CN103856489A - 一种防止重放攻击的实现方法和设备 - Google Patents
一种防止重放攻击的实现方法和设备 Download PDFInfo
- Publication number
- CN103856489A CN103856489A CN201410093050.9A CN201410093050A CN103856489A CN 103856489 A CN103856489 A CN 103856489A CN 201410093050 A CN201410093050 A CN 201410093050A CN 103856489 A CN103856489 A CN 103856489A
- Authority
- CN
- China
- Prior art keywords
- intermediate system
- message
- sequence number
- network equipment
- last time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止重放攻击的实现方法和设备,该方法包括:网络设备在需要发送IS-IS协议报文时,从配置库中获得所述IS-IS协议报文上次使用的序列号,并确定所述IS-IS协议报文本次使用的序列号,并通过所述本次使用的序列号更新所述配置库中记录的上次使用的序列号;其中,所述本次使用的序列号大于所述上次使用的序列号;所述网络设备发送所述IS-IS协议报文,且所述IS-IS协议报文中携带所述本次使用的序列号。本发明实施例中,可以防止攻击者利用IS-IS协议报文进行报文重放攻击。
Description
技术领域
本发明涉及通信技术领域,尤其是一种防止重放攻击的实现方法和设备。
背景技术
随着网络规模需求的日益增长,IS-IS(Intermediate System-to-IntermediateSystem,中间系统到中间系统)作为一种内部网关动态路由协议,已经逐步得到广泛的应用。在IS-IS网络中,为了建立邻居关系,网络设备之间会交互Hello报文。此外,为了更新LSPDU(Link State Protocol Data Unit,链路状态协议数据单元)报文(简称LSP报文),网络设备之间会交互CSNP(CompleteSequence Numbers Protocol Data Unit,完整序号协议数据单元)报文和/或PSNP(Partial Sequence Numbers Protocol Data Unit,部分序号协议数据单元)报文。
现有技术中,攻击者一旦截获Hello报文/LSPDU报文/CSNP报文/PSNP报文,即可利用Hello报文/LSPDU报文/CSNP报文/PSNP报文进行报文重放攻击。
具体的,(1)在网络设备建立邻居关系之前,攻击者截获Hello报文,在网络设备建立邻居关系之后,攻击者通过将之前截获的Hello报文打入网络,以利用截获的Hello报文进行报文重放攻击,从而导致邻居震荡,路由震荡等问题,并进一步导致路由不可达,流量中断等问题。(2)攻击者通过截获CSNP报文,并将截获的CSNP报文打入网络,以利用截获的CSNP报文进行报文重放攻击,且由于截获的CSNP报文中包含的LSP摘要较旧,因此导致网络设备发送PSNP报文进行请求,并对LSP进行同步,继而导致带宽资源紧张。(3)攻击者通过截获PSNP报文,并将截获的PSNP报文打入网络,以利用截获的PSNP报文进行报文重放攻击,从而导致LSP不必要的大量泛洪,并导致网络拥塞。(4)攻击者通过截获LSPDU报文,并将截获的LSPDU报文打入网络,以利用截获的CSNP报文进行报文重放攻击,导致路由重新下刷,流量中断。
发明内容
本发明实施例提供一种防止重放攻击的实现方法和设备,以防止攻击者利用Hello报文/LSPDU报文/CSNP报文/PSNP报文进行报文重放攻击。
为了达到上述目的,本发明实施例提供一种防止重放攻击的实现方法,所述方法包括以下步骤:网络设备在需要发送中间系统到中间系统IS-IS协议报文时,从配置库中获得所述IS-IS协议报文上次使用的序列号,并确定所述IS-IS协议报文本次使用的序列号,并通过本次使用的序列号更新所述配置库中记录的上次使用的序列号;其中,所述本次使用的序列号大于所述上次使用的序列号;所述网络设备发送所述IS-IS协议报文,且所述IS-IS协议报文中携带所述本次使用的序列号;由收到所述IS-IS协议报文的网络设备比较所述本次使用的序列号以及本地存储的所述IS-IS协议报文上次使用的序列号,如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-IS协议报文为合法报文,如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-IS协议报文为重放攻击报文,并丢弃所述IS-IS协议报文。
所述IS-IS协议报文为:基于IS-IS协议的Hello报文、或基于IS-IS协议的链路状态协议数据单元LSPDU报文、或基于IS-IS协议的完整序号协议数据单元CSNP报文、或基于IS-IS协议的部分序号协议数据单元PSNP报文。
所述方法进一步包括:在IS-IS协议报文为基于IS-IS协议的Hello报文、或基于IS-IS协议的CSNP报文、或基于IS-IS协议的PSNP报文时,所述网络设备在所述配置库中为每个接口下的每个Level分别维护序列号;其中,所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-IS协议报文的接口下的Level所对应的序列号;在所述IS-IS协议报文为基于IS-IS协议的LSPDU报文时,所述网络设备在所述配置库中为每个Level分别维护序列号;其中,所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-IS协议报文的Level所对应的序列号。
本发明实施例提供一种防止重放攻击的实现方法,该方法包括以下步骤:
网络设备接收来自其它网络设备的中间系统到中间系统IS-IS协议报文,且所述IS-IS协议报文中携带了所述IS-IS协议报文本次使用的序列号;
所述网络设备比较所述本次使用的序列号以及本地存储的所述IS-IS协议报文上次使用的序列号;如果所述本次使用的序列号大于所述上次使用的序列号,则所述网络设备确定所述IS-IS协议报文为合法报文,并通过所述本次使用的序列号更新本地存储的所述IS-IS协议报文上次使用的序列号;如果所述本次使用的序列号不大于所述上次使用的序列号,则所述网络设备确定所述IS-IS协议报文为重放攻击报文,并丢弃所述IS-IS协议报文。
所述IS-IS协议报文为:基于IS-IS协议的Hello报文、或基于IS-IS协议的链路状态协议数据单元LSPDU报文、或基于IS-IS协议的完整序号协议数据单元CSNP报文、或基于IS-IS协议的部分序号协议数据单元PSNP报文。
所述方法进一步包括:在所述IS-IS协议报文为基于IS-IS协议的CSNP报文或者基于IS-IS协议的PSNP报文时,所述网络设备在本地存储的配置库中为每个接口下的每个Level分别维护序列号;本地存储的所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-IS协议报文的接口下的Level所对应的序列号;在所述IS-IS协议报文为基于IS-IS协议的Hello报文时,所述网络设备在所述其它网络设备对应的邻居信息下维护序列号;本地存储的所述IS-IS协议报文上次使用的序列号具体为:所述其它网络设备对应的邻居信息下记录的序列号;在所述IS-IS协议报文为基于IS-IS协议的LSPDU报文时,所述网络设备在本地存储的配置库中为每个Level分别维护序列号;其中,本地存储的所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-IS协议报文的Level所对应的序列号。
本发明实施例提供一种网络设备,所述网络设备具体包括:
处理模块,用于在需要发送中间系统到中间系统IS-IS协议报文时,从配置库中获得所述IS-IS协议报文上次使用的序列号,并确定所述IS-IS协议报文本次使用的序列号,并通过本次使用的序列号更新所述配置库中记录的上次使用的序列号;其中,所述本次使用的序列号大于所述上次使用的序列号;
发送模块,用于发送所述IS-IS协议报文,且所述IS-IS协议报文中携带所述本次使用的序列号;由收到所述IS-IS协议报文的网络设备比较所述本次使用的序列号以及本地存储的所述IS-IS协议报文上次使用的序列号,如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-IS协议报文为合法报文,如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-IS协议报文为重放攻击报文,并丢弃所述IS-IS协议报文。
所述IS-IS协议报文具体为:基于IS-IS协议的Hello报文、或者,基于IS-IS协议的链路状态协议数据单元LSPDU报文、或者,基于IS-IS协议的完整序号协议数据单元CSNP报文、或者,基于IS-IS协议的部分序号协议数据单元PSNP报文;所述处理模块,还用于在所述IS-IS协议报文为基于IS-IS协议的Hello报文、或基于IS-IS协议的CSNP报文、或基于IS-IS协议的PSNP报文时,在所述配置库中为每个接口下的每个Level分别维护序列号,且所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-IS协议报文的接口下的Level所对应的序列号;所述处理模块,还用于在所述IS-IS协议报文为基于IS-IS协议的LSPDU报文时,在所述配置库中为每个Level分别维护序列号,且所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-IS协议报文的Level所对应的序列号。
本发明实施例提供一种网络设备,所述网络设备具体包括:
接收模块,用于接收来自其它网络设备的中间系统到中间系统IS-IS协议报文,且所述IS-IS协议报文中携带了所述IS-IS协议报文本次使用的序列号;
处理模块,用于比较所述本次使用的序列号以及所述网络设备存储的所述IS-IS协议报文上次使用的序列号;如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-IS协议报文为合法报文,并通过所述本次使用的序列号更新所述网络设备存储的所述IS-IS协议报文上次使用的序列号;如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-IS协议报文为重放攻击报文,并丢弃所述IS-IS协议报文。
所述IS-IS协议报文具体为:基于IS-IS协议的Hello报文、或者,基于IS-IS协议的链路状态协议数据单元LSPDU报文、或者,基于IS-IS协议的完整序号协议数据单元CSNP报文、或者,基于IS-IS协议的部分序号协议数据单元PSNP报文;所述处理模块,还用于在所述IS-IS协议报文为基于IS-IS协议的CSNP报文或者基于IS-IS协议的PSNP报文时,在所述网络设备存储的配置库中为每个接口下的每个Level分别维护序列号;其中,所述网络设备存储的所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-IS协议报文的接口下的Level所对应的序列号;所述处理模块,还用于在所述IS-IS协议报文为基于IS-IS协议的Hello报文时,在所述其它网络设备对应的邻居信息下维护序列号;其中,所述网络设备存储的所述IS-IS协议报文上次使用的序列号具体为:所述其它网络设备对应的邻居信息下记录的序列号;所述处理模块,还用于在所述IS-IS协议报文为基于IS-IS协议的LSPDU报文时,在所述网络设备存储的配置库中为每个Level分别维护序列号;其中,所述网络设备存储的所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-IS协议报文的Level所对应的序列号。
与现有技术相比,本发明实施例至少具有以下优点:本发明实施例中,通过在IS-IS协议报文中携带序列号,以利用IS-IS协议报文中携带的序列号防止攻击者利用IS-IS协议报文进行报文重放攻击。具体的,通过在Hello报文中携带序列号,以利用Hello报文中携带的序列号防止攻击者利用Hello报文进行重放攻击,以避免邻居震荡,路由震荡等问题,并进一步避免路由不可达,流量中断等问题。通过在CSNP报文中携带序列号,以利用CSNP报文中携带的序列号防止攻击者利用CSNP报文进行重放攻击,以避免带宽资源紧张等问题。通过在PSNP报文中携带序列号,以利用PSNP报文中携带的序列号防止攻击者利用PSNP报文进行重放攻击,以避免导致网络拥塞。通过在LSPDU报文中携带序列号,以利用LSPDU报文中携带的序列号防止攻击者利用LSPDU报文进行重放攻击,以避免路由重新下刷,流量中断等问题。此外,采用本发明实施例提供的技术方案不存在兼容的问题。
附图说明
图1是本发明实施例提供的一种防止重放攻击的实现方法流程示意图;
图2是本发明实施例中提供的报文序列号TLV的格式示意图;
图3是本发明实施例提供的一种网络设备的结构示意图;
图4是本发明实施例提供的另一种网络设备的结构示意图。
具体实施方式
本发明实施例提供一种防止重放攻击的实现方法,该方法应用于包括多个网络设备的IS-IS网络中,如图1所示,该方法可以包括以下步骤:
步骤101,网络设备在需要发送IS-IS协议报文时,从配置库中获得该IS-IS协议报文上次使用的序列号,并确定该IS-IS协议报文本次使用的序列号,并通过本次使用的序列号更新配置库中记录的上次使用的序列号。
其中,IS-IS协议报文本次使用的序列号大于该IS-IS协议报文上次使用的序列号。基于此,网络设备在从配置库中获得该IS-IS协议报文上次使用的序列号之后,在确定该IS-IS协议报文本次使用的序列号时,只要保证IS-IS协议报文本次使用的序列号大于该IS-IS协议报文上次使用的序列号即可,如:网络设备确定该IS-IS协议报文本次使用的序列号为上次使用的序列号+1。
本发明实施例中,IS-IS协议报文具体可以包括但不限于:基于IS-IS协议的Hello报文、或者,基于IS-IS协议的LSPDU报文、或者,基于IS-IS协议的CSNP报文、或者,基于IS-IS协议的PSNP报文。在IS-IS协议报文为基于IS-IS协议的Hello报文、或基于IS-IS协议的CSNP报文、或基于IS-IS协议的PSNP报文时,网络设备在配置库中为每个接口下的每个Level(级别)分别维护序列号;基于此,IS-IS协议报文上次使用的序列号具体为:配置库中记录的用于发送该IS-IS协议报文的接口下的Level所对应的序列号。在IS-IS协议报文为基于IS-IS协议的LSPDU报文时,网络设备在配置库中为每个Level分别维护序列号;基于此,IS-IS协议报文上次使用的序列号具体为:配置库中记录的用于发送该IS-IS协议报文的Level所对应的序列号。
进一步的,针对基于IS-IS协议的Hello报文、或者,基于IS-IS协议的LSPDU报文、或者,基于IS-IS协议的CSNP报文、或者,基于IS-IS协议的PSNP报文,不同类型的IS-IS协议报文的序列号均单独维护,无任何关联。
步骤102,网络设备发送IS-IS协议报文,该IS-IS协议报文中携带IS-IS协议报文本次使用的序列号。在包含多个网络设备的IS-IS网络中,互为邻居的两个网络设备之间会交互IS-IS协议报文,即发送端的网络设备会向接收端的网络设备发送IS-IS协议报文,该IS-IS协议报文中携带本次使用的序列号。
在本发明实施例的一种具体实现方式中,可以在IS-IS协议报文中增加报文序列号TLV(Type-Length-Value,类型-长度-数值),并基于该报文序列号TLV携带IS-IS协议报文本次使用的序列号。如图2所示,为一种报文序列号TLV的格式示意图。进一步的,考虑到基于IS-IS协议的Hello报文的发送间隔较短,缺省为10s,且考虑到基于IS-IS协议的CSNP报文和基于IS-IS协议的PSNP报文的缺省发送间隔为10s,为了避免序列号在较短时间内发生翻转,并导致网络不稳定等情况,本发明实施例中,还可以设计该报文序列号TLV的序列号取值为8个字节,以避免序列号在较短时间内发生翻转。
步骤103,网络设备接收来自其它网络设备的IS-IS协议报文,且该IS-IS协议报文中携带了该IS-IS协议报文本次使用的序列号。
具体的,在包含多个网络设备的IS-IS网络中,互为邻居的两个网络设备之间会交互IS-IS协议报文,即发送端的网络设备会向接收端的网络设备发送IS-IS协议报文,且接收端的网络设备会收到来自发送端的网络设备的IS-IS协议报文,并且该IS-IS协议报文中携带IS-IS协议报文本次使用的序列号。
步骤104,网络设备比较本次使用的序列号(即IS-IS协议报文中携带的本次使用的序列号)以及本地存储的IS-IS协议报文上次使用的序列号。
步骤105,如果本次使用的序列号大于上次使用的序列号,网络设备确定IS-IS协议报文为合法报文,并通过本次使用的序列号更新本地存储的IS-IS协议报文上次使用的序列号;如果本次使用的序列号不大于上次使用的序列号,网络设备确定IS-IS协议报文为重放攻击报文,并丢弃IS-IS协议报文。
本发明实施例中,IS-IS协议报文包括但不限于:基于IS-IS协议的Hello报文、或基于IS-IS协议的LSPDU报文、或基于IS-IS协议的CSNP报文、或基于IS-IS协议的PSNP报文。在IS-IS协议报文为基于IS-IS协议的CSNP报文或基于IS-IS协议的PSNP报文时,网络设备在本地存储的配置库中为每个接口下的每个Level分别维护序列号;基于此,本地存储的IS-IS协议报文上次使用的序列号具体为:配置库中记录的接收到IS-IS协议报文的接口下的Level所对应的序列号。在IS-IS协议报文为基于IS-IS协议的Hello报文时,网络设备在发送IS-IS协议报文的其它网络设备对应的邻居信息下维护序列号;基于此,本地存储的IS-IS协议报文上次使用的序列号具体为:发送IS-IS协议报文的其它网络设备对应的邻居信息下记录的序列号。在IS-IS协议报文为基于IS-IS协议的LSPDU报文时,网络设备在本地存储的配置库中为每个Level分别维护序列号;基于此,本地存储的IS-IS协议报文上次使用的序列号具体为:配置库中记录的接收到IS-IS协议报文的Level所对应的序列号。
进一步的,针对基于IS-IS协议的Hello报文、或者,基于IS-IS协议的LSPDU报文、或者,基于IS-IS协议的CSNP报文、或者,基于IS-IS协议的PSNP报文,不同类型的IS-IS协议报文的序列号均单独维护,无任何关联。
本发明实施例中,网络设备在发送IS-IS协议报文时,还可以对携带IS-IS协议报文本次使用的序列号的IS-IS协议报文进行加密处理,以保证IS-IS协议报文的安全性,继而使得攻击者无法对IS-IS协议报文进行修改。
本发明实施例中,针对发送端的网络设备,在IS-IS协议报文为基于IS-IS协议的Hello报文、或基于IS-IS协议的CSNP报文、或基于IS-IS协议的PSNP报文时,网络设备在配置库中为每个接口下的每个Level分别维护序列号;在IS-IS协议报文为基于IS-IS协议的LSPDU报文时,网络设备在配置库中为每个Level分别维护序列号;在此情况下,当对网络设备进行在线软件升级,或进行GR(Graceful Restart,平滑重启)重启,或进行NSR(Nonstop Routing,不间断路由)重启后,网络设备能够直接基于配置库中维护的序列号继续发送IS-IS协议报文,而不会导致网络设备无法获知序列号的情况。
考虑到序列号取值为8个字节仍然存在翻转的可能,本发明实施例中,在IS-IS协议报文为基于IS-IS协议的Hello报文、或基于IS-IS协议的CSNP报文、或基于IS-IS协议的PSNP报文时,当IS-IS协议报文的序列号翻转时,将该IS-IS协议报文对应接口静默一段时间(如将IS-IS协议报文对应接口静默网络设备自身的HoldTime(维持时间)时间),等待邻居网络设备维护的本网络设备的邻居超时down掉时,本网络设备清除保存的序列号信息之后,重新恢复正常工作,序列号再从1开始。在IS-IS协议报文为基于IS-IS协议的LSPDU报文时,当IS-IS协议报文的序列号翻转时,可以在等待邻居网络设备将IS-IS协议报文老化掉之后,重新恢复正常工作,序列号再从1开始。
综上所述,本发明实施例中,通过在IS-IS协议报文中携带序列号,从而可以利用IS-IS协议报文中携带的序列号防止攻击者利用IS-IS协议报文进行报文重放攻击。具体的,(1)通过在Hello报文中携带序列号,以利用Hello报文中携带的序列号防止攻击者利用Hello报文进行重放攻击,以避免邻居震荡,路由震荡等问题,并进一步避免路由不可达,流量中断等问题。(2)通过在CSNP报文中携带序列号,以利用CSNP报文中携带的序列号防止攻击者利用CSNP报文进行重放攻击,以避免带宽资源紧张等问题。(3)通过在PSNP报文中携带序列号,以利用PSNP报文中携带的序列号防止攻击者利用PSNP报文进行重放攻击,以避免导致网络拥塞。(4)通过在LSPDU报文中携带序列号,以利用LSPDU报文中携带的序列号防止攻击者利用LSPDU报文进行重放攻击,以避免路由重新下刷,流量中断等问题。此外,本发明实施例中,由于只是在IS-IS协议报文中增加报文序列号TLV,不支持本发明实施例提供技术方案的网络设备收到携带该报文序列号TLV的IS-IS协议报文时,忽略该报文序列号TLV即可,因此不存在兼容的问题。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种网络设备,如图3所示,所述网络设备具体包括:
处理模块11,用于在需要发送中间系统到中间系统IS-IS协议报文时,从配置库中获得所述IS-IS协议报文上次使用的序列号,并确定所述IS-IS协议报文本次使用的序列号,并通过本次使用的序列号更新所述配置库中记录的上次使用的序列号;所述本次使用的序列号大于所述上次使用的序列号;
发送模块12,用于发送所述IS-IS协议报文,且所述IS-IS协议报文中携带所述本次使用的序列号;由收到所述IS-IS协议报文的网络设备比较所述本次使用的序列号以及本地存储的所述IS-IS协议报文上次使用的序列号,如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-IS协议报文为合法报文,如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-IS协议报文为重放攻击报文,并丢弃所述IS-IS协议报文。
所述IS-IS协议报文具体为:基于IS-IS协议的Hello报文、或者,基于IS-IS协议的链路状态协议数据单元LSPDU报文、或者,基于IS-IS协议的完整序号协议数据单元CSNP报文、或者,基于IS-IS协议的部分序号协议数据单元PSNP报文;所述处理模块11,还用于在所述IS-IS协议报文为基于IS-IS协议的Hello报文、或基于IS-IS协议的CSNP报文、或基于IS-IS协议的PSNP报文时,在所述配置库中为每个接口下的每个Level分别维护序列号,且所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-IS协议报文的接口下的Level所对应的序列号;所述处理模块11,还用于在所述IS-IS协议报文为基于IS-IS协议的LSPDU报文时,在所述配置库中为每个Level分别维护序列号,且所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-IS协议报文的Level所对应的序列号。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种网络设备,如图4所示,所述网络设备具体包括:
接收模块21,用于接收来自其它网络设备的中间系统到中间系统IS-IS协议报文,且IS-IS协议报文中携带了所述IS-IS协议报文本次使用的序列号;
处理模块22,用于比较所述本次使用的序列号以及所述网络设备存储的所述IS-IS协议报文上次使用的序列号;如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-IS协议报文为合法报文,并通过所述本次使用的序列号更新所述网络设备存储的所述IS-IS协议报文上次使用的序列号;如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-IS协议报文为重放攻击报文,并丢弃所述IS-IS协议报文。
所述IS-IS协议报文具体为:基于IS-IS协议的Hello报文、或者,基于IS-IS协议的链路状态协议数据单元LSPDU报文、或者,基于IS-IS协议的完整序号协议数据单元CSNP报文、或者,基于IS-IS协议的部分序号协议数据单元PSNP报文;所述处理模块22,还用于在所述IS-IS协议报文为基于IS-IS协议的CSNP报文或者基于IS-IS协议的PSNP报文时,在所述网络设备存储的配置库中为每个接口下的每个Level分别维护序列号;其中,所述网络设备存储的所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-IS协议报文的接口下的Level所对应的序列号;所述处理模块22,还用于在所述IS-IS协议报文为基于IS-IS协议的Hello报文时,在所述其它网络设备对应的邻居信息下维护序列号;其中,所述网络设备存储的所述IS-IS协议报文上次使用的序列号具体为:所述其它网络设备对应的邻居信息下记录的序列号;所述处理模块22,还用于在所述IS-IS协议报文为基于IS-IS协议的LSPDU报文时,在所述网络设备存储的配置库中为每个Level分别维护序列号;其中,所述网络设备存储的所述IS-IS协议报文上次使用的序列号具体为所述配置库中记录的接收到所述IS-IS协议报文的Level所对应的序列号。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种防止重放攻击的实现方法,其特征在于,所述方法包括以下步骤:
网络设备在需要发送中间系统到中间系统IS-IS协议报文时,从配置库中获得所述IS-IS协议报文上次使用的序列号,并确定所述IS-IS协议报文本次使用的序列号,并通过本次使用的序列号更新所述配置库中记录的上次使用的序列号;其中,所述本次使用的序列号大于所述上次使用的序列号;
所述网络设备发送所述IS-IS协议报文,且所述IS-IS协议报文中携带所述本次使用的序列号;由收到所述IS-IS协议报文的网络设备比较所述本次使用的序列号以及本地存储的所述IS-IS协议报文上次使用的序列号,如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-IS协议报文为合法报文,如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-IS协议报文为重放攻击报文,并丢弃所述IS-IS协议报文。
2.如权利要求1所述的方法,其特征在于,所述IS-IS协议报文具体为:
基于IS-IS协议的Hello报文、或者,基于IS-IS协议的链路状态协议数据单元LSPDU报文、或者,基于IS-IS协议的完整序号协议数据单元CSNP报文、或者,基于IS-IS协议的部分序号协议数据单元PSNP报文。
3.如权利要求2所述的方法,其特征在于,所述方法进一步包括:
在所述IS-IS协议报文为基于IS-IS协议的Hello报文、或基于IS-IS协议的CSNP报文、或基于IS-IS协议的PSNP报文时,所述网络设备在所述配置库中为每个接口下的每个Level分别维护序列号;其中,所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-IS协议报文的接口下的Level所对应的序列号;在所述IS-IS协议报文为基于IS-IS协议的LSPDU报文时,所述网络设备在所述配置库中为每个Level分别维护序列号;其中,所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-IS协议报文的Level所对应的序列号。
4.一种防止重放攻击的实现方法,其特征在于,所述方法包括以下步骤:
网络设备接收来自其它网络设备的中间系统到中间系统IS-IS协议报文,且所述IS-IS协议报文中携带了所述IS-IS协议报文本次使用的序列号;
所述网络设备比较所述本次使用的序列号以及本地存储的所述IS-IS协议报文上次使用的序列号;如果所述本次使用的序列号大于所述上次使用的序列号,则所述网络设备确定所述IS-IS协议报文为合法报文,并通过所述本次使用的序列号更新本地存储的所述IS-IS协议报文上次使用的序列号;如果所述本次使用的序列号不大于所述上次使用的序列号,则所述网络设备确定所述IS-IS协议报文为重放攻击报文,并丢弃所述IS-IS协议报文。
5.如权利要求4所述的方法,其特征在于,所述IS-IS协议报文具体为:
基于IS-IS协议的Hello报文、或者,基于IS-IS协议的链路状态协议数据单元LSPDU报文、或者,基于IS-IS协议的完整序号协议数据单元CSNP报文、或者,基于IS-IS协议的部分序号协议数据单元PSNP报文。
6.如权利要求5所述的方法,其特征在于,所述方法进一步包括:
在所述IS-IS协议报文为基于IS-IS协议的CSNP报文或者基于IS-IS协议的PSNP报文时,所述网络设备在本地存储的配置库中为每个接口下的每个Level分别维护序列号;其中,本地存储的所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-IS协议报文的接口下的Level所对应的序列号;在所述IS-IS协议报文为基于IS-IS协议的Hello报文时,所述网络设备在所述其它网络设备对应的邻居信息下维护序列号;其中,本地存储的所述IS-IS协议报文上次使用的序列号具体为:所述其它网络设备对应的邻居信息下记录的序列号;在所述IS-IS协议报文为基于IS-IS协议的LSPDU报文时,所述网络设备在本地存储的配置库中为每个Level分别维护序列号;其中,本地存储的所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-IS协议报文的Level所对应的序列号。
7.一种网络设备,其特征在于,所述网络设备具体包括:
处理模块,用于在需要发送中间系统到中间系统IS-IS协议报文时,从配置库中获得所述IS-IS协议报文上次使用的序列号,并确定所述IS-IS协议报文本次使用的序列号,并通过本次使用的序列号更新所述配置库中记录的上次使用的序列号;其中,所述本次使用的序列号大于所述上次使用的序列号;
发送模块,用于发送所述IS-IS协议报文,且所述IS-IS协议报文中携带所述本次使用的序列号;由收到所述IS-IS协议报文的网络设备比较所述本次使用的序列号以及本地存储的所述IS-IS协议报文上次使用的序列号,如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-IS协议报文为合法报文,如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-IS协议报文为重放攻击报文,并丢弃所述IS-IS协议报文。
8.如权利要求7所述的网络设备,其特征在于,所述IS-IS协议报文具体为:基于IS-IS协议的Hello报文、或者,基于IS-IS协议的链路状态协议数据单元LSPDU报文、或者,基于IS-IS协议的完整序号协议数据单元CSNP报文、或者,基于IS-IS协议的部分序号协议数据单元PSNP报文;
所述处理模块,还用于在所述IS-IS协议报文为基于IS-IS协议的Hello报文、或基于IS-IS协议的CSNP报文、或基于IS-IS协议的PSNP报文时,在所述配置库中为每个接口下的每个Level分别维护序列号,且所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-IS协议报文的接口下的Level所对应的序列号;所述处理模块,还用于在所述IS-IS协议报文为基于IS-IS协议的LSPDU报文时,在所述配置库中为每个Level分别维护序列号,且所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的用于发送所述IS-IS协议报文的Level所对应的序列号。
9.一种网络设备,其特征在于,所述网络设备具体包括:
接收模块,用于接收来自其它网络设备的中间系统到中间系统IS-IS协议报文,且所述IS-IS协议报文中携带了所述IS-IS协议报文本次使用的序列号;
处理模块,用于比较所述本次使用的序列号以及所述网络设备存储的所述IS-IS协议报文上次使用的序列号;如果所述本次使用的序列号大于所述上次使用的序列号,则确定所述IS-IS协议报文为合法报文,并通过所述本次使用的序列号更新所述网络设备存储的所述IS-IS协议报文上次使用的序列号;如果所述本次使用的序列号不大于所述上次使用的序列号,则确定所述IS-IS协议报文为重放攻击报文,并丢弃所述IS-IS协议报文。
10.如权利要求9所述的网络设备,其特征在于,所述IS-IS协议报文具体为:基于IS-IS协议的Hello报文、或者,基于IS-IS协议的链路状态协议数据单元LSPDU报文、或者,基于IS-IS协议的完整序号协议数据单元CSNP报文、或者,基于IS-IS协议的部分序号协议数据单元PSNP报文;
所述处理模块,还用于在所述IS-IS协议报文为基于IS-IS协议的CSNP报文或者基于IS-IS协议的PSNP报文时,在所述网络设备存储的配置库中为每个接口下的每个Level分别维护序列号;其中,所述网络设备存储的所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-IS协议报文的接口下的Level所对应的序列号;所述处理模块,还用于在所述IS-IS协议报文为基于IS-IS协议的Hello报文时,在所述其它网络设备对应的邻居信息下维护序列号;其中,所述网络设备存储的所述IS-IS协议报文上次使用的序列号具体为:所述其它网络设备对应的邻居信息下记录的序列号;所述处理模块,还用于在所述IS-IS协议报文为基于IS-IS协议的LSPDU报文时,在所述网络设备存储的配置库中为每个Level分别维护序列号;其中,所述网络设备存储的所述IS-IS协议报文上次使用的序列号具体为:所述配置库中记录的接收到所述IS-IS协议报文的Level所对应的序列号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410093050.9A CN103856489A (zh) | 2014-03-13 | 2014-03-13 | 一种防止重放攻击的实现方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410093050.9A CN103856489A (zh) | 2014-03-13 | 2014-03-13 | 一种防止重放攻击的实现方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103856489A true CN103856489A (zh) | 2014-06-11 |
Family
ID=50863702
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410093050.9A Pending CN103856489A (zh) | 2014-03-13 | 2014-03-13 | 一种防止重放攻击的实现方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103856489A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105592054A (zh) * | 2015-09-15 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种lsp报文的处理方法和装置 |
| CN106713305A (zh) * | 2016-12-20 | 2017-05-24 | 济南浪潮高新科技投资发展有限公司 | 一种基于功能级超时配置的防止重放攻击方法 |
| CN109450810A (zh) * | 2018-12-30 | 2019-03-08 | 国网北京市电力公司 | 识别冗余消息的方法及装置 |
| CN110213196A (zh) * | 2018-02-28 | 2019-09-06 | 北京京东尚科信息技术有限公司 | 设备及其防止重放攻击的方法、电子设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794626A (zh) * | 2005-06-24 | 2006-06-28 | 华为技术有限公司 | 一种防止重放攻击的方法 |
| CN1794648A (zh) * | 2005-06-27 | 2006-06-28 | 华为技术有限公司 | 一种识别重放管理消息的方法 |
| CN101242274A (zh) * | 2005-06-24 | 2008-08-13 | 华为技术有限公司 | 保证消息序列号不重复、防止重放攻击的方法及移动终端 |
-
2014
- 2014-03-13 CN CN201410093050.9A patent/CN103856489A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794626A (zh) * | 2005-06-24 | 2006-06-28 | 华为技术有限公司 | 一种防止重放攻击的方法 |
| CN101242274A (zh) * | 2005-06-24 | 2008-08-13 | 华为技术有限公司 | 保证消息序列号不重复、防止重放攻击的方法及移动终端 |
| CN1794648A (zh) * | 2005-06-27 | 2006-06-28 | 华为技术有限公司 | 一种识别重放管理消息的方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105592054A (zh) * | 2015-09-15 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种lsp报文的处理方法和装置 |
| CN105592054B (zh) * | 2015-09-15 | 2018-11-27 | 新华三技术有限公司 | 一种lsp报文的处理方法和装置 |
| CN106713305A (zh) * | 2016-12-20 | 2017-05-24 | 济南浪潮高新科技投资发展有限公司 | 一种基于功能级超时配置的防止重放攻击方法 |
| CN106713305B (zh) * | 2016-12-20 | 2019-12-03 | 浪潮通用软件有限公司 | 一种基于功能级超时配置的防止重放攻击方法 |
| CN110213196A (zh) * | 2018-02-28 | 2019-09-06 | 北京京东尚科信息技术有限公司 | 设备及其防止重放攻击的方法、电子设备和存储介质 |
| CN110213196B (zh) * | 2018-02-28 | 2022-12-27 | 北京京东尚科信息技术有限公司 | 设备及其防止重放攻击的方法、电子设备和存储介质 |
| CN109450810A (zh) * | 2018-12-30 | 2019-03-08 | 国网北京市电力公司 | 识别冗余消息的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107342952B (zh) | 业务链路选择控制方法以及设备 | |
| US11683218B2 (en) | Compromised network node detection system | |
| CN103746911A (zh) | 一种sdn网络结构及其通信方法 | |
| CN106878072B (zh) | 一种报文传输方法和装置 | |
| CN110445697B (zh) | 视频大数据云平台设备接入服务方法 | |
| CN103856489A (zh) | 一种防止重放攻击的实现方法和设备 | |
| CN104579746A (zh) | 双链路传输控制方法及装置 | |
| CN103188171B (zh) | 一种报文调度方法和设备 | |
| CN101662389B (zh) | 一种统计性能数据的方法及装置 | |
| CN107465453A (zh) | 一种光网络终端及其工作方法、及通信系统 | |
| US9641595B2 (en) | System management apparatus, system management method, and storage medium | |
| WO2024021410A1 (zh) | 一种防范网络攻击的方法及装置 | |
| CN109802995A (zh) | 消息推送方法、装置、设备及存储介质 | |
| CN110289991B (zh) | 一种故障网关检测方法、装置、存储介质及终端 | |
| CN105591892B (zh) | 一种平滑重启流程的启动方法和装置 | |
| CN113791792A (zh) | 应用调用信息的获取方法、设备以及存储介质 | |
| CN102916875A (zh) | 一种基于isis网络的序列号翻转方法和设备 | |
| CN108696433A (zh) | 路由振荡抑制方法及bgp路由设备 | |
| CN110535842B (zh) | 一种基于抽样检测的拟态安全系统和方法 | |
| CN104038420A (zh) | 一种路由计算方法和设备 | |
| CN112969244B (zh) | 一种会话恢复方法及其装置 | |
| CN112188245B (zh) | 一种前端摄像头实时视频点播方法及装置、电子设备 | |
| CN105224573B (zh) | 一种规则数据配置方法及装置、系统 | |
| CN103401789A (zh) | 一种lsp报文的传输方法和设备 | |
| WO2023056941A1 (zh) | 用于重路由指示的消息传输方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Applicant before: Huasan Communication Technology Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140611 |