CN106131177A - 一种报文处理方法及装置 - Google Patents
一种报文处理方法及装置 Download PDFInfo
- Publication number
- CN106131177A CN106131177A CN201610519821.5A CN201610519821A CN106131177A CN 106131177 A CN106131177 A CN 106131177A CN 201610519821 A CN201610519821 A CN 201610519821A CN 106131177 A CN106131177 A CN 106131177A
- Authority
- CN
- China
- Prior art keywords
- information
- session
- message
- list item
- safe list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种报文处理方法及装置,交换设备接收主机发送的PPPoE会话报文;获得PPPoE会话报文的第一信息,其中,第一信息中包括会话标识信息;将第一信息与安全表项进行匹配,其中,安全表项中包括会话标识信息;如果匹配不成功,将该PPPoE会话报文丢弃。由此可见,在发现阶段建立安全表项,将会话阶段接收到的主机发送的报文与建立的安全表项进行匹配,如果匹配不成功,表示该主机为非法用户,将匹配不成功的报文丢弃,避免了PPPoE应用中的非法用户攻击,提高了设备的工作效率。
Description
技术领域
本发明涉及网络技术领域,特别涉及一种报文处理方法及装置。
背景技术
PPP(Point-to-Point Protocol,点对点协议)是一种点对点的链路层协议。它能够提供用户认证,易于扩充,并且支持同/异步通信。PPPoE(Point-to-Point Protocolover Ethernet,在以太网上承载PPP协议)是在以太网上建立PPPoE会话及封装PPP报文的技术。PPPoE协议将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接。
PPPoE协议通常使用Client/Server(主机/服务器)模型。PPPoE Client向PPPoEServer发起连接请求,两者之间会话协商通过后,就建立PPPoE会话,此后PPPoE Server向PPPoE Client提供接入控制、认证、计费等功能。
PPPoE的典型应用是将PPPoE会话建立在主机和运营商的路由器之间,为每一个主机建立一个PPPoE会话,每个主机使用一个帐号,方便运营商对用户进行计费和控制。PPPoE组网结构如图1所示,在PPPoE主机和PPPoE服务器之间还可以连接有交换设备,用于PPPoE报文的转发。
目前,在PPPoE应用中可能会存在非法用户攻击行为,例如使用穷举法试探正常用户的口令,这样会占用设备的处理资源,降低设备的工作效率。
发明内容
本发明实施例的目的在于提供一种报文处理方法方法及装置,以避免PPPoE应用中的非法用户攻击,提高设备的工作效率。
为达到上述目的,本发明实施例公开了一种报文处理方法,应用于交换设备,包括:
接收主机发送的PPPoE会话报文;
获得所述PPPoE会话报文的第一信息,其中,所述第一信息中包括会话标识信息;
将所述第一信息与安全表项进行匹配,其中,所述安全表项中包括会话标识信息;
如果匹配不成功,将所述PPPoE会话报文丢弃。
为达到上述目的,本发明实施例还公开了一种报文处理装置,应用于交换设备,包括:
第一接收模块,用于接收主机发送的PPPoE会话报文;
第一获得模块,用于获得所述PPPoE会话报文的第一信息,其中,所述第一信息中包括会话标识信息;
匹配模块,用于将所述第一信息与安全表项进行匹配,其中,所述安全表项中包括会话标识信息;
丢弃模块,用于当所述匹配模块匹配不成功时,将所述PPPoE会话报文丢弃。
由上述技术方案可见,应用本发明实施例,在发现阶段建立安全表项,将会话阶段接收到的主机发送的报文与建立的安全表项进行匹配,也就是将主机发送的PPPoE会话报文中的的会话标识信息与安全表项中的会话标识信息进行匹配,安全表项中的会话标识信息为服务器为主机分配的唯一标识该会话的信息,如果匹配不成功,表示该主机为非法用户,将该PPPoE会话报文丢弃,避免了PPPoE应用中的非法用户攻击,提高了设备的工作效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为PPPoE组网结构示意图;
图2为PPPoE协议中客户端与服务器通信流程示意图;
图3为本发明实施例提供的一种报文处理方法的流程示意图;
图4为本发明实施例中提供的安全表项的状态示意图;
图5为本发明实施例提供的一种报文装置方法的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术问题,本发明实施例提供了一种报文处理方法及装置,应用于交换设备。下面首先对本发明实施例提供的一种报文处理方法进行详细说明。
PPPoE协议包括两个阶段:发现阶段(PPPoE Discovery Stage)和会话阶段(PPPoESession Stage)。
发现阶段的主要流程包括:
假设主机A需要PPPoE服务,主机A在网络上广播发现服务器(PADI,PPPoE ActiveDiscovery Initiation)报文,寻找能够提供服务的服务器;
能够提供服务的服务器B接收到PADI报文后回复发现响应(PADO,The PPPoEActive Discovery Offer)报文给主机A;
主机A接收到PADO报文后发送服务请求(PADR,The PPPoE Active DiscoveryRequest)报文给服务器B,申请PPPoE服务;
服务器B接收到PADR报文后为主机A分配一个会话标识信息,用于唯一标识该会话,具体的,该会话标识信息可以为会话ID。服务器B根据所分配的会话标识信息生成会话资源分配(PADS,The PPPoE Active Discovery Session-confirmation)报文,将该PADS报文发送至主机A,至此,建立了主机A与服务器B的会话进程。
之后,进入主机A与服务器B会话阶段,如图2所示,会话阶段可以包括LCP(LinkControl Protocol,链路控制协议)阶段、Authentication(认证阶段)、NCP(NetworkControl Protocol,即网络控制协议)阶段、PPP业务阶段。在这个阶段中,已建立好点对点连接的双方(主机A与服务器B)采用PPP协议来交换数据报文,进行网络层数据报文的传送。
需要说明的是,主机A与服务器B交互的报文都可以经交换设备转发。
图3为本发明实施例提供的报文处理方法的第一种流程示意图,包括:
S101:接收主机发送的PPPoE会话报文。
PPPoE会话报文即为会话阶段主机与服务器交互的报文,在本发明所示实施例中,主机与服务器交互的报文都经交换设备转发。
S102:获得所述PPPoE会话报文的第一信息。其中,所述第一信息中包括会话标识信息。
会话标识信息即为上述发现阶段服务器为主机分配的唯一标识该会话的信息,可以为会话ID。
S103:将所述第一信息与安全表项进行匹配。其中,所述安全表项中包括会话标识信息。
由于与服务器成功建立会话进程的主机才会被分配会话标识信息,且只有合法用户才能与服务器成功建立会话进程,因此,为保证有效验证主机是否为合法用户,安全表项中需包括会话标识信息。
由于服务器生成PADS报文并向主机发送该PADS报文后,可以认为成功建立了服务器与主机之间的会话进程,因此,可以在发现阶段建立安全表项,当然,也可以预先建立安全表项,在发现阶段再对其进行填充,在此不做限制。由于上述安全表项中包括会话标识信息,而PADS报文中包含会话标识信息,鉴于此,作为本发明的一种实施方式,所述安全表项的建立过程,可以包括:
接收服务器发送的PADS报文;
获得所述PADS报文的第二信息,其中,第二信息中包括会话标识信息;
根据所述第二信息,建立安全表项。
由于与服务器成功建立会话进程的主机才会被分配会话标识信息,且这样的主机可以认为是合法用户,因此,可以简单的理解为:上述所建立的安全表项中存储的信息为合法用户的信息,进而可以通过会话标识信息进行安全表项匹配的方式确定发送上述PPPoE会话报文的主机是否为合法用户。
在发现阶段,接收PADS报文后,可以获得服务器为主机分配的会话标识信息;在会话阶段,通过该会话标识信息对主机发送的PPPoE会话报文进行验证,如果验证不通过,则表示该主机为非法用户,如果验证通过,则表示该主机为合法用户。
还以上述例子进行说明,会话标识信息即为服务器B为主机A分配的唯一标识该会话的信息。在发现阶段,根据服务器B发送的PADS报文中包括的会话标识信息建立安全表项。进入会话阶段后,若接收到主机A发送至服务器B的PPPoE会话报文,从中提取出会话标识信息,并将所提取的信息与之前已建立的安全表项进行匹配,若经匹配发现所提取的会话标识信息为安全表项中记录的服务器B为主机A分配的会话标识信息,则可以认为匹配通过,表示主机A为合法用户,反之,表示主机A为非法用户。
在本发明所示实施例中,所述第一信息中还可以包括MAC地址,所述安全表项中还可以包括会话标识信息与MAC地址的对应关系,所述第二信息中还可以包括MAC地址。
也就是说,在发现阶段,当交换设备接收到服务器发送的PADS报文后,交换设备获得该PADS报文的会话标识信息、目的MAC地址,并根据该会话标识信息、目的MAC地址,建立安全表项。
在会话阶段,交换设备接收到主机发送的PPPoE会话报文后,获得该PPPoE会话报文的会话标识信息、源MAC地址,将所获得的会话标识信息、源MAC地址与上述安全表项中包括的会话标识信息、目的MAC地址进行匹配。
需要说明的是,PPPoE会话报文的源MAC地址即为发送该PPPoE会话报文的主机的MAC地址。PADS报文的目的MAC地址为接收该PADS报文的主机的MAC地址。当该主机为合法用户时,PADS报文的目的MAC地址与PPPoE会话报文的源MAC地址相同。
通过会话标识信息、MAC地址对PPPoE会话报文进行验证,进一步提高了验证的准确性。
作为本发明的一种实施方式,还可以将上述MAC地址替换为VLAN标识,将PPPoE会话报文的VLAN标识与PADS报文的VLAN标识进行匹配,也能起到验证主机是否为合法用户的目的。
作为本发明的另一种实施方式,所述第一信息中包括会话标识信息、MAC地址和VLAN标识,所述安全表项中包括会话标识信息与MAC地址和VLAN标识的对应关系,所述第二信息中通过包括会话标识信息、MAC地址和VLAN标识。
也就是说,在发现阶段,当交换设备接收到服务器发送的PADS报文后,交换设备获得该PADS报文的会话标识信息、目的MAC地址和VLAN标识,并根据该会话标识信息、目的MAC地址和VLAN标识,建立安全表项。
在会话阶段,交换设备接收到主机发送的PPPoE会话报文后,获得该PPPoE会话报文的会话标识信息、源MAC地址和VLAN标识,将所获得的会话标识信息、源MAC地址和VLAN标识与上述安全表项中包括的会话标识信息、目的MAC地址和VLAN标识进行匹配。
通过会话标识信息、MAC地址、VLAN标识三方面的信息对PPPoE会话报文进行验证,更进一步地提高了验证的准确性。
由前面的描述可以得知,完整的发现阶段会涉及多次报文交互,作为本发明的一种实施方式,所述安全表项的建立过程,可以包括:
上述交换设备接收主机发送的发现服务器报文,获得所述发现服务器报文的第三信息,其中,所述第三信息中包括源MAC地址;根据所述第三信息,建立安全表项(由于此时服务器还没有给主机分配会话标识信息,因此所建立的安全表项中不包括会话标识信息,还不是完整的安全表项);将所述发现服务器报文进行广播;
接收到上述交换设备广播的发现服务器报文、且能够为该主机提供服务的服务器会响应该报文,并通过上述交换设备向该主机发送发现响应报文,因此,上述交换设备接收服务器发送的发现响应报文并转发至该主机;
该主机接收到上述发现响应报文后,即可获知哪些服务器是可能与之建立会话进程的服务器,因此会通过上述交换设备向这些服务器发送服务请求报文,以建立会话进程,这样上述交换设备接收该主机发送的服务请求报文并转发至该服务器;
该服务器接收到上述服务请求报文后,为该主机分配会话标识信息并生成会话资源分配报文,然后通过上述交换设备向该主机发送上述会话资源分配报文,这样上述交换设备接收该服务器发送的会话资源分配报文后,从中获得所述会话资源分配报文的第四信息,第四信息中包括会话标识信息、目的MAC地址;根据所述会话资源分配报文的目的MAC地址,确定所述会话资源分配报文匹配的安全表项;在所确定的安全表项中加入所述会话资源分配报文的会话标识信息。此时的安全表项中加入了会话标识信息,是完整的安全表项,该主机对应的安全表项建立完成。交换设备将所述会话资源分配报文转发至所述主机,至此主机和服务器之间的会话进程建立完成。
在上述实施方式中,第一信息中包括会话标识信息、MAC地址,安全表项中包括会话标识信息与MAC地址的对应关系,通过会话标识信息、MAC地址对PPPoE会话报文进行验证,进一步提高了验证的准确性。
作为本发明的另一种实施方式,上述第三信息中还可以包括入端口。当交换设备接收到主机发送的发现服务器报文时,获得所述发现服务器报文的源MAC地址及入端口,根据该源MAC地址及入端口,建立安全表项。也就是说,最终建立的安全表项中包括会话标识信息、MAC地址、入端口。
与之相对应的,在会话阶段,交换设备接收到主机发送的PPPoE会话报文后,获得所述PPPoE会话报文的会话标识信息、源MAC地址、入端口,将获得的上述信息与本实施方式中建立的安全表项进行匹配。
需要说明的是,发现服务器报文的入端口即为交换设备接收主机发送该发现服务器报文的端口,PPPoE会话报文的入端口即为交换设备接收主机发送该PPPoE会话报文的端口。通常情况下,交换设备通过同一端口接收同一主机发送的报文。因此,可以通过入端口对主机的合法性进行验证。
在上述实施方式中,第一信息中包括会话标识信息、入端口、MAC地址,安全表项中包括会话标识信息与入端口、MAC地址的对应关系,通过会话标识信息、入端口、MAC地址对PPPoE会话报文进行验证,进一步提高了验证的准确性。
在本发明另一实施例中,交换设备接收主机发送的发现服务器报文,获得所述发现服务器报文的第三信息,其中,所述第三信息中包括入端口、源MAC地址、VLAN标识;根据所述第三信息,建立安全表项(由于此时服务器还没有给主机分配会话标识信息,因此所建立的安全表项中不包括会话标识信息,还不是完整的安全表项);将所述发现服务器报文进行广播;
接收到上述交换设备广播的发现服务器报文、且能够为该主机提供服务的服务器会响应该报文,并通过上述交换设备向该主机发送发现响应报文,因此,上述交换设备接收服务器发送的发现响应报文并转发至该主机;
该主机接收到上述发现响应报文后,即可获知哪些服务器是可能与之建立会话进程的服务器,因此会通过上述交换设备向这些服务器发送服务请求报文,以建立会话进程,这样上述交换设备接收该主机发送的服务请求报文并转发至该服务器;
该服务器接收到上述服务请求报文后,为该主机分配会话标识信息并生成会话资源分配报文,然后通过上述交换设备向该主机发送上述会话资源分配报文,这样上述交换设备接收该服务器发送的会话资源分配报文后,从中获得所述会话资源分配报文的第四信息,第四信息中包括会话标识信息、目的MAC地址、VLAN标识;根据所述第四信息中的目的MAC地址、VLAN标识,确定所述会话资源分配报文匹配的安全表项;在所确定的安全表项中加入所述会话资源分配报文的会话标识信息。此时的安全表项中加入了会话标识信息,是完整的安全表项,该主机对应的安全表项建立完成。交换设备将所述会话资源分配报文转发至所述主机,至此主机和服务器之间的会话进程建立完成。
在本实施例中,第一信息中包括会话标识信息、入端口、MAC地址、VLAN标识,安全表项中包括会话标识信息与入端口、MAC地址、VLAN标识的对应关系,通过会话标识信息、入端口、MAC地址、VLAN标识对PPPoE会话报文进行验证,更进一步提高了验证的准确性。
在本发明所示实施例中,交换设备可以通过侦听主机与服务器之间交互的报文,建立安全表项,依据交换设备所接收到的报文不同,可以将主机与服务器器之间的交互过程划分为不同状态,具体的,参见图4,可以划分为5种状态:
NO_BIND:安全表项还未建立,空状态。
INIT:在NO_BIND状态接收到PADI报文之后安全表项迁移至本状态。
RCV_PADO:在INIT状态接收到PADO报文之后安全表项迁移至本状态。
RCV_PADR:在RCV_PADO状态或者NO_BIND状态接收到PADR报文之后安全表项迁移至本状态。
RCV_PADS:在RCV_PADR状态接收到PADS报文之后安全表项迁移至本状态。
鉴于上述情况,安全表项中还可以包含状态信息,以能够在建立安全表项的过程中使用户更直观地了解主机与服务器的交互过程中当前所处的状态。
还以上述例子进行说明,当交换设备接收到主机A发送的PADI报文,交换设备上新建INIT状态的安全表项(以下内容简称表项);获得PADI报文的入端口(Port 1)、源MAC地址(主机A的MAC地址)、VLAN标识;将获得的信息添加到表项中;将该PADI报文进行广播;
交换设备在Port 2上接收到服务器B发送的PADO报文,根据PADO报文的目的MAC地址(主机A的MAC地址)及VLAN标识查找表项,更新表项状态为RCV_PADO;将该PADO报文转发至主机A;
交换设备在Port 1上接收到主机A发送的PADR报文,根据PADR报文的源MAC地址(主机A的MAC地址)及VLAN标识查找表项,更新表项状态为RCV_PADR;将该PADR报文转发至服务器B;
交换设备在Port 2上接收到服务器B发送的PADS报文,根据PADS报文的目的MAC地址(主机A的MAC地址)及VLAN标识查找表项,在查找到的表项中加入PADS报文的会话标识信息,更新表项的状态为BOUND。
由于发现阶段会涉及到主机与服务器之间的多次报文交互,一旦进入发现阶段后,由于网络状态等各种因素的影响,若主机或者服务器在一定时长内未接收到相应报文,可以结束等待,退出本次发现阶段,以免占用网络资源,然后可以在间隔一定时长后再次尝试进入发现阶段。
鉴于上述情况,作为本发明的一种实施方式,在所述接收主机发送的发现服务器报文之后,还可以包括:
判断是否在第一预设时间段内接收到服务器发送的发现响应报文,如果否,删除建立的安全表项;
在所述接收服务器发送的发现响应报文之后,还可以包括:
判断是否在第二预设时间段内接收到所述主机发送的服务请求报文,如果否,删除建立的安全表项;
在所述接收所述主机发送的服务请求报文之后,还可以包括:
判断是否在第三预设时间段内接收到所述服务器发送的会话资源分配报文,如果否,删除建立的安全表项。
如图4中所示,可以设定一个定时器,在定时器中设定三个时间段,当然也可以设定三个定时器,比如:
当交换设备接收到主机A发送的PADI报文后,启动第一个定时器,判断是否在第一预设时间段内接收到服务器B发送的PADO报文,如果定时器超时,则删除建立的安全表项,当然也可以将安全表项的状态变更为NO_BIND;、
当交换设备接收到服务器B发送的PADO报文后,启动第二个定时器,判断是否在第二预设时间段内接收到主机A发送的PADR报文,如果定时器超时,则删除建立的安全表项,当然也可以将安全表项的状态变更为NO_BIND;
当交换设备接收到主机A发送的PADR报文后,启动第三个定时器,判断是否在第三预设时间段内接收到服务器B发送的PADS报文,如果定时器超时,则删除建立的安全表项,当然也可以将安全表项的状态变更为NO_BIND。
上述三个预设时间段可以相同,也可以不同。
如上所述,交换设备接收到服务器B发送的PADS报文,将会话标识信息加入至安全表项后,安全表项建立完成。
在实际应用中,如果出现定时器超时的情况,也就是说,交换设备没有在预定的时间内接收到相应的报文,则表示没有成功搭建针对此次会话的链路,因此也就不再保留针对此次会话建立的安全表项。
在上述图4所示实施例中,记录表项状态,能够使用户在建立安全表项的过程中更直观地了解安全表项当前所处的状态,当出现故障时,能够清楚地掌握出现故障的过程,更及时地对故障进行处理。
S104:如果匹配不成功,将所述PPPoE会话报文丢弃。
进入会话阶段后,将接收到的主机发送的PPPoE会话报文中包括的第一信息与建立的安全表项进行匹配,如果匹配成功,表示发送该报文的用户合法,对该报文正常转发,如果匹配不成功,则表示发送该报文的用户不合法,将该报文丢弃,避免了PPPoE应用中的非法用户攻击,提高了设备的工作效率。
应用本发明图3所示实施例,在发现阶段建立安全表项,将会话阶段接收到的主机发送的报文与建立的安全表项进行匹配,也就是将主机发送的PPPoE会话报文中的的会话标识信息与安全表项中的会话标识信息进行匹配,安全表项中的会话标识信息为服务器为主机分配的唯一标识该会话的信息,如果匹配不成功,表示该主机为非法用户,将该PPPoE会话报文丢弃,避免了PPPoE应用中的非法用户攻击,提高了设备的工作效率。
与上述的方法实施例相对应,本发明实施例还提供一种报文处理装置。
图5为本发明实施例提供的一种报文装置的结构示意图,包括:
第一接收模块201,用于接收主机发送的PPPoE会话报文;
第一获得模块202,用于获得所述PPPoE会话报文的第一信息,其中,所述第一信息中包括会话标识信息;
匹配模块203,用于将所述第一信息与安全表项进行匹配,其中,所述安全表项中包括会话标识信息;
丢弃模块204,用于当匹配模块203匹配不成功时,将所述PPPoE会话报文丢弃。
在本发明所示实施例中,所述装置还可以包括:第二接收模块、第二获得模块和第一建立模块(图中未示出),其中,
第二接收模块,用于接收服务器发送的会话资源分配报文;
第二获得模块,用于获得所述会话资源分配报文的第二信息,其中所述第二信息中包括会话标识信息;
第一建立模块,用于根据所述第二信息,建立安全表项。
在本发明所示实施例中,所述第一信息中还可以包括MAC地址和/或VLAN标识,所述安全表项中还可以包括会话标识信息与MAC地址和/或VLAN标识的对应关系,所述第二信息中还可以包括MAC地址和/或VLAN标识。
在本发明所示实施例中,所述第一信息中还可以包括MAC地址、或入端口及MAC地址,所述安全表项中还可以包括会话标识信息与MAC地址、或会话标识信息与入端口及MAC地址的对应关系;所述装置还可以包括:第三接收模块、第三获得模块、第一接收转发模块、第二接收转发模块、第四接收模块、第四获得模块、确定模块和加入模块(图中未示出),其中,
第三接收模块,用于接收主机发送的发现服务器报文;
第三获得模块,用于获得所述发现服务器报文的第三信息,其中,所述第三信息中包括源MAC地址、或入端口及源MAC地址;
第一接收转发模块,用于接收服务器发送的发现响应报文并转发至所述主机;
第二接收转发模块,用于接收所述主机发送的服务请求报文并转发至所述服务器;
第四接收模块,用于接收所述服务器发送的会话资源分配报文;
第四获得模块,用于获得所述会话资源分配报文的第四信息,其中所述第四信息中包括会话标识信息、目的MAC地址;
确定模块,用于根据所述目的MAC地址,确定所述会话资源分配报文匹配的安全表项;
加入模块,用于在所确定的安全表项中加入所述会话资源分配报文的会话标识信息。
在本发明所示实施例中,所述第一信息中还可以包括VLAN标识,所述安全表项中还可以包括会话标识信息与VLAN标识的对应关系,所述第三信息中还可以包括VLAN标识,所述第四信息中还可以包括VLAN标识;
所述确定模块,具体可以用于:
根据所述第四信息中的目的MAC地址及VLAN标识,确定所述会话资源分配报文匹配的安全表项。
在本发明所示实施例中,所述装置还可以包括:第一判断模块、第二判断模块、第三判断模块和删除模块(图中未示出),其中,
第一判断模块,用于判断在所述接收主机发送的发现服务器报文之后,是否在第一预设时间段内接收到服务器发送的发现响应报文;
第二判断模块,用于判断在所述接收服务器发送的发现响应报文之后,是否在第二预设时间段内接收到所述主机发送的服务请求报文;
第三判断模块,用于判断在所述接收所述主机发送的服务请求报文之后,是否在第三预设时间段内接收到所述服务器发送的会话资源分配报文;
删除模块,用于当所述第一判断模块判断结果为否时,或当所述第二判断模块判断结果为否时,或当所述第三判断模块判断结果为否时,删除建立的安全表项。
应用本发明图5所示实施例,在发现阶段建立安全表项,将会话阶段接收到的主机发送的报文与建立的安全表项进行匹配,也就是将主机发送的PPPoE会话报文中的的会话标识信息与安全表项中的会话标识信息进行匹配,安全表项中的会话标识信息为服务器为主机分配的唯一标识该会话的信息,如果匹配不成功,表示该主机为非法用户,将该PPPoE会话报文丢弃,避免了PPPoE应用中的非法用户攻击,提高了设备的工作效率。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (12)
1.一种报文处理方法,其特征在于,应用于交换设备,包括:
接收主机发送的PPPoE会话报文;
获得所述PPPoE会话报文的第一信息,其中,所述第一信息中包括会话标识信息;
将所述第一信息与安全表项进行匹配,其中,所述安全表项中包括会话标识信息;
如果匹配不成功,将所述PPPoE会话报文丢弃。
2.根据权利要求1所述的方法,其特征在于,所述安全表项的建立过程,包括:
接收服务器发送的会话资源分配报文;
获得所述会话资源分配报文的第二信息,其中,所述第二信息中包括会话标识信息;
根据所述第二信息,建立安全表项。
3.根据权利要求2所述的方法,其特征在于,所述第一信息中还包括MAC地址和/或VLAN标识,所述安全表项中还包括会话标识信息与MAC地址和/或VLAN标识的对应关系,所述第二信息中还包括MAC地址和/或VLAN标识。
4.根据权利要求1所述的方法,其特征在于,所述第一信息中还包括MAC地址、或入端口及MAC地址,所述安全表项中还包括会话标识信息与MAC地址、或会话标识信息与入端口及MAC地址的对应关系;
所述安全表项的建立过程,包括:
接收主机发送的发现服务器报文,获得所述发现服务器报文的第三信息,其中,所述第三信息中包括源MAC地址、或入端口及源MAC地址;根据所述第三信息,建立安全表项;将所述发现服务器报文进行广播;
接收服务器发送的发现响应报文并转发至所述主机;
接收所述主机发送的服务请求报文并转发至所述服务器;
接收所述服务器发送的会话资源分配报文,获得所述会话资源分配报文的第四信息,所述第四信息包括会话标识信息、目的MAC地址;根据所述目的MAC地址,确定所述会话资源分配报文匹配的安全表项;在所确定的安全表项中加入所述会话资源分配报文的会话标识信息。
5.根据权利要求4所述的方法,其特征在于,所述第一信息中还包括VLAN标识,所述安全表项中还包括会话标识信息与VLAN标识的对应关系,所述第三信息中还包括VLAN标识,所述第四信息中还包括VLAN标识;
所述根据所述目的MAC地址