CN102255749B - 一种引发网络设备故障的异常报文捕获方法及装置 - Google Patents
一种引发网络设备故障的异常报文捕获方法及装置 Download PDFInfo
- Publication number
- CN102255749B CN102255749B CN201110175281.0A CN201110175281A CN102255749B CN 102255749 B CN102255749 B CN 102255749B CN 201110175281 A CN201110175281 A CN 201110175281A CN 102255749 B CN102255749 B CN 102255749B
- Authority
- CN
- China
- Prior art keywords
- exception
- message
- packet capturing
- marker bit
- enabled mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种引发网络设备故障的异常报文捕获方法及装置,以解决现有技术中存在的进行异常报文捕获时占用资源严重的问题,该方法包括:将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记;根据异常报文的异常号查找对应的异常表,若所查找的异常表的抓包标记位为使能标记,则将该异常报文的抓包标记位,置位为使能标记;将抓包标记位为使能标记的异常报文捕获,由于通过异常表对待捕获异常报文打上抓包标记位,从而无需过多的资源就可将置位的报文捕获。
Description
技术领域
本发明涉及网络通信技术领域,特别的涉及一种引发网络设备故障的异常报文捕获方法及装置。
背景技术
现今网络发展速度惊人,网络设备(包括路由器,交换机等)承载着各种各样的业务,当网络设备发生不该有的丢包而引发故障时,及时在丢弃的报文获取该种业务的报文对其进行分析显得尤为重要,在复杂的网络环境中网络设备上多种业务是穿插在一起的,要确切的捕获特定的丢弃报文比较困难。
现有的抓包排查问题的手段一般是通过流镜像或者端口镜像将某个端口或者符合某种规则的报文镜像到特定物理端口或者CPU。端口镜像粒度比较粗,需要从大量报文中过滤出关心的报文,比较麻烦;流镜像粒度较细,但是比较耗费宝贵的ACL(Access ControlList,访问控制列表)资源。镜像到物理端口的前提是需要有空闲的物理端口,镜像到CPU会增加CPU的负载,流量大的话会造成协议报文丢弃,从而导致整个网络设备工作不正常。
可见现有技术中存在进行异常报文捕获时占用资源严重的问题。
发明内容
本发明的目的是针对现有技术中存在的进行异常报文捕获时占用资源严重的问题,提供一种引发网络设备故障的异常报文捕获方法及装置,该方法包括:
将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记;
根据异常报文的异常号查找对应的异常表,若所查找的异常表的抓包标记位为使能标记,则将该异常报文的抓包标记位,置位为使能标记;
将抓包标记位为使能标记的异常报文捕获。
进一步,将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记具体为:
通过控制层面将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记。
进一步,将该异常报文的抓包标记位,置位为使能标记具体为:
在该异常报文的报文头的之前,添加被置位为使能标记的抓包标记位。
进一步,将抓包标记位为使能标记的异常报文捕获具体为:
将抓包标记位为使能标记的异常报文复制到缓存单元中。
进一步,还包括:从缓存单元中获取报文进行分析。
本发明实施例还提供一种引发网络设备故障的异常报文捕获装置,包括:
异常表置位模块:用于将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记;
报文置位模块,用于根据异常报文的异常号查找对应的异常表,若所查找的异常表的抓包标记位为使能标记,则将该异常报文的抓包标记位,置位为使能标记;
捕获模块,用于将抓包标记位为使能标记的异常报文捕获。
进一步,异常表置位模块:还用于通过控制层面将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记。
进一步,报文置位模块,还用于在异常报文的报文头的之前,添加被置位为使能标记的抓包标记位。
进一步,捕获模块,还用于将抓包标记位为使能标记的异常报文复制到缓存单元中。
进一步,还包括:
分析模块,用于从缓存单元中获取报文进行分析。
由于通过异常表对待捕获异常报文打上抓包标记位,从而无需过多的资源就可将置位的报文捕获。
附图说明
图1表示本发明提供的方法流程图;
图2表示本发明提供的装置结构图。
具体实施方式
下面结合说明书附图对本发明优选实施例进行说明,以解决现有技术中存在的进行异常报文捕获时占用资源严重的问题。
以交换机进行报文转发为例,在转发过程中常常会出现大量的异常报文丢弃,比如说生成树检查、MTU(Maximum Transmission Unit,最大传输单元)检查等等,以MTU检测为例,最大值为长度1500字节若检测时发现长度1501字节的报文则认为其为异常报文丢弃。在实施本实施例的方法的之前,需确定待捕获的异常报文,例如首先需确定是希望捕获因生成树检测发现的异常报文,还是MTU检测发现的异常报文,并且每种异常报文都有对应的异常号,如生成树检测发现的异常报文对应的异常号为0001,MTU检测发现的异常报文的异常号为0011。
下面结合图1对本发明提供的引发网络设备故障的异常报文捕获方法进行详细说明,本实施例中假设待捕获的报文为MTU检测发现的异常报文,该方法包括:
步骤101:将待捕获异常报文的异常号0011对应的异常表中的抓包标记位,置位为1,这里“1”表示进行抓包处理的使能标记。
步骤102:根据异常报文的异常号查找对应的异常表,若所查找的异常表的抓包标记位为使能标记1,则将该异常报文的抓包标记位,置位为使能标记1。
步骤103:将抓包标记位为使能标记1的异常报文捕获。
由于在异常号0011对应的异常表中增加抓包标记位,进而对待捕获异常报文打上抓包标记位,从而无需过多的资源就可将置位的报文捕获。
本实施例在实施步骤101时,可以先通过管理软件输入待捕获报文的异常号0011,这样就可以通过控制面将异常号0011对应的异常表中的抓包标记位置位为1。当然也可以不通过控制面进行抓包标记位置位,如预先设置好只对某异常号的异常报文进行捕获,通过控制面只是为了更灵活的进行选择,抓捕带有不同异常号的异常报文。
本实施例在实施步骤102时,有多种不同异常号的异常报文如有异常号为0001的异常报文和异常号为0011的异常报文等,因为异常号0011对应的异常表中的抓包标记位,置位为1,而异常号0001对应的异常表中的抓包标记位,没有被置位为1,因此,异常号为0001的报文的抓包标记位不会被置位为使能标记1,异常号为0011的报文的抓包标记位会被置位为使能标记1。被置位为使能标记1的抓包标记位,将被加在异常号为0011的异常报文的报文头的之前,当然也可以根据报文格式将抓包标记位置于异常报文的其它位置,放在异常报文头的前面的好处是,查找方便。
本实施例在实施步骤103时,优选的方案是将抓包标记位为使能标记1的异常报文复制到缓存单元中。这样只是为了更简便的进行异常报文捕获,当然将异常报文发送到其它特定的存储设备也是可以的。
在实施完步骤103后,将捕获的异常报文(异常号为0011),从缓存单元中取出进行分析,以确定故障原因。
综上所述,本发明具体实施方式提供的技术方案,在异常表中设定抓包标记位,对出现该种异常的报文打上标记,在转发流程结束将打上抓包处理的使能标记1的报文存储到缓存单元,最后从缓存单元中取出报文进行分析。该方法可以在不影响其他业务及性能的基础上,方便快捷的获取需要的报文,加快了网络故障定位的速度。
本发明实施例还提供一种引发网络设备故障的异常报文捕获装置,如图2所示,包括:
异常表置位模块201:用于将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记;
报文置位模块202,用于根据异常报文的异常号查找对应的异常表,若所查找的异常表的抓包标记位为使能标记,则将该异常报文的抓包标记位,置位为使能标记;
捕获模块203,用于将抓包标记位为使能标记的异常报文捕获。
进一步,异常表置位模块201:还用于通过控制层面将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记。
进一步,报文置位模块202,还用于在异常报文的报文头之前,添加被置位为使能标记的抓包标记位。
进一步,捕获模块203,还用于将抓包标记位为使能标记的异常报文复制到缓存单元中。
进一步,还包括:
分析模块204,用于从缓存单元中获取报文进行分析。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (8)
1.一种引发网络设备故障的异常报文捕获方法,其特征在于,包括:
将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记;
根据异常报文的异常号查找对应的异常表,若所查找的异常表的抓包标记位为使能标记,则将该异常报文的抓包标记位,置位为使能标记;
将抓包标记位为使能标记的异常报文捕获,包括:将抓包标记位为使能标记的异常报文复制到缓存单元中。
2.如权利要求1所述的方法,其特征在于,将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记具体为:
通过控制层面将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记。
3.如权利要求1所述的方法,其特征在于,将该异常报文的抓包标记位,置位为使能标记具体为:
在该异常报文的报文头的之前,添加被置位为使能标记的抓包标记位。
4.如权利要求1所述的方法,其特征在于,还包括:从缓存单元中获取报文进行分析。
5.一种引发网络设备故障的异常报文捕获装置,其特征在于,包括:
异常表置位模块:用于将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记;
报文置位模块,用于根据异常报文的异常号查找对应的异常表,若所查找的异常表的抓包标记位为使能标记,则将该异常报文的抓包标记位,置位为使能标记;
捕获模块,用于将抓包标记位为使能标记的异常报文捕获,包括:将抓包标记位为使能标记的异常报文复制到缓存单元中。
6.如权利要求5所述的装置,其特征在于,异常表置位模块:还用于通过控制层面将待捕获异常报文的异常号对应的异常表中的抓包标记位,置位为表示进行抓包处理的使能标记。
7.如权利要求5所述的装置,其特征在于,报文置位模块,还用于在异常报文的报文头的之前,添加被置位为使能标记的抓包标记位。
8.如权利要求5所述的装置,其特征在于,还包括:
分析模块,用于从缓存单元中获取报文进行分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110175281.0A CN102255749B (zh) | 2011-06-27 | 2011-06-27 | 一种引发网络设备故障的异常报文捕获方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110175281.0A CN102255749B (zh) | 2011-06-27 | 2011-06-27 | 一种引发网络设备故障的异常报文捕获方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102255749A CN102255749A (zh) | 2011-11-23 |
| CN102255749B true CN102255749B (zh) | 2017-12-15 |
Family
ID=44982754
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110175281.0A Active CN102255749B (zh) | 2011-06-27 | 2011-06-27 | 一种引发网络设备故障的异常报文捕获方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102255749B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103200129B (zh) * | 2013-04-05 | 2017-01-04 | 张小云 | 一种异常报文的镜像方法和装置 |
| CN103532763B (zh) * | 2013-10-21 | 2017-11-17 | 迈普通信技术股份有限公司 | 一种故障定位方法及装置 |
| CN108123899B (zh) * | 2017-12-21 | 2020-09-11 | 湖南恒茂高科股份有限公司 | 一种交换机出口报文流的统计方法及监控方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1799012A (zh) * | 2003-05-29 | 2006-07-05 | 松下电器产业株式会社 | 异常处理系统 |
| CN101222360A (zh) * | 2008-01-22 | 2008-07-16 | 中兴通讯股份有限公司 | 用于建立告警规则关联的规则引擎系统及方法 |
| CN101388794A (zh) * | 2008-10-10 | 2009-03-18 | 中兴通讯股份有限公司 | 一种定位网络管理系统异常事件的方法和系统 |
| CN101859325A (zh) * | 2010-06-07 | 2010-10-13 | 华为技术有限公司 | 一种数据表项的查找处理方法和装置 |
| CN101902335A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种数据过滤与合并的方法 |
-
2011
- 2011-06-27 CN CN201110175281.0A patent/CN102255749B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1799012A (zh) * | 2003-05-29 | 2006-07-05 | 松下电器产业株式会社 | 异常处理系统 |
| CN101222360A (zh) * | 2008-01-22 | 2008-07-16 | 中兴通讯股份有限公司 | 用于建立告警规则关联的规则引擎系统及方法 |
| CN101388794A (zh) * | 2008-10-10 | 2009-03-18 | 中兴通讯股份有限公司 | 一种定位网络管理系统异常事件的方法和系统 |
| CN101902335A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种数据过滤与合并的方法 |
| CN101859325A (zh) * | 2010-06-07 | 2010-10-13 | 华为技术有限公司 | 一种数据表项的查找处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102255749A (zh) | 2011-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102163280B1 (ko) | 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템 | |
| US20220368703A1 (en) | Method and device for detecting security based on machine learning in combination with rule matching | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| CN104796405B (zh) | 反弹连接检测方法和装置 | |
| CN105991795B (zh) | Arp表项更新方法以及装置 | |
| CN106789728A (zh) | 一种基于NetFPGA的VoIP流量实时识别方法 | |
| CN102882748A (zh) | 网络接入检测系统和网络接入检测方法 | |
| CN114513340B (zh) | 一种软件定义网络中的两级DDoS攻击检测与防御方法 | |
| CN106027497A (zh) | 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法 | |
| CN107463839A (zh) | 一种管理应用程序的系统和方法 | |
| CN102255749B (zh) | 一种引发网络设备故障的异常报文捕获方法及装置 | |
| CN108833430B (zh) | 一种软件定义网络的拓扑保护方法 | |
| CN109743314A (zh) | 网络异常的监控方法、装置、计算机设备及其存储介质 | |
| Wang et al. | Honeynet construction based on intrusion detection | |
| CN107707549B (zh) | 一种自动提取应用特征的装置及方法 | |
| Zhang et al. | Optimization of traditional Snort intrusion detection system | |
| Chi | Intrusion detection system based on snort | |
| CN105337797A (zh) | 一种复杂电子信息系统网络协议数据捕获方法 | |
| Lima et al. | BP-IDS: Using business process specification to leverage intrusion detection in critical infrastructures | |
| CN102223261A (zh) | 一种针对报文进行采样的方法及装置 | |
| CN102136956A (zh) | 检测网络通讯行为的监测方法及其系统 | |
| Tahmassebpour | Immediate detection of DDoS attacks with using NetFlow on cisco devices IOS | |
| CN101741617A (zh) | 实现故障定位的方法和装置 | |
| CN111262782A (zh) | 一种报文处理方法、装置及设备 | |
| CN103618641A (zh) | 一种基于众核网络处理器并可快速部署的数据包检测监控系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |