CN104283882A - 一种路由器的智能安全防护方法 - Google Patents
一种路由器的智能安全防护方法 Download PDFInfo
- Publication number
- CN104283882A CN104283882A CN201410535984.3A CN201410535984A CN104283882A CN 104283882 A CN104283882 A CN 104283882A CN 201410535984 A CN201410535984 A CN 201410535984A CN 104283882 A CN104283882 A CN 104283882A
- Authority
- CN
- China
- Prior art keywords
- protocol
- neighbours
- router
- entry
- test system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明适用于数据通信领域,提供了一种路由器的智能安全防护方法,包括:在控制平面生成协议控制表、协议流量统计表和邻居关系表;在转发平面生成与协议控制表对应的转发控制表;在路由器中对对应的协议控制表与转发控制表进行同步和维护,协议控制表为协议数据报文的过滤规则表,转发平面根据该过滤规则对协议数据报文进行控制;协议流量控制表用于对控制平面收到协议数据报文后对报文对应的协议控制表中对应条目进行流量统计;邻居关系表用于记录控制平面确定的邻居是否可信。通过控制平面与转发平面的结合,控制平面设置转发平面的过滤规则表,转发平面根据该表对协议报文进行控制,保护易受攻击的控制平面。
Description
技术领域
本发明属于数据通信领域,尤其涉及一种路由器的智能安全防护方法。
背景技术
传统路由协议需要将拓扑结构对外暴露,给各种攻击提供了便利,同时在网络设备路由器上实现网络欺骗、攻击等造成的伤害,比基于应用层的安全伤害更大,同时隐蔽性更强。网络设备中的路由器一般采用控制面和转发面分离的架构,这种架构比较灵活,但由于控制面数据量相对较小,其CPU处理能力相对较弱,一旦受到攻击,会导致网络设备的异常,进而造成整个网络的拥塞和不稳定。另外,利用网络层设备的标准网络协议,进行邻居仿冒很容易,会导致网络拓扑的信息泄漏,同时标准格式的网络协议报文,容易受到攻击。
路由器业务,从逻辑上分为控制面和转发面:
控制面及其流量:所有由象路由协议或其他控制协议,这种用来动态创建并维护网络的控制协议发送和接收的数据,称为控制面流量。如由OSPF、BGP、VRRP、ARP这些协议生成的流量。
转发面(数据面)及其流量:所有出于传输目的而需要底层网络的终端用户数据都归类到转发面。这种流量只是简单地向目的地转发。典型的,网络上主机和服务器会发送接收这种流量。如YouTube和Google之间的流量,及用户访问它们的流量。
路由器要想对收到的数据报文作出正确地转发决定,必须要有一张能实时反映网络拓扑,甚至流量状况的路由表。控制平面通过路由协议,就是让路由器能够拥有一张这样的路由表。路由器转发面和控制面相互配合,才能更好的完成转发任务。二者的关系如图1所示。
从互联网安全方面考虑,互联网体系结构在设计之时假设网络成员都是可信的,并未充分考虑网络成员不可信带来的安全威胁。互联网一个核心的安全问题是:路由设备的路由协议在建立邻居关系时,并不对邻居的真实性进行任何验证。随着互联网越来越开放,网络成员的可信性无法得到保证,而路由协议报文源的真实性难以验证,进而使得转发平面的数据包转发至不可信的邻居。
另外,网络设备受到控制信息的攻击,不仅要消耗大量带宽,很容易造成网络拥塞,而且会导致网络传输设备不能正常工作,并且导致网络不稳定。
综上,基于路由器自身的安全防护,解决对端可信、防欺骗和防攻击等问题,对于保证整个网络的安全运行具有重要的作用,但是由于传统路由器的天然缺陷,使得路由器支持安全路由方面显得力不从心。
发明内容
本发明实施例的目的在于提供一种路由器的智能安全防护方法,以解决现有路由器技术不支持安全路由的问题。
本发明实施例是这样实现的,一种路由器的智能安全防护方法,所述方法包括以下步骤:
本发明实施例提供的一种路由器的智能安全防护方法的有益效果包括:通过控制平面与转发平面的结合,在路由器上实现可靠的安全防护,控制平面设置转发平面的过滤规则表,转发平面根据该表对协议报文进行控制,以保护易受攻击的控制平面,同时控制平面根据接收的协议报文,对邻居进行验证和判断,对转发平面下发可信的转发表项,避免路由器将数据信息路由到不可信邻居上,造成数据的失窃。
路由协议安全防护过程中,基于源地址验证生成和维护各种安全防护表项;路由器中协议启动时,通过安全防护表项实现路由协议的安全建立邻居关系;路由协议运行过程中,通过安全防护表项中的会话机制,保证路由协议同步路由信息的快速传输;通过对源端的检查,实现对路由协议邻居的防假冒验证;路由器在遭遇其他设备非法假冒时,通过免费ARP信息进行更新,防止被假冒;路由协议运行过程中,遭遇协议报文攻击时,通过自动调整安全防护表项中收发协议包的门限机制,智能动态防护;路由协议安全防护过程中,多个协议实现的安全防护表项条目之间的优先级划分和管理,实现路由器的启动阶段、协议邻居建立阶段、正常工作阶段、协议停止阶段和假冒时的防护。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的路由器控制平面和转发平面交互图;
图2是为多个路由器互联的结构示意图;
图3是本发明实施例提供的路由器控制平面智能安全防护处理方法流程图;
图4是本发明实施例提供的路由器转发平面智能安全防护处理方法流程图;
图5是本发明实施例提供的路由器控制平面假冒防护处理的流程图;
图6是本发明实施例提供的路由器控制平面防攻击处理流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
本发明提供的一种路由器的智能安全防护方法,包括:
在控制平面生成协议控制表、协议流量统计表和邻居关系表;在转发平面生成与协议控制表对应的转发控制表。
在路由器中对对应的协议控制表与转发控制表进行同步和维护,该协议控制表为协议数据报文的过滤规则表,转发平面根据该过滤规则对协议数据报文进行控制。
协议流量控制表用于对控制平面收到协议数据报文后对该报文对应的协议控制表中对应条目进行流量统计。
邻居关系表用于记录控制平面确定的邻居是否可信。
本发明提供的一种路由器的智能安全防护方法,通过控制平面与转发平面的结合,在路由器上实现可靠的安全防护,控制平面设置转发平面的过滤规则表,转发平面根据该表对协议报文进行控制,以保护易受攻击的控制平面,同时控制平面根据接收的协议报文,对邻居进行验证和判断,对转发平面下发可信的转发表项,避免路由器将数据信息路由到不可信邻居上,造成数据的失窃。
实施例一
在本发明实施例中,协议控制表与转发平面的转发控制表基本一致,控制平面对转发平面的转发控制表进行维护并动态生成和删除,转发控制表主要用于在转发平面设置指定协议报文及其动作,协议控制表主要用于查找和配置。
控制平面通过协议控制表实现安全防护规则的下发,转发平面在收到数据报文后,首先匹配安全防护规则表,如果匹配成功,按照该过滤规则指定的操作进行处理,如果匹配不成功,按照普通的数据进行转发。
协议控制表需要在路由器软件中作为所有协议的基本接口表,保存和设置相应条目,同时下发到转发控制表,作为协议报文处理的依据。具体的,协议控制表表项包含的内容以及相应大小如表一所示:
| 内容 | 字节长度 |
| 索引 | 4 |
| 绑定接口 | 4 |
| 目的IP | 16 |
| 源IP | 16 |
| 协议类型 | 2 |
| 源端口号 | 4 |
| 目的端口号 | 4 |
| 对端MAC | 6 |
| 动作 | 1 |
| 限速值 | 4 |
| 优先级 | 4 |
| 生成方式 | 1 |
表一:协议控制表表项包含的内容以及相应大小对照表
由表一可知,协议控制表的内容包括:索引、绑定接口、目的IP、源IP、协议类型、原端口号、目的端口号、对端MAC、动作、限速值、优先级和生成方式。
其中,索引表示系列号,作为关键字,与协议流量统计表进行关联;
绑定接口表示条目绑定的物理接口。
目的IP表示各类协议包的目的IP地址,对IPv4协议,长度为4字节,对IPv6协议为16字节,如OSPF协议的目的地址为224.0.0.5或者224.0.0.6,BGP协议为设备本地配置的IP地址。
源IP表示各类协议对端邻居的IP地址,对IPv4协议,长度为4字节,对IPv6协议为16字节。
协议类型主要针对IPv4包头中的协议类型字段,如OSPF协议类型为89,UDP协议类型为17,TCP协议类型为6等。
源端口号主要指TCP或者UDP报文中,TCP头或者UDP头中的源端口号。
目的端口号主要指TCP或者UDP报文中,TCP头或者UDP头中的目的端口号。
对端MAC表示收到的协议报文中发送端设备的MAC地址。
动作主要指对满足匹配的报文采取的动作,主要有以下三种:丢弃、限速送CPU和不限速送CPU。
限速值主要为动作中需要限速送CPU的报文,设置的速率值。
优先级表示该条目在转发控制表中的优先级,优先级越高,越先进行匹配,匹配优先级较高的条目后,优先级较低的条目不生效。
生成方式表示该条目是由动态生成、静态配置或者是默认生成的标识。
对应的,转发控制表包括:索引、绑定接口、目的IP、源IP、协议类型、源端口号、目的端口号、对端MAC、动作、限速值和优先级。
该协议控制表的生成方式包括默认生成、手动配置、路由协议生成、检测到攻击时自动生成。
默认生成表示在路由器接口上,使能任何协议时,下发一条基本协议配置表条目,该条目使该协议类型的数据包发送到控制平面进行处理。一般情况下,默认生成条目的信息不完整,缺少对端IP、对端MAC等信息,该条目将送给控制平面的报文限速为64kbps,默认生成条目优先级较低,主要用于初始的协议包送至控制平面。
手动配置表示在路由器网管中添加协议控制表的静态条目。
路由协议生成:在路由协议相互协商建立邻居过程中,如果确定对端邻居是可信的,则安全防护任务动态生成一条协议控制条目,该条目中包含对端IP地址和MAC地址。如图2所示为多个路由器互联的结构示意图,Router2希望与Router1建立BGP协议的邻居关系,Router1收到Router2的Hello报文后,对Router2的源IP地址和MAC地址进行检查,如果Router1验证Router2的地址和MAC是可信的,则在Router1的协议控制表中添加一条过滤规则,该规则具有较高的优先级和限速值,以便后续的Router2发送的协议报文可以不受限制的发送给Router1的协议模块进行处理。该条目随着路由协议的终止而终止。
检测到攻击时自动生成为当路由器安全防护任务检测到其他设备发送非法的协议报文,或者发送的协议报文异常时,以及在邻居可信检测失败时,生成拒绝接收该邻居的协议报文条目。另外,在受到可信邻居攻击时,生成对可信邻居协议报文接收速率进行限速的条目,该条目设置的限速阈值与受到攻击时间长短有关,受到攻击时间越长,该条目限速值越小,反之,如果未受到攻击,一段时间后,该限速阈值会逐渐增大。检测到攻击时自动生成的条目优先级最高。
在本发明实施例中,协议流量统计表用于控制平面统计协议控制表中各条目的收发数据统计,为运行中防攻击提供依据。在协议处理时,发现该包为无效数据包时,同样需要对该协议报文进行统计。具体的,协议流量统计表项包含的内容以及相应大小如表二所示:
| 内容 | 字节长度 |
| 索引 | 4 |
| 绑定接口 | 4 |
| 协议种类 | 4 |
| 无效报文计数 | 4 |
| 无效报文速率 | 4 |
| 协议报文计数 | 4 |
| 协议报文速率 | 4 |
表二:协议流量统计表表项包含的内容以及相应大小对照表
由表二可知,协议流量统计表的内容包括:索引、绑定接口、协议种类、无效报文计数、无效报文速率、协议报文计数和协议报文速率。
索引:表示系列号,与协议控制表进行关联。
绑定接口:条目绑定的物理接口,与协议控制表中绑定接口一致,在协议流量统计表中主要方便进行统计。
协议种类:表示下发的协议种类,与协议控制表中协议类型一致,在协议流量统计表中主要方便进行统计。
无效报文计数:控制平面的协议在收到无效的协议报文时,将该计数加1,安全攻击任务会定时进行清0操作。
无效报文平均速率:记录无效报文平均接收的速率,其计算方法如下:无效报文速率=上一周期无效报文速率×0.5+0.5×无效报文计数/轮循周期。
协议报文计数:控制平面的协议在收到协议报文时,将该计数加1,安全攻击模块会定时进行清0操作。
协议报文平均速率:记录协议报文平均接收的速率,其计算方法如下:协议报文速率=上一周期协议报文速率×0.5+0.5×协议报文计数/轮循周期。
协议流量统计表的生成主要是在控制平面收到协议报文时,对相应的协议控制表中对应条目进行的流量统计。同时在控制平面初始化时创建的安全防护任务定期读取协议流量统计表结果,并根据该结果判断是否受到了攻击,如果受到了攻击,安全防护任务会动态生成安全防护条目进行防护。另外,安全防护任务定期对协议流量统计表进行清0操作。
在本发明实施例中,邻居关系表主要用于记录控制平面确定的邻居是否可信信息,主要由用户配置或者与其他认证协议配合生成,为协议控制表进行设置提供依据。
邻居关系表记录的信息包含可信邻居和不可信邻居两类,以MAC地址和IP地址作为对端的标识,协议控制表增加条目时,会检查邻居关系表,如果该条目可信,则不限制带宽(CPU最大处理能力),如果不可信,则送CPU报文限速为最小值。另外,在协议建立邻居关系时,需要对邻居进行验证,MAC验证标识记录验证结果。具体的,邻居关系表项包含的内容以及相应大小如表三所示:
| 内容 | 字节长度 |
| 对端MAC | 6 |
| 对端IP地址 | 16 |
| MAC验证标识 | 1 |
| 可信标志 | 4 |
| 验证次数 | 1 |
| 静默时间 | 4 |
表三:邻居关系表项包含的内容以及相应大小对照表
由表三可知,邻居关系表包含的内容包括:对端MAC、对端IP地址、MAC验证标识、可信标志、验证次数和静默时间。
对端MAC:表示收到协议报文发送端设备的MAC地址,与协议控制表中对端MAC进行关联。
对端IP:表示收到协议报文发送端设备的IP地址,与协议控制表中源IP进行关联。
MAC验证标识:表示对端MAC是否验证可信,主要用于防假冒,该值为0时表示尚未验证,为1时表示为可信地址,为2时无法验证是否可信,为3时表示为不可信邻居。
可信标志:通过整数值的不同比特位表示对端的可信状态,第一个比特为0时表示静态配置可信,为1时表示静态配置不可信;第2个比特为0时表示动态生成可信,为1时表示动态生成不可信;第3个比特为0时表示安全防护任务确认对端可信,为1时表示安全防护任务确认对端不可信;第4个比特为0时表示静态配置可信后但实际不可信(虽然静态配置为可信,但该邻居存在协议攻击行为),为1时表示静态配置可信后但实际可信。
验证次数:表示对端MAC进行验证,但结果为不可信的次数,验证为不可信包含不应答状态。
静默时间:验证邻居为不可信后,设置的静默时间,安全防护任务会递减操作,静默时间为0后,邻居重新设置为未验证。
邻居关系表的生成方式包括:静态配置、动态生成和安全防护任务设置。
静态配置生成为在路由器接口上,通过命令配置可信的邻居IP地址或者MAC地址及其组合,这样在路由器协议使能时,除默认生成的条目外,同时增加一条优先级较高的对可信邻居发送的协议报文不做限速条目。如在该接口使能OSPF时,协议包送CPU处理的协议控制表条目除默认配置外,需另外再配一条协议控制表条目为:协议包类型为89,源IP为配置的IP地址,目的IP为组播地址224.0.0.5/6,不做限速或者设置限速值为高门限,如40Mbps。接口配置除配置可信邻居外,同时可配置非可信邻居,对非可信邻居,则下发拒绝从该端口接收非可信邻居的所有协议报文。
动态生成为在路由器控制平面中,除运行路由协议外,还运行了部分安全接入控制协议,如用户绑定、DHCP、AAA等协议,如果在接口使能了这些协议,会对对端邻居进行认证,在认证通过时,在邻居关系表中增加一条可信邻居的条目。
安全防护任务设置为在路由器运行过程中,安全防护任务如果检测到对端邻居不可信,会对邻居关系表中的MAC标识和标志位进行设置,如果一段时间后,该协议不再进行攻击,安全防护任务会对该表项MAC标识和标志位进行重新设置。
实施例二
本发明提供的实施例二为本发明提供的一种路由器的安全防护方法的防护过程的实施例,该防护过程包括启动阶段及其防护、协议邻居建立阶段及其防护、正常工作阶段及其防护、协议停止阶段及其防护和假冒防护。如图3和图4所示分别为本发明实施例提供的路由器控制平面智能安全防护处理方法流程图和路由器转发平面智能安全防护处理方法流程图。
由图3和图4可知,在本发明实施例中,启动阶段及其防护的过程包括:
路由器在刚启动时,在控制平面会启动一个安全防护任务,控制平面处理的所有报文均需先经过安全防护任务处理,同时该任务主要对安全防护表项进行监测。设备启动时,配置一条所有送控制平面报文带宽和上限的优先级最低的默认协议控制条目,如10Mbps,该速率取决于CPU的处理能力,上限值不应该超过CPU处理能力,此时路由器对所有协议报文进行丢弃,不对任何数据进行转发。
在端口上配置协议使能时,如果不了解邻居信息,通过广播或者组播报文建立邻居关系,如OSPF、RIP协议等,默认生成相应的协议控制表项条目,并在转发平面生成一条转发控制条目,该条目使该端口收到的相应协议报文送控制平面,默认生成条目对送控制平面的协议报文进行最低速率的限速,一般为64kbps,由于配置带宽较小,路由器受攻击影响较小。
如果协议的邻居信息通过手动进行配置,通过单播报文建立邻居关系,如BGP协议,需要根据邻居关系表状况,在转发平面下发将邻居发送的协议报文送CPU的安全条目,如果该邻居可信,则转发平面的安全条目不做限速处理或者设置限速值为高门限,否则默认生成送CPU的协议报文为最低限速的安全条目。
由图3和图4可知,在本发明实施例中,协议邻居建立阶段及其防护的过程包括:
在启动阶段转发平面配置了协议报文送CPU处理后,如果存在邻居,控制平面会收到相应协议的报文,安全防护任务首先检测该协议报文的对端信息,(1)如果邻居关系表中该对端可信,则将该协议报文转发给相应的协议处理模块进行邻居关系的建立,同时查看协议控制表中是否存在完整会话条目,如果不存在,则动态生成完整的协议控制表项条目,并下发到转发控制表,该安全条目基于已经建立的会话建立,包含完整的信息,且不进行限速或者设置限速值为高门限,以保证数据交互的快速进行。(2)如果邻居关系表中该对端不可信,则丢弃该协议报文;(3)如果在邻居关系表中不存在该邻居时,则在邻居关系表创建该邻居,初始时,该邻居标志位设置为不可信,MAC地址标识为未验证。
安全防护任务定期检查邻居状态,如果对端MAC地址标识为未验证,安全防护任务发送反向ARP请求,查看获取的地址是否与发送报文的设备是同一台设备,如果获取的对端MAC地址是一致的,则将邻居关系表中该条目的标志位置为安全防护任务验证可信;如果对端MAC地址不一致,或者与邻居关系表中的邻居信息不一致,设置该邻居为不可信。设置为不可信邻居的后续处理,与可信对端受到攻击时设置为不可信邻居后的处理方式一致。
由图3和图4可知,在本发明实施例中,正常工作阶段及其防护的过程包括:
在协议邻居建立完成后,设定周期,控制平面中运行安全防护任务会在每个周期计算协议流量统计表中所有条目的无效报文速率和协议报文速率,并将新计算的无效报文速率和协议报文速率记录到相应表项中,并对无效报文计数和协议报文计数清0。
在协议邻居建立完成之后,邻居之间建立了基于会话的安全条目,邻居之间报文相对稳定,除了定期心跳报文外,以及定时同步报文,此时即便有突发报文,持续时间相对较短。因此基于邻居之间安全条目的数据流速率相对较小。
可以依据协议报文速率、无效报文速率及其门限值的关系,动态调整转发平面接收协议报文的速率。
一般协议的更新周期小于1分钟,通过采集该会话最近3分钟的数据流速率,以该速率的2倍作为正常工作阶段会话限速的上限。
如果最近3分钟的数据流速率超过设置值的50%,则将该数据流门限值提高1倍,如果该门限值超过但数据流门限值的上限,则不再提高。
另外,安全防护任务检测端口协议报文的无效报文速率,如果长期(如3分钟)无效报文速率超过设置接收速率门限的50%,则修改邻居关系表状态,并同时对已下发的协议控制报文速率门限值调整为原来的一半,重复以上过程,直至达到限速最小阈值,如64kbps。相反,如果无效报文为0,则将协议控制表项条目的限速门限值设置为原值的2倍,直至达到CPU处理报文能力的上限,则修改为不限速。
路由协议建立邻居关系时,对可信邻居,可快速建立邻居关系和路由通告,对不可信邻居,拒绝建立邻居关系,通过动态设置,避免设置固定限速值的不可靠。
由图3和图4可知,在本发明实施例中,协议停止阶段及其防护的过程包括:
如果协议在某端口停止时,则协议会对邻居信息进行删除,同时发送通告给安全防护任务,安全防护任务在收到该通告后,对该协议在协议控制表和协议流量统计表中所有条目进行删除,同时删除该接口在转发平面配置的相应安全防护条目。
删除安全防护条目后,转发平面不再将该类型协议报文送至控制平面,该类型协议报文仅作为普通数据转发,路由器控制平面不会受到攻击,其安全性可以得到保证。
在协议的邻居建立和运行阶段,除受到大量的协议报文攻击外,还有可能受到对端假冒和欺骗,也可能自己被别人假冒。因此控制平面收到协议报文时,安全防护任务需检查发送的源端MAC地址是否发生了变化,如图5所示为本发明实施例提供的路由器控制平面假冒防护处理的流程图。
由图5可知,在本发明实施例中,假冒防护的过程包括:
路由器控制平面收到协议报文时,均需检查发送的源端MAC地址是否发生了变化,如果邻居的相同IP地址但MAC地址发生了变化,需要重新检查对端是否可信,对不可信的邻居需要删除,作为可信邻居时创建的完整会话表项。
具体的,协议控制表项条目刚建立时,对端IP地址和MAC地址为空,当收到对端协议报文后,安全防护任务将对端IP和MAC地址记录在邻居关系表中,并将MAC可信标志位置为未验证。安全防护任务定时扫描表,对未验证的MAC地址,发送ARP请求,收到应答后,如果MAC地址一致,则将该MAC地址标志位置为可信地址,如果收到应答的MAC地址与协议报文学习到的MAC地址不一致次数达到设置的门限值(一般设置为3次),则将该MAC地址标志位置为不可信地址;如果不能收到对端ARP应答报文次数达到设置的门限值(一般设置为3次),则认为该地址为无法验证是否可信;对不可信的邻居需要删除作为可信邻居时创建的完整会话表项。另外,还可以静态配置可信邻居的MAC地址和IP地址对,以及配置不可信邻居的MAC地址和IP地址,对于静态配置的MAC地址和IP地址,均可采用掩码方式进行配置,以便对某一区间的MAC地址和IP地址进行设置。
为了防止其他设备冒充自己,安全防护任务启动时设置将源MAC和源IP是本设备的数据包发送到控制平面,如果安全防护任务检测到其他设备冒充自己的MAC地址和IP地址,则对接收端口反向发送免费ARP信息,以便其他设备可正确更新信息。
如图6所示为本发明实施例提供的路由器控制平面防攻击处理流程图,由图6可知,在本发明实施例中,可信对端受到攻击防护的过程包括:
在路由器运行过程中,如果可信对端受到攻击或出现异常时,可信对端会发送大量的无效协议报文。安全防护任务中会记录无效协议报文的接收速率增加,安全防护任务检测到无效报文接收速率达到设定的门限值,以及检查无效协议报文数量超过指定的门限值,触发该任务下发设置对端邻居为不可信。
安全防护任务检测到不可信邻居发送协议报文攻击时,控制平面通过下发拒绝该不可信邻居条目所有协议报文,使其静默一段时间;静默时间结束后,删除拒绝该不可信邻居所有协议报文的协议控制条目,通过默认最小条目重新接收协议报文,重新进行邻居确认,以防止误操作。
本领域普通技术人员还可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,包括ROM/RAM、磁盘、光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种路由器的智能安全防护方法,其特征在于,所述方法包括:
在控制平面生成协议控制表、协议流量统计表和邻居关系表;在转发平面生成与协议控制表对应的转发控制表;
在路由器中对所述对应的协议控制表与转发控制表进行同步和维护,所述协议控制表为协议数据报文的过滤规则表,转发平面根据该过滤规则对所述协议数据报文进行控制;
所述协议流量控制表用于对所述控制平面收到所述协议数据报文后对所述报文对应的协议控制表中对应条目进行流量统计;
所述邻居关系表用于记录所述控制平面确定的邻居是否可信。
2.如权利要求1所述的方法,其特征在于,所述协议控制表的内容包括:索引、绑定接口、目的IP、源IP、协议类型、源端口号、目的端口号、对端MAC、动作、限速值、优先级和生成方式;所述转发控制表包括:索引、绑定接口、目的IP、源IP、协议类型、源端口号、目的端口号、对端MAC、动作、限速值和优先级;
所述索引为与所述协议流量统计表进行关联的系列号;
所述绑定接口表示条目绑定的物理接口;
所述目的IP和所述源IP分别表示各类协议包的目的IP地址和各类协议对端邻居的IP地址;
所述协议类型表示IPv4包头中的协议类型字段;
所述源端口号和目的端口号分别表示TCP或者UDP报文中TCP头或者UDP头中的源端口号和目的端口号;
所述对端MAC表示收到的协议报文中发送端设备的MAC地址;
所述动作表示对满足匹配的报文采取的动作,包括:丢弃、限速送CPU和不限速送CPU;
所述限速值表示所述动作中需要限速送CPU的报文设置的速率值;
所述优先级表示条目在转发控制表中的优先级;
所述生成方式表示条目的生成方式;
所述协议控制表的生成方式包括:默认生成、手动配置、路由协议生成和检测到攻击时自动生成;
所述默认生成为在路由器接口上,使能任何协议时,生成优先级最低的默认生成条目,用于初始的协议包送至所述控制平面;
所述手动配置为在路由器网管中在所述协议控制表中添加静态条目;
所述路由协议生成为在路由协议相互协商建立邻居过程中,确定对端邻居是可信时,动态生成一条包含对端IP地址和MAC地址的协议控制条目;
所述检测到攻击时自动生成为当路由器安全防护任务检测到其他设备发送非法的协议报文,或者发送的协议报文异常时,或者在邻居可信检测失败时,生成拒绝接收所述邻居的协议报文条目。
3.如权利要求1所述的方法,其特征在于,所述协议流量统计表的内容包括:索引、绑定接口、协议种类、无效报文计数、无效报文速率、协议报文计数和协议报文速率;
所述索引表示与所述协议控制表进行关联的系列号;
所述绑定接口表示条目绑定的物理接口;
所述协议种类表示下发的协议种类;
所述无效报文计数和所述协议报文计数分别表示所述控制平面的协议收到无效的协议报文和协议报文的次数;
所述无效报文平均速率和所述协议报文平均速率分别表示所述无效报文平均和所述协议报文接收的速率;
所述无效报文速率=上一周期无效报文速率×0.5+0.5×无效报文计数/轮循周期;
所述协议报文速率=上一周期协议报文速率×0.5+0.5×协议报文计数/轮循周期;
所述协议流量统计表的生成方式包括:在所述控制平面收到协议报文时,对相应的协议控制表中对应条目进行的流量统计,及在判断受到了攻击时,动态生成安全防护条目进行防护。
4.如权利要求1所述的方法,其特征在于,所述邻居关系表包含的内容包括:对端MAC、对端IP地址、MAC验证标识、可信标志、验证次数和静默时间;
所述对端MAC表示收到协议报文发送端设备的MAC地址,与所述协议控制表中对端MAC进行关联;
所述对端IP表示收到协议报文发送端设备的IP地址,与所述协议控制表中源IP进行关联;
所述MAC验证标识表示对端MAC是否验证可信;
所述可信标志表示对端的可信状态;
所述验证次数表示所述对端MAC进行验证的结果为不可信的次数;
所述静默时间表示标识验证邻居为不可信后,设置的静默时间;
所述邻居关系表记录的信息包含可信邻居和不可信邻居两类,以MAC地址和IP地址作为对端的标识;所述协议控制表增加条目时,检查所述邻居关系表,如果该条目可信,则不限制带宽,如果不可信,则送CPU报文限速为最小值;
所述邻居关系表的生成方式包括:静态配置、动态生成和安全防护任务设置;
所述静态配置为在路由器接口上,通过命令配置可信的邻居IP地址或者MAC地址及其组合时,在路由器协议使能时对应增加的优先级较高的对可信邻居发送的协议报文不做限速条目;
所述动态生成为在路由器控制平面中,运行安全接入控制协议时,在接口使能所述安全接入协议对所述对端邻居进行认证通过时,在所述邻居关系表中增加可信邻居的条目;
所述安全防护任务设置为在路由器运行过程中,检测到所述对端邻居不可信时,对所述邻居关系表中的MAC标识和标志位进行设置。
5.如权利要求1所述的方法,其特征在于,所述路由器的智能安全防护方法中的启动阶段及其防护的过程包括:
路由器刚启动时,所述控制平面和所述转发平面生成优先级最低的默认协议控制条目,所述默认协议控制条目通过最低限速对所述路由器控制平面进行保护;
在端口上配置协议使能时,如果不了解邻居信息,则生成所述默认协议控制条目控制协议报文;如果协议的邻居信息是通过手动配置的,进一步判断邻居是否可信,是,则所述转发平面的安全条目不做限速处理或者设置限速值为高门限,否则,默认生成送CPU的协议报文为最低限速的安全条目。
6.如权利要求1所述的方法,其特征在于,所述路由器的智能安全防护方法中的协议邻居建立阶段及其防护的过程包括:
检测协议报文的对端信息:
如果所述邻居关系表中所述邻居可信且协议控制表中无相应会话表,则动态建立协议控制表和转发控制表相应的会话表项条目,保证邻居协议报文的快速传输;
如果所述邻居关系表中所述邻居不可信,则通过ARP验证是否为攻击报文,如果不是攻击报文,设置所述邻居为可信邻居,如果是攻击报文,则丢弃所述协议报文;
如果所述邻居关系表中不存在所述邻居,则在所述邻居关系表创建所述邻居并将所述创建的邻居设置为不可信。
7.如权利要求1所述的方法,其特征在于,所述路由器的智能安全防护方法中的正常工作阶段及其防护的过程包括:
设定周期,按照所述周期计算和统计会话流量的无效报文速率和协议报文速率,并对所述无效报文计数和协议报文计数进行清0;
依据所述协议报文速率、无效报文速率及其门限值的关系,动态调整转发平面接收协议报文的速率。
8.如权利要求1所述的方法,其特征在于,所述路由器的智能安全防护方法中的协议停止阶段及其防护的过程包括:
路由器协议在某端口停止时,对所述协议控制表和转发控制表中的所有相关表项进行删除。
9.如权利要求1所述的方法,其特征在于,所述路由器的智能安全防护方法中的假冒防护的过程包括:
路由器控制平面收到协议报文时,均需检查发送的源端MAC地址是否发生了变化,如果邻居的相同IP地址但MAC地址发生了变化,需要重新检查对端是否可信,对不可信的邻居需要删除,作为可信邻居时创建的完整会话表项。
10.如权利要求1所述的方法,其特征在于,所述路由器的智能安全防护方法中可信对端受到攻击的防护的过程包括:
通过对无效协议报文进行计数,安全防护任务定期检查所述无效报文的数量和速率,判断是否受到攻击;
检测到不可信邻居发送协议报文攻击时,所述控制平面通过下发拒绝所述不可信邻居条目所有协议报文,使其静默一段时间;静默时间结束后,删除拒绝所述不可信邻居所有协议报文的协议控制条目,通过默认最小条目重新接收协议报文,重新进行邻居可信确认。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410535984.3A CN104283882B (zh) | 2014-10-11 | 2014-10-11 | 一种路由器的智能安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410535984.3A CN104283882B (zh) | 2014-10-11 | 2014-10-11 | 一种路由器的智能安全防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104283882A true CN104283882A (zh) | 2015-01-14 |
| CN104283882B CN104283882B (zh) | 2018-01-12 |
Family
ID=52258364
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410535984.3A Active CN104283882B (zh) | 2014-10-11 | 2014-10-11 | 一种路由器的智能安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104283882B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105959222A (zh) * | 2016-04-25 | 2016-09-21 | 上海斐讯数据通信技术有限公司 | 一种报文转发方法、路由节点及软件定义网络 |
| WO2016176907A1 (zh) * | 2015-05-07 | 2016-11-10 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
| WO2016201991A1 (zh) * | 2015-06-19 | 2016-12-22 | 中兴通讯股份有限公司 | 一种实现网络管理的方法和装置 |
| CN107360058A (zh) * | 2017-07-12 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种实现流量监控的方法及装置 |
| CN107690004A (zh) * | 2016-08-04 | 2018-02-13 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
| CN107800697A (zh) * | 2017-10-26 | 2018-03-13 | 新华三技术有限公司 | 接入认证方法及装置 |
| CN108270690A (zh) * | 2016-12-30 | 2018-07-10 | 北京华为数字技术有限公司 | 控制报文流量的方法和装置 |
| CN110535771A (zh) * | 2018-05-24 | 2019-12-03 | 中兴通讯股份有限公司 | 一种数据转发方法、网络设备和计算机可读存储介质 |
| CN110661714A (zh) * | 2018-06-30 | 2020-01-07 | 华为技术有限公司 | 发送bgp消息的方法、接收bgp消息的方法以及设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
| US20080127324A1 (en) * | 2006-11-24 | 2008-05-29 | Electronics And Telecommunications Research Institute | DDoS FLOODING ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSH BACK METHOD |
| CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和系统 |
| CN101321163A (zh) * | 2008-07-03 | 2008-12-10 | 江苏华丽网络工程有限公司 | 融合多层并行处理的网络接入设备一体化硬件实现方法 |
| CN101340440A (zh) * | 2008-08-11 | 2009-01-07 | 中兴通讯股份有限公司 | 一种防御网络攻击的方法及其装置 |
| CN101577675A (zh) * | 2009-06-02 | 2009-11-11 | 杭州华三通信技术有限公司 | IPv6网络中邻居表保护方法及邻居表保护装置 |
| CN102143143A (zh) * | 2010-10-15 | 2011-08-03 | 华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
| CN103746918A (zh) * | 2014-01-06 | 2014-04-23 | 深圳市星盾网络技术有限公司 | 报文转发系统和报文转发方法 |
-
2014
- 2014-10-11 CN CN201410535984.3A patent/CN104283882B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
| US20080127324A1 (en) * | 2006-11-24 | 2008-05-29 | Electronics And Telecommunications Research Institute | DDoS FLOODING ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSH BACK METHOD |
| CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和系统 |
| CN101321163A (zh) * | 2008-07-03 | 2008-12-10 | 江苏华丽网络工程有限公司 | 融合多层并行处理的网络接入设备一体化硬件实现方法 |
| CN101340440A (zh) * | 2008-08-11 | 2009-01-07 | 中兴通讯股份有限公司 | 一种防御网络攻击的方法及其装置 |
| CN101577675A (zh) * | 2009-06-02 | 2009-11-11 | 杭州华三通信技术有限公司 | IPv6网络中邻居表保护方法及邻居表保护装置 |
| CN102143143A (zh) * | 2010-10-15 | 2011-08-03 | 华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
| CN103746918A (zh) * | 2014-01-06 | 2014-04-23 | 深圳市星盾网络技术有限公司 | 报文转发系统和报文转发方法 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209661B (zh) * | 2015-05-07 | 2020-06-05 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
| WO2016176907A1 (zh) * | 2015-05-07 | 2016-11-10 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
| CN106209661A (zh) * | 2015-05-07 | 2016-12-07 | 中兴通讯股份有限公司 | 一种流量抑制方法及装置 |
| WO2016201991A1 (zh) * | 2015-06-19 | 2016-12-22 | 中兴通讯股份有限公司 | 一种实现网络管理的方法和装置 |
| CN105959222A (zh) * | 2016-04-25 | 2016-09-21 | 上海斐讯数据通信技术有限公司 | 一种报文转发方法、路由节点及软件定义网络 |
| CN107690004A (zh) * | 2016-08-04 | 2018-02-13 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
| CN107690004B (zh) * | 2016-08-04 | 2021-10-08 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
| CN108270690A (zh) * | 2016-12-30 | 2018-07-10 | 北京华为数字技术有限公司 | 控制报文流量的方法和装置 |
| CN107360058A (zh) * | 2017-07-12 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种实现流量监控的方法及装置 |
| CN107800697A (zh) * | 2017-10-26 | 2018-03-13 | 新华三技术有限公司 | 接入认证方法及装置 |
| CN107800697B (zh) * | 2017-10-26 | 2020-03-06 | 新华三技术有限公司 | 接入认证方法及装置 |
| CN110535771A (zh) * | 2018-05-24 | 2019-12-03 | 中兴通讯股份有限公司 | 一种数据转发方法、网络设备和计算机可读存储介质 |
| CN110661714A (zh) * | 2018-06-30 | 2020-01-07 | 华为技术有限公司 | 发送bgp消息的方法、接收bgp消息的方法以及设备 |
| CN110661714B (zh) * | 2018-06-30 | 2022-06-28 | 华为技术有限公司 | 发送bgp消息的方法、接收bgp消息的方法以及设备 |
| US11973795B2 (en) | 2018-06-30 | 2024-04-30 | Huawei Technologies Co., Ltd. | BGP message sending method, BGP message receiving method, and device |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104283882B (zh) | 2018-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104283882A (zh) | 一种路由器的智能安全防护方法 | |
| US10686839B2 (en) | Building a cooperative security fabric of hierarchically interconnected network security devices | |
| CN108494769B (zh) | 一种Tor匿名网络中隐藏服务的溯源方法 | |
| JP6026789B2 (ja) | ネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置、並びにそのオーバーフローを防止する装置及び方法 | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN103763194B (zh) | 一种报文转发方法及装置 | |
| US10498618B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
| CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
| CN111800401B (zh) | 业务报文的防护方法、装置、系统和计算机设备 | |
| US9883010B2 (en) | Method, apparatus, device and system for generating DHCP snooping binding table | |
| CN104717205A (zh) | 基于报文重构的工控防火墙控制方法 | |
| CN105207778B (zh) | 一种在接入网关设备上实现包身份标识及数字签名的方法 | |
| WO2011032321A1 (zh) | 一种数据转发方法、数据处理方法、系统以及相关设备 | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN105337890A (zh) | 一种控制策略生成方法以及装置 | |
| CN110266678A (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
| US10680930B2 (en) | Method and apparatus for communication in virtual network | |
| CN102546587B (zh) | 防止网关系统会话资源被恶意耗尽的方法及装置 | |
| WO2019096104A1 (zh) | 攻击防范 | |
| CN109167774B (zh) | 一种数据报文及在防火墙上的数据流安全互访方法 | |
| TW201132055A (en) | Routing device and related packet processing circuit | |
| CN113014530B (zh) | Arp欺骗攻击防范方法及系统 | |
| US8811179B2 (en) | Method and apparatus for controlling packet flow in a packet-switched network | |
| TWI591511B (zh) | Cloud DHCP security system and method | |
| CN104348785A (zh) | IPv6网中防止主机PMTU攻击的方法、装置与系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190116 Address after: 430074 No. 6, High-tech Fourth Road, Donghu High-tech Development Zone, Wuhan City, Hubei Province Patentee after: Fenghuo Communication Science &. Technology Co., Ltd. Address before: 430074 3rd Floor, Optical Communication Building, 67 Guanggu Pioneer Street, Donghu Development Zone, Wuhan City, Hubei Province Patentee before: Wuhan Fenghuo Network Co., Ltd. |