的组播报文处理方法,其特征在于,当防御装置接收到交换芯片上报的组播报文时,提取所述组播报文对应组播流的防御参数包括:
当防御装置接收到交换芯片上报的组播报文时,提取所述组播报文的组播流标识;
防御装置判断本地是否存储有所述组播流标识,若否,则将所述组播流标识记录在本地,并提取所述组播报文的防御参数作为对应组播流的防御参数。
6.根据权利要求1或2或3所述的组播报文处理方法,其特征在于,还包括:
当交换芯片接收到组播报文时,在所述交换芯片内配置的防御策略中进行匹配,并将与防御策略匹配的组播报文丢弃,将未与防御策略匹配的组播报文在组播转发表项中进行匹配,将未与组播转发表项匹配的组播报文上报给防御装置。
7.一种防御装置,其特征在于,包括:
提取单元,用于当接收到交换芯片上报的组播报文时,提取所述组播报文对应组播流的防御参数;
统计单元,用于将所述组播流的防御参数进行统计,形成防御统计值;
配置单元,用于当判断出所述防御统计值等于或大于设定防御阈值时,将所述防御参数配置到交换芯片的防御策略中,所述防御策略用于指示所述交换芯片将与防御参数匹配的组播报文丢弃。
8.根据权利要求7所述的防御装置,其特征在于,所述提取单元包括:
标识提取子单元,用于当接收到交换芯片上报的组播报文时,提取所述组播报文的组播流标识;
参数提取子单元,用于判断本地是否存储有所述组播流标识,若否,则将所述组播流标识记录在本地,并提取所述组播报文的防御参数作为对应组播流的防御参数。
9.根据权利要求7所述的防御装置,其特征在于,还包括:
删除单元,用于当获取到所述组播流的老化信息时,将所述组播流从所述防御统计值中删除;
取消单元,用于当判断出所述防御统计值低于设定删除阈值时,将所述防御参数从所述交换芯片的防御策略中删除。
10.一种组播交换设备,其特征在于:包括交换芯片和中央处理器,还包括权利要求7或8或9所述的防御装置,所述防御装置独立设置或集成在所述中央处理器中;且所述交换芯片包括策略匹配单元和转发匹配单元,其中,
所述策略匹配单元用于将接收到的组播报文在所述交换芯片内配置的防御策略中进行匹配,并将与防御策略匹配的组播报文丢弃;
所述转发匹配单元用于将接收到的组播报文在组播转发表项中进行匹配,将未与组播转发表项匹配的组播报文上报给防御装置。
11.根据权利要求10所述的组播交换设备,其特征在于:所述策略匹配单元设置在交换芯片端口与所述转发匹配单元之间,将未与防御策略匹配的组播报文提供给转发匹配单元进行转发表项匹配。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102292383A CN101883054B (zh) | 2010-07-09 | 2010-07-09 | 组播报文处理方法、装置和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102292383A CN101883054B (zh) | 2010-07-09 | 2010-07-09 | 组播报文处理方法、装置和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101883054A true CN101883054A (zh) | 2010-11-10 |
CN101883054B CN101883054B (zh) | 2013-07-24 |
Family
ID=43054948
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102292383A Expired - Fee Related CN101883054B (zh) | 2010-07-09 | 2010-07-09 | 组播报文处理方法、装置和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101883054B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991632A (zh) * | 2015-04-20 | 2016-10-05 | 杭州迪普科技有限公司 | 网络安全防护方法及装置 |
CN110392034A (zh) * | 2018-09-28 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
CN110661809A (zh) * | 2019-09-29 | 2020-01-07 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
CN110768916A (zh) * | 2019-10-22 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种端口统计参数通告方法以及设备 |
CN112202814A (zh) * | 2020-11-04 | 2021-01-08 | 中国电子科技集团公司第三十研究所 | 一种路由交换设备内生安全动态防护功能的处理方法 |
TWI774355B (zh) * | 2021-05-05 | 2022-08-11 | 瑞昱半導體股份有限公司 | 網路交換器以及異常檢測方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6185185B1 (en) * | 1997-11-21 | 2001-02-06 | International Business Machines Corporation | Methods, systems and computer program products for suppressing multiple destination traffic in a computer network |
CN1968180A (zh) * | 2005-11-16 | 2007-05-23 | 中兴通讯股份有限公司 | 一种基于多级聚集的异常流量控制方法与系统 |
CN101640666A (zh) * | 2008-08-01 | 2010-02-03 | 北京启明星辰信息技术股份有限公司 | 一种面向目标网络的流量控制装置及方法 |
-
2010
- 2010-07-09 CN CN2010102292383A patent/CN101883054B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6185185B1 (en) * | 1997-11-21 | 2001-02-06 | International Business Machines Corporation | Methods, systems and computer program products for suppressing multiple destination traffic in a computer network |
CN1968180A (zh) * | 2005-11-16 | 2007-05-23 | 中兴通讯股份有限公司 | 一种基于多级聚集的异常流量控制方法与系统 |
CN101640666A (zh) * | 2008-08-01 | 2010-02-03 | 北京启明星辰信息技术股份有限公司 | 一种面向目标网络的流量控制装置及方法 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991632A (zh) * | 2015-04-20 | 2016-10-05 | 杭州迪普科技有限公司 | 网络安全防护方法及装置 |
CN110392034A (zh) * | 2018-09-28 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
CN110392034B (zh) * | 2018-09-28 | 2020-10-13 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
CN110661809A (zh) * | 2019-09-29 | 2020-01-07 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
CN110768916A (zh) * | 2019-10-22 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种端口统计参数通告方法以及设备 |
CN110768916B (zh) * | 2019-10-22 | 2021-11-02 | 新华三信息安全技术有限公司 | 一种端口统计参数通告方法以及设备 |
CN112202814A (zh) * | 2020-11-04 | 2021-01-08 | 中国电子科技集团公司第三十研究所 | 一种路由交换设备内生安全动态防护功能的处理方法 |
CN112202814B (zh) * | 2020-11-04 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 一种路由交换设备内生安全动态防护功能的处理方法 |
TWI774355B (zh) * | 2021-05-05 | 2022-08-11 | 瑞昱半導體股份有限公司 | 網路交換器以及異常檢測方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101883054B (zh) | 2013-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101083563B (zh) | 一种防分布式拒绝服务攻击的方法及设备 | |
CN100574249C (zh) | 虚拟路由器冗余协议报文传输方法及装置 | |
CN101883054A (zh) | 组播报文处理方法、装置和设备 | |
CN101106518B (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
CN100566294C (zh) | 单播反向路径转发方法 | |
CN101505219B (zh) | 一种防御拒绝服务攻击的方法和防护装置 | |
CN105991637B (zh) | 网络攻击的防护方法和装置 | |
CN100499587C (zh) | 交换设备及其防止流量冲击的报文处理方法 | |
CN105357146B (zh) | 出口网关内缓存队列饱和攻击防御方法、装置及系统 | |
CN103609089B (zh) | 一种防止附连到子网的主机上拒绝服务攻击的方法及装置 | |
CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
CN102014109A (zh) | 一种泛洪攻击的防范方法及装置 | |
Khanna et al. | Adaptive selective verification: An efficient adaptive countermeasure to thwart dos attacks | |
Huang et al. | Countering denial-of-service attacks using congestion triggered packet sampling and filtering | |
CN101426014B (zh) | 防止组播源攻击的方法及系统 | |
CN101286996A (zh) | 一种风暴攻击抵抗方法与装置 | |
CN102904975A (zh) | 报文处理的方法和相关装置 | |
CN103491076B (zh) | 一种网络攻击的防范方法和系统 | |
CN105337890B (zh) | 一种控制策略生成方法以及装置 | |
CN107438066B (zh) | 一种基于SDN控制器的DoS/DDoS攻击防御模块及方法 | |
CN112217645B (zh) | 一种基于区块链技术的匿名通信系统路由选择方法 | |
CN101001249A (zh) | 一种防igmp报文攻击的方法和装置 | |
CN102882894A (zh) | 一种识别攻击的方法及装置 | |
CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
CN104243237A (zh) | P2p流检测方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130724 Termination date: 20210709 |