CN105743843A - 一种防止报文攻击的处理方法及装置 - Google Patents
一种防止报文攻击的处理方法及装置 Download PDFInfo
- Publication number
- CN105743843A CN105743843A CN201410746239.3A CN201410746239A CN105743843A CN 105743843 A CN105743843 A CN 105743843A CN 201410746239 A CN201410746239 A CN 201410746239A CN 105743843 A CN105743843 A CN 105743843A
- Authority
- CN
- China
- Prior art keywords
- port
- trusted
- trusted port
- procotol
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 26
- 238000000034 method Methods 0.000 claims abstract description 47
- 238000012544 monitoring process Methods 0.000 claims abstract description 39
- 238000012545 processing Methods 0.000 claims abstract description 20
- 230000016571 aggressive behavior Effects 0.000 claims description 49
- 230000006855 networking Effects 0.000 abstract description 5
- 230000003993 interaction Effects 0.000 description 9
- 230000000694 effects Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种防止报文攻击的处理方法及装置,本发明中监测网络设备端口进行网络协议协商的状态;将进行网络协议协商成功的端口设置为信任端口,根据第一访问控制列表在所述信任端口接收到的报文中选取协议报文,并根据第一承诺接入速率限制所述协议报文被发送到中央处理器的速率;根据监测到的网络设备端口进行网络协议协商的状态,将进行网络协议协商失败的端口设置为非信任端口;根据第二访问控制列表在所述非信任端口接收到的报文中选取协议报文,并根据第二承诺接入速率限制所述协议报文被发送到中央处理器的速率。通过本发明能够减少误配置,提高配置信任端口和非信任端口的准确率,达到较佳的防止报文攻击的效果。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种防止报文攻击的处理方法及装置。
背景技术
在以太网络中,网络交换机、路由器等网络设备多以访问控制列表(英文:accesscontrollist;简称:ACL)筛选设备端口接收到的报文以得到协议报文,并对得到的协议报文设定承诺接入速率(英文:CommittedAccessRate;简称:CAR)以限制协议报文被发送到中央处理器(英文:centralprocessingunit;简称:CPU)的速率,以防止CPU接收过多的报文。
为了节省设置ACL和CAR的硬件资源,网络设备通常采用对多个端口的同一协议类型的协议报文使用相同的ACL以执行相同的CAR操作。但是如果非法用户通过网络设备中不进行网络协议报文交互的端口向网络设备发送大量的一种协议类型的协议报文,由于多个端口使用相同的ACL和CAR,导致进行网络协议报文交互的端口也无法处理该协议类型的正常的协议报文,产生类似拒绝服务(英文:denial-of-service;简称:DOS)攻击的效果。
为了避免类似DOS攻击的效果发生,通常将网络设备的端口配置为信任端口和非信任端口两大类。其中,不进行网络协议报文交互的端口被配置为非信任端口,该非信任端口不接收协议报文,而进行网络协议报文交互的端口被配置为信任端口并设定接收协议报文的CAR,故非信任端口受到攻击的情况下,不影响信任端口对正常协议报文的处理。
目前配置信任端口和非信任端口,需要手工配置,工作量大,而且可能被误配置。
发明内容
本发明实施例提供一种防止报文攻击的处理方法及装置,以减少误配置,达到较佳的防止报文攻击的效果。
第一方面,提供一种防止报文攻击的处理方法,包括:
监测网络设备端口进行网络协议协商的状态;
根据监测到的网络设备端口进行网络协议协商的状态,将进行网络协议协商成功的端口设置为信任端口;
根据第一访问控制列表在所述信任端口接收到的报文中选取协议报文,并根据第一承诺接入速率限制所述协议报文被发送到中央处理器的速率;
根据监测到的网络设备端口进行网络协议协商的状态,将进行网络协议协商失败的端口设置为非信任端口;
根据第二访问控制列表在所述非信任端口接收到的报文中选取协议报文,并根据第二承诺接入速率限制所述协议报文被发送到中央处理器的速率。
结合第一方面,在第一方面的第一种实现方式中,将进行网络协议协商成功的端口设置为信任端口后,所述方法还包括:
监测所述信任端口的报文接收速率;
在所述报文接收速率超过阈值的情况下,将所述信任端口更改为非信任端口。
结合第一方面或者第一方面的第一种实现方式,在第一方面的第二种实现方式中,所述第一访问控制列表与除所述信任端口以外的其它信任端口使用的第一访问控制列表相同;所述第一承诺接入速率与除所述信任端口以外的其它信任端口使用的第一承诺接入速率相同。
结合第一方面、第一方面的第一种实现方式和第一方面的第二种实现方式中的任意一个,在第一方面的第三种实现方式中,所述第二访问控制列表与除所述非信任端口以外的其它非信任端口使用的第二访问控制列表相同;所述第二承诺接入速率与除所述非信任端口以外的其它非信任端口使用的第二承诺接入速率相同。
结合第一方面和第一方面的第一种实现方式至第一方面的第三种实现方式中的任意一个,在第一方面的第四种实现方式中,监测网络设备端口进行网络协议协商的状态之前,所述方法还包括:
设置网络设备的各端口为非信任端口。
第二方面,本发明实施例提供一种防止报文攻击的处理装置,包括:
监测单元,用于监测网络设备端口进行网络协议协商的状态;
设置单元,用于将所述监测单元监测到的进行网络协议协商成功的端口设置为信任端口,并将所述监测单元监测到的进行网络协议协商失败的端口设置为非信任端口;
处理单元,用于根据第一访问控制列表在所述设置单元设置的信任端口接收到的报文中选取协议报文,并根据第一承诺接入速率限制所述协议报文被发送到中央处理器的速率,根据第二访问控制列表在所述设置单元设置的非信任端口接收到的报文中选取协议报文,并根据第二承诺接入速率限制所述协议报文被发送到中央处理器的速率。
结合第二方面,在第二方面的第一种实现方式中,所述监测单元还用于:
在所述设置单元将进行网络协议协商成功的端口设置为信任端口后,监测所述信任端口的报文接收速率;
所述设置单元,还用于:
在所述监测单元监测到所述信任端口的报文接收速率超过阈值的情况下,将所述信任端口更改为非信任端口。
结合第二方面或者第二方面的第一种实现方式,在第二方面的第二种实现方式中,所述第一访问控制列表与除所述信任端口以外的其它信任端口使用的第一访问控制列表相同;所述第一承诺接入速率与除所述信任端口以外的其它信任端口使用的第一承诺接入速率相同。
结合第二方面、第二方面的第一种实现方式和第二方面的第二种实现方式中的任意一个,在第二方面的第三种实现方式中,所述第二访问控制列表与除所述非信任端口以外的其它非信任端口使用的第二访问控制列表相同;所述第二承诺接入速率与除所述非信任端口以外的其它非信任端口使用的第二承诺接入速率相同。
结合第二方面和第二方面的第一种实现方式至第二方面的第三种实现方式中的任意一个,在第二方面的第四种实现方式中,所述设置单元还用于:
在所述监测单元监测网络设备端口进行网络协议协商的状态之前,设置网络设备的各端口为非信任端口。
第三方面,本发明实施例提供一种防止报文攻击的处理设备,包括处理器、存储器、设备端口、内容可寻址存储器和转发芯片,其中,
所述存储器,用于存储处理器执行的程序代码;
所述处理器,用于调用存储器存储的程序代码,根据所述程序代码执行以下操作:
监测所述设备端口进行网络协议协商的状态;
指示所述转发芯片在所述内容可寻址存储器中设置与处理器监测到的进行网络协议协商成功的设备端口相匹配的第一访问控制列表的匹配项,以将进行网络协议协商成功的设备端口设置为信任端口,并根据第一访问控制列表在信任端口中选取协议报文;指示所述转发芯片在所述内容可寻址存储器中设置与处理器监测到的进行网络协议协商失败的设备端口相匹配的第二访问控制列表的匹配项,以将进行网络协议协商失败的设备端口设置为非信任端口,并根据第二访问控制列表在非信任端口中选取协议报文;
所述转发芯片,用于为在所述内容可寻址存储器设置的信任端口中选取的协议报文设置第一承诺接入速率,根据第一承诺接入速率限制信任端口中选取的协议报文被发送到处理器的速率,为在所述内容可寻址存储器设置的非信任端口中选取的协议报文设置第二承诺接入速率,根据第二承诺接入速率限制非信任端口中选取的协议报文被发送到处理器的速率。
结合第三方面,在第三方面的第一种实现方式中,所述处理器还用于:
在所述内容可寻址存储器将进行网络协议协商成功的设备端口设置为信任端口后,监测所述信任端口的报文接收速率;
在所述处理器监测到的被设置为信任端口的设备端口的报文接收速率超过阈值的情况下,指示所述转发芯片在所述内容可寻址存储器中将所述信任端口更改为非信任端口。
结合第三方面或者第三方面的第一种实现方式,在第三方面的第二种实现方式中,所述处理器还用于:
在所述处理器监测网络设备端口进行网络协议协商的状态之前,指示所述转发芯片在所述内容可寻址存储器中设置网络设备的各设备端口为非信任端口。
本发明实施例提供的防止报文攻击的处理方法及装置,通过监测端口进行网络协议协商的状态,能够确定进行网络协议协商成功的端口和进行网络协议协商失败的端口,将进行网络协议协商成功的端口设置为信任端口,将进行网络协议协商失败的端口设置为非信任端口,无需采用人工配置的方式,即可完成信任端口和非信任端口的设置,故能够减少人工配置造成的误配置,提高配置信任端口和非信任端口的准确率,达到较佳的防止报文攻击的效果。
附图说明
图1为本发明实施例提供的防止报文攻击的处理方法的第一实现流程图;
图2为本发明实施例提供的防止报文攻击的处理方法的第二实现流程图;
图3A和图3B为本发明实施例提供的防止报文攻击的处理方法的第三实现流程图;
图4为本发明实施例提供的防止报文攻击的处理装置构成示意图;
图5为本发明实施例提供的防止报文攻击的处理设备构成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述。
本发明实施例提供的防止报文攻击的处理方法,可应用于需要进行网络协议协商过程的第一网络设备和第二网络设备之间。其中,进行网络协议协商的过程指通过网络协议报文的交互确定诸如目的路由、链路状态等的过程,网络协议可以是路由协议、双向转发检测(英文:BidirectionalForwardingDetection;简称:BFD)等。第一网络设备和第二网络设备是网络设备。网络设备可以是网络交换机、路由器或防火墙等。如果网络设备通过不进行网络协议报文交互的端口接收到大量的协议报文,这些协议报文是不能完成网络协议协商过程的。故本发明实施例中将进行网络协议协商成功的端口设置为信任端口,将进行网络协议协商失败的端口设置为非信任端口,从而无需人工配置即可完成信任端口和非信任端口的设置。
可选的,本发明实施例中可根据第一ACL在信任端口接收到的报文中选取协议报文,并为协议报文设定第一CAR,根据第一CAR限制协议报文被发送到CPU的速率。根据第二ACL在非信任端口接收到的报文中选取协议报文,并为协议报文设定第二CAR,根据第二CAR限制协议报文被发送到CPU的速率。其中,第一ACL和第二ACL不同,例如,第一ACL的匹配项中包括第一端口组,第一端口组中包括所有信任端口的端口标识。第二ACL的匹配项中包括第二端口组,第二端口组中包括所有非信任端口的端口标识。第一CAR和第二CAR不同,例如,第一CAR的数值相对第二CAR的数值较大,保证协议报文能够正常被发送到CPU,第二CAR的数值相对第一CAR的数值较小,在非信任端口接收到大量协议报文的情况下,能够防止信任端口受到攻击。
本发明实施例提供一种防止报文攻击的处理方法,图1所示为本发明实施例提供的防止报文攻击的处理方法流程图。如图1所示,本发明实施例提供的防止报文攻击的处理方法包括:
S101:网络设备监测网络设备端口进行网络协议协商的状态。
网络设备之间进行通信,需要在进行通信的两个网络设备端口之间进行网络协议协商,例如进行传输控制协议(英文:TransmissionControlProtocol;简称:TCP)的建立需要经过三次握手协商。
本发明实施例中,进行通信的网络设备端口可以是物理端口也可以是逻辑端口。
本发明实施例中可由CPU监测网络设备端口进行网络协议协商的状态,并根据CPU的监测结果,执行设置信任端口或设置非信任端口的步骤。
S102:网络设备根据监测到的网络设备端口进行网络协议协商的状态,将进行网络协议协商成功的端口设置为信任端口。
S103:网络设备根据第一ACL在信任端口接收到的报文中选取协议报文,并为协议报文设定第一CAR,根据第一CAR限制协议报文被发送到CPU的速率。
本发明实施例中网络设备可根据第一ACL在网络设备的所有信任端口接收到的报文中选取协议报文,并根据第一CAR限制协议报文被发送到CPU的速率,换言之,本发明实施例中所有的信任端口使用相同的第一ACL和第一CAR。
S104:网络设备根据监测到的网络设备端口进行网络协议协商的状态,将进行网络协议协商失败的端口设置为非信任端口。
S105:网络设备根据第二ACL在非信任端口接收到的报文中选取协议报文,并为协议报文设定第二CAR,根据第二CAR限制协议报文被发送到CPU的速率。
本发明实施例中网络设备可根据第二ACL在网络设备的所有非信任端口接收到的报文中选取协议报文,并根据第二CAR限制协议报文被发送到CPU的速率,换言之,本发明实施例中所有的非信任端口使用相同的第二ACL和第二CAR。
一般地,进行网络协议报文交互的端口之间建立通信需要进行网络协议协商,不进行网络协议报文交互的端口并不需要进行网络协议协商,故本发明实施例中通过监测网络设备端口进行网络协议协商的状态,区分进行网络协议报文交互的端口和不进行网络协议报文交互的端口。
本发明实施例提供的防止报文攻击的处理方法,网络设备通过监测端口进行网络协议协商的状态,能够确定进行网络协议协商成功的端口和进行网络协议协商失败的端口,网络设备将进行网络协议协商成功的端口设置为信任端口,将进行网络协议协商失败的端口设置为非信任端口,无需采用人工配置的方式,即可完成信任端口和非信任端口的设置,减少人工配置造成的误配置,提高配置信任端口和非信任端口的准确率。并且本发明实施例中网络设备根据第一ACL在信任端口接收到的报文中选取协议报文,并根据第一CAR限制协议报文被发送到CPU的速率,第一CAR的数值相对第二CAR的数值较大,能够保证协议报文被正常发送至CPU。网络设备根据第二ACL在非信任端口接收到的报文中选取协议报文,根据第二CAR限制协议报文被发送到CPU的速率,第一ACL和第二ACL不同,第二CAR的数值相对第一CAR的数值较小,能够保证非信任端口接收到大量报文的情况下,不影响信任端口对协议报文的处理。
本发明实施例中在网络设备的所有信任端口使用第一ACL和第一CAR,所有的非信任端口使用第二ACL和第二CAR的防止报文攻击的处理方法,能够使用较少的资源,达到防止非信任端口受到大量协议报文攻击影响信任端口正常处理协议报文的目的。
图2所示为本发明实施例提供的又一防止报文攻击的处理方法流程图。如图2所示,本发明实施例提供的防止报文攻击的处理方法包括:
S201:网络设备监测网络设备端口进行网络协议协商的状态。
S202:网络设备将进行网络协议协商成功的端口设置为信任端口。
S203:网络设备根据第一ACL在信任端口接收到的报文中选取协议报文,并根据第一CAR限制协议报文被发送到CPU的速率。
S204:监测被设置为信任端口的网络设备端口的报文接收速率。
一般情况下,网络设备之间进行网络协议协商成功后,网络设备端口接收协议报文的速率,应该是小于设定的阈值的,该设定的阈值小于第一CAR,一般为标准定义的参考值或者配置的指定参考值,故本发明实施例中可监测信任端口的报文接收速率,通过监测结果,判断被设置为信任端口的网络设备端口是否受到了大量协议报文的攻击。
S205:判断被设置为信任端口的网络设备端口的报文接收速率是否超过设定的阈值。
本发明实施例中若被设置为信任端口的网络设备端口的报文接收速率超过设定的阈值,则可认为被设置为信任端口的网络设备端口受到了大量协议报文的攻击,可更改被设置为信任端口的网络设备端口的信任属性。若被设置为信任端口的网络设备端口的报文接收速率小于设定的阈值,则继续保持被设置为信任端口的网络设备端口的信任属性不变,根据第一ACL在信任端口接收到的报文中选取协议报文,并根据第一CAR限制协议报文被发送到CPU的速率。
S206:在被设置为信任端口的网络设备端口的报文接收速率超过阈值的情况下,更改被设置为信任端口的网络设备端口的信任属性,将信任端口更改为非信任端口,并根据第二ACL在非信任端口接收到的报文中选取协议报文,根据第二CAR限制协议报文被发送到CPU的速率。
本发明实施例中第一ACL的匹配项中包括第一端口组,第一端口组中包括所有信任端口的端口标识,第二ACL的匹配项中包括第二端口组,第二端口组中包括所有非信任端口的端口标识,将网络设备端口由信任端口更改为非信任端口,可在第一端口组中移除该网络设备端口的端口标识,并第二端口组中添加该网络设备端口的端口标识。
本发明实施例中将进行网络协议协商成功的端口设置为信任端口后,继续监测被设置为信任端口的网络设备端口的报文接收速率,在网络设备端口被配置为信任端口,且该被配置为信任端口的网络设备端口的报文接收速率超过阈值的情况下,更改被设置为信任端口的网络设备端口的信任属性,将信任端口更改为非信任端口,并根据第二ACL在非信任端口接收到的报文中选取协议报文,根据第二CAR限制协议报文被发送到CPU的速率,能够防止被设置为信任端口的网络设备端口接收过多的协议报文,对其它信任端口对正常协议报文的处理造成影响。
本发明实施例中将信任端口更改为非信任端口后,还可在设定的时间内继续监测该被更改为非信任端口的网络设备端口的报文接收速率,若报文接收速率在设定的时间内持续低于设定的阈值,则可恢复被更改为非信任端口的网络设备端口为信任端口,并根据第一ACL在该信任端口接收到的报文中选取协议报文,并根据第一CAR限制协议报文被发送到CPU的速率,保证协议报文的正常处理。
本发明实施例中第一ACL的匹配项中包括第一端口组,第一端口组中包括所有信任端口的端口标识,第二ACL的匹配项中包括第二端口组,第二端口组中包括所有非信任端口的端口标识,将网络设备端口由非信任端口更改为信任端口时,网络设备在第二端口组中移除该网络设备端口的端口标识,并在第一端口组中添加该网络设备端口的端口标识。
图3A和图3B所示为本发明实施例提供的再一防止报文攻击的处理方法流程图。
图3A所示的防止报文攻击的处理方法,在图1所示方法的基础上,还包括:
S101a:设置网络设备的各端口为非信任端口。
图3B所示的防止报文攻击的处理方法,在图2所示方法的基础上,还包括:
S201a:设置网络设备的各端口为非信任端口。
本发明实施例图3A和图3B所示的防止报文攻击的处理方法中,初始将网络设备的各端口设置为非信任端口,网络设备根据第二ACL在初始设置的非信任端口接收到的报文中选取协议报文,并为协议报文设定第二CAR,根据第二CAR限制协议报文被发送到CPU的速率,在监测到网络设备端口进行网络协议协商成功后,将该进行网络协议协商成功的端口设置为信任端口,将进行网络协议协商失败的端口继续保持原非信任端口的信任属性不变,能够保证信任端口对协议报文的正常处理,不受其它端口接收过多协议报文的影响。
需要说明的是,本发明实施例提供的防止报文攻击的处理方法中配置信任端口和非信任端口的方法,可适用于任何存在网络协议协商的网络架构中,并不限于上述实施例所列举的例子,例如本发明实施例提供的防止报文攻击的处理方法还可应用于双向转发检测(英文:BidirectionalForwardingDetection;简称:BFD)场景中,实现信任端口和非信任端口的自动配置,并实现信任端口和非信任端口的自动切换,动态防御协议报文的攻击。
进一步需要说明的是,本发明实施例所涉及的各步骤的标号,仅是为了描述方便,并不限定各步骤的执行顺序,例如图1中S102和S104的执行顺序并不分先后。
基于上述实施例提供的防止报文攻击的处理方法,本发明实施例还提供一种防止报文攻击的处理装置400,如图4所示,本发明实施例提供的防止报文攻击的处理装置400包括监测单元401、设置单元402和处理单元403,其中:
监测单元401,用于监测网络设备端口进行网络协议协商的状态。
设置单元402,用于将所述监测单元401监测到的进行网络协议协商成功的端口设置为信任端口,并将所述监测单元401监测到的进行网络协议协商失败的端口设置为非信任端口。
处理单元403,用于根据第一ACL在所述设置单元402设置的信任端口接收到的报文中选取协议报文,并根据第一CAR限制所述协议报文被发送到CPU的速率,根据第二ACL在所述设置单元402设置的非信任端口接收到的报文中选取协议报文,并根据第二CAR限制所述协议报文被发送到CPU的速率。
在第一种实现方式中,所述监测单元401还用于:
在所述设置单元402将进行网络协议协商成功的端口设置为信任端口后,监测所述信任端口的报文接收速率。
所述设置单元402,还用于:
在所述监测单元401监测到所述信任端口的报文接收速率超过阈值的情况下,将所述信任端口更改为非信任端口。
所述处理单元403,还用于:
根据第二ACL在所述设置单元402更改的所述非信任端口接收到的报文中选取协议报文,并根据第二CAR限制所述协议报文被发送到中央处理器的速率。
在第二种实现方式中,所述第一ACL与除所述信任端口以外的其它信任端口使用的第一ACL相同;所述第一CAR与除所述信任端口以外的其它信任端口使用的第一CAR相同。
在第三种实现方式中,所述第二ACL与除所述非信任端口以外的其它非信任端口使用的第二ACL相同;所述第二CAR与除所述非信任端口以外的其它非信任端口使用的第二CAR相同。
在第四种实现方式中,所述设置单元402还用于:
在所述监测单元401监测网络设备端口进行网络协议协商的状态之前,设置网络设备的各端口为非信任端口。
本发明实施例提供的防止报文攻击的处理装置400可以是进行网络协议协商的网络设备,例如可以是网络交换机、路由器等,本发明实施例不做限定。
本发明实施例提供的防止报文攻击的处理装置400,通过监测端口进行网络协议协商的状态,能够确定进行网络协议协商成功的端口和进行网络协议协商失败的端口,将进行网络协议协商成功的端口设置为信任端口,将进行网络协议协商失败的端口设置为非信任端口,无需采用人工配置的方式,即可完成信任端口和非信任端口的设置,故能够减少人工配置造成的误配置,提高配置信任端口和非信任端口的准确率,并在信任端口与非信任端口中利用不同的资源进行协议报文的接收,达到较佳的防止报文攻击的效果。
基于上述实施例提供的防止报文攻击的处理方法及装置,本发明实施例还提供一种防止报文攻击的处理设备500,如图5所示,本发明实施例提供的防止报文攻击的处理设备500包括处理器501、存储器502、设备端口503、内容可寻址存储器(英文:content-addressablememory,缩写:CAM)504和转发芯片505。其中,转发芯片505和存储器502均与处理器501连接,转发芯片505与CAM504连接,转发芯片505与设备端口503连接。本发明实施例中不限定上述部件之间的具体连接介质,本发明实施例在图5中以存储器502和处理器501之间通过总线连接,总线在图5中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限,例如转发芯片505与处理器501之间可通过总线连接。
本发明实施例中转发芯片505可以是网络处理器(英文:networkprocessor,缩写:NP),专用集成电路(英文:application-specificintegratedcircuit,缩写:ASIC),可编程逻辑器件(英文:programmablelogicdevice,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complexprogrammablelogicdevice,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmablegatearray,缩写:FPGA),通用阵列逻辑(英文:genericarraylogic,缩写:GAL)或其任意组合。本发明实施例转发芯片505可为协议报文设定CAR,以限制协议报文被发送到处理器501的速率,以防止处理器501接收过多的报文。
本发明实施例中CAM504,例如可以是三态CAM(英文:ternaryCAM,缩写:TCAM)。本发明实施例CAM504中存储有ACL,对设备端口503接收到的报文进行选取得到协议报文。
本发明实施例中设备端口503使用诸如收发器一类的装置,与其他设备或通信网络通信。本发明实施例中设备端口503用于收发报文。
本发明实施例中存储器502,用于存储处理器501执行的程序代码,可以是只读存储器(英文:read-onlymemory;简称:ROM),随机存取存储器(英文:randomaccessmemory;简称:RAM),也可以是电可擦可编程只读存储器(英文:ElectricallyErasableProgrammableRead-OnlyMemory;简称:EEPROM)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此,例如存储器502可以是上述存储器的组合。
本发明实施例中处理器501,可以是一个通用的CPU。
本发明实施例中防止报文攻击的处理设备500通过至少一个设备端口503实现与至少一个其他通信网元之间的通信连接,进行报文的收发,并与其他通信网元设备端口之间进行网络协议协商。CAM504根据存储的ACL在设备端口503接收到的报文中选取协议报文,例如,可选取与ACL的匹配项中包括的端口组中的端口标识以及协议类型相匹配的端口接收到的报文作为协议报文。转发芯片505为CAM504选取的协议报文设定CAR,以限制被发送至处理器501的协议报文的速率。
处理器501,可调用存储器502存储的程序代码,根据所述程序代码执行以下操作:
监测所述设备端口503进行网络协议协商的状态。
指示所述转发芯片505在CAM504中设置与进行网络协议协商成功的设备端口503相匹配的第一ACL的匹配项,以将进行网络协议协商成功的设备端口503设置为信任端口,并根据第一ACL在信任端口中选取协议报文。指示所述转发芯片505在CAM504中设置与进行网络协议协商失败的设备端口503相匹配的第二ACL的匹配项,以将进行网络协议协商失败的设备端口503设置为非信任端口,根据该第二ACL在非信任端口中选取协议报文。
本发明实施例中CAM504设置的第一ACL,与除本次设置的信任端口以外的其它信任端口使用的第一ACL相同。CAM504设置的第二ACL,与除本次设置的非信任端口以外的其它非信任端口使用的第二ACL相同。
转发芯片505可为在信任端口中选取的协议报文设置第一CAR,根据第一CAR限制信任端口中选取的协议报文被发送到处理器501的速率。转发芯片505为在非信任端口中选取的协议报文设置第二CAR,根据第二CAR限制非信任端口中选取的协议报文被发送到处理器501的速率。
本发明实施例中转发芯片505设置的第一CAR,与除本次设置的信任端口以外的其它信任端口使用的第一CAR相同。转发芯片505设置的第二CAR,与除本次设置的非信任端口以外的其它非信任端口使用的第二CAR相同。
在第一种实现方式中,所述处理器501还用于:
在CAM504将进行网络协议协商成功的设备端口503设置为信任端口后,监测所述信任端口的报文接收速率。
在处理器501监测到被设置为信任端口的设备端口503的报文接收速率超过阈值的情况下,指示所述转发芯片505在所述CAM504中将被设置为信任端口的设备端口503更改为非信任端口。
在第二种实现方式中,处理器501还用于:
在处理器501监测网络设备端口503的进行网络协议协商的状态之前,指示所述转发芯片505在所述CAM504中设置网络设备的各设备端口503为非信任端口。
本发明实施例提供的防止报文攻击的处理设备500可以是进行网络协议协商的网络设备,例如可以是网络交换机、路由器等,本发明实施例不做限定。
本发明实施例提供的防止报文攻击的处理设备500,通过监测端口进行网络协议协商的状态,能够确定进行网络协议协商成功的端口和进行网络协议协商失败的端口,将进行网络协议协商成功的端口设置为信任端口,将进行网络协议协商失败的端口设置为非信任端口,无需采用人工配置的方式,即可完成信任端口和非信任端口的设置,故能够减少人工配置造成的误配置,提高配置信任端口和非信任端口的准确率,并在信任端口与非信任端口中利用不同的资源进行协议报文的接收,达到较佳的防止报文攻击的效果。
本发明实施例提供的防止报文攻击的处理装置400和防止报文攻击的处理设备500,可用于执行本发明实施例涉及的防止报文攻击的处理方法,故对于本发明实施例中防止报文攻击的处理装置400和防止报文攻击的处理设备500描述不够详尽的地方,可参阅相关方法及其附图的描述,在此不再赘述。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种防止报文攻击的处理方法,其特征在于,包括:
监测网络设备端口进行网络协议协商的状态;
根据监测到的网络设备端口进行网络协议协商的状态,将进行网络协议协商成功的端口设置为信任端口;
根据第一访问控制列表在所述信任端口接收到的报文中选取协议报文,并根据第一承诺接入速率限制所述协议报文被发送到中央处理器的速率;
根据监测到的网络设备端口进行网络协议协商的状态,将进行网络协议协商失败的端口设置为非信任端口;
根据第二访问控制列表在所述非信任端口接收到的报文中选取协议报文,并根据第二承诺接入速率限制所述协议报文被发送到中央处理器的速率。
2.如权利要求1所述的方法,其特征在于,将进行网络协议协商成功的端口设置为信任端口后,所述方法还包括:
监测所述信任端口的报文接收速率;
在所述报文接收速率超过阈值的情况下,将所述信任端口更改为非信任端口。
3.如权利要求1或2所述的方法,其特征在于,所述第一访问控制列表与除所述信任端口以外的其它信任端口使用的第一访问控制列表相同;
所述第一承诺接入速率与除所述信任端口以外的其它信任端口使用的第一承诺接入速率相同。
4.如权利要求1-3任一项所述的方法,其特征在于,所述第二访问控制列表与除所述非信任端口以外的其它非信任端口使用的第二访问控制列表相同;
所述第二承诺接入速率与除所述非信任端口以外的其它非信任端口使用的第二承诺接入速率相同。
5.如权利要求1-4任一项所述的方法,其特征在于,监测网络设备端口进行网络协议协商的状态之前,所述方法还包括:
设置网络设备的各端口为非信任端口。
6.一种防止报文攻击的处理装置,其特征在于,包括:
监测单元,用于监测网络设备端口进行网络协议协商的状态;
设置单元,用于将所述监测单元监测到的进行网络协议协商成功的端口设置为信任端口,并将所述监测单元监测到的进行网络协议协商失败的端口设置为非信任端口;
处理单元,用于根据第一访问控制列表在所述设置单元设置的信任端口接收到的报文中选取协议报文,并根据第一承诺接入速率限制所述协议报文被发送到中央处理器的速率,根据第二访问控制列表在所述设置单元设置的非信任端口接收到的报文中选取协议报文,并根据第二承诺接入速率限制所述协议报文被发送到中央处理器的速率。
7.如权利要求6所述的处理装置,其特征在于,所述监测单元还用于:
在所述设置单元将进行网络协议协商成功的端口设置为信任端口后,监测所述信任端口的报文接收速率;
所述设置单元,还用于:
在所述监测单元监测到所述信任端口的报文接收速率超过阈值的情况下,将所述信任端口更改为非信任端口。
8.如权利要求6或7所述的处理装置,其特征在于,所述第一访问控制列表与除所述信任端口以外的其它信任端口使用的第一访问控制列表相同;
所述第一承诺接入速率与除所述信任端口以外的其它信任端口使用的第一承诺接入速率相同。
9.如权利要求6-8任一项所述的处理装置,其特征在于,所述第二访问控制列表与除所述非信任端口以外的其它非信任端口使用的第二访问控制列表相同;
所述第二承诺接入速率与除所述非信任端口以外的其它非信任端口使用的第二承诺接入速率相同。
10.如权利要求6-9任一项所述的处理装置,其特征在于,所述设置单元还用于:
在所述监测单元监测网络设备端口进行网络协议协商的状态之前,设置网络设备的各端口为非信任端口。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410746239.3A CN105743843A (zh) | 2014-12-08 | 2014-12-08 | 一种防止报文攻击的处理方法及装置 |
| EP15197877.2A EP3032798B1 (en) | 2014-12-08 | 2015-12-03 | Processing method and apparatus for preventing packet attack |
| US14/962,618 US20160164910A1 (en) | 2014-12-08 | 2015-12-08 | Processing Method and Apparatus for Preventing Packet Attack |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410746239.3A CN105743843A (zh) | 2014-12-08 | 2014-12-08 | 一种防止报文攻击的处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105743843A true CN105743843A (zh) | 2016-07-06 |
Family
ID=54843663
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410746239.3A Withdrawn CN105743843A (zh) | 2014-12-08 | 2014-12-08 | 一种防止报文攻击的处理方法及装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20160164910A1 (zh) |
| EP (1) | EP3032798B1 (zh) |
| CN (1) | CN105743843A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639699A (zh) * | 2018-12-24 | 2019-04-16 | 华为技术有限公司 | 一种网络管理方法和装置 |
| CN110661721A (zh) * | 2018-06-29 | 2020-01-07 | 北京华为数字技术有限公司 | 一种报文防攻击方法和装置 |
| CN110995586A (zh) * | 2019-11-15 | 2020-04-10 | 锐捷网络股份有限公司 | 一种bgp报文的处理方法、装置、电子设备及存储介质 |
| CN114124511A (zh) * | 2021-11-17 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 一种ipsec协商方法、网络设备及可读存储介质 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9866467B1 (en) * | 2016-09-19 | 2018-01-09 | Capital One Services, Llc | Systems and methods for automated determination of network device transiting data attributes |
| EP3319287A1 (en) * | 2016-11-04 | 2018-05-09 | Nagravision SA | Port scanning |
| CN111526108B (zh) * | 2019-02-01 | 2021-08-20 | 华为技术有限公司 | 防止网络攻击的方法与装置 |
| US11483246B2 (en) | 2020-01-13 | 2022-10-25 | Vmware, Inc. | Tenant-specific quality of service |
| US11599395B2 (en) | 2020-02-19 | 2023-03-07 | Vmware, Inc. | Dynamic core allocation |
| CN113676402B (zh) * | 2020-05-13 | 2022-12-27 | 华为技术有限公司 | 一种协议报文的处理方法、网络设备及计算机存储介质 |
| US11539633B2 (en) | 2020-08-31 | 2022-12-27 | Vmware, Inc. | Determining whether to rate limit traffic |
| US11799784B2 (en) | 2021-06-08 | 2023-10-24 | Vmware, Inc. | Virtualized QoS support in software defined networks |
| CN113904835B (zh) * | 2021-09-30 | 2023-10-24 | 新华三信息安全技术有限公司 | 一种报文上送cpu的防攻击方法及装置 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6952401B1 (en) * | 1999-03-17 | 2005-10-04 | Broadcom Corporation | Method for load balancing in a network switch |
| US7302705B1 (en) * | 2000-08-30 | 2007-11-27 | International Business Machines Corporation | Method and apparatus for tracing a denial-of-service attack back to its source |
| US8185943B1 (en) * | 2001-12-20 | 2012-05-22 | Mcafee, Inc. | Network adapter firewall system and method |
| US7313090B2 (en) * | 2002-09-26 | 2007-12-25 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Systems and methods for providing data packet flow control |
| US8260961B1 (en) * | 2002-10-01 | 2012-09-04 | Trustwave Holdings, Inc. | Logical / physical address state lifecycle management |
| US7436770B2 (en) * | 2004-01-21 | 2008-10-14 | Alcatel Lucent | Metering packet flows for limiting effects of denial of service attacks |
| KR20060044049A (ko) * | 2004-11-11 | 2006-05-16 | 한국전자통신연구원 | 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법 |
| US8199754B2 (en) * | 2006-05-30 | 2012-06-12 | Hewlett-Packard Development Company, L. P. | Intrusion prevention system edge controller |
| US7764612B2 (en) * | 2005-06-16 | 2010-07-27 | Acme Packet, Inc. | Controlling access to a host processor in a session border controller |
| US20070022474A1 (en) * | 2005-07-21 | 2007-01-25 | Mistletoe Technologies, Inc. | Portable firewall |
| US7832009B2 (en) * | 2005-12-28 | 2010-11-09 | Foundry Networks, Llc | Techniques for preventing attacks on computer systems and networks |
| US7940757B2 (en) * | 2006-02-23 | 2011-05-10 | Cisco Technology, Inc. | Systems and methods for access port ICMP analysis |
| US8683033B2 (en) * | 2007-09-17 | 2014-03-25 | International Business Machines Corporation | Apparatus, system, and method for server failover to standby server during broadcast storm or denial-of-service attack |
| US8588056B1 (en) * | 2009-04-15 | 2013-11-19 | Sprint Communications Company L.P. | Elimination of unwanted packets entering a restricted bandwidth network |
-
2014
- 2014-12-08 CN CN201410746239.3A patent/CN105743843A/zh not_active Withdrawn
-
2015
- 2015-12-03 EP EP15197877.2A patent/EP3032798B1/en active Active
- 2015-12-08 US US14/962,618 patent/US20160164910A1/en not_active Abandoned
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110661721A (zh) * | 2018-06-29 | 2020-01-07 | 北京华为数字技术有限公司 | 一种报文防攻击方法和装置 |
| CN110661721B (zh) * | 2018-06-29 | 2022-04-22 | 北京华为数字技术有限公司 | 一种报文防攻击方法和装置 |
| CN109639699A (zh) * | 2018-12-24 | 2019-04-16 | 华为技术有限公司 | 一种网络管理方法和装置 |
| CN109639699B (zh) * | 2018-12-24 | 2020-01-03 | 华为技术有限公司 | 一种网络管理方法和装置 |
| CN110995586A (zh) * | 2019-11-15 | 2020-04-10 | 锐捷网络股份有限公司 | 一种bgp报文的处理方法、装置、电子设备及存储介质 |
| CN114124511A (zh) * | 2021-11-17 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 一种ipsec协商方法、网络设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160164910A1 (en) | 2016-06-09 |
| EP3032798B1 (en) | 2018-03-14 |
| EP3032798A1 (en) | 2016-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105743843A (zh) | 一种防止报文攻击的处理方法及装置 | |
| US11595396B2 (en) | Enhanced smart process control switch port lockdown | |
| EP3522475A1 (en) | Apparatus, method and device for encapsulating heterogeneous function equivalent bodies | |
| EP2382512B1 (en) | Communication module with network isolation and communication filter | |
| KR100998418B1 (ko) | 가상 네트워크 작동 방법, 데이터 네트워크 시스템 및 컴퓨터 판독 가능한 매체 | |
| US8595817B2 (en) | Dynamic authenticated perimeter defense | |
| US9813448B2 (en) | Secured network arrangement and methods thereof | |
| US10193868B2 (en) | Safe security proxy | |
| US9678492B2 (en) | Dynamic configuration of an industrial control system | |
| EP2600566B1 (en) | Unauthorized access blocking control method | |
| US20110214181A1 (en) | Dual bypass module and methods thereof | |
| WO2021234499A1 (en) | System and method for detection and prevention of cyber attacks at in-vehicle networks | |
| KR20120111973A (ko) | 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법 | |
| EP3133790B1 (en) | Message sending method and apparatus | |
| US20180007075A1 (en) | Monitoring dynamic device configuration protocol offers to determine anomaly | |
| WO2019123523A1 (ja) | 通信装置、通信システム、通信制御方法、プログラム | |
| RU2580004C2 (ru) | Автоматический межсетевой экран | |
| CN105850091B (zh) | 用于提供通信服务提供方和提供服务的ip服务器之间的连接的方法、边界网络装置以及ip服务器 | |
| CN104869118A (zh) | 一种基于动态隧道技术实现DDoS防御的方法及系统 | |
| CN110365577B (zh) | 一种安全资源池的引流系统及安全检查方法 | |
| CN105812274B (zh) | 一种业务数据的处理方法和相关设备 | |
| CN112671783B (zh) | 一种基于vlan用户组的防主机ip扫描方法 | |
| WO2024217020A1 (zh) | 故障探测的方法和装置 | |
| KR101196366B1 (ko) | 서버보안을 위한 랜카드 시스템 | |
| Liu et al. | Community Cleanup: Incentivizing Network Hygiene via Distributed Attack Reporting |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20160706 |