CN103384252A - 网络设备防攻击的方法和装置、网络设备 - Google Patents
网络设备防攻击的方法和装置、网络设备 Download PDFInfo
- Publication number
- CN103384252A CN103384252A CN2013103036886A CN201310303688A CN103384252A CN 103384252 A CN103384252 A CN 103384252A CN 2013103036886 A CN2013103036886 A CN 2013103036886A CN 201310303688 A CN201310303688 A CN 201310303688A CN 103384252 A CN103384252 A CN 103384252A
- Authority
- CN
- China
- Prior art keywords
- sub
- message
- cache
- bandwidth
- capacity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000002265 prevention Effects 0.000 title abstract 3
- 239000000872 buffer Substances 0.000 claims description 63
- 238000012545 processing Methods 0.000 claims description 52
- 230000005540 biological transmission Effects 0.000 claims description 25
- 238000004891 communication Methods 0.000 abstract description 29
- 230000008569 process Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 20
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000002955 isolation Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络设备防攻击的方法和装置、网络设备,用以解决现有技术中存在的网络设备受到网络泛洪报文攻击时缓存被占满,引起网络设备之间无法进行控制面通信而删除路由表,导致网络设备之间无法转发的问题。本发明实施例将网络转发设备的缓存划分为第一缓存和第二缓存,将可能是泛洪攻击报文流中的报文限定存储在第一缓存和第二缓存中一个指定的子缓存区中,在子缓存区中存储的对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,网络转发设备能够有效地识别出网络泛洪攻击报文,并保留一定的存储空间来存储其它报文,保证网络转发设备间的正常通信。
Description
技术领域
本发明涉及网络通信系统,具体地,涉及一种网络设备防攻击的方法和装置、网络设备。
背景技术
随着TCP/IP网络的广泛应用,对网络可靠性方面的要求越来越高,网络设备在TCP/IP网络中起到至关重要的作用,一旦遭受攻击很可能导致网络设备的控制面瘫痪,进而引起转发中断。而由于网络转发设备本身处理能力有限,并且网络转发设备其所在的网络拓扑位置很难被防火墙提供全方位防护,故其被攻击的可能性很大。
图1是一种常见的网络转发设备部署方案,两台网络设备(即IP地址为192.168.3.1的网络设备1和IP地址为192.168.3.2的网络设备2)通过开放式最短路径优先路由协议(OSPF,Open Shortest Path First)组成网络转发拓扑,其他网络主机(例如网段A中IP地址是192.168.1.2/24的网络设备和网段B中IP地址是192.16.2.2/24的网络设备)通过这两台网络设备之间建立的路由路径形成相互转发通路。网络设备1和网络设备2之间首先建立OSPF协议的全邻接(FULL)工作状态,此后网络设备1定时向网络设备2发送OSPF握手(OSPF HELLO)组播协议报文通告其工作正常,网络设备2定时向网络设备1发送OSPF HELLO组播协议报文通告其工作正常,网络设备1、网络设备2接收来自其他网络设备发出的OSPF HELLO组播协议报文确认相应链路的存活状态。此时每台网络设备接收来自对方网络设备告知的路由策略,并根据告知的路由策略建立本机路由表。若某网络设备在规定时间内没有收到某链路上其他主机发送的OSPF HELLO组播协议报文,则认定与该主机的链路中断,本网络设备将删除由对应网络设备告知的路由信息。
上述组网方案中,通过网络设备间的最短路径优先路由协议OSPF实现了网络设备间的路由转发功能。
现有技术中,当网络环境中的任意一台设备遭受到泛洪报文(FLOOD)攻击的时候,由于网络设备CPU的处理能力低下,将导致大量的报文堆积在系统报文缓存区。假定此时该网络设备收到其他网络设备发送的OSPF HELLO报文,由于设备内部的报文缓存区被耗尽,此时网络设备收到的OSPF HELLO报文因缓存不足而被丢弃。网络设备的OSPF监控程序在规定时间内由于没有收到HELLO报文而误认为对端链路不通,删除与该路径相关路由信息。具体情况如下分析:
图2中给出了网络设备在遭受攻击时的示意图:
(1)攻击者攻击网络设备1,攻击期间网络设备1的可用缓存被消耗到0;
(2)网络设备2在规定时间内向网络设备1发送OSPF HELLO报文。此时网络设备1收到网络设备2的OSPF HELLO报文,但由于网络设备1没有足够的缓存存储该报文,该报文将被丢弃,此时网络设备1的路由如下:
| 目的网段 | 下一跳 | 权值 |
| 192.168.2.2/24 | 192.168.3.2 | 150 |
(3)网络设备1的OSPF超时后,由于控制面没有收到网络设备2发送的OSPF HELLO报文,此时认定与网络设备2的链路不通,删掉由网络设备2告知的网段B相关路由,此时网络设备1中去往网段B转发的路由则为空:
| 目的网段 | 下一跳 | 权值 |
(4)网络主机1通过网络设备1与网络主机2进行通信时,由于网络设备1已经删除了相关网络路由,则会出现网络主机1到网络主机2的三层转发不通的现象。
从上述问题中可以看出:在网络拓扑交换中,当关键网络设备遭受网络攻击的时候,由于缓存被占满,作为转发控制面的OSPF HELLO报文无法获取足够的缓存被丢弃,进而引发路由表被删除,导致网络设备转发不通。实际中OSPF协议仅是网络转发设备控制面的一种,其他控制面和管理面也同样存在类似问题。
可见,在现有技术中存在网络设备受到网络泛洪报文攻击时缓存被占满,引起网络设备之间无法进行控制面通信而删除路由表,导致网络设备之间无法转发的问题。
发明内容
有鉴于此,本发明实施例提供了一种网络设备防攻击的方法和装置、网络设备,用以解决现有技术中存在的网络设备受到网络泛洪报文攻击时缓存被占满,引起网络设备之间无法进行控制面通信而删除路由表,导致网络设备之间无法转发的问题。
本发明实施例技术方案如下:
一种网络设备防攻击的方法,包括:网络转发设备预先将其缓存按照预定的第一容量比例划分为第一缓存和第二缓存,并将第二缓存按照预定的第二容量比例划分为至少两个子缓存区;网络转发设备在第一缓存中存在空闲存储空间的情况下,将接收到的报文存储到第一缓存中;在第一缓存中没有空闲存储空间的情况下,判断第二缓存中是否存在为该报文所属报文流分配的子缓存区,在存在的情况下,将该报文存储到与该报文所属报文流对应的子缓存区中,在第二缓存中不存在为该报文分配的子缓存区且第二缓存中存在未分配的子缓存区的情况下,为该报文所属报文流分配一个子缓存区,并将该报文存储到与该报文所属报文流对应的子缓存区;在预定时间内,在确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离。
一种网络设备防攻击的方法,包括:网络转发设备预先将与其它网络转发设备之间的传输带宽按照预定的第一容量比例划分为第一带宽和第二带宽,并将第二带宽按照预定的第二容量比例划分为至少两个子带宽;网络转发设备在第一带宽中存在空闲带宽的情况下,将待转发的报文通过第一带宽进行转发;在第一带宽中没有空闲带宽的情况下,判断第二带宽中是否存在为待转发的报文所属报文流分配的子带宽,在存在的情况下,将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发,在第二带宽中不存在为该报文所属报文流分配的子带宽且第二带宽中存在未分配的子带宽的情况下,为该报文分配所属报文流分配一个子带宽,并将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发;在预定时间内,确定子带宽传输报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子带宽对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离。
一种网络设备防攻击的装置,包括:划分模块,用于预先将其缓存按照预定的第一容量比例划分为第一缓存和第二缓存,并将第二缓存按照预定的第二容量比例划分为至少两个子缓存区;存储模块,用于在第一缓存中存在空闲存储空间的情况下,将接收到的报文存储到第一缓存中;在第一缓存中没有空闲存储空间的情况下,判断第二缓存中是否存在为该报文所属报文流分配的子缓存区,在存在的情况下,将该报文存储到与该报文所属报文流对应的子缓存区中,在第二缓存中不存在为该报文分配的子缓存区且第二缓存中存在未分配的子缓存区的情况下,为该报文所属报文流分配一个子缓存区,并将该报文存储到与该报文所属报文流对应的子缓存区;确定模块,用于在预定时间内,在确定所述存储模块在子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离。
一种网络设备防攻击的装置,包括:划分模块,用于预先将与其它网络转发设备之间的传输带宽按照预定的第一容量比例划分为第一带宽和第二带宽,并将第二带宽按照预定的第二容量比例划分为至少两个子带宽;转发模块,用于在第一带宽中存在空闲带宽的情况下,将待转发的报文通过第一带宽进行转发;在第一带宽中没有空闲带宽的情况下,判断第二带宽中是否存在为待转发的报文所属报文流分配的子带宽,在存在的情况下,将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发,在第二带宽中不存在为该报文所属报文流分配的子带宽且第二带宽中存在未分配的子带宽的情况下,为该报文分配所属报文流分配一个子带宽,并将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发;确定模块,用于在预定时间内,确定子带宽传输报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子带宽对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离。
一种网络设备,包括如所述的任一种网络设备防攻击的装置。
本发明实施例分别提供了从接收报文的网络转发设备侧和发送报文的网络转发设备侧防止网络攻击的方案;
在从接收报文的网络转发设备侧防止网络攻击的方案中,将网络转发设备的缓存划分为第一缓存和第二缓存,并将第二缓存划分为至少两个子缓存区,在第一缓存中存在空闲存储空间的情况下,将接收到的报文存储在第一缓存中,在第一缓存中不存在空闲存储空间的情况下,将该报文存储到与为该报文所属报文流分配的子缓存区中,在确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离;也即将可能是泛洪攻击报文流中的报文限定存储在第一缓存和第二缓存中一个指定的子缓存区中,在子缓存区中存储的对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文;通过该方案,网络转发设备能够有效地识别出网络泛洪攻击报文,并且,将缓存划分为第一缓存和第二缓存,第二缓存中划分为至少两个子缓存区,能够在网络转发设备中保留一定的存储空间来存储包括控制层报文或管理层报文在内的通信报文,从而能够保证网络转发设备间的正常通信;
在从发送报文的网络转发设备侧防止网络攻击的方案中,网络转发设备预先将与其它网络转发设备之间的传输带宽划分为第一带宽和第二带宽,并将第二带宽划分为至少两个子带宽,网络转发设备在第一带宽中存在空闲带宽的情况下,将待转发的报文通过第一带宽进行转发,在第一带宽中没有空闲带宽的情况下,将待转发的报文通过为该报文所属报文流分配的子带宽进行转发,在预定时间内,确定子带宽传输报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子带宽对应的报文流为泛洪攻击报文;通过该方案,网络转发设备能够有效地将可能是网络泛洪攻击报文的报文限制在第一带宽和子带宽中传输,能够有效地识别网络泛洪攻击报文,并且,将传输带宽划分为第一带宽和第二带宽,将第二带宽划分为至少两个子带宽,能够保留一定的传输带宽来传输包括控制层报文或管理层报文在内的通信报文,从而能够保证网络转发设备间的正常通信。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
图1为网络转发设备的部署方案示意图;
图2为网络设备在遭受攻击时的报文流示意图;
图3为本发明实施例提供的网络设备防攻击的方法的工作流程图;
图4为图3中将第二缓存按照预定的第二容量比例划分为至少两个子缓存区的处理流程图;
图5为根据本发明实施例对网络转发设备中的缓存进行容量划分的示意图;
图6为图3中确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的处理流程图;
图7为图3中确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的另一种处理流程图;
图8为本发明实施例提供的网络设备防攻击的方法的另一种工作流程图;
图9为本发明实施例提供的网络设备防攻击的装置结构框图;
图10为本发明实施例提供的网络设备防攻击的方法的又一种工作流程图;
图11为图10中将第二带宽按照预定的第二容量比例划分为至少两个子带宽的处理流程图;
图12为本发明实施例提供的网络设备防攻击的装置的又一种结构框图。
具体实施方式
以下结合附图对本发明的实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
针对现有技术中现有技术中存在的网络设备受到网络泛洪报文攻击时缓存被占满,引起网络设备之间无法进行控制面通信而删除路由表,导致网络设备之间无法转发的问题,本发明实施例提供了一种网络设备防攻击的方案,用以解决该问题。
本发明实施例提供了从接收报文的网络转发设备侧和发送报文的网络转发设备侧防止网络攻击的方案;在从接收报文的网络转发设备侧防止网络攻击的方案中,将可能是泛洪攻击报文流中的报文限定存储在指定的缓存区中(包括第一缓存和第二缓存中指定的子缓存区中),在子缓存区中存储的对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,能够在报文接收侧的网络转发设备上有效地识别出网络攻击报文;在从发送报文的网络转发设备侧防止网络攻击的方案中,将可能是网络泛洪攻击报文的报文限制在指定的带宽中传输,能够在报文发送侧的网络转发设备上有效地识别出网络攻击报文;
并且,在接收报文的网络转发设备上将缓存划分为第一缓存和第二缓存,第二缓存中划分为至少两个子缓存区,能够在网络转发设备中保留一定的存储空间来存储包括控制层报文或管理层报文在内的通信报文,从而能够保证网络转发设备间的正常通信;在发送报文的网络转发设备上,将网络转发设备间的传输带宽划分为第一带宽和第二带宽,将第二带宽中划分为至少两个子带宽,能够保留一定的传输带宽来传输包括控制层报文或管理层报文在内的通信报文,从而能够保证网络转发设备间的正常通信。
下面对本发明实施例进行详细说明。
实施例一
图3示出了本发明实施例提供的网络设备防攻击的方法的工作流程图,该方法包括:
步骤301、网络转发设备预先将其缓存按照预定的第一容量比例划分为第一缓存和第二缓存,并将第二缓存按照预定的第二容量比例划分为至少两个子缓存区;
其中,第一缓存相当于公共缓存,用于存储各类报文,第二缓存相当于指定缓存,用于缓存指定报文流的报文;
其中,第一容量比例和第二容量比例可以根据具体应用场景的需要而设定,例如,当网络环境比较稳定较少发生网络攻击的情况下,可以设置比值较大的第一容量比例和第二容量比例,也即第一缓存的容量大于第二缓存的容量,同理,第二缓存中至少两个子缓存区中容量最大的子缓存区的容量较为显著地大于其它子缓存区的容量,这样能够以较多的存储容量来用于公共存储,在网络环境不稳定较为频繁的发生网络攻击的情况下,可以设置比值较小的第一容量比例和第二容量比例,也即第一缓存的容量小于或等于第二缓存的容量,同理,第二缓存中至少两个子缓存区中容量最大的子缓存区的容量与其它子缓存区的容量的差值不显著,这样能够以较多的存储容量来应对网络攻击报文;
优选地,如图4所示,在实施例一提供的一种实现方式中,将第二缓存按照预定的第二容量比例划分为至少两个子缓存区的具体处理步骤包括:
步骤3011、将第二缓存按照预定的第二容量比例划分为两个子缓存区;
步骤3012、判断划分得到的子缓存区的容量是否大于预定的最小存储容量,在划分得到的两个子缓存区的容量不相等,且容量最小的子缓存区的容量大于预定的最小存储容量的情况下,处理进行到步骤3013,在划分得到的两个子缓存区的容量相等,且划分得到的子缓存区的容量大于预定的最小存储容量的情况下,处理进行到步骤3014,在划分得到的子缓存区的容量小于或等于预定的最小存储容量的情况下,处理进行到步骤3015;
步骤3013、将容量最小的子缓存区按照预定的第二容量比例划分为两个子缓存区,处理返回步骤3012;
步骤3014、将划分得到的两个子缓存区中的任意一个子缓存区按照预定的第二容量比例划分为两个子缓存区,处理返回步骤3012;
步骤3015、处理结束;
图5示出了对网络转发设备中的缓存进行容量划分的示意图,在图5所示的划分方式中,第一容量比例和第二容量比例均为1:1,即将缓存按照1:1的比例划分为第一缓存和第二缓存,第一缓存容量占整个缓存的1/2,第二缓存的容量均占整个缓存的1/2,并且,将第二缓存按照1:1的比例划分为两个子缓存区,即第一个子缓存区的容量占第二缓存的1/2,第二个子缓存区的容量占第二缓存的1/2,如果第一个子缓存区和第二个子缓存区的容量均大于预定的最小存储容量的情况下,则可以将第二个子缓存区继续按照1:1的比例划分为两个子缓存区,并继续判断划分得到的两个子缓存区的容量是否大于预定的最小存储容量,直至划分得到容量小于或等于预定的最小存储容量的子缓存区;
步骤302、网络转发设备在第一缓存中存在空闲存储空间的情况下,将接收到的报文存储到第一缓存中;
步骤303、在第一缓存中没有空闲存储空间的情况下,判断第二缓存中是否存在为该报文所属报文流分配的子缓存区,在存在的情况下,将该报文存储到与该报文所属报文流对应的子缓存区中,在第二缓存中不存在为该报文分配的子缓存区且第二缓存中存在未分配的子缓存区的情况下,为该报文所属报文流分配一个子缓存区,并将该报文存储到与该报文所属报文流对应的子缓存区;其中,未分配的子缓存区也即该子缓存区未被分配给任何报文流,该子缓存区中未存储有数据;
其中,在实施例一提供的一种实现方式中,为报文所属报文流分配一个子缓存区的处理具体包括:将第二缓存中当前容量最大的子缓存区分配给报文所属报文流;为报文流分配当前最大容量的子缓存区,能够以较大的存储容量来应对可能是泛洪攻击报文的报文流,对泛洪攻击报文的攻击速度进行缓冲;
具体地,可以通过建立报文的五元组(即报文的源互联网协议(IP,InternetProtocol)地址、源媒体访问控制器(MAC,Media Access Controller)地址、目的IP地址、目的MAC地址和报文所使用的协议)与子缓存区的标识的对应关系,来标识为报文所分配的子缓存区;
步骤304、在预定时间内,在确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离;
其中,实施例一提供了如下实现方式一和实现方式二,来确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量;
如图6所示,实现方式一包括如下处理过程:
步骤3041a、根据网络转发设备的缓存的存储容量、预定的第二容量比例和所划分得到的子缓存区的数量,预先确定每个子缓存区的存储容量,根据预定的泛洪攻击报文的数据量和每个子缓存区的存储容量,预先确定每个子缓存区存储完预定数据量的泛洪攻击报文时的存满溢出次数,例如,预定的泛洪报文的数据量为100M,子缓存区的存储容量为2M,则,子缓存区要存储完100M的泛洪报文,子缓存区的存满溢出次数为100/2=50次;
步骤3042a、在预定时间内,在子缓存区中存储报文的存满溢出次数达到预先确定的该子缓存区存储完预定数据量的泛洪攻击报文时的存满溢出次数的情况下,确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量;
如图7所示,实现方式二包括如下处理过程:
步骤3041b、根据网络转发设备的缓存的存储容量、预定的第二容量比例和所划分得到的子缓存区的数量,预先确定每个子缓存区的存储容量;
步骤3042b、在预定时间内,在子缓存区中存储报文的存满溢出次数与该子缓存区的存储容量的乘积大于或等于预定的泛洪攻击报文的数据量的情况下,确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量。
上述实现方式一在缓存报文的过程中,通过统计子缓存区存满溢出的次数来确定报文是否为泛洪攻击报文,处理过程简便有效,处理效率高;上述实现方式二通过统计子缓存区中存储的数据量来确定报文是否为泛洪攻击报文,处理过程也简便有效,处理过程需要实时计算子缓存区中存储的数据量,处理效率相对实现方式一较低。
根据本发明实施例一提供的技术方案,在网络转发设备中将可能是泛洪攻击报文流中的报文限定存储在第一缓存和第二缓存中一个指定的子缓存区中,在子缓存区中存储的对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,通过该方案,网络转发设备能够有效地识别出网络泛洪攻击报文,并且,将缓存划分为第一缓存和第二缓存,第二缓存中划分为至少两个子缓存区,能够在网络转发设备中保留一定的存储空间来存储包括控制层报文或管理层报文在内的通信报文,从而能够保证网络转发设备间的正常通信;进而能够解决现有技术中存在的网络设备受到网络泛洪报文攻击时缓存被占满,引起网络设备之间无法进行控制面通信而删除路由表,导致网络设备之间无法转发的问题。
优选地,实施例一还提供了一种对第二缓存中没有未分配的子缓存区的情况下对报文的处理方法,如图8所示,该方法在图3所示方法的基础上还包括步骤305和步骤306:
步骤305、在接收到的报文为高优先级报文,并且第二缓存中不存在未分配的子缓存区的情况下,将该报文存储到当前没有存满溢出记录、且存在空闲存储空间的子缓存区中,在子缓存区中均不存在空闲存储空间的情况下,丢弃该报文,输出告警信息;
步骤306、在接收到的报文为低优先级报文,并且第二缓存中不存在未分配的子缓存区的情况下,将该报文丢弃,输出告警信息。
步骤305与步骤306分别是对高优先级报文和低优先级报文的两种处理情况,处理过程不分先后顺序。
通过上述处理过程,能够保证高优先级的报文得到有效处理,尤其是当控制层报文或管理层报文为高优先级报文的情况下,能够保证网络转发设备之间的正常通信。
基于相同的发明构思,本发明实施例还提供了一种网络设备防攻击的装置,优选地,该装置位于接收端的网络转发设备中。
图9示出了本发明实施例提供的网络设备防攻击的装置结构框图,该装置包括:
划分模块91,用于预先将其缓存按照预定的第一容量比例划分为第一缓存和第二缓存,并将第二缓存按照预定的第二容量比例划分为至少两个子缓存区;
具体地,划分模块91通过如下处理将第二缓存按照预定的第二容量比例划分为至少两个子缓存区:
步骤1、将第二缓存按照预定的第二容量比例划分为两个子缓存区;
步骤2、判断划分得到的子缓存区的容量是否大于预定的最小存储容量,在划分得到的两个子缓存区的容量不相等,且容量最小的子缓存区的容量大于预定的最小存储容量的情况下,处理进行到步骤3,在划分得到的两个子缓存区的容量相等,且划分得到的子缓存区的容量大于预定的最小存储容量的情况下,处理进行到步骤4,在划分得到的子缓存区的容量小于或等于预定的最小存储容量的情况下,处理结束;
步骤3、将容量最小的子缓存区按照预定的第二容量比例划分为两个子缓存区,处理返回步骤2;
步骤4、将划分得到的两个子缓存区中的任意一个子缓存区按照预定的第二容量比例划分为两个子缓存区,处理返回步骤2;
存储模块92,连接至划分模块91,用于在第一缓存中存在空闲存储空间的情况下,将接收到的报文存储到第一缓存中;在第一缓存中没有空闲存储空间的情况下,判断第二缓存中是否存在为该报文所属报文流分配的子缓存区,在存在的情况下,将该报文存储到与该报文所属报文流对应的子缓存区中,在第二缓存中不存在为该报文分配的子缓存区且第二缓存中存在未分配的子缓存区的情况下,为该报文所属报文流分配一个子缓存区,并将该报文存储到与该报文所属报文流对应的子缓存区;
具体地,存储模块92将第二缓存中当前容量最大的子缓存区分配给所述报文所属报文流;
确定模块93,连接至存储模块92,用于在预定时间内,在确定所述存储模块92在子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离。
具体地,确定模块93确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的处理包括:
根据网络转发设备的缓存的存储容量、预定的第二容量比例和所划分得到的子缓存区的数量,预先确定每个子缓存区的存储容量,根据预定的泛洪攻击报文的数据量和每个子缓存区的存储容量,预先确定每个子缓存区存储完预定数据量的泛洪攻击报文时的存满溢出次数;在预定时间内,在子缓存区中存储报文的存满溢出次数达到预先确定的该子缓存区存储完预定数据量的泛洪攻击报文时的存满溢出次数的情况下,确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量;或者,
根据网络转发设备的缓存的存储容量、预定的第二容量比例和所划分得到的子缓存区的数量,预先确定每个子缓存区的存储容量;在预定时间内,在子缓存区中存储报文的存满溢出次数与该子缓存区的存储容量的乘积大于或等于预定的泛洪攻击报文的数据量的情况下,确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量。
优选地,存储模块92,还用于:在接收到的报文为高优先级报文,并且第二缓存中不存在未分配的子缓存区的情况下,将该报文存储到当前没有存满溢出记录、且存在空闲存储空间的子缓存区中,在子缓存区中均不存在未分配的存储空间的情况下,丢弃该报文,输出告警信息;在接收到的报文为低优先级报文,并且第二缓存中不存在未分配的子缓存区的情况下,将该报文丢弃,输出告警信息。
图9所示装置的工作原理如图3所示,这里不再赘述。
通过图9所示的装置,能够有效地识别出网络泛洪攻击报文,能够在网络转发设备中保留一定的存储空间来存储包括控制层报文或管理层报文在内的通信报文,从而能够保证网络转发设备间的正常通信;进而能够解决现有技术中存在的网络设备受到网络泛洪报文攻击时缓存被占满,引起网络设备之间无法进行控制面通信而删除路由表,导致网络设备之间无法转发的问题。
基于相同的发明构思,本发明实施例还提供了一种网络设备,该设备包括如图9所示的网络设备防攻击的装置。
实施例二
图10示出了本发明实施例提供的网络设备防攻击的方法的工作流程图,该方法包括:
步骤1001、网络转发设备预先将与其它网络转发设备之间的传输带宽按照预定的第一容量比例划分为第一带宽和第二带宽,并将第二带宽按照预定的第二容量比例划分为至少两个子带宽;
具体地,第一带宽相当于公共带宽,用于传输各类报文,第二带宽相当于指定带宽,用于传输指定报文流的报文;
其中,第一容量比例和第二容量比例的设置可以参考上述步骤301,这里不再赘述;
具体地,如图11所示,将第二带宽按照预定的第二容量比例划分为至少两个子带宽的处理包括:
步骤10011、将第二带宽按照预定的第二容量比例划分为两个子带宽;
步骤10012、判断划分得到的子带宽的容量是否大于预定的最小带宽,在划分得到的两个子带宽的容量不相等,且容量最小的子带宽的容量大于预定的最小带宽的情况下,处理进行到步骤10013,在划分得到的两个子带宽的容量相等,且划分得到的子带宽的容量大于预定的最小带宽的情况下,处理进行到步骤10014,在划分得到的子带宽的容量小于或等于预定的最小带宽的情况下,处理进行到步骤10015;
步骤10013、将容量最小的子带宽按照预定的第二容量比例划分为两个子带宽,处理返回步骤10012;
步骤10014、将划分得到的两个子带宽中的任意一个子带宽按照预定的第二容量比例划分为两个子带宽,处理返回步骤10012。
步骤10015、处理结束。
具体的划分示例可以参考上述图5的示例,这里不再赘述;
步骤1002、网络转发设备在第一带宽中存在空闲带宽的情况下,将待转发的报文通过第一带宽进行转发;
步骤1003、在第一带宽中没有空闲带宽的情况下,判断第二带宽中是否存在为待转发的报文所属报文流分配的子带宽,在存在的情况下,将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发,在第二带宽中不存在为该报文所属报文流分配的子带宽且第二带宽中存在未分配的子带宽的情况下,为该报文分配所属报文流分配一个子带宽,并将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发;其中,未分配的子带宽也即该子缓存区未被分配给任何报文流;
具体地,为报文分配所属报文流分配一个子带宽的处理包括:将第二缓存中当前容量最大的子带宽分配给所述报文所属报文流,这样,能够以较大的传输容量来应对可能是泛洪攻击报文的报文流,对泛洪攻击报文的攻击速度进行缓冲;
具体地,可以通过建立报文的五元组(即报文的源IP地址、源MAC地址、目的IP地址、目的MAC地址和报文所使用的协议)与子带宽的标识的对应关系,来标识为报文所分配的子带宽;
优选地,在待转发的报文为高优先级报文的情况下,并将该待转发的报文通过第二带宽的全部带宽进行转发;
步骤1004、在预定时间内,确定子带宽传输报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子带宽对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离;
具体地,在预定时间内,子带宽传输报文的数据量为子带宽的带宽与预定时间的乘积。
通过上述处理过程,网络转发设备能够有效地将可能是网络泛洪攻击报文的报文限制在第一带宽和子带宽中传输,能够有效地识别网络泛洪攻击报文,并且,将传输带宽划分为第一带宽和第二带宽,将第二带宽中划分为至少两个子带宽,能够保留一定的传输带宽来传输包括控制层报文或管理层报文在内的通信报文,从而能够保证网络转发设备间的正常通信。
基于相同的发明构思,本发明实施例还提供了一种网络设备防攻击的装置,优选地,该装置位于发送端的网络转发设备中。
图12示出了本发明实施例提供的网络设备防攻击的装置的另一种结构框图,包括:
划分模块121,用于预先将与其它网络转发设备之间的传输带宽按照预定的第一容量比例划分为第一带宽和第二带宽,并将第二带宽按照预定的第二容量比例划分为至少两个子带宽;
具体地,划分模块121将第二带宽按照预定的第二容量比例划分为至少两个子带宽的处理包括:
步骤1、将第二带宽按照预定的第二容量比例划分为两个子带宽;
步骤2、判断划分得到的子带宽的容量是否大于预定的最小带宽,在划分得到的两个子带宽的容量不相等,且容量最小的子带宽的容量大于预定的最小带宽的情况下,处理进行到步骤3,在划分得到的两个子带宽的容量相等,且划分得到的子带宽的容量大于预定的最小带宽的情况下,处理进行到步骤4,在划分得到的子带宽的容量小于或等于预定的最小带宽的情况下,处理结束;
步骤3、将容量最小的子带宽按照预定的第二容量比例划分为两个子带宽,处理返回步骤2;
步骤4、将划分得到的两个子带宽中的任意一个子带宽按照预定的第二容量比例划分为两个子带宽,处理返回步骤2;
转发模块122,连接至划分模块121,用于在第一带宽中存在空闲带宽的情况下,将待转发的报文通过第一带宽进行转发;在第一带宽中没有空闲带宽的情况下,判断第二带宽中是否存在为待转发的报文所属报文流分配的子带宽,在存在的情况下,将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发,在第二带宽中不存在为该报文所属报文流分配的子带宽且第二带宽中存在未分配的子带宽的情况下,为该报文分配所属报文流分配一个子带宽,并将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发;
具体地,转发模块122将第二带宽中当前容量最大的子带宽分配给所述报文所属报文流;
优选地,转发模块122在待转发的报文为高优先级报文的情况下,并将该待转发的报文通过第二带宽的全部带宽进行转发;
确定模块123,连接至转发模块122,用于在预定时间内,确定转发模块122在子带宽传输报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子带宽对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离。
图12所示装置的工作原理如图10所示,这里不再赘述。
通过图12所示的装置,能够有效地识别网络泛洪攻击报文,能够保留一定的传输带宽来传输包括控制层报文或管理层报文在内的通信报文,从而能够保证网络转发设备间的正常通信。
基于相同的发明构思,本发明实施例还提供了一种网络设备,该网络设备包括如图12所示的网络设备防攻击的装置。
综上所述,本发明实施例提供了从接收报文的网络转发设备侧和发送报文的网络转发设备侧防止网络攻击的方案;在从接收报文的网络转发设备侧防止网络攻击的方案中,将可能是泛洪攻击报文流中的报文限定存储在指定的缓存区中,在子缓存区中存储的对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,能够在报文接收侧的网络转发设备上有效地识别出网络攻击报文;在从发送报文的网络转发设备侧防止网络攻击的方案中,将可能是网络泛洪攻击报文的报文限制在指定的带宽中传输,能够在报文发送侧的网络转发设备上有效地识别出网络攻击报文;
并且,在接收报文的网络设备上将缓存划分为第一缓存和第二缓存,第二缓存中划分为至少两个子缓存区,能够在网络转发设备中保留一定的存储空间来存储包括控制层报文或管理层报文在内的通信报文,从而能够保证网络转发设备间的正常通信;在发送报文的网络转发设备上,将网络转发设备间的传输带宽划分为第一带宽和第二带宽,将第二带宽中划分为至少两个子带宽,能够保留一定的传输带宽来传输包括控制层报文或管理层报文在内的通信报文,从而能够保证网络转发设备间的正常通信。
本领域普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (16)
1.一种网络设备防攻击的方法,其特征在于,包括:
网络转发设备预先将其缓存按照预定的第一容量比例划分为第一缓存和第二缓存,并将第二缓存按照预定的第二容量比例划分为至少两个子缓存区;
网络转发设备在第一缓存中存在空闲存储空间的情况下,将接收到的报文存储到第一缓存中;
在第一缓存中没有空闲存储空间的情况下,判断第二缓存中是否存在为该报文所属报文流分配的子缓存区,在存在的情况下,将该报文存储到与该报文所属报文流对应的子缓存区中,在第二缓存中不存在为该报文分配的子缓存区且第二缓存中存在未分配的子缓存区的情况下,为该报文所属报文流分配一个子缓存区,并将该报文存储到与该报文所属报文流对应的子缓存区;
在预定时间内,在确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离。
2.根据权利要求1所述的方法,其特征在于,将第二缓存按照预定的第二容量比例划分为至少两个子缓存区,具体包括:
步骤1、将第二缓存按照预定的第二容量比例划分为两个子缓存区;
步骤2、判断划分得到的子缓存区的容量是否大于预定的最小存储容量,在划分得到的两个子缓存区的容量不相等,且容量最小的子缓存区的容量大于预定的最小存储容量的情况下,处理进行到步骤3,在划分得到的两个子缓存区的容量相等,且划分得到的子缓存区的容量大于预定的最小存储容量的情况下,处理进行到步骤4,在划分得到的子缓存区的容量小于或等于预定的最小存储容量的情况下,处理结束;
步骤3、将容量最小的子缓存区按照预定的第二容量比例划分为两个子缓存区,处理返回步骤2;
步骤4、将划分得到的两个子缓存区中的任意一个子缓存区按照预定的第二容量比例划分为两个子缓存区,处理返回步骤2。
3.根据权利要求1所述的方法,其特征在于,为报文所属报文流分配一个子缓存区,具体包括:
将第二缓存中当前容量最大的子缓存区分配给所述报文所属报文流。
4.根据权利要求1或2所述的方法,其特征在于,确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量,具体包括:
根据网络转发设备的缓存的存储容量、预定的第二容量比例和所划分得到的子缓存区的数量,预先确定每个子缓存区的存储容量,根据预定的泛洪攻击报文的数据量和每个子缓存区的存储容量,预先确定每个子缓存区存储完预定数据量的泛洪攻击报文时的存满溢出次数;
在预定时间内,在子缓存区中存储报文的存满溢出次数达到预先确定的该子缓存区存储完预定数据量的泛洪攻击报文时的存满溢出次数的情况下,确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量;或者,
根据网络转发设备的缓存的存储容量、预定的第二容量比例和所划分得到的子缓存区的数量,预先确定每个子缓存区的存储容量;
在预定时间内,在子缓存区中存储报文的存满溢出次数与该子缓存区的存储容量的乘积大于或等于预定的泛洪攻击报文的数据量的情况下,确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量。
5.一种网络设备防攻击的方法,其特征在于,包括:
网络转发设备预先将与其它网络转发设备之间的传输带宽按照预定的第一容量比例划分为第一带宽和第二带宽,并将第二带宽按照预定的第二容量比例划分为至少两个子带宽;
网络转发设备在第一带宽中存在空闲带宽的情况下,将待转发的报文通过第一带宽进行转发;
在第一带宽中没有空闲带宽的情况下,判断第二带宽中是否存在为待转发的报文所属报文流分配的子带宽,在存在的情况下,将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发,在第二带宽中不存在为该报文所属报文流分配的子带宽且第二带宽中存在未分配的子带宽的情况下,为该报文分配所属报文流分配一个子带宽,并将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发;
在预定时间内,确定子带宽传输报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子带宽对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离。
6.根据权利要求5所述的方法,其特征在于,将第二带宽按照预定的第二容量比例划分为至少两个子带宽,具体包括:
步骤1、将第二带宽按照预定的第二容量比例划分为两个子带宽;
步骤2、判断划分得到的子带宽的容量是否大于预定的最小带宽,在划分得到的两个子带宽的容量不相等,且容量最小的子带宽的容量大于预定的最小带宽的情况下,处理进行到步骤3,在划分得到的两个子带宽的容量相等,且划分得到的子带宽的容量大于预定的最小带宽的情况下,处理进行到步骤4,在划分得到的子带宽的容量小于或等于预定的最小带宽的情况下,处理结束;
步骤3、将容量最小的子带宽按照预定的第二容量比例划分为两个子带宽,处理返回步骤2;
步骤4、将划分得到的两个子带宽中的任意一个子带宽按照预定的第二容量比例划分为两个子带宽,处理返回步骤2。
7.根据权利要求5所述的方法,其特征在于,为报文分配所属报文流分配一个子带宽,具体包括:
将第二带宽中当前容量最大的子带宽分配给所述报文所属报文流。
8.一种网络设备防攻击的装置,其特征在于,包括:
划分模块,用于预先将其缓存按照预定的第一容量比例划分为第一缓存和第二缓存,并将第二缓存按照预定的第二容量比例划分为至少两个子缓存区;
存储模块,用于在第一缓存中存在空闲存储空间的情况下,将接收到的报文存储到第一缓存中;在第一缓存中没有空闲存储空间的情况下,判断第二缓存中是否存在为该报文所属报文流分配的子缓存区,在存在的情况下,将该报文存储到与该报文所属报文流对应的子缓存区中,在第二缓存中不存在为该报文分配的子缓存区且第二缓存中存在未分配的子缓存区的情况下,为该报文所属报文流分配一个子缓存区,并将该报文存储到与该报文所属报文流对应的子缓存区;
确定模块,用于在预定时间内,在确定所述存储模块在子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子缓存区对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离。
9.根据权利要求8所述的装置,其特征在于,所述存储模块将第二缓存按照预定的第二容量比例划分为至少两个子缓存区,具体用于:
步骤1、将第二缓存按照预定的第二容量比例划分为两个子缓存区;
步骤2、判断划分得到的子缓存区的容量是否大于预定的最小存储容量,在划分得到的两个子缓存区的容量不相等,且容量最小的子缓存区的容量大于预定的最小存储容量的情况下,处理进行到步骤3,在划分得到的两个子缓存区的容量相等,且划分得到的子缓存区的容量大于预定的最小存储容量的情况下,处理进行到步骤4,在划分得到的子缓存区的容量小于或等于预定的最小存储容量的情况下,处理结束;
步骤3、将容量最小的子缓存区按照预定的第二容量比例划分为两个子缓存区,处理返回步骤2;
步骤4、将划分得到的两个子缓存区中的任意一个子缓存区按照预定的第二容量比例划分为两个子缓存区,处理返回步骤2。
10.根据权利要求8所述的装置,其特征在于,所述存储模块为报文所属报文流分配一个子缓存区,具体用于:
将第二缓存中当前容量最大的子缓存区分配给所述报文所属报文流。
11.根据权利要求8或9所述的装置,其特征在于,所述确定模块确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量,具体用于:
根据网络转发设备的缓存的存储容量、预定的第二容量比例和所划分得到的子缓存区的数量,预先确定每个子缓存区的存储容量,根据预定的泛洪攻击报文的数据量和每个子缓存区的存储容量,预先确定每个子缓存区存储完预定数据量的泛洪攻击报文时的存满溢出次数;
在预定时间内,在子缓存区中存储报文的存满溢出次数达到预先确定的该子缓存区存储完预定数据量的泛洪攻击报文时的存满溢出次数的情况下,确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量;或者,
根据网络转发设备的缓存的存储容量、预定的第二容量比例和所划分得到的子缓存区的数量,预先确定每个子缓存区的存储容量;
在预定时间内,在子缓存区中存储报文的存满溢出次数与该子缓存区的存储容量的乘积大于或等于预定的泛洪攻击报文的数据量的情况下,确定子缓存区中存储对应报文流中的报文的数据量大于或等于预定的泛洪攻击报文流的数据量。
12.一种网络设备防攻击的装置,其特征在于,包括:
划分模块,用于预先将与其它网络转发设备之间的传输带宽按照预定的第一容量比例划分为第一带宽和第二带宽,并将第二带宽按照预定的第二容量比例划分为至少两个子带宽;
转发模块,用于在第一带宽中存在空闲带宽的情况下,将待转发的报文通过第一带宽进行转发;在第一带宽中没有空闲带宽的情况下,判断第二带宽中是否存在为待转发的报文所属报文流分配的子带宽,在存在的情况下,将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发,在第二带宽中不存在为该报文所属报文流分配的子带宽且第二带宽中存在未分配的子带宽的情况下,为该报文分配所属报文流分配一个子带宽,并将该待转发的报文通过与该报文所属报文流对应的子带宽进行转发;
确定模块,用于在预定时间内,确定子带宽传输报文的数据量大于或等于预定的泛洪攻击报文流的数据量的情况下,确定与该子带宽对应的报文流为泛洪攻击报文,对该报文流进行限流或隔离。
13.根据权利要求12所述的装置,其特征在于,所述划分模块将第二带宽按照预定的第二容量比例划分为至少两个子带宽,具体用于:
步骤1、将第二带宽按照预定的第二容量比例划分为两个子带宽;
步骤2、判断划分得到的子带宽的容量是否大于预定的最小带宽,在划分得到的两个子带宽的容量不相等,且容量最小的子带宽的容量大于预定的最小带宽的情况下,处理进行到步骤3,在划分得到的两个子带宽的容量相等,且划分得到的子带宽的容量大于预定的最小带宽的情况下,处理进行到步骤4,在划分得到的子带宽的容量小于或等于预定的最小带宽的情况下,处理结束;
步骤3、将容量最小的子带宽按照预定的第二容量比例划分为两个子带宽,处理返回步骤2;
步骤4、将划分得到的两个子带宽中的任意一个子带宽按照预定的第二容量比例划分为两个子带宽,处理返回步骤2。
14.根据权利要求12所述的装置,其特征在于,所述转发模块为报文分配所属报文流分配一个子带宽,具体包括:
将第二带宽中当前容量最大的子带宽分配给所述报文所属报文流。
15.一种网络设备,其特征在于,包括如权利要求8~11中任一项所述的网络设备防攻击的装置。
16.一种网络设备,其特征在于,包括如权利要求12~14中任一项所述的网络设备防攻击的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310303688.6A CN103384252B (zh) | 2013-07-18 | 2013-07-18 | 网络设备防攻击的方法和装置、网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310303688.6A CN103384252B (zh) | 2013-07-18 | 2013-07-18 | 网络设备防攻击的方法和装置、网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103384252A true CN103384252A (zh) | 2013-11-06 |
| CN103384252B CN103384252B (zh) | 2016-08-24 |
Family
ID=49491946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310303688.6A Active CN103384252B (zh) | 2013-07-18 | 2013-07-18 | 网络设备防攻击的方法和装置、网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103384252B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701718A (zh) * | 2013-12-19 | 2014-04-02 | 华南理工大学 | 变电站通信网络交换机动态缓存分配方法 |
| CN105592151A (zh) * | 2015-12-18 | 2016-05-18 | 畅捷通信息技术股份有限公司 | 数据处理方法及数据处理装置 |
| CN105991470A (zh) * | 2015-02-10 | 2016-10-05 | 杭州华三通信技术有限公司 | 以太网设备缓存报文的方法及装置 |
| CN107302505A (zh) * | 2017-06-22 | 2017-10-27 | 迈普通信技术股份有限公司 | 管理缓存的方法及装置 |
| CN110224947A (zh) * | 2019-06-05 | 2019-09-10 | 东软集团股份有限公司 | 一种多核转发系统中的报文处理方法、装置及设备 |
| CN110392034A (zh) * | 2018-09-28 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN110768976A (zh) * | 2019-10-21 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置及网络设备 |
| CN112187665A (zh) * | 2020-09-28 | 2021-01-05 | 杭州迪普科技股份有限公司 | 一种报文处理的方法及装置 |
| CN113282040A (zh) * | 2021-05-26 | 2021-08-20 | 苏州智加科技有限公司 | 减少整车网关转发丢帧的方法及装置 |
| CN113938325A (zh) * | 2021-12-16 | 2022-01-14 | 紫光恒越技术有限公司 | 一种处理攻击性流量的方法、装置、电子设备及存储设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340276A (zh) * | 2008-08-11 | 2009-01-07 | 杭州华三通信技术有限公司 | 防止IPv6数据报文攻击的方法、装置和交换路由设备 |
| CN101616129A (zh) * | 2008-06-27 | 2009-12-30 | 成都市华为赛门铁克科技有限公司 | 防网络攻击流量过载保护的方法、装置和系统 |
| CN102270207A (zh) * | 2010-06-02 | 2011-12-07 | 中国科学院计算技术研究所 | 一种面向在线多媒体信息挖掘的数据缓存方法和系统 |
| CN102510358A (zh) * | 2011-09-30 | 2012-06-20 | 上海量明科技发展有限公司 | 即时通信中针对交互操作进行积分的方法、客户端及系统 |
| CN102916902A (zh) * | 2011-08-03 | 2013-02-06 | 中兴通讯股份有限公司 | 数据存储方法及装置 |
-
2013
- 2013-07-18 CN CN201310303688.6A patent/CN103384252B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616129A (zh) * | 2008-06-27 | 2009-12-30 | 成都市华为赛门铁克科技有限公司 | 防网络攻击流量过载保护的方法、装置和系统 |
| CN101340276A (zh) * | 2008-08-11 | 2009-01-07 | 杭州华三通信技术有限公司 | 防止IPv6数据报文攻击的方法、装置和交换路由设备 |
| CN102270207A (zh) * | 2010-06-02 | 2011-12-07 | 中国科学院计算技术研究所 | 一种面向在线多媒体信息挖掘的数据缓存方法和系统 |
| CN102916902A (zh) * | 2011-08-03 | 2013-02-06 | 中兴通讯股份有限公司 | 数据存储方法及装置 |
| CN102510358A (zh) * | 2011-09-30 | 2012-06-20 | 上海量明科技发展有限公司 | 即时通信中针对交互操作进行积分的方法、客户端及系统 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701718B (zh) * | 2013-12-19 | 2017-02-01 | 华南理工大学 | 变电站通信网络交换机动态缓存分配方法 |
| CN103701718A (zh) * | 2013-12-19 | 2014-04-02 | 华南理工大学 | 变电站通信网络交换机动态缓存分配方法 |
| US10419358B2 (en) | 2015-02-10 | 2019-09-17 | Hewlett Packard Enterprise Development Lp | Packet buffering |
| CN105991470A (zh) * | 2015-02-10 | 2016-10-05 | 杭州华三通信技术有限公司 | 以太网设备缓存报文的方法及装置 |
| CN105991470B (zh) * | 2015-02-10 | 2019-12-06 | 新华三技术有限公司 | 以太网设备缓存报文的方法及装置 |
| CN105592151A (zh) * | 2015-12-18 | 2016-05-18 | 畅捷通信息技术股份有限公司 | 数据处理方法及数据处理装置 |
| CN107302505B (zh) * | 2017-06-22 | 2019-10-29 | 迈普通信技术股份有限公司 | 管理缓存的方法及装置 |
| CN107302505A (zh) * | 2017-06-22 | 2017-10-27 | 迈普通信技术股份有限公司 | 管理缓存的方法及装置 |
| CN110392034A (zh) * | 2018-09-28 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN110392034B (zh) * | 2018-09-28 | 2020-10-13 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN110224947A (zh) * | 2019-06-05 | 2019-09-10 | 东软集团股份有限公司 | 一种多核转发系统中的报文处理方法、装置及设备 |
| CN110768976A (zh) * | 2019-10-21 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置及网络设备 |
| CN110768976B (zh) * | 2019-10-21 | 2022-05-24 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置及网络设备 |
| CN112187665A (zh) * | 2020-09-28 | 2021-01-05 | 杭州迪普科技股份有限公司 | 一种报文处理的方法及装置 |
| CN112187665B (zh) * | 2020-09-28 | 2023-04-07 | 杭州迪普科技股份有限公司 | 一种报文处理的方法及装置 |
| CN113282040A (zh) * | 2021-05-26 | 2021-08-20 | 苏州智加科技有限公司 | 减少整车网关转发丢帧的方法及装置 |
| CN113282040B (zh) * | 2021-05-26 | 2022-08-05 | 苏州智加科技有限公司 | 减少整车网关转发丢帧的方法及装置 |
| CN113938325A (zh) * | 2021-12-16 | 2022-01-14 | 紫光恒越技术有限公司 | 一种处理攻击性流量的方法、装置、电子设备及存储设备 |
| CN113938325B (zh) * | 2021-12-16 | 2022-03-18 | 紫光恒越技术有限公司 | 一种处理攻击性流量的方法、装置、电子设备及存储设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103384252B (zh) | 2016-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103384252B (zh) | 网络设备防攻击的方法和装置、网络设备 | |
| US12034633B2 (en) | System and method for facilitating tracer packets in a data-driven intelligent network | |
| CN108141416B (zh) | 一种报文处理方法、计算设备以及报文处理装置 | |
| US10425344B2 (en) | Avoiding dropped data packets on a network transmission | |
| US9819608B2 (en) | Method and system for resource coherency and analysis in a network | |
| KR100875739B1 (ko) | Ip 네트워크 시스템에서의 패킷 버퍼 관리 장치 및 방법 | |
| EP2466809B1 (en) | Method and network node for configuring a network for optimized transport of packet traffic | |
| CN112585914B (zh) | 报文转发方法、装置以及电子设备 | |
| US20130286845A1 (en) | Transmission rate control | |
| EP2928132B1 (en) | Flow-control within a high-performance, scalable and drop-free data center switch fabric | |
| CN103023806B (zh) | 共享缓存式以太网交换机的缓存资源控制方法及装置 | |
| JP6598771B2 (ja) | データ・ネットワークにおける分散データ送信 | |
| CN108028828B (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| US10869227B2 (en) | Message cache management in a mesh network | |
| CN111585896B (zh) | 一种数据转发方法、装置及可读存储介质 | |
| US10084702B2 (en) | Packet processing method and system, and device | |
| CN106713182A (zh) | 一种处理流表的方法及装置 | |
| US10673704B2 (en) | System and method of dynamic hardware policer allocation | |
| CN114726660A (zh) | 发送、处理报文的方法、入口节点及网络系统 | |
| CN104160735B (zh) | 发报文处理方法、转发器、报文处理设备、报文处理系统 | |
| CN109286584B (zh) | 一种多核系统中的分片重组方法、装置及设备 | |
| CN113454957B (zh) | 一种存储器的管理方法及装置 | |
| CN113055301A (zh) | 拥塞控制方法及相关设备 | |
| CN112187665B (zh) | 一种报文处理的方法及装置 | |
| CN111831403A (zh) | 一种业务处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |