CN101895446A - 广播风暴的检测方法与装置 - Google Patents
广播风暴的检测方法与装置 Download PDFInfo
- Publication number
- CN101895446A CN101895446A CN2010102509874A CN201010250987A CN101895446A CN 101895446 A CN101895446 A CN 101895446A CN 2010102509874 A CN2010102509874 A CN 2010102509874A CN 201010250987 A CN201010250987 A CN 201010250987A CN 101895446 A CN101895446 A CN 101895446A
- Authority
- CN
- China
- Prior art keywords
- broadcast storm
- message
- module
- multicast message
- hash bucket
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种广播风暴的检测方法,对多播报文进行分类统计,根据单位时间内监听到每种多播报文的数量是否超过阈值来检测广播风暴,同时还可检测出广播风暴报文、广播风暴持续时间和强度等相关信息,便于工作人员了解广播风暴,采用循环冗余校验算法对多播报文进行分类,提高了分类效率优化了分类效果;本发明还公开了一种广播风暴的检测装置,包括监听模块、分类模块和判断模块,分类模块将监听模块监听的多播报文进行分类后发送至判断模块,判断模块根据单位时间监听到每种多播报文的数量是否超过阈值来检测广播风暴,将本发明的检测方法与检测装置配合使用即可完成对广播风暴的检测。
Description
技术领域
本发明涉及网络异常的检测技术领域,特别涉及一种广播风暴的检测方法与装置。
背景技术
广播风暴是最常见且危害性极大的一种网络异常问题,造成广播风暴的原因主要有网络成环和设备异常,当广播风暴产生时,重复的多播报文大量地在网络中存活,使网络带宽被完全的占用,从而形成网络阻塞,致使正常的通信报文被交换机丢弃,因此,对报文的实时监听、对广播风暴的快速检测和告警尤为重要。
现有的方案都是将目标放到交换机上,依靠交换机来抑制广播风暴,主要有以下两个方面的措施:
启动交换机的生成树协议,当网络成环时自动将环解开;
对交换机的每个端口配置接收多播报文流量阈值,如果从端口上接收到的多播报文的流量超过这个阈值,那么交换机自动禁用此端口或丢弃多播报文,以此来抑制广播风暴。
采用上述措施具有以下不足:
交换机的生成树协议可以抑制由于网络成环导致的广播风暴但是不能抑制由于网络设备故障导致的广播风暴;
交换机只能抑制不能检测广播风暴的发生,也就不能为运行人员提供告警,不能记录日志为事故追查提供依据。
发明内容
本发明提出了一种广播风暴的检测方法与装置,以解决现有技术无法检测广播风暴的问题。
本发明的广播风暴的检测方法,包括步骤:
监听多播报文;
根据报文内容对多播报文进行分类;
计算单位时间内经分类后每种多播报文的数量,当超过阈值时,判定为发生了广播风暴。
优选地,在所述监听多播报文的同时还将监听到多播报文的时间记为该多播报文的时间戳;
所述根据报文内容对监听到的多播报文进行分类的步骤包括:
计算多播报文的循环冗余校验码,将多播报文放入与其循环冗余校验码对应的哈希桶中,用计数值记录放入哈希桶中多播报文的数量;
所述计算单位时间内经分类后每种多播报文的数量,当超过阈值时,判定为发生了广播风暴的步骤包括:
监视哈希桶的计数值,判断计数值是否等于一,若等于一则将当前多播报文的时间戳作为哈希桶的时间标识,若不等于一则判断计数值是否大于阈值,若大于阈值则判断当前多播报文的时间戳和哈希桶的时间标识的时间差是否大于单位时间,若大于单位时间则将哈希桶的计数值归零,若不大于单位时间则判定为发生了广播风暴。
优选地,所述若等于一则将当前多播报文的时间戳作为哈希桶的时间标识的步骤之后还包括判定当前多播报文为非广播风暴报文,所述若不等于一则判断计数值是否大于阈值的步骤包括:若不等于一则判断当前多播报文的时间戳是否大于哈希桶的时间标识,若不大于哈希桶的时间标识则将哈希桶的计数值归零并判定当前多播报文为非广播风暴报文,若大于哈希桶的时间标识则进行所述步骤判断计数值是否等于阈值。
优选地,所述若不大于单位时间则判定为发生了广播风暴的步骤包括:
若不大于单位时间则缓存接下来放入哈希桶中的M条多播报文,判断M条多播报文中相同的多播报文是否大于N条,若是则判定为发生了广播风暴、将哈希桶的计数值归零并清除缓存的M条多播报文,若否则更新M条多播报文,再次判断M条多播报文中相同的多播报文是否大于N条,所述更新M条多播报文为删除M条多播报文中时间戳最小的多播报文,增加放入哈希桶的下一条多播报文。
优选地,所述若大于单位时间则在将哈希桶的计数值归零的同时还清除哈希桶的广播风暴标志位和广播风暴报文;
所述若不大于哈希桶的时间标识则将哈希桶的计数值归零的同时还清除哈希桶的广播风暴标志位和广播风暴报文;
所述若不大于单位时间则执行步骤:
判断哈希桶中广播风暴标志位是否置位,
若未置位,则继续所述步骤缓存接下来放入哈希桶中的M条多播报文,
若置位,则将哈希桶的计数值归零,判断当前多播报文的源MAC地址与广播风暴报文的源MAC地址是否相同,若相同则判定为广播风暴在持续,若不相同则判定当前多播报文为非广播风暴报文;
所述步骤判断M条多播报文中相同的多播报文是否大于N条,若是则将所述判定为发生了广播风暴的步骤由将广播风暴标志位置位的步骤来实现,同时还将大于N条的相同多播报文中的一条判定为广播风暴报文并保存;
若所述判断计数值是否大于阈值的结果为不大于则判断是否满足哈希桶广播风暴标志位置位且当前多播报文的源MAC地址与哈希桶中广播风暴报文的源MAC地址相同,若满足则判定当前多播报文为广播风暴报文,若不满足则判定当前多播报文为非广播风暴报文。
优选地,若所述步骤判断哈希桶中广播风暴标志位是否置位的结果为置位则在将哈希桶的计数值归零之前备份该计数值、当前多播报文的时间戳和哈希桶的时间标识;
若所述步骤判断M条多播报文中相同的多播报文是否大于N条的结果为是,则在将哈希桶的计数值归零之前备份该计数值、当前多播报文的时间戳和哈希桶的时间标识;
在所述步骤将广播风暴标志位置位之后还包括下述步骤,若所述步骤判断当前多播报文的源MAC地址与广播风暴报文的源MAC地址是否相同的结果的相同则将判定为广播风暴在持续的步骤由下述步骤来实现:
发出告警并保存广播风暴的相关信息的步骤来实现;
所述广播风暴相关信息包括广播风暴报文、广播风暴告警时间、广播风暴的强度和持续时间。
本发明的广播风暴的检测方法,对多播报文进行分类统计,根据单位时间内每种多播报文的计数是否超过阈值来判断是否发生了广播风暴,同时还检测出广播风暴报文、广播风暴持续时间和强度,便于工作人员了解广播风暴,由于采用循环冗余校验算法对多播报文进行分类,提高了分类效率优化了分类效果,避免了由于算法造成的错误检测,又由于对多播报文进行全文比较进一步判断是否真正发生了广播风暴,从而避免对正常情况和哈希冲撞的误判。
本发明公开了一种广播风暴的检测装置,包括:
监听模块,用于监听报文并判断监听到的报文是否为多播报文;
分类模块,用于根据报文内容对所述监听模块判定的多播报文进行分类;
判断模块,用于计算单位时间内经所述分类模块分类后每种多播报文的数量,当数量超过阈值时,判定为发生了广播风暴。
优选地,所述监听模块还用于将监听到多播报文的时间记为该多播报文的时间戳;
所述分类模块包括:
循环冗余校验码计算模块,用于计算所述监听模块判定的多播报文的循环冗余校验码;
哈希桶模块,用于保存哈希桶并将多播报文放入与其循环冗余校验码对应的哈希桶中;
计数模块,用于用计数值记录放入哈希桶中的多播报文的数量并在接到归零指令后将哈希桶的计数值归零,
所述判断模块包括:
第一报文判断模块,用于监视所述计数模块的计数值,判断计数值是否等于一,若等于一则将当前多播报文的时间戳作为哈希桶的时间标识,若不等于一则向所述计数值判断模块发送计数值不等于一的通知;
计数值判断模块,用于在接到计数值不等于一的通知后判断计数值是否大于阈值,若大于阈值则向所述时间差判断模块发送计数值大于阈值的通知;
时间差判断模块,用于在接到计数值大于阈值的通知后判断当前多播报文的时间戳和哈希桶的时间标识的时间差是否大于单位时间,若大于则向下述广播风暴判定模块发送时间差大于单位时间的通知,若不大于则向下述广播风暴判定模块发送时间差不大于单位时间的通知;
广播风暴判定模块,用于在接到时间差大于单位时间的通知后向所述计数模块发送归零指令,在接到时间差不大于单位时间的通知后则判定为发生了广播风暴。
优选地,所述第一报文判断模块还用于在将当前多播报文的时间戳作为哈希桶的时间标识之后判定当前多播报文为非广播风暴报文,所述判断模块还包括系统时间判断模块,所述第一报文判断模块将计数值不等于一的通知发送给所述系统时间判断模块,所述系统时间判断模块用于在接到计数值不等于一的通知后判断当前多播报文的时间戳是否大于哈希桶的时间标识,若不大于则向所述计数模块发送归零指令并判定当前多播报文为非广播风暴报文,若大于则将计数值不等于一的通知转发给所述计数值判断模块。
优选地,所述时间差判断模块还用于将所述时间差大于单位时间和时间差不大于单位时间的通知发送给下述全文比较模块;
所述广播风暴判定模块包括:
全文比较模块,用于在接到时间差不大于单位时间的通知后向所述哈希桶模块发送缓存M条多播报文的指令,判断所述哈希桶模块缓存的M条多播报文中相同的多播报文是否大于N条,若是则判定为发生了广播风暴、向计数模块发送归零指令并向所述哈希桶模块发送清除缓存的M条多播报文的指令,若否则向所述哈希桶模块发送更新M条多播报文的指令,再次判断M条多播报文中相同的多播报文是否大于N条;
所述哈希桶模块还用于在接到缓存M条多播报文的指令后将接下来与哈希桶对应的M条多播报文缓存在哈希桶中,在接到清除缓存的M条多播报文的指令后清除缓存的M条多播报文,在接到更新M条多播报文的指令后删除M条多播报文中时间戳最小的多播报文,缓存与哈希桶对应的下一条多播报文。
优选地,所述时间差判断模块还用于将发送给所述全文比较模块的所述时间差大于单位时间和时间差不大于单位时间的通知发送给下述标志位模块,
所述广播风暴判定模块还包括:
标志位模块,用于用广播风暴标志位指示哈希桶中广播风暴在持续并在接到置位指令后将哈希桶的广播风暴标志位置位,在接到清除指令后清除广播风暴标志位,在接到时间差大于单位时间的通知后向所述计数模块发送归零指令、向所述哈希桶模块发送清除广播风暴报文指令并清空广播风暴标志位,在接到时间差不大于单位时间的通知后判断哈希桶中广播风暴标志位是否置位,若置位则向所述计数模块发送归零指令,向下述源MAC地址比较模块发送源MAC地址比较指令,若未置位则向所述全文比较模块转发时间差不大于单位时间的通知;
源MAC地址比较模块,用于在接到所述标志位模块的源MAC地址比较指令后判断当前多播报文的源MAC地址与广播风暴报文的源MAC地址是否相同,若相同则判定为广播风暴在持续,若不同则判定当前多播报文为非广播风暴报文,所述计数值判断模块还用于在判断得出计数值不大于阈值时向所述源MAC地址比较模块发送源MAC地址比较指令,所述源MAC地址比较模块在接到所述计数值判断模块的源MAC地址比较指令后判断是否满足条件:所述标志位模块的广播风暴标志位置位且当前多播报文的源MAC地址与哈希桶中广播风暴报文的源MAC地址相同,若满足则判定当前多播报文为广播风暴报文,若不满足则判定当前多播报文为非广播风暴报文,
所述全文比较模块还用于在判定为发生了广播风暴的同时向所述标志位模块发送置位指令,并将N条相同多播报文中的一条判定为广播风暴报文,向所述哈希桶模块发送保存广播风暴报文的指令,
所述系统时间判断模块还用于在向所述计数模块发送归零指令的同时向所述标志位模块发送清除广播风暴标志位的指令,向所述哈希桶模块发送清除广播风暴报文的指令,
所述哈希桶模块还用于在接到保存广播风暴报文指令后将所述全文比较模块判定的广播风暴报文保存在哈希桶中,在接到清除广播风暴报文指令后将保存的广播风暴报文清除。
优选地,所述广播风暴判定模块还包括告警模块,用于在接到告警指令后发出告警并将广播风暴的相关信息保存在数据库中,所述广播风暴相关信息包括广播风暴报文、广播风暴告警时间、广播风暴的强度和持续时间,
所述源MAC地址比较模块还用于在判定广播风暴在持续的同时向所述告警模块发送告警指令,
所述标志位模块还用于在向所述计数模块发送归零指令前备份计数值、当前多播报文的时间戳和哈希桶的时间标识,
所述全文比较模块还用于在向所述标志位模块发送置位指令后向所述告警模块发送告警指令,在向所述计数模块发送归零指令前备份计数值、当前多播报文的时间戳和哈希桶的时间标识。
本发明的广播风暴的检测装置,分类模块将监听模块监听到的多播报文进行分类统计后转发判断模块,判断模块根据单位时间内每种多播报文的计数是否超过阈值来判断是否发生了广播风暴,同时还检测出广播风暴报文、广播风暴持续时间和强度,便于工作人员了解广播风暴,由于采用循环冗余校验码计算模块对多播报文进行分类,提高了分类效率优化了分类效果,避免了由于算法不当造成的错误检测,又由于全文比较模块对多播报文进行全文比较进一步判断是否真正发生了广播风暴,从而避免对正常情况和哈希冲撞的误判。
附图说明
图1是本发明的广播风暴的检测方法实施例五的流程示意图;
图2是本发明的广播风暴的检测装置实施例一的结构示意图;
图3是本发明的广播风暴的检测装置实施例二的结构示意图;
图4是本发明的广播风暴的检测装置实施例四中广播风暴判定模块的结构示意图。
具体实施方式
当广播风暴产生时,会在网络上出现大量重复的多播报文,因此广播风暴检测的实质就是检测在短时间内是否出现大量重复的多播报文。
本发明的广播风暴的检测方法对每一个监听到的多播报文进行统计,内容相同的报文的个数被累积,如果短时间内重复出现的相同报文个数超过设定的阈值,则判定出现了广播风暴,由于本发明的检测方法与装置是根据广播风暴发生的原理进行设计的,因此,不仅可以检测网络成环引起的广播风暴,而且可以检测网络设备故障产生的广播风暴,下面结合具体实施例和附图详细解释本发明。
实施例一:
本发明的广播风暴的检测方法,包括步骤:
监听多播报文;
根据报文内容对监听到的多播报文进行分类;
计算单位时间内监听到每种多播报文的数量,当超过阈值时,判定为发生了广播风暴。
报文按发送对象数目的不同可分为单播报文和多播报文,多播报文的特征是其目的MAC地址最高字节最低位是一,因此,监听多播报文的一种具体实施方式为:
监听报文,判断报文目的MAC地址最高字节最低位是否为一,若是则判定其为多播报文,
再对被判为多播报文的报文内容进行分析,将内容相同的划为一类,计算单位时间内监听到每类多播报文的数量,若超过阈值则判定为发生了广播风暴,若报文目的MAC地址最高字节最低位不为一则可判其为非广播风暴报文,广播风暴报文即为引发广播风暴的单位时间内监听到的数量超过阈值的多播报文,所述单位时间和阈值为经验值,可以采用固定值,如单位时间为1秒,阈值为200条,工作人员也可以每次检测前根据实际情况进行设定,因此在上述三个步骤之前还包括步骤:
接受对单位时间和阈值的设定。
实施例二:
对多播报文进行分类时,若采用对每条多播报文的报文内容逐次分析的方法,效率是很低的,因此,为提高效率,本实施例采用哈希算法对多播报文进行分类。
首先采用某种哈希算法对多播报文内容做哈希,根据哈希值将多播报文放到相应哈希桶中,如果采用的哈希算法恰当,对不同内容的多播报文计算的哈希值是均匀分布的,因此报文将均匀的落在哈希桶中,不会出现在单位时间内某个哈希桶累积的报文数量超过阈值的情况,如果在单位时间内某个哈希桶累积的报文数量超过阈值则可判定是由广播风暴引起的,即发生了广播风暴,因此选择一个恰当的哈希算法就成为广播风暴检测的关键。循环冗余校验算法(CRC,Cyclic Redundancy Check)是对数据产生简短固定位数校验码的一种哈希函数,主要用来校验数据传输或者保存后可能出现的错误,每种数据对应一个校验码,若数据内容发生改变,其校验码也随之改变,将校验码在数据传输或者储存之前计算出来并且附加到数据后面,如果数据在传输的过程中发生了变化那么接收方根据收到的数据计算出的校验码必然和原来的不同,接收方可以据此判定数据在传输过程中发生了变化。本实施例借助循环冗余校验的思想对多播报文进行分类,计算每条多播报文的循环冗余校验码,一个循环冗余校验码对应一个哈希桶,则循环冗余校验码相同的多播报文将落在同一哈希桶中。循环冗余校验码的位数越高哈希冲撞的概率越低,但占用的内存越大,因此可根据实际需要选择相应的位数,本实施例选择生成16位的循环冗余校验码,由于16位的循环冗余校验码符合均匀分布,因此报文将均匀的落在65536个哈希桶中。
本实施例的步骤如下:
步骤101、监听多播报文并将监听到多播报文的时间记为该多播报文的时间戳;
步骤102、计算多播报文的循环冗余校验码,将多播报文放入与其循环冗余校验码对应的哈希桶中,用计数值记录放入哈希桶中多播报文的数量;
步骤103、监视哈希桶的计数值,判断计数值是否等于一,若等于一则进入步骤104,若不等于一则进入步骤105;
步骤104、将当前多播报文的时间戳作为哈希桶的时间标识;
步骤105、判断计数值是否大于阈值,若大于阈值则进入步骤106;
步骤106、判断当前多播报文的时间戳和哈希桶的时间标识的时间差是否大于单位时间,若大于单位时间则进入步骤107,若不大于单位时间则进入步骤108;
步骤107、将哈希桶的计数值归零;
步骤108、将哈希桶的计数值归零并判定为发生了广播风暴。
多播报文落在与其循环冗余校验码对应的哈希桶中,计数值记录落在哈希桶内的多播报文的个数,为计算简单和减少内存负担,哈希桶并不保存落在其内的多播报文,当不满足广播风暴的形成条件时,也将计数值归零,以便于下次判断,当有新的多播报文落入哈希桶中时,计数值由零变为一,此时将该多播报文的时间戳作为哈希桶的时间标识,即将哈希桶的时间标识更新为当前多播报文的时间戳,以便于计算步骤106中的时间差即哈希桶中积累计数值数量的多播报文所需的时间。
为了避免由于系统时间调整造成的错误判断,在判断计数值是否大于阈值之前增加系统时间是否调整的检查,步骤103的判断结果若为不等一则进入步骤109,其中当前多播报文即为当前时间落入哈希桶的多播报文:
步骤109、当前多播报文的时间戳是否大于哈希桶的时间标识,若大于则进入步骤105,若不大于则进入步骤107。
为方便对报文的处理,本实施例在检测是否发生了广播风暴的同时还可以检测每条报文是否是广播风暴报文,因此,步骤101在监听多播报文的同时若监听到非多播报文则进入步骤110,步骤104、107完成后也进入步骤110。
步骤110、判定当前多播报文为非广播风暴报文。
本实施例的其他技术特征与实施例一相同,在此不予赘述。
实施例三:
实施例二根据循环冗余校验码对多播报文进行分类时,会有少量内容不同的多播报文由于哈希冲撞落到相同的哈希桶中,且正常情况下也有可能单位时间内累积阈值数量的多播报文,因此实施例二对广播风暴的判断并不准确,本实施例则增加对多播报文进一步判断的步骤,步骤106的判断结果若为不大于单位时间则进入步骤111、112:
步骤111、缓存接下来落入哈希桶的M条多播报文;
步骤112、判断M条多播报文中内容相同的多播报文的个数是否大于N,若是则进入步骤113,若否则进入步骤114;
步骤113、判定发生了广播风暴、将哈希桶的计数值归零并清除缓存的M条多播报文;
步骤114、更新M条多播报文,进入步骤112。
本实施例增加了对多播报文进行全文比较的步骤即步骤111,以提高对广播风暴判断的准确性,若M条多播报文中内容相同的多播报文的个数大于N,则可排除哈希冲撞和正常情况的影响判定发生了广播风暴,若M条多播报文中内容相同的多播报文的个数不大于N,则更新M条多播报文,即清除M条多播报文中的第一条多播报文,缓存下一条落入哈希桶的多播报文,继续判断内容相同多播报文的个数是否大于N,直至找到N条以上相同的多播报文。此处M、N均为经验值,本实施例分别以10和5为例。
本实施例的其他技术特征与实施例二相同,在此不予赘述。
实施例四:
由于实施例三全文比较的效率较低,本实施例增加了哈希桶的广播风暴标志位以指示该哈希桶内正在发生广播风暴,同时保存引发广播风暴的广播风暴报文,将当前报文与广播风暴报文比较,若相同则直接判定为发生了广播风暴。
步骤107在将计数值归零的同时还将哈希桶的广播风暴报文和广播风暴标志位清除。
步骤113还将大于N条的相同多播报文中的一条作为广播风暴报文并保存在哈希桶中,将判定发生了广播风暴的步骤由将广播风暴标志位置位的步骤代替。
步骤106的判断结果若为不大于单位时间则进入步骤115:
步骤115、判断哈希桶中广播风暴标志位是否置位,若未置位则进入步骤111、112,若置位则进入步骤116、117;
步骤116、将哈希桶的计数值归零;
步骤117、判断当前多播报文的源MAC地址与广播风暴报文的源MAC地址是否相同,若相同则进入步骤118,若不相同则进入步骤110;
步骤118、判定广播风暴仍在持续。
步骤105若判断得出计数值不大于阈值则进入步骤119:
步骤119、判断当前条件是否满足广播风暴标志位置位且当前多播报文的源MAC地址与广播风暴报文的源MAC地址相同,若满足则进入步骤120,若不满足则进入步骤110;
步骤120、判定当前多播报文为广播风暴报文。
上述源MAC地址与报文是一一对应的关系,内容相同的报文其源MAC地址也相同,内容不同的报文其源MAC地址也不同,根据当前多播报文的源MAC地址与广播风暴报文的源MAC地址是否相同可判断是否发生了广播风暴,此方法相比全文比较法简单而快速。
本实施例的其他技术特征与实施例三相同,在此不予赘述。
实施例五:
检测到广播风暴后还需通知工作人员对广播风暴进行处理,如图1所示,因此本实施例增加了发出告警的步骤,为了让工作人员了解情况,发出告警的同时还需保存广播风暴的相关信息。
将步骤118判定广播风暴仍在持续的步骤由发出告警并保存广播风暴相关信息来实现。
若步骤112的判断结果为是则进入步骤113和118,即执行完步骤113后进入上述步骤118。
在步骤113和116将哈希桶的计数值归零前将计数值备份。
执行完步骤118之后还可以进入并步骤120。
广播风暴相关信息为广播风暴报文、发出告警的时间、广播风暴的强度和持续时间等,其中,广播风暴的持续时间为引发广播风暴的多播报文中第一个报文与最后一个报文被监听到的时间差,多播报文的数量除以持续时间即为广播风暴的强度。
本实施例的其他技术特征与实施例四相同,在此不予赘述。
实施例六:
若在一段时间内持续发生广播风暴,则频繁的信息保存将给数据库或其他保存装置带来负担,因此,本实施例增设了告警时间间隔。
在步骤117与118之间增加步骤121,即若步骤117的判断结果为相同则进入步骤121:
步骤121、判断当前时间离上次告警时间是否超过5秒,若超过则进入步骤118,若未超过则进入步骤120。
上述告警时间间隔可根据实际承载能力进行设定,本实施例以5秒为例。
本实施例的其他技术特征与实施例五相同,在此不予赘述。
本发明的广播风暴的检测装置,是与本发明的广播风暴的检测方法对应的装置,其将广播风暴形成的条件设定为单位时间内监听到超过阈值数量的多播报文,根据此条件检测是否发生了广播风暴,下面结合附图和实施例详细解释本发明。
实施例一:
本发明的广播风暴的检测装置,如图2所示,包括:
监听模块,用于监听报文并判断监听到的报文是否为多播报文;
分类模块,用于根据报文内容对所述监听模块判定的多播报文进行分类;
判断模块,用于计算单位时间内经所述分类模块分类后每种多播报文的数量,当数量超过阈值时,判定为发生了广播风暴。
所述监听模块包括报文监听模块和多播报文判断模块,报文监听模块监听报文,多播报文判断模块判断监听到的报文的目的MAC地址的最高字节最低位是否为1,若是则判定该报文为多播报文,若否则判定该报文为非广播风暴报文。判断报文目的MAC地址最高字节最低位是否为一,若是则判定其为多播报文,分类模块再对被判为多播报文的报文内容进行分析,将内容相同的划为一类,判断模块计算单位时间内监听到每类多播报文的数量,若超过阈值则判定为发生了广播风暴。
单位时间和阈值为经验值,可以采用固定值,如单位时间为1秒,阈值为200条,工作人员也可以每次检测前根据实际情况进行设定,本实施例还包括设定模块,用于接受对单位时间和阈值的设定。
实施例二:
本实施例中的监听模块还将监听到多播报文的时间记为该多播报文的时间戳,如图3所示,本实施例中的分类模块包括循环冗余校验码计算模块、哈希桶模块和计数模块。循环冗余校验码计算模块计算监听模块监听到的多播报文的循环冗余校验码,哈希桶模块保存哈希桶并将监听模块监听到的多播报文放入与其循环冗余校验码对应的哈希桶中,计数模块用计数值记录哈希桶模块放入哈希桶中多播报文的数量。
循环冗余校验码的位数可自定,本实施例以16位为例。
判断模块包括:第一报文判断模块、计数值判断模块、时间差判断模块和广播风暴判定模块。第一报文判断模块监视计数模块的计数值,若计数值等于一则将当前多播报文的时间戳判为哈希桶的时间标识,若计数值不等于一则向计数值判断模块发送计数值不等于一的通知,计数值判断模块接到计数值不等于一的通知后判断技术模块的计数值是否大于阈值,若大于阈值则向所述时间差判断模块发送计数值大于阈值的通知,时间差判断模块接到计数值大于阈值的通知后判断当前多播报文的时间戳和哈希桶的时间标识的时间差是否大于单位时间,若大于则向广播风暴判定模块发送时间差大于单位时间的通知,若不大于则向广播风暴判定模块发送时间差不大于单位时间的通知,广播风暴判定模块接到时间差大于单位时间的通知后向所述计数模块发送归零指令,在接到时间差不大于单位时间的通知后则判定为发生了广播风暴。
计数模块接到广播风暴判定模块的归零指令后将计数值归零。
为了防止系统时间调整使本装置造成误判,判断模块还包括系统时间判断模块,第一报文判断模块在将当前多播报文的时间戳作为哈希桶的时间标识之后判定当前多播报文为非广播风暴报文,判断模块还包括系统时间判断模块,第一报文判断模块将计数值不等于一的通知发送给系统时间判断模块,系统时间判断模块接到计数值不等于一的通知后判断当前多播报文的时间戳是否大于哈希桶的时间标识,若不大于则向计数模块发送归零指令并判定当前多播报文为非广播风暴报文,若大于则将计数值不等于一的通知转发给计数值判断模块,计数值判断模块接到计数值不等于一的通知后再判断计数值是否大于阈值。
本实施例的其他技术特征与实施例一相同,在此不予赘述。
实施例三:
本实施例与实施例二的不同之处在于,实施例二中的广播风暴判定模块由本实施例的全文比较模块来实现,时间差判断模块将时间差大于单位时间和时间差不大于单位时间的通知发送给本实施例的全文比较模块,全文比较模块接到时间差判断模块的时间差不大于单位时间的通知后向哈希桶模块发送缓存M条多播报文的指令,哈希桶模块接到该指令后将接下来落入哈希桶的M条多播报文缓存在哈希桶中,全文比较模块判断缓存的M条多播报文中相同的多播报文是否大于N条,若是则判定为发生了广播风暴、向计数模块发送归零指令并向哈希桶模块发送清除缓存的M条多播报文的指令,哈希桶模块接到该指令后将哈希桶中缓存的M条多播报文清除;若否则向哈希桶模块发送更新M条多播报文的指令,哈希桶模块接到更新M条多播报文的指令后删除M条多播报文中时间戳最小的多播报文,增加与哈希桶对应的下一条多播报文,更新完后全文比较模块再次判断M条多播报文中相同的多播报文是否大于N条,
上述全文比较模块中的M、N为经验值,可根据实际情况进行设定,此处分别以10、5为例。
本实施例的其他技术特征与实施例二相同,在此不予赘述。
实施例四:
如图4所示,本实施例与实施例三的不同之处在于,本实施的广播风暴判定模块还包括标志位模块和源MAC地址比较模块,时间差判断模块将时间差大于单位时间和时间差不大于单位时间的通知发送给标志位模块,标志位模块用广播风暴标志位指示哈希桶中广播风暴在持续并在接到时间差大于单位时间的通知后向计数模块发送归零指令、向哈希桶模块发送清除广播风暴报文指令并清空广播风暴标志位,在接到时间差不大于单位时间的通知后判断哈希桶中广播风暴标志位是否置位,若置位则向计数模块发送归零指令,向源MAC地址比较模块发送源MAC地址比较指令,若未置位则向全文比较模块转发时间差不大于单位时间的通知,源MAC地址比较模块接到标志位模块的源MAC地址比较指令后判断当前多播报文的源MAC地址与广播风暴报文的源MAC地址是否相同,若相同则判定为广播风暴在持续,若不同则判定当前多播报文为非广播风暴报文,计数值判断模块还在判断得出计数值不大于阈值时向源MAC地址比较模块发送源MAC地址比较指令,源MAC地址比较模块在接到计数值判断模块的源MAC地址比较指令后判断是否满足条件:标志位模块的广播风暴标志位置位且当前多播报文的源MAC地址与哈希桶中广播风暴报文的源MAC地址相同,若满足则判定当前多播报文为广播风暴报文,若不满足则判定当前多播报文为非广播风暴报文。
全文比较模块还在判定为发生了广播风暴的同时向标志位模块发送置位指令,并将N条相同多播报文中的一条判定为广播风暴报文,向哈希桶模块发送保存广播风暴报文的指令,标志位模块接到置位指令后将哈希桶的广播风暴标志位置位,哈希桶模块接到保存广播风暴报文指令后将所述全文比较模块判定的广播风暴报文保存在哈希桶中。
系统时间判断模块在向计数模块发送归零指令的同时还向标志位模块发送清除广播风暴标志位的指令,向所述哈希桶模块发送清除广播风暴报文的指令,标志位模块接到清除指令后清除广播风暴标志位,哈希桶模块接到清除广播风暴报文指令后将保存的广播风暴报文清除。
本实施例的其他技术特征与实施例三相同,在此不予赘述。
实施例五:
本实施例与实施例四的不同之处在于,本实施例的广播风暴判定模块还包括告警模块,源MAC地址比较模块在判定广播风暴在持续的同时向告警模块发送告警指令,全文比较模块在向标志位模块发送置位指令后也向告警模块发送告警指令,告警模块接到告警指令后发出告警并将广播风暴的相关信息保存在数据库中,还可以将当前多播报文判定为广播风暴报文。
上述广播风暴相关信息包括广播风暴报文、广播风暴告警时间、广播风暴的强度和和持续时间,为了计算广播风暴的强度和持续时间,全文比较模块在向计数模块发送归零指令前备份计数值、当前多播报文的时间戳和哈希桶的时间标识,标志位模块向计数模块发送归零指令前也备份计数值、当前多播报文的时间戳和哈希桶的时间标识,当前多播报文的时间戳与哈希桶的时间标识的差即为广播风暴的持续时间,计数值除以广播风暴持续时间即为广播风暴的强度。
本实施例的其他技术特征与实施例四相同,在此不予赘述。
实施例六:
本实施例与实施例五的不同之处在于,本实施例中的告警模块还用于在接到源MAC地址比较模块的告警指令后判断当前时间离上次广播风暴告警时间是否超过5秒,若超过则发出告警并保存广播风暴的相关信息,若未超过则判定当前多播报文为广播风暴报文,此时告警模块的意义在于,在两次告警之间设定时间间隔,若当前时间与上次告警时间的时间差未超过时间间隔则不发出告警,因此可以减轻由于频繁写入信息而给数据库造成的负担,时间间隔可根据实际情况进行设定,本实施例以5秒为例。
将本发明的广播风暴的检测方法与广播风暴的检测装置配合使用即可完成对广播风暴的检测。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
Claims (20)
1.一种广播风暴的检测方法,其特征在于,包括步骤:
监听多播报文;
根据报文内容对所述多播报文进行分类;
计算单位时间内经分类后每种多播报文的数量,当数量超过阈值时,判定为发生了广播风暴。
2.根据权利要求1所述的广播风暴的检测方法,其特征在于,
在所述监听多播报文的同时还将监听到多播报文的时间记为该多播报文的时间戳;
所述根据报文内容对监听到的多播报文进行分类的步骤包括:
计算多播报文的循环冗余校验码,将多播报文放入与其循环冗余校验码对应的哈希桶中,用计数值记录放入哈希桶中多播报文的数量;
所述计算单位时间内经分类后每种多播报文的数量,当超过阈值时,判定为发生了广播风暴的步骤包括:
监视哈希桶的计数值,判断计数值是否等于一,若等于一则将当前多播报文的时间戳作为哈希桶的时间标识,若不等于一则判断计数值是否大于阈值,若大于阈值则判断当前多播报文的时间戳和哈希桶的时间标识的时间差是否大于单位时间,若大于单位时间则将哈希桶的计数值归零,若不大于单位时间则判定为发生了广播风暴。
3.根据权利要求2所述的广播风暴的检测方法,其特征在于,
所述若等于一则将当前多播报文的时间戳作为哈希桶的时间标识的步骤之后还包括判定当前多播报文为非广播风暴报文,所述若不等于一则判断计数值是否大于阈值的步骤包括:若不等于一则判断当前多播报文的时间戳是否大于哈希桶的时间标识,若不大于哈希桶的时间标识则将哈希桶的计数值归零并判定当前多播报文为非广播风暴报文,若大于哈希桶的时间标识则进行所述步骤判断计数值是否等于阈值。
4.根据权利要求2或3所述的广播风暴的检测方法,其特征在于,
所述若不大于单位时间则判定为发生了广播风暴的步骤包括:
若不大于单位时间则缓存接下来放入哈希桶中的M条多播报文,判断M条多播报文中相同的多播报文是否大于N条,若是则判定为发生了广播风暴、将哈希桶的计数值归零并清除缓存的M条多播报文,若否则更新M条多播报文,再次判断M条多播报文中相同的多播报文是否大于N条,所述更新M条多播报文为删除M条多播报文中时间戳最小的多播报文,增加放入哈希桶的下一条多播报文。
5.根据权利要求4所述的广播风暴的检测方法,其特征在于,
所述若大于单位时间则在将哈希桶的计数值归零的同时还清除哈希桶的广播风暴标志位和广播风暴报文;
所述若不大于哈希桶的时间标识则将哈希桶的计数值归零的同时还清除哈希桶的广播风暴标志位和广播风暴报文;
所述若不大于单位时间则执行步骤:
判断哈希桶中广播风暴标志位是否置位,
若未置位,则继续所述步骤缓存接下来放入哈希桶中的M条多播报文,
若置位,则将哈希桶的计数值归零,判断当前多播报文的源MAC地址与广播风暴报文的源MAC地址是否相同,若相同则判定为广播风暴在持续,若不相同则判定当前多播报文为非广播风暴报文;
所述步骤判断M条多播报文中相同的多播报文是否大于N条,若是则将所述判定为发生了广播风暴的步骤由将广播风暴标志位置位的步骤来实现,同时还将大于N条的相同多播报文中的一条判定为广播风暴报文并保存;
若所述判断计数值是否大于阈值的结果为不大于则判断是否满足哈希桶广播风暴标志位置位且当前多播报文的源MAC地址与哈希桶中广播风暴报文的源MAC地址相同,若满足则判定当前多播报文为广播风暴报文,若不满足则判定当前多播报文为非广播风暴报文。
6.根据权利要求5所述的广播风暴的检测方法,其特征在于,
若所述步骤判断哈希桶中广播风暴标志位是否置位的结果为置位则在将哈希桶的计数值归零之前备份该计数值、当前多播报文的时间戳和哈希桶的时间标识;
若所述步骤判断M条多播报文中相同的多播报文是否大于N条的结果为是,则在将哈希桶的计数值归零之前备份该计数值、当前多播报文的时间戳和哈希桶的时间标识;
在所述步骤将广播风暴标志位置位之后还包括下述步骤,若所述步骤判断当前多播报文的源MAC地址与广播风暴报文的源MAC地址是否相同的结果的相同则将判定为广播风暴在持续的步骤由下述步骤来实现:
发出告警并保存广播风暴的相关信息的步骤来实现;
所述广播风暴相关信息包括广播风暴报文、广播风暴告警时间、广播风暴的强度和持续时间。
7.根据权利要求6所述的广播风暴的检测方法,其特征在于,
所述发出告警并保存广播风暴的相关信息的步骤包括:判断当前时间离上次广播风暴告警时间是否超过5秒,若超过则发出告警并保存广播风暴的相关信息,若未超过则判定当前多播报文为广播风暴报文。
8.根据权利要求5或6或7所述的广播风暴的检测方法,其特征在于,所述M、N分别为10和5。
9.根据权利要求2或3或5或6或7所述的广播风暴的检测方法,其特征在于,所述循环冗余校验码的位数为16位。
10.根据权利要求1或2或3或5或6或7所述的广播风暴的检测方法,其特征在于,
所述监听多播报文的方法为:监听报文,当报文出现时判断其目的MAC地址最高字节最低位是否为1,若是则判定该报文为多播报文,若否则判定该报文为非广播风暴报文;
和/或
在所述监听多播报文之前还包括:接受对单位时间和阈值的设定;
和/或
所述单位时间为1秒,所述阈值为200条。
11.一种广播风暴的检测装置,其特征在于,包括:
监听模块,用于监听报文并判断监听到的报文是否为多播报文;
分类模块,用于根据报文内容对所述监听模块判定的多播报文进行分类;
判断模块,用于计算单位时间内经所述分类模块分类后每种多播报文的数量,当数量超过阈值时,判定为发生了广播风暴。
12.根据权利要求11所述的广播风暴的检测装置,其特征在于,
所述监听模块还用于将监听到多播报文的时间记为该多播报文的时间戳;
所述分类模块包括:
循环冗余校验码计算模块,用于计算所述监听模块判定的多播报文的循环冗余校验码;
哈希桶模块,用于保存哈希桶并将多播报文放入与其循环冗余校验码对应的哈希桶中;
计数模块,用于用计数值记录放入哈希桶中的多播报文的数量并在接到归零指令后将哈希桶的计数值归零,
所述判断模块包括:
第一报文判断模块,用于监视所述计数模块的计数值,判断计数值是否等于一,若等于一则将当前多播报文的时间戳作为哈希桶的时间标识,若不等于一则向所述计数值判断模块发送计数值不等于一的通知;
计数值判断模块,用于在接到计数值不等于一的通知后判断计数值是否大于阈值,若大于阈值则向所述时间差判断模块发送计数值大于阈值的通知;
时间差判断模块,用于在接到计数值大于阈值的通知后判断当前多播报文的时间戳和哈希桶的时间标识的时间差是否大于单位时间,若大于则向下述广播风暴判定模块发送时间差大于单位时间的通知,若不大于则向下述广播风暴判定模块发送时间差不大于单位时间的通知;
广播风暴判定模块,用于在接到时间差大于单位时间的通知后向所述计数模块发送归零指令,在接到时间差不大于单位时间的通知后则判定为发生了广播风暴。
13.根据权利要求12所述的广播风暴的检测装置,其特征在于,
所述第一报文判断模块还用于在将当前多播报文的时间戳作为哈希桶的时间标识之后判定当前多播报文为非广播风暴报文,所述判断模块还包括系统时间判断模块,所述第一报文判断模块将计数值不等于一的通知发送给所述系统时间判断模块,所述系统时间判断模块用于在接到计数值不等于一的通知后判断当前多播报文的时间戳是否大于哈希桶的时间标识,若不大于则向所述计数模块发送归零指令并判定当前多播报文为非广播风暴报文,若大于则将计数值不等于一的通知转发给所述计数值判断模块。
14.根据权利要求12或13所述的广播风暴的检测装置,其特征在于,
所述时间差判断模块还用于将所述时间差大于单位时间和时间差不大于单位时间的通知发送给下述全文比较模块;
所述广播风暴判定模块包括:
全文比较模块,用于在接到时间差不大于单位时间的通知后向所述哈希桶模块发送缓存M条多播报文的指令,判断所述哈希桶模块缓存的M条多播报文中相同的多播报文是否大于N条,若是则判定为发生了广播风暴、向计数模块发送归零指令并向所述哈希桶模块发送清除缓存的M条多播报文的指令,若否则向所述哈希桶模块发送更新M条多播报文的指令,再次判断M条多播报文中相同的多播报文是否大于N条;
所述哈希桶模块还用于在接到缓存M条多播报文的指令后将接下来与哈希桶对应的M条多播报文缓存在哈希桶中,在接到清除缓存的M条多播报文的指令后清除缓存的M条多播报文,在接到更新M条多播报文的指令后删除M条多播报文中时间戳最小的多播报文,缓存与哈希桶对应的下一条多播报文。
15.根据权利要求14所述的广播风暴的检测装置,其特征在于,
所述时间差判断模块还用于将发送给所述全文比较模块的所述时间差大于单位时间和时间差不大于单位时间的通知发送给下述标志位模块,
所述广播风暴判定模块还包括:
标志位模块,用于用广播风暴标志位指示哈希桶中广播风暴在持续并在接到置位指令后将哈希桶的广播风暴标志位置位,在接到清除指令后清除广播风暴标志位,在接到时间差大于单位时间的通知后向所述计数模块发送归零指令、向所述哈希桶模块发送清除广播风暴报文指令并清空广播风暴标志位,在接到时间差不大于单位时间的通知后判断哈希桶中广播风暴标志位是否置位,若置位则向所述计数模块发送归零指令,向下述源MAC地址比较模块发送源MAC地址比较指令,若未置位则向所述全文比较模块转发时间差不大于单位时间的通知;
源MAC地址比较模块,用于在接到所述标志位模块的源MAC地址比较指令后判断当前多播报文的源MAC地址与广播风暴报文的源MAC地址是否相同,若相同则判定为广播风暴在持续,若不同则判定当前多播报文为非广播风暴报文,所述计数值判断模块还用于在判断得出计数值不大于阈值时向所述源MAC地址比较模块发送源MAC地址比较指令,所述源MAC地址比较模块在接到所述计数值判断模块的源MAC地址比较指令后判断是否满足条件:所述标志位模块的广播风暴标志位置位且当前多播报文的源MAC地址与哈希桶中广播风暴报文的源MAC地址相同,若满足则判定当前多播报文为广播风暴报文,若不满足则判定当前多播报文为非广播风暴报文,
所述全文比较模块还用于在判定为发生了广播风暴的同时向所述标志位模块发送置位指令,并将N条相同多播报文中的一条判定为广播风暴报文,向所述哈希桶模块发送保存广播风暴报文的指令,
所述系统时间判断模块还用于在向所述计数模块发送归零指令的同时向所述标志位模块发送清除广播风暴标志位的指令,向所述哈希桶模块发送清除广播风暴报文的指令,
所述哈希桶模块还用于在接到保存广播风暴报文指令后将所述全文比较模块判定的广播风暴报文保存在哈希桶中,在接到清除广播风暴报文指令后将保存的广播风暴报文清除。
16.根据权利要求15所述的广播风暴的检测装置,其特征在于,
所述广播风暴判定模块还包括告警模块,用于在接到告警指令后发出告警并将广播风暴的相关信息保存在数据库中,所述广播风暴相关信息包括广播风暴报文、广播风暴告警时间、广播风暴的强度和持续时间,
所述源MAC地址比较模块还用于在判定广播风暴在持续的同时向所述告警模块发送告警指令,
所述标志位模块还用于在向所述计数模块发送归零指令前备份计数值、当前多播报文的时间戳和哈希桶的时间标识,
所述全文比较模块还用于在向所述标志位模块发送置位指令后向所述告警模块发送告警指令,在向所述计数模块发送归零指令前备份计数值、当前多播报文的时间戳和哈希桶的时间标识。
17.根据权利要求16所述的广播风暴的检测装置,其特征在于,
所述告警模块还用于在接到所述源MAC地址比较模块的告警指令后判断当前时间离上次广播风暴告警时间是否超过5秒,若超过则发出告警并将广播风暴的相关信息保存在数据库,若未超过则判定当前多播报文为广播风暴报文。
18.根据权利要求15或16或17所述的广播风暴的检测装置,其特征在于,所述M、N分别为10和5。
19.根据权利要求12或13或15或16或17所述的广播风暴的检测装置,其特征在于,所述循环冗余校验码的位数为16位。
20.根据权利要求11或12或13或15或16或17所述的广播风暴的检测装置,其特征在于,
还包括设定模块,用于接受对单位时间和阈值的设定;
和/或
所述单位时间为1秒,所述阈值为200条;
和/或
所述监听模块包括报文监听模块和多播报文判断模块,所述报文监听模块用于监听报文,所述多播报文判断模块用于判断所述监听模块监听到的报文的目的MAC地址的最高字节最低位是否为1,若是则判定该报文为多播报文,若否则判定该报文为非广播风暴报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102509874A CN101895446B (zh) | 2010-08-11 | 2010-08-11 | 广播风暴的检测方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102509874A CN101895446B (zh) | 2010-08-11 | 2010-08-11 | 广播风暴的检测方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101895446A true CN101895446A (zh) | 2010-11-24 |
| CN101895446B CN101895446B (zh) | 2012-04-11 |
Family
ID=43104523
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102509874A Active CN101895446B (zh) | 2010-08-11 | 2010-08-11 | 广播风暴的检测方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101895446B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095603A (zh) * | 2013-02-21 | 2013-05-08 | 南京磐能电力科技股份有限公司 | 一种以太网风暴抑制方法 |
| CN103532775A (zh) * | 2012-06-29 | 2014-01-22 | 特拉博斯股份有限公司 | 用于检测数据帧风暴的始发者的方法和装置 |
| CN103957120A (zh) * | 2014-04-28 | 2014-07-30 | 中网三联科技(北京)有限公司 | 一种抑制光纤宽带广播风暴的技术 |
| CN104113442A (zh) * | 2013-04-18 | 2014-10-22 | 上海斐讯数据通信技术有限公司 | 以太网的环路检测系统及方法 |
| CN104468071A (zh) * | 2014-06-27 | 2015-03-25 | 许继电气股份有限公司 | 一种智能变电站同步时钟装置抗干扰方法 |
| CN104780060A (zh) * | 2015-03-09 | 2015-07-15 | 青岛海信网络科技股份有限公司 | 一种应用于信号机的控制数据链路通断方法及装置 |
| CN104869115A (zh) * | 2015-05-07 | 2015-08-26 | 北京汉柏科技有限公司 | 一种防止dhcp风暴的方法和系统 |
| CN105071977A (zh) * | 2015-09-15 | 2015-11-18 | 深圳市万网博通科技有限公司 | 一种基于交换机的网络运行质量的自检和自愈的方法 |
| CN106572073A (zh) * | 2015-10-13 | 2017-04-19 | 广达电脑股份有限公司 | 通过滤除广播讯息减少负担的方法与系统及存储装置 |
| CN106789448A (zh) * | 2017-02-22 | 2017-05-31 | 许继集团有限公司 | 一种网络风暴快速检测方法及装置 |
| CN109873725A (zh) * | 2019-03-06 | 2019-06-11 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种铁路信号tdcs/ctc系统防止数据网络风暴的防护方法 |
| CN109936487A (zh) * | 2019-04-19 | 2019-06-25 | 浙江中烟工业有限责任公司 | 一种网络广播包的实时分析与监测方法及系统 |
| CN110798382A (zh) * | 2019-10-29 | 2020-02-14 | 迈普通信技术股份有限公司 | 端口风暴阈值控制方法及装置 |
| CN111988184A (zh) * | 2020-08-31 | 2020-11-24 | 湘潭大学 | 一种基于态势感知的广播风暴检测与处理方法 |
| CN112073333A (zh) * | 2020-08-28 | 2020-12-11 | 苏州浪潮智能科技有限公司 | 一种基于SONiC开发的智能容器化流量风暴控制方法与系统 |
| CN112272106A (zh) * | 2020-09-28 | 2021-01-26 | 苏州浪潮智能科技有限公司 | 一种多站点数据同步异常告警方法、装置、设备、产品 |
| CN112673602A (zh) * | 2018-09-14 | 2021-04-16 | 华为技术有限公司 | 一种避免广播风暴的方法和装置 |
| CN114301815A (zh) * | 2021-12-30 | 2022-04-08 | 山石网科通信技术股份有限公司 | 广播风暴的处理方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080247396A1 (en) * | 2007-04-06 | 2008-10-09 | Ludovic Hazard | Method, system and computer processing an ip packet, routing a structured data carrier, preventing broadcast storms, load-balancing and converting a full broadcast ip packet |
| CN101286996A (zh) * | 2008-05-30 | 2008-10-15 | 北京星网锐捷网络技术有限公司 | 一种风暴攻击抵抗方法与装置 |
-
2010
- 2010-08-11 CN CN2010102509874A patent/CN101895446B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080247396A1 (en) * | 2007-04-06 | 2008-10-09 | Ludovic Hazard | Method, system and computer processing an ip packet, routing a structured data carrier, preventing broadcast storms, load-balancing and converting a full broadcast ip packet |
| CN101286996A (zh) * | 2008-05-30 | 2008-10-15 | 北京星网锐捷网络技术有限公司 | 一种风暴攻击抵抗方法与装置 |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532775A (zh) * | 2012-06-29 | 2014-01-22 | 特拉博斯股份有限公司 | 用于检测数据帧风暴的始发者的方法和装置 |
| CN103532775B (zh) * | 2012-06-29 | 2018-12-07 | 特拉博斯股份有限公司 | 用于检测数据帧风暴的始发者的方法和装置 |
| CN103095603B (zh) * | 2013-02-21 | 2015-07-29 | 南京磐能电力科技股份有限公司 | 一种以太网风暴抑制方法 |
| CN103095603A (zh) * | 2013-02-21 | 2013-05-08 | 南京磐能电力科技股份有限公司 | 一种以太网风暴抑制方法 |
| CN104113442A (zh) * | 2013-04-18 | 2014-10-22 | 上海斐讯数据通信技术有限公司 | 以太网的环路检测系统及方法 |
| CN103957120A (zh) * | 2014-04-28 | 2014-07-30 | 中网三联科技(北京)有限公司 | 一种抑制光纤宽带广播风暴的技术 |
| CN104468071B (zh) * | 2014-06-27 | 2017-08-22 | 许继电气股份有限公司 | 一种智能变电站同步时钟装置抗干扰方法 |
| CN104468071A (zh) * | 2014-06-27 | 2015-03-25 | 许继电气股份有限公司 | 一种智能变电站同步时钟装置抗干扰方法 |
| CN104780060B (zh) * | 2015-03-09 | 2018-11-30 | 青岛海信网络科技股份有限公司 | 一种应用于信号机的控制数据链路通断方法及装置 |
| CN104780060A (zh) * | 2015-03-09 | 2015-07-15 | 青岛海信网络科技股份有限公司 | 一种应用于信号机的控制数据链路通断方法及装置 |
| CN104869115A (zh) * | 2015-05-07 | 2015-08-26 | 北京汉柏科技有限公司 | 一种防止dhcp风暴的方法和系统 |
| CN105071977B (zh) * | 2015-09-15 | 2019-01-15 | 深圳市万网博通科技有限公司 | 一种基于交换机的网络运行质量的自检和自愈的方法 |
| CN105071977A (zh) * | 2015-09-15 | 2015-11-18 | 深圳市万网博通科技有限公司 | 一种基于交换机的网络运行质量的自检和自愈的方法 |
| CN106572073B (zh) * | 2015-10-13 | 2019-12-10 | 广达电脑股份有限公司 | 通过滤除广播讯息减少负担的方法与系统及存储装置 |
| CN106572073A (zh) * | 2015-10-13 | 2017-04-19 | 广达电脑股份有限公司 | 通过滤除广播讯息减少负担的方法与系统及存储装置 |
| CN106789448A (zh) * | 2017-02-22 | 2017-05-31 | 许继集团有限公司 | 一种网络风暴快速检测方法及装置 |
| CN112673602A (zh) * | 2018-09-14 | 2021-04-16 | 华为技术有限公司 | 一种避免广播风暴的方法和装置 |
| CN109873725A (zh) * | 2019-03-06 | 2019-06-11 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种铁路信号tdcs/ctc系统防止数据网络风暴的防护方法 |
| CN109936487A (zh) * | 2019-04-19 | 2019-06-25 | 浙江中烟工业有限责任公司 | 一种网络广播包的实时分析与监测方法及系统 |
| CN110798382A (zh) * | 2019-10-29 | 2020-02-14 | 迈普通信技术股份有限公司 | 端口风暴阈值控制方法及装置 |
| CN112073333A (zh) * | 2020-08-28 | 2020-12-11 | 苏州浪潮智能科技有限公司 | 一种基于SONiC开发的智能容器化流量风暴控制方法与系统 |
| CN112073333B (zh) * | 2020-08-28 | 2022-05-06 | 苏州浪潮智能科技有限公司 | 一种基于SONiC开发的智能容器化流量风暴控制方法与系统 |
| CN111988184A (zh) * | 2020-08-31 | 2020-11-24 | 湘潭大学 | 一种基于态势感知的广播风暴检测与处理方法 |
| CN111988184B (zh) * | 2020-08-31 | 2023-02-10 | 湘潭大学 | 一种基于态势感知的广播风暴检测与处理方法 |
| CN112272106A (zh) * | 2020-09-28 | 2021-01-26 | 苏州浪潮智能科技有限公司 | 一种多站点数据同步异常告警方法、装置、设备、产品 |
| CN114301815A (zh) * | 2021-12-30 | 2022-04-08 | 山石网科通信技术股份有限公司 | 广播风暴的处理方法和装置 |
| CN114301815B (zh) * | 2021-12-30 | 2024-03-15 | 山石网科通信技术股份有限公司 | 广播风暴的处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101895446B (zh) | 2012-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101895446B (zh) | 广播风暴的检测方法与装置 | |
| CN103220173B (zh) | 一种报警监控方法及监控系统 | |
| US7036049B2 (en) | System and method for collecting statistics for a communication network | |
| CN111556083B (zh) | 电网信息物理系统网络攻击物理侧与信息侧协同溯源装置 | |
| CN103596208B (zh) | 一种网元故障判断方法及系统 | |
| CN103856339B (zh) | 一种对告警信息进行压缩的方法和设备 | |
| CN110784355B (zh) | 一种故障识别方法及装置 | |
| US9547545B2 (en) | Apparatus and program for detecting abnormality of a system | |
| KR20180012812A (ko) | 컨버터 밸브의 고장 조기경보 방법 및 시스템 | |
| CN101656013A (zh) | 一种车载监控报警终端、系统及报警方法 | |
| CN109347688B (zh) | 一种在无线局域网中定位故障的方法和装置 | |
| CN104574219A (zh) | 电网业务信息系统运行工况的监测预警方法及系统 | |
| CN109639503A (zh) | 一种基于变电站过程层网络设备的异常报文追溯实现方法 | |
| CN103647662B (zh) | 一种故障监测报警方法及装置 | |
| CN111131082A (zh) | 一种充电设施数据传输动态控制方法及系统 | |
| CN106452941A (zh) | 网络异常的检测方法及装置 | |
| CN104243192B (zh) | 故障处理方法及系统 | |
| CN107294767A (zh) | 一种直播网络传输故障监测方法及系统 | |
| CN115865649A (zh) | 一种智能运维管理控制方法、系统和存储介质 | |
| CN106330535A (zh) | 一种车地通信数据处理方法及装置 | |
| CN114826770A (zh) | 一种计算机网络智能分析的大数据管理平台 | |
| CN108933693A (zh) | 一种域名服务系统故障处理方法和系统 | |
| CN107180267B (zh) | 一种二次运维管理系统的家族性缺陷诊断方法 | |
| CN108683542A (zh) | 一种分布式存储系统的故障自诊断方法、系统及装置 | |
| US20150271045A1 (en) | Method, apparatus and system for detecting network element load imbalance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1150696 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1150696 Country of ref document: HK |