CN105337890B - 一种控制策略生成方法以及装置 - Google Patents
一种控制策略生成方法以及装置 Download PDFInfo
- Publication number
- CN105337890B CN105337890B CN201410339269.2A CN201410339269A CN105337890B CN 105337890 B CN105337890 B CN 105337890B CN 201410339269 A CN201410339269 A CN 201410339269A CN 105337890 B CN105337890 B CN 105337890B
- Authority
- CN
- China
- Prior art keywords
- control strategy
- protocol
- cpu
- message
- turned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种控制策略生成方法以及装置,应用于包括转发芯片以及中央处理器CPU的网络设备,该方法包括:检查所述CPU已开启的协议模块;根据已开启协议模块的协议特征生成至少一条上送控制策略,所述上送控制策略用于由所述转发芯片将命中所述上送控制策略且目的IP地址为本机的报文上送至CPU;根据本机的IP地址生成至少一条丢弃控制策略,所述丢弃控制策略用于将命中所述丢弃控制策略的报文丢弃;将所述上送控制策略以及丢弃控制策略下发至所述转发芯片。本发明可有效控制上送CPU的报文数量,避免遭遇报文攻击时丢弃需上送CPU处理的协议报文或管理报文,致使的协议中断和设备无法管理的现象。
Description
技术领域
本发明涉及通讯技术领域,尤其涉及一种控制策略生成方法以及装置。
背景技术
随着网络通信技术的进步,各种网络攻击引发的网络安全问题日益受到人们的关注。目前网络设备在遭受大量需上送CPU报文(包括组播和上送本机的单播报文)的攻击时,由于CPU的处理能力有限,不管是多么巧妙的架构设计,也不管是多么高性能的算法,面对大量的攻击报文依然会有力不从心的时候。这时报文接收队列就会因为CPU不能及时处理而阻塞,导致后续上送CPU的报文被丢弃。如果丢弃的报文为协议报文或是管理报文,就可能造成协议中断和设备无法管理的现象。因此减少不必要的报文上送CPU,为CPU减压才是最主要的。在现有技术中,多通过对各个协议或端口进行限速来减少上送CPU的报文,然而,限速只是根据协议和端口减少了上送CPU的报文数量,在报文种类较多时,仍无法达到有较好的效果。
发明内容
有鉴于此,本发明提供了一种控制策略生成方法以及装置来解决上述问题。
本发明提供一种控制策略生成方法,应用于网络设备,所述网络设备包括转发芯片以及中央处理器CPU,其中包括:
检查所述CPU已开启的协议模块;
根据已开启协议模块的协议特征生成至少一条上送控制策略,所述上送控制策略用于由所述转发芯片将命中所述上送控制策略且目的IP地址为本机的报文上送至CPU;
根据本机的IP地址生成至少一条丢弃控制策略,所述丢弃控制策略用于将命中所述丢弃控制策略的报文丢弃;
将所述上送控制策略以及丢弃控制策略下发至所述转发芯片。
本发明还提供一种控制策略生成装置,应用于网络设备,所述网络设备包括转发芯片以及中央处理器CPU,其中包括:
协议状态检查单元,用于检查所述CPU已开启的协议模块;
上送策略生成单元,用于根据已开启协议模块的协议特征生成至少一条上送控制策略,所述上送控制策略用于由所述转发芯片将命中所述上送控制策略的目的IP地址为本机的报文上送至CPU;
丢弃策略生成单元,用于根据本机的IP地址生成至少一条丢弃控制策略,所述丢弃控制策略用于将命中所述丢弃控制策略的报文丢弃;
控制策略下发单元,用于将所述上送控制策略以及丢弃控制策略下发至所述转发芯片。
本发明提供的控制策略生成方法以及装置分别根据已开启协议模块的协议特征以及网络设备本机的IP地址生成至少一条上送控制策略以及至少一条丢弃控制策略,下发至转发芯片,以控制转发芯片将接收的报文上送CPU或是丢弃。可有效控制上送CPU的报文数量,避免遭遇报文攻击时丢弃需上送CPU处理的协议报文或管理报文,致使的协议中断和设备无法管理的现象。
附图说明
图1是本发明实施例中网络设备的基本硬件结构示意图;
图2是本发明实施例中控制策略生成装置逻辑结构示意图;
图3是本发明实施例中控制策略生成方法流程框图。
具体实施方式
针对现有技术中所遇到的问题,本发明提供一种控制策略生成方法以及装置。该控制策略生成方法通过检查CPU协议栈协议模块的开启状况,分别根据已开启协议模块的协议特征以及网络设备本机的IP地址生成至少一条上送控制策略以及至少一条丢弃控制策略,并下发至转发芯片,以控制转发芯片将接收的本机报文上送CPU或是丢弃。
请参考图1,本发明提供的控制策略生成装置应用于网络设备,该网络设备可以是交换机以及路由器等,该网络设备的基本硬件环境包括CPU、转发芯片、内存、非易失性存储器以及其他硬件。图2为本发明提供的控制策略生成装置逻辑结构示意图,以软件实现为例,该控制策略生成装置在逻辑层面上包括协议状态检查单元、上送策略生成单元、丢弃策略生成单元以及控制策略下发单元。
请参考图3,根据本发明的思想,在一个示例性的实施方案中,该控制策略生成装置在运行过程中执行如下处理流程:
步骤301,协议状态检查单元检查所述CPU已开启的协议模块;
步骤302,上送策略生成单元根据已开启协议模块的协议特征生成至少一条上送控制策略,所述上送控制策略用于将命中所述上送控制策略且目的IP地址为本机的报文上送至CPU;
步骤303,丢弃策略生成单元根据本机IP地址生成至少一条丢弃控制策略,所述丢弃控制策略用于将命中所述丢弃控制策略的报文丢弃;
步骤304,控制策略下发单元将所述上送控制策略以及丢弃控制策略下发至所述转发芯片。
在实际应用中,由于各种协议报文以及部分需进行应用处理的数据报文均会上送CPU处理,一些攻击者则利用向CPU上送大量的协议报文以进行攻击,CPU在遭受大量的协议报文的攻击时,极有可能就会因为不能及时处理而阻塞,导致后续上送CPU的报文被丢弃。因此本发明实施例所述的控制策略生成装置事先由协议状态检查单元检查协议栈中协议模块的开启状况,再由上送策略生成单元以及丢弃策略生成单元根据协议模块开启状况以及本机设备IP地址分别生成控制策略以及丢弃控制策略下发至转发芯片,以控制将哪些报文上送CPU。其中,该控制策略可以是访问控制列表ACL。
假设在默认协议栈的所有协议模块均未开启的情况下,若需接收并处理标签分发协议LDP以及远程登录Telnet协议相关的报文,那么则由管理员通过管理功能将该LDP协议以及Telnet协议的协议模块开启。这样在检查协议模块的开启状况时,只有LDP协议模块以及Telnet协议模块被开启,说明可以接收并处理与该LDP协议以及Telnet协议相关的协议报文,便根据已开启协议模块的协议特征生成至少一条上送控制策略,即上送ACL,用于将命中所述上送控制策略的目的IP地址为本机的报文上送至CPU。
本发明实施例中,若将命中该上送ACL的报文全部直接上送至CPU,则极有可能将经由本网络设备转发的报文上送CPU处理,这样无疑会增加CPU的工作量。因此在本发明实施例中,转发芯片在接收到报文后,若该报文命中了上送ACL,还要由转发芯片进一步根据所述报文的目的IP地址查找转发芯片预存的路由转发表中与该报文目的IP地址对应的信息,若根据该路由转发表确定该报文的目的IP地址为本机IP地址,那么将该报文上送CPU处理;若根据该路由转发表确定该报文为经由本网络设备转发的报文,那么将接收到的报文根据与其对应的信息转发出去。
另外,本发明实施例中除生成该上送ACL外,还要相应生成丢弃ACL来严格控制上送CPU的报文数量。若协议栈的某个协议模块未开启,则说明不予接收与该未开启协议模块相关的协议报文。但是,如果根据未开启协议模块的协议特征生成丢弃控制策略,则会将与该未开启协议模块协议相关报文全部丢弃,其中也会包括经由本网络设备转发的协议报文。因此本发明实施例根据所述网络设备的本机IP地址生成至少一条丢弃控制策略,用于丢弃命中该丢弃控制策略的本机报文以及目的IP地址为本机设备IP地址的未开启协议模块的协议报文。在分别生成控制策略以及丢弃控制策略后,将该上送控制策略以及丢弃控制策略下发至转发芯片,以控制将哪些报文上送CPU。
在生成上送ACL时,所依据的协议特征可以为协议源端口号、协议目的端口号、源IP地址、目的IP地址、协议号、协议版本号以及传输协议类型中的至少一种。当然,在本发明实施例中还可结合其他协议特征生成上送ACL,例如互联网控制信息协议第六版本ICMPv6报文里的type类型信息等,本发明对此无限制。
举例来说,在根据已开启的LDP协议生成上送ACL时,假设其协议特征为:协议版本IPv4的协议号0X0800、目的地址224.0.0.2、源端口号或目的端口号646,分别采用源端口646和目的端口646搭配IPv4协议至少一项生成三条ACL控制LDP协议报文的上送:
1、源目的端口号646+目的地址224.0.0.2+0X0800;
2、源端口号646+0X0800;
3、目的端口号646+0X0800。
同样,对于安全外壳协议SSH、Telnet、超文本传输协议HTTP、安全套接字层超文本传输协议HTTPS等管理协议上送ACL的生成也是如此。由于这些管理协议可以通过命令终端或WEB网页进行管理设备,其协议端口号和协议限制访问地址网段均可配置,故可以根据协议端口号外,还可根据源IP地址或网段生成ACL控制管理协议报文上送CPU。比如只允许源IP网段为192.168.2.0/24的IP地址管理本设备,那么就可以在管理协议对应的允许访问地址列表中配置网段192.168.2.0/24。这样,就只会有匹配以该源IP地址网段生成的上送ACL且目的IP地址为本机的HTTP报文上送CPU,其它网点的HTTP报文则不会上送CPU。当然,该允许访问设备的IP地址网段也可配置多个。
例如,在开启了HTTP协议模块时,可以根据该HTTP协议的协议特征源IP地址10.18.15.1、协议端口号80以及协议类型HTTP生成上送ACL控制HTTP报文上送CPU:
协议端口号80+源IP10.18.15.1+HTTP;
