CN103338200B - 基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法 - Google Patents
基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法 Download PDFInfo
- Publication number
- CN103338200B CN103338200B CN201310265547.XA CN201310265547A CN103338200B CN 103338200 B CN103338200 B CN 103338200B CN 201310265547 A CN201310265547 A CN 201310265547A CN 103338200 B CN103338200 B CN 103338200B
- Authority
- CN
- China
- Prior art keywords
- register
- circuit
- message
- network
- data frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Thin Film Transistor (AREA)
Abstract
本发明提供了一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法,防御电路设置在以太网接口的数据链路层和数据物理层之间,其通过MII接口分别与MAC和PHY连接;所述方法包括如下步骤:A、MII接口接收到报文发送信号或报文接收信号后启动防御电路;B、半字节计数控制器将网络数据帧的字段分配到寄存器锁存;C、数值比较器将寄存器与特征数值编码进行数值比较;D、组合逻辑电路控制FIFO缓存模块电路对网络数据帧进行丢弃或通过处理。和现有技术相比,本发明提供的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法纯硬件实现、实时性高、灵活性高、不占CPU资源和实际网口带宽,具有较高稳定性。
Description
技术领域
本发明涉及一种网络攻击防御电路的实现方法,具体涉及一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法。
背景技术
随着因特网的迅速发展,电力系统对通信网络的依赖越来越大,特别是新一代智能电网使通信网络信息安全面临新的挑战。由于网络本身(特别是TCP/IP协议)的安全缺陷,各种拒绝服务(DenialofService,简称DoS)攻击不可能消失,其中Smurf攻击以其攻击范围广、隐蔽性强、简单有效等特点成为最常见的网络攻击方式之一,严重威胁着电力信息通信网络的安全,极大地影响了电力系统的安全、稳定、经济、优质运行,影响着智能电网的实现进程。
信息通信网络的防Smurf攻击目前主要依靠纯软件防火墙和专用芯片加CPU方案实现的防火墙设备,它们都存在相应的缺点:纯软件防火墙要耗费一定的CPU资源和存在实际网络带宽不高等问题,在被攻击时问题尤为严重;专用芯片加CPU方案防火墙设备成本高、不灵活,需要额外增加设备且设备本身管理部分就是容易被各种攻击。迫切需要一种基于硬件电路的、不耗CPU资源、高实际网口带宽的网络物理层Smurf攻击防御逻辑电路的实现方法。
发明内容
为了满足现有技术的需求,本发明提供了一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法;所述防御电路设置在以太网接口的数据链路层和数据物理层之间;所述防御电路通过MII接口分别与MAC和PHY连接;所述方法包括如下步骤:
A、所述MII接口接收到报文发送信号或报文接收信号后启动所述防御电路;
B、半字节计数控制器将网络数据帧的字段分配到寄存器锁存;
C、数值比较器将所述寄存器与特征数值编码进行数值比较;
D、组合逻辑电路控制FIFO缓存模块电路对所述网络数据帧进行丢弃或通过处理。
优选的,所述步骤A中的所述防御电路包括出向数据防御电路和入向数据防御电路;
优选的,所述出向数据防御电路的寄存器包括报文类型寄存器、源IP地址寄存器、IP报文类型寄存器、报文分段标志寄存器、IP报文类型寄存器、ICMP报文类型寄存器、目的IP地址寄存器和备份目的IP地址寄存器;
优选的,所述步骤C中的所述数值比较器将所述寄存器与所述特征数值编码比较包括:
所述报文类型寄存器与0x0800比较,若比较结果相同则所述网络数据帧为IP报文;
所述源IP地址寄存器与本网口IP地址比较;
所述IP报文类型寄存器与0x01比较,若比较结果相同则所述网络数据帧为ICMP报文;
所述报文分段标志寄存器与0x02比较,若比较结果相同则所述网络数据帧为分段报文;
所述ICMP报文类型寄存器与0x08或0x0d比较,若比较结果相同则所述网络数据帧为请求报文;
所述目的IP地址寄存器与所述备份目的IP地址寄存器的上一个网络数据帧锁存的备份目的IP地址比较;所述目的IP地址寄存器与所述备份目的IP地址寄存器的数值比较器的输出电平与时钟计数器输出的20ms时钟脉冲电平进行逻辑或运算,用于确保20ms内所述网络数据帧的目的IP地址不等于所述上一个网络数据帧的目的IP地址,防止Smurf攻击时的连续数据包;
优选的,所述入向数据防御电路的寄存器包括报文类型寄存器、IP报文类型寄存器、ICMP报文类型寄存器和ICMP报文类型Code寄存器;
优选的,所述数值比较器将所述寄存器与所述特征数值编码比较包括:
所述报文类型寄存器与0x0800比较,若比较结果相同则所述网络数据帧为IP报文;
所述IP报文类型寄存器与0x01比较,若比较结果相同则所述网络数据帧为ICMP报文;
所述ICMP报文类型寄存器与0x03比较,若比较结果相同则所述网络数据帧为目的不可达报文;
所述ICMP报文类型Code寄存器与0x03比较,若比较结果相同则所述网络数据帧为端口不可达报文;
优选的,所述步骤D中的FIFO缓存模块电路包括出向FIFO缓存模块电路和入向FIFO缓存模块电路;
所述出向数据防御电路中的组合逻辑电路依据所述数值比较器的输出电平控制出向FIFO缓存模块电路将所述网络数据帧输出到所述PHY芯片或进行丢弃处理;
所述入向数据防御电路中的组合逻辑电路依据所述数值比较器的输出电平控制入向FIFO缓存模块电路将所述网络数据帧输入到所述MAC芯片或进行丢弃处理;
优选的,所述防御电路解析报文到达或离开节点的标记时刻为在所述网络数据帧开始标志字节的最后一位的结束和所述数据链路层的目的地址第一个字节的第一位到来之前的时刻。
本发明的有益效果是:
1、本发明技术方案中,防御电路设置在以太网口数据链路层和数据物理层之间,通过MII接口分别与MAC和PHY连接,实现了硬件网络的Smurf攻击特征瞬时防御;
2、本发明技术方案中,采用FPGA实现网络Smurf攻击特征瞬时防御,检测过滤速度快、不占CPU资源和网口带宽;
3、本发明技术方案中,采用FPGA实现网络Smurf攻击特征瞬时防御,提高了防御电路的灵活性,降低系统成本;
4、本发明提供的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法具有较高的稳定性。
5、本发明提供的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法可以整合到以太网MAC芯片中,具有较高的推广和应有价值。
附图说明
下面结合附图对本发明进一步说明。
图1是:本实施例中的出向数据防御电路结构图;
图2是:本实施例中的入向数据防御电路结构图;
图3是:网络数据帧标记时刻示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
本发明提供的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法的防御电路设置在以太网接口的数据链路层和数据物理层之间;所述防御电路通过MII接口分别与MAC(MultipleAccessChanne,MAC)和PHY(PhysicalLayer,PHY)连接;所述方法包括如下步骤:A、MII接口接收到报文发送信号或报文接收信号后启动防御电路;B、半字节计数控制器将网络数据帧的字段分配到寄存器锁存;C、数值比较器将寄存器与特征数值编码进行比较;D、组合逻辑电路控制FIFO缓存模块电路对网络数据帧进行丢弃或通过处理;所述防御电路包括出向数据防御电路和入向数据防御电路。
图1示出了本实施例中的出向数据防御电路结构图;包括半字节计数器、时钟计数器、组合逻辑电路、报文类型寄存器、源IP地址寄存器、IP报文类型寄存器、报文分段标志寄存器、ICMP报文类型寄存器、目的IP地址寄存器、备份目的IP地址寄存器和20ms时钟计数器;
当出向数据防御电路不发送网络数据帧即报文时,MII接口上的TX_EN为低电平,半字节计数器清零;
当出向数据防御电路发送网络数据帧即报文时,MII接口上的TX_EN变为高电平,半字节计数控制器在TX_CLK的作用下开始计数;当7个字节的前导码和1字节的帧开始标志(共8字节,16个半字节)发送完成后,半字节计数控制器的计数值等于计数值16;半字节计数控制器发出锁存时钟计数器的命令,即在图3示意的时刻标记报文;
当计数值在[40~43]范围时,报文类型寄存器锁存16bit(4个半字节)的地址;
当计数值在[58~59]范围时,锁存报文分段标志寄存器;
当计数值在[63~64]范围时,锁存IP报文类型寄存器;
当计数值在[68~75]范围时,锁存源IP地址寄存器;
当计数值在[76~83]范围时,锁存目的IP地址寄存器;
当计数值在[84~85]范围时,锁存ICMP报文类型寄存器。
数值比较器将所述寄存器与特征数值编码进行数值比较包括:
①:报文类型寄存器与0x0800比较,若比较结果相同则所述网络数据帧为IP报文,本实施例中网络数据帧必须是IP报文;
②:源IP地址寄存器与本网口IP地址比较;
③:IP报文类型寄存器与0x01比较,若比较结果相同则所述网络数据帧为ICMP报文,本实施例中网络数据帧必须是ICMP报文;
④:报文分段标志寄存器与0x02比较,若比较结果相同则所述网络数据帧为分段报文,本实施例中网络数据帧必须不是分段报文;
⑤:ICMP报文类型寄存器与0x08或0x0d比较,若比较结果相同则所述网络数据帧为请求报文;
⑥:目的IP地址寄存器与所述备份目的IP地址寄存器的上一个网络数据帧锁存的
备份目的IP地址比较,所述目的IP地址寄存器与所述备份目的IP地址寄存器的数值比较器的输出电平与时钟计数器输出的20ms时钟脉冲电平进行逻辑或运算,用于确保20ms内所述网络数据帧的目的IP地址不等于所述上一个网络数据帧的目的IP地址,防止Smurf攻击时的连续数据包;
组合逻辑电路依据所述数值比较器的输出电平控制出向FIFO缓存模块电路将网络数据帧即报文输出到数据链路层的PHY芯片或进行丢弃处理。
图2示出了本实施例中的入向数据防御电路结构图;包括半字节计数器、组合逻辑电路、报文类型寄存器、所述IP报文类型寄存器、所述ICMP报文类型寄存器和ICMP报文类型Code寄存器;
当入向数据防御电路不发送网络数据帧即报文时,MII接口上的RX_EN为低电平,半字节计数器清零;
当入向数据防御电路发送网络数据帧即报文时,MII接口上的RX_EN变为高电平,半字节计数控制器在RX_CLK的作用下开始计数;当7个字节的前导码和1字节的帧开始标志(共8字节,16个半字节)发送完成后,计数控制器的计数值等于计数值16;
当计数值在[40~43]范围时,报文类型寄存器锁存16bit(4个半字节)的地址;
当计数值在[63~64]范围时,锁存IP报文类型寄存器;
当计数值在[84~85]范围时,锁存ICMP报文类型寄存器;
当计数值在[86~87]范围时,锁存ICMP报文类型Code寄存器;
当计数值在等于100时刻时,IP报文头部全部传输完毕,组合逻辑电路依据数值比较器的输出电平控制入向FIFO缓存模块电路将网络数据帧即IP报文输入数据链路层的MAC芯片或进行丢弃处理,且不对所述网络数据帧不做任何修改;
数值比较器将所述寄存器与特征数值编码进行数值比较包括:
①:报文类型寄存器与0x0800比较,若比较结果相同则所述网络数据帧为IP报文,本实施例中网络数据帧必须是IP报文;
②:IP报文类型寄存器与0x01比较,若比较结果相同则所述网络数据帧为ICMP报文,本实施例中网络数据帧必须是ICMP报文;
③:ICMP报文类型寄存器与0x03比较,若比较结果相同则所述网络数据帧为目的不可达报文;
④:所述ICMP报文类型Code寄存器与0x03比较,若比较结果相同则所述网络数据帧为端口不可达报文。
图3示出了网络数据帧标记时刻示意图;所述防御电路解析以太网报文到达或离开节点的标记时刻为在网络数据帧开始标志字节的最后一位的结束和数据链路层的目的地址第一个字节的第一位到来之前的时刻。
最后应当说明的是:所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
Claims (5)
1.一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法,其特征在于,所述防御电路设置在以太网接口的数据链路层和数据物理层之间;所述防御电路通过MII接口分别与MAC和PHY连接;所述方法包括如下步骤:
A、所述MII接口接收到报文发送信号或报文接收信号后启动所述防御电路;
B、半字节计数控制器将网络数据帧的字段分配到寄存器锁存;
C、数值比较器将所述寄存器与特征数值编码进行数值比较;
D、组合逻辑电路控制FIFO缓存模块电路对所述网络数据帧进行丢弃或通过处理;
所述步骤A中的所述防御电路包括出向数据防御电路和入向数据防御电路;
所述出向数据防御电路的寄存器包括报文类型寄存器、源IP地址寄存器、IP报文类型寄存器、报文分段标志寄存器、IP报文类型寄存器、ICMP报文类型寄存器、目的IP地址寄存器和备份目的IP地址寄存器;
所述入向数据防御电路的寄存器包括报文类型寄存器、IP报文类型寄存器、ICMP报文类型寄存器和ICMP报文类型Code寄存器。
2.如权利要求1所述的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法,其特征在于,所述步骤C中的所述数值比较器将所述寄存器与所述特征数值编码比较包括:
所述出向数据防御电路的报文类型寄存器与0x0800比较,若比较结果相同则所述网络数据帧为IP报文;
所述源IP地址寄存器与本网口IP地址比较;
所述出向数据防御电路的IP报文类型寄存器与0x01比较,若比较结果相同则所述网络
数据帧为ICMP报文;
所述报文分段标志寄存器与0x02比较,若比较结果相同则所述网络数据帧为分段报文;
所述出向数据防御电路的ICMP报文类型寄存器与0x08或0x0d比较,若比较结果相同则所述网络数据帧为请求报文;
所述目的IP地址寄存器与所述备份目的IP地址寄存器的上一个网络数据帧锁存的备份目的IP地址比较;所述目的IP地址寄存器与所述备份目的IP地址寄存器的数值比较器的输出电平与时钟计数器输出的20ms时钟脉冲电平进行逻辑或运算,用于确保20ms内所述网络数据帧的目的IP地址不等于所述上一个网络数据帧的目的IP地址,防止Smurf攻击时的连续数据包。
3.如权利要求1所述的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法,其特征在于,所述数值比较器将所述寄存器与所述特征数值编码比较包括:
所述入向数据防御电路的报文类型寄存器与0x0800比较,若比较结果相同则所述网络数据帧为IP报文;
所述入向数据防御电路的IP报文类型寄存器与0x01比较,若比较结果相同则所述网络数据帧为ICMP报文;
所述入向数据防御电路的ICMP报文类型寄存器与0x03比较,若比较结果相同则所述网络数据帧为目的不可达报文;
所述ICMP报文类型Code寄存器与0x03比较,若比较结果相同则所述网络数据帧为端口不可达报文。
4.如权利要求1所述的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法,其特征在于,所述步骤D中的FIFO缓存模块电路包括出向FIFO缓存模块电路和入向FIFO缓存模块电路;
所述出向数据防御电路中的组合逻辑电路依据所述数值比较器的输出电平控制出向FIFO缓存模块电路将所述网络数据帧输出到所述PHY或进行丢弃处理;
所述入向数据防御电路中的组合逻辑电路依据所述数值比较器的输出电平控制入向FIFO缓存模块电路将所述网络数据帧输入到所述MAC或进行丢弃处理。
5.如权利要求1所述的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法,其特征在于,所述防御电路解析报文到达或离开节点的标记时刻为在所述网络数据帧开始标志字节的最后一位的结束和所述数据链路层的目的地址第一个字节的第一位到来之前的时刻。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310265547.XA CN103338200B (zh) | 2013-06-28 | 2013-06-28 | 基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310265547.XA CN103338200B (zh) | 2013-06-28 | 2013-06-28 | 基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103338200A CN103338200A (zh) | 2013-10-02 |
| CN103338200B true CN103338200B (zh) | 2016-03-02 |
Family
ID=49246297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310265547.XA Active CN103338200B (zh) | 2013-06-28 | 2013-06-28 | 基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103338200B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110399977A (zh) * | 2018-04-25 | 2019-11-01 | 华为技术有限公司 | 池化运算装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549141A (zh) * | 2003-05-21 | 2004-11-24 | 华为技术有限公司 | 一种基于串行接口的数据传输方法及装置 |
| CN202818337U (zh) * | 2012-07-24 | 2013-03-20 | 中国电力科学研究院 | 一种基于fpga的iec61588v2事件报文检测器 |
-
2013
- 2013-06-28 CN CN201310265547.XA patent/CN103338200B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549141A (zh) * | 2003-05-21 | 2004-11-24 | 华为技术有限公司 | 一种基于串行接口的数据传输方法及装置 |
| CN202818337U (zh) * | 2012-07-24 | 2013-03-20 | 中国电力科学研究院 | 一种基于fpga的iec61588v2事件报文检测器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103338200A (zh) | 2013-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104580222B (zh) | 基于信息熵的DDoS攻击分布式检测与响应方法 | |
| WO2016107210A1 (zh) | 具有报文多级滤清及业务分类控制的冗余工业以太网系统 | |
| CN100579003C (zh) | 一种采用网流技术防御tcp攻击的方法和系统 | |
| EP1774716A2 (en) | Inline intrusion detection using a single physical port | |
| CN103095603B (zh) | 一种以太网风暴抑制方法 | |
| CN103200123B (zh) | 一种交换机端口安全控制方法 | |
| CN105357137A (zh) | 报文过滤方法及所适用的fpga、智能变电站 | |
| CN104519065A (zh) | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 | |
| JP6236945B2 (ja) | 伝送装置、伝送システム、及び伝送方法 | |
| CN102510385A (zh) | 防ip数据报分片攻击的方法 | |
| CN203800957U (zh) | 基于FPGA的网络Smurf攻击特征瞬时防御电路 | |
| CN114363739B (zh) | 一种基于光业务单元的业务应用方法及装置 | |
| CN103338200B (zh) | 基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法 | |
| CN110290020B (zh) | 一种以太网测试仪表高精度流量百分比产生方法和装置 | |
| CN101350764A (zh) | 一种网络流量控制方法 | |
| CN107566294B (zh) | 一种适用于iec62439标准的网络风暴抑制方法 | |
| CN113438182B (zh) | 一种基于信用的流量控制系统和流量控制方法 | |
| Gao et al. | Study on communication service strategy for congestion issue in smart substation communication network | |
| CN104426687A (zh) | 一种适用于数字化变电站二次设备的网络风暴过滤方法 | |
| US20050111448A1 (en) | Generating packets | |
| WO2009003398A1 (fr) | Procédé et dispositif de simulation de canal de communication numérique série asynchrone | |
| CN113938443B (zh) | 一种无线物联网协议交换机 | |
| WO2014201906A1 (zh) | 流量统计方法及装置 | |
| CN108347388A (zh) | 一种具有防御装置的高安全性能路由器 | |
| Liang et al. | Intelligent Substation Switch Traffic Scheduling Model Based on Time-Sensitive Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160511 Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing Patentee after: State Grid Corporation of China Patentee after: China Electric Power Research Institute Patentee after: State Grid Smart Grid Institute Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing Patentee before: State Grid Corporation of China Patentee before: China Electric Power Research Institute |
|
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing Patentee after: State Grid Corporation of China Patentee after: China Electric Power Research Institute Patentee after: GLOBAL ENERGY INTERCONNECTION RESEARCH INSTITUTE Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing Patentee before: State Grid Corporation of China Patentee before: China Electric Power Research Institute Patentee before: State Grid Smart Grid Institute |