如果允许网段10.18.15.1/24内的所有IP地址访问本设备,则可以根据端口号80和源IP网段10.18.15.1/24生成上送ACL控制HTTP协议报文上送:
协议端口号80+源IP网段10.18.15.1/24+HTTP。
在生成丢弃控制策略时,可依据本机设备的IP地址生成丢弃ACL。例如本机设备的IP地址为:10.18.15.1以及10.18.15.2。那么,目的IP地址匹配到该IP地址的报文均命中该丢弃ACL,将丢弃所述命中丢弃ACL的报文。这样一来,只有目的IP地址与本机设备IP地址相同的协议报文才会命中该丢弃ACL被丢弃掉,在有效控制上送CPU的报文率的同时,还避免将经过本网络设备的与未开启协议模块匹配的协议报文被丢弃。
另外,管理人员可根据业务需要通过管理功能对协议模块的开启状况进行配置,若本发明实施例中的协议状态检查单元检查到某协议模块的开启状况由开启变为关闭,或者在接收到协议模块状态改变的通知时,说明已无需再将与该协议模块相关的协议报文上送至CPU,那么删除与该协议模块对应的所有上送ACL,以避免向CPU上送不必要的报文;在检查到未开启的协议模块被开启时,则根据开启的协议模块生成至少一条上送ACL来控制与该协议模块协议相关报文的上送。
优选地,本发明实施例提供的控制策略生成方法还包括,分别为所述上送控制策略以及丢弃控制策略设置优先级,其中,所述上送控制策略的优先级大于所述丢弃控制策略的优先级,用于由转发芯片控制接收的报文优先匹配所述上送控制策略。
由于报文攻击为特殊情况,其发生频率远低于正常报文处理过程,因此将上送ACL设置高优先级,对转发芯片接收的报文优先匹配上送ACL以减少其控制策略的匹配次数。具体地,在对上送ACL设置高于丢弃ACL的优先级后,转发芯片对接收到的报文首先匹配上送ACL,并在命中所述上送ACL,且确认该报文为目的IP地址为本机的报文后,将该报文上送至CPU,即可免去匹配丢弃ACL的过程。只有在未命中上送ACL的报文时,才会将接收的报文进一步匹配丢弃ACL,并将命中该丢弃ACL的报文丢弃。
进一步地,本发明实施例还可以结合寄存器来控制上送CPU的报文数量。
对于地址解析协议ARP、动态主机配置协议DHCP、控制报文协议ICMP、组播侦听发现协议MLD协议等可由专门寄存器控制的协议,由寄存器来控制是否将报文上送CPU。在默认关闭所有寄存器的情况下,若需接收并处理ARP协议相关的报文,那么则将与该ARP协议对应的寄存器开启。在转发芯片接收到ARP或其他报文后,检查接收报文的类型与开启的寄存器是否匹配,并在匹配时将所述报文上送至CPU。
在上述生成上送ACL以及丢弃ACL的基础上,本发明实施例中,转发芯片在接收到报文后,可在判断该报文是否命中上送ACL的同时检查是否开启与该报文协议类型相对应的寄存器,也可按照不同顺序依次判断接收的报文是否命中上送ACL并检查是否开启与该报文协议类型相对应的寄存器。若接收的报文命中了上送ACL且目的IP地址为本机的报文,同时与其对应的寄存器为开启状态,则将该报文上送至CPU;若接收的报文命中了上送ACL且目的IP地址为本机的报文,但未开启对应的寄存器,或者与其对应的寄存器为开启状态却未命中上送ACL,同样将该报文上送至CPU;若接收的报文未命中上送ACL,同时与其对应的寄存器为未开启状态,则丢弃所述报文。
进一步地,本发明实施例还针对二层报文的攻击根据协议的目的MAC地址生成BPDU表项以控制上送CPU的二层报文数量。
常见的二层网络攻击有MAC地址泛洪攻击、DHCP服务器欺骗攻击以及ARP欺骗等,第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁,仅仅基于认证(如IEEE802.1x)的安全措施是无法防止来自网络第二层的安全攻击。本发明实施例以网络设备为二层交换机为例,CPU根据已开启协议模块的协议目的MAC地址生成BPDU表项,并将所述BPDU表项下发至所述转发芯片;所述BPDU表项用于由转发芯片将目的MAC地址匹配所述BPDU表项的报文上送CPU,对于目的MAC地址未匹配所述BPDU表项的报文则不上送至CPU。
例如,协议栈的IS-IS协议模块已被开启,其中,IS-IS协议的MAC地址为01-80-c2-00-00-14(level1),01-80-c2-00-00-15(level2),那么则根据该MAC地址生成BPDU表项,并将该BPDU表项下发至转发芯片,由转发芯片控制接收的报文是否上送至CPU。对于其他未开启协议模块的协议,在建立BPDU表项时则不将其MAC地址考虑在内。例如该BPDU表项可以为:
| 开启协议类型 | 协议MAC地址 | 优先级 |
| IS-IS | 01-80-c2-00-00-15 | 2 |
| IS-IS | 01-80-c2-00-00-14 | 1 |
表1
表1为根据开启协议模块协议的MAC地址建立的BPDU表项,其仅用于进一步理解本发明而举例说明,本发明对此无限制。该BPDU表项在下发至转发芯片后,用于在转发芯片接收到报文时,将所述报文的目的MAC地址与所述BPDU表项进行匹配,若匹配成功,将接收的报文上送CPU,若匹配失败,说明与其对应的协议模块未开启,则不将接收的报文上送至CPU。
综上所述,本发明提供的控制策略生成方法以及装置分别根据已开启协议模块的协议特征以及网络设备本机的IP地址生成至少一条上送控制策略以及至少一条丢弃控制策略,并下发至转发芯片,以控制转发芯片将接收的报文上送CPU或是丢弃。由此可见,本发明严格控制了上送CPU的报文数量,同时还结合寄存器以及建立BPDU表项进一步对二层报文的攻击进行控制,避免遭遇报文攻击时丢弃需上送CPU处理的协议报文或管理报文,致使协议中断和设备无法管理的现象。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种控制策略生成方法,应用于网络设备,所述网络设备包括转发芯片以及中央处理器CPU,其特征在于,所述方法包括:
检查所述CPU已开启的协议模块;
根据已开启的协议模块的协议端口号、允许访问本机设备的IP地址以及协议版本的至少一项生成至少一条上送控制策略,所述上送控制策略用于由所述转发芯片将命中所述上送控制策略的目的IP地址为本机的协议报文上送至所述CPU;
根据本机的IP地址生成至少一条丢弃控制策略,所述丢弃控制策略用于将命中所述丢弃控制策略的报文丢弃;
将所述上送控制策略以及丢弃控制策略下发至所述转发芯片;
分别为所述上送控制策略以及丢弃控制策略设置优先级,其中,所述上送控制策略的优先级大于所述丢弃控制策略的优先级,用于由转发芯片控制接收的报文优先匹配所述上送控制策略。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
在检查到已开启的协议模块被关闭时,删除与所述已开启的协议模块对应的至少一条上送控制策略;
在检查到未开启的协议模块被开启时,根据所述被开启协议模块的协议特征生成至少一条上送控制策略。
3.如权利要求1所述的方法,其特征在于,所述方法还包括,开启寄存器,用于在所述转发芯片在检查到接收报文的类型与开启的寄存器匹配时,将所述报文上送至CPU。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
根据已开启协议模块的协议MAC地址生成网桥协议数据单元BPDU表项,并将所述BPDU表项下发至所述转发芯片;所述BPDU表项用于由转发芯片将目的MAC地址匹配所述BPDU表项的报文上送CPU。
5.一种控制策略生成装置,应用于网络设备,所述网络设备包括转发芯片以及中央处理器CPU,其特征在于,所述装置包括:
协议状态检查单元,用于检查所述CPU已开启的协议模块;
上送策略生成单元,用于根据已开启的协议模块的协议端口号、允许访问本机设备的IP地址以及协议版本的至少一项生成至少一条上送控制策略,所述上送控制策略用于由所述转发芯片将命中所述上送控制策略且目的IP地址为本机的协议报文上送至所述CPU;
丢弃策略生成单元,用于根据本机的IP地址生成至少一条丢弃控制策略,所述丢弃控制策略用于将命中所述丢弃控制策略的报文丢弃;
控制策略下发单元,用于将所述上送控制策略以及丢弃控制策略下发至所述转发芯片;
优先级设置单元,用于分别为所述上送控制策略以及丢弃控制策略设置优先级,其中,所述上送控制策略的优先级大于所述丢弃控制策略的优先级,用于由转发芯片控制接收的报文优先匹配所述上送控制策略。
6.如权利要求5所述的装置,其特征在于,所述装置还用于:
在检查到已开启的协议模块被关闭时,删除与所述已开启的协议模块对应的至少一条上送控制策略;
在检查到未开启的协议模块被开启时,根据所述被开启协议模块的协议特征生成至少一条上送控制策略。
7.如权利要求5所述的装置,其特征在于,所述装置还用于,开启寄存器,用于在所述转发芯片在检查到接收报文的类型与开启的寄存器匹配时,将所述报文上送至CPU。
8.如权利要求5所述的装置,其特征在于,所述装置还用于:
根据已开启协议模块的协议MAC地址生成网桥协议数据单元BPDU表项,并将所述BPDU表项下发至所述转发芯片;所述BPDU表项用于由转发芯片将目的MAC地址匹配所述BPDU表项的报文上送所述CPU。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410339269.2A CN105337890B (zh) | 2014-07-16 | 2014-07-16 | 一种控制策略生成方法以及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410339269.2A CN105337890B (zh) | 2014-07-16 | 2014-07-16 | 一种控制策略生成方法以及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105337890A CN105337890A (zh) | 2016-02-17 |
| CN105337890B true CN105337890B (zh) | 2019-03-15 |
Family
ID=55288190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410339269.2A Active CN105337890B (zh) | 2014-07-16 | 2014-07-16 | 一种控制策略生成方法以及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105337890B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939274A (zh) * | 2016-05-17 | 2016-09-14 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN107196820B (zh) * | 2017-05-24 | 2020-08-18 | 上海海斯科网络科技有限公司 | 一种交换机性能测试方法、装置及系统 |
| CN107508836B (zh) * | 2017-09-27 | 2019-11-12 | 杭州迪普科技股份有限公司 | 一种acl规则下发的方法及装置 |
| CN110519120A (zh) * | 2019-08-01 | 2019-11-29 | 新华三大数据技术有限公司 | 通道检测、报文发送方法、装置、线卡板、设备及介质 |
| CN111585957B (zh) * | 2020-04-01 | 2023-03-28 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
| CN112202814B (zh) * | 2020-11-04 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 一种路由交换设备内生安全动态防护功能的处理方法 |
| CN114024731B (zh) * | 2021-10-29 | 2023-04-25 | 杭州迪普科技股份有限公司 | 报文处理方法及装置 |
| CN114793199B (zh) * | 2022-03-30 | 2024-02-09 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置及网络设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101166093A (zh) * | 2007-08-22 | 2008-04-23 | 杭州华三通信技术有限公司 | 一种认证方法和系统 |
| CN101184095A (zh) * | 2007-12-06 | 2008-05-21 | 中兴通讯股份有限公司 | 基于cpu的策略控制列表的网络防攻击方法及系统 |
| CN101355567A (zh) * | 2008-09-03 | 2009-01-28 | 中兴通讯股份有限公司 | 一种对交换路由设备中央处理器进行安全保护的方法 |
| CN102447711A (zh) * | 2012-01-18 | 2012-05-09 | 中兴通讯股份有限公司 | 协议报文发送方法及装置 |
| CN103281257A (zh) * | 2013-06-05 | 2013-09-04 | 杭州华三通信技术有限公司 | 一种协议报文处理方法和设备 |
| CN103457953A (zh) * | 2013-09-11 | 2013-12-18 | 重庆大学 | 端口安全接入方式下防802.1x协议攻击的处理机制 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100555991C (zh) * | 2006-12-29 | 2009-10-28 | 华为技术有限公司 | 报文访问控制的方法、转发引擎装置和通信设备 |
| CN101227287B (zh) * | 2008-01-28 | 2010-12-08 | 华为技术有限公司 | 一种数据报文处理方法及数据报文处理装置 |
-
2014
- 2014-07-16 CN CN201410339269.2A patent/CN105337890B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101166093A (zh) * | 2007-08-22 | 2008-04-23 | 杭州华三通信技术有限公司 | 一种认证方法和系统 |
| CN101184095A (zh) * | 2007-12-06 | 2008-05-21 | 中兴通讯股份有限公司 | 基于cpu的策略控制列表的网络防攻击方法及系统 |
| CN101355567A (zh) * | 2008-09-03 | 2009-01-28 | 中兴通讯股份有限公司 | 一种对交换路由设备中央处理器进行安全保护的方法 |
| CN102447711A (zh) * | 2012-01-18 | 2012-05-09 | 中兴通讯股份有限公司 | 协议报文发送方法及装置 |
| CN103281257A (zh) * | 2013-06-05 | 2013-09-04 | 杭州华三通信技术有限公司 | 一种协议报文处理方法和设备 |
| CN103457953A (zh) * | 2013-09-11 | 2013-12-18 | 重庆大学 | 端口安全接入方式下防802.1x协议攻击的处理机制 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105337890A (zh) | 2016-02-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105337890B (zh) | 一种控制策略生成方法以及装置 | |
| Dayal et al. | Research trends in security and DDoS in SDN | |
| US11165887B2 (en) | Per-input port, per-control plane network data traffic class control plane policing | |
| Luo et al. | Prototyping fast, simple, secure switches for etha | |
| US8879388B2 (en) | Method and system for intrusion detection and prevention based on packet type recognition in a network | |
| US9882904B2 (en) | System and method for filtering network traffic | |
| US20080304498A1 (en) | Packet mirroring | |
| CN105490961A (zh) | 报文处理方法、装置以及网络设备 | |
| US20090182854A1 (en) | Facilitating defense against MAC table overflow attacks | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| CN104283882B (zh) | 一种路由器的智能安全防护方法 | |
| CN105207778B (zh) | 一种在接入网关设备上实现包身份标识及数字签名的方法 | |
| US20170237769A1 (en) | Packet transfer method and packet transfer apparatus | |
| Lu et al. | An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6 | |
| Maheshwari et al. | Defending network system against IP spoofing based distributed DoS attacks using DPHCF-RTT packet filtering technique | |
| US7551559B1 (en) | System and method for performing security actions for inter-layer binding protocol traffic | |
| He et al. | Towards securing duplicate address detection using P4 | |
| Kumar et al. | Host based IDS for NDP related attacks: NS and NA Spoofing | |
| WO2020052499A1 (zh) | 防仿冒攻击检查的方法、设备和系统 | |
| Talpur et al. | A survey on DDoS attacks: Router-based threats and defense mechanism in real-world data centers | |
| US10122686B2 (en) | Method of building a firewall for networked devices | |
| Song et al. | A novel frame switching model based on virtual MAC in SDN | |
| Pimpalkar et al. | Defense against DDOS attacks using IP address spoofing | |
| US8284666B2 (en) | Method and apparatus for controlling packet flow in a packet-switched network | |
| Pimpalkar et al. | Detection and defense mechanisms against DDoS attacks: A review |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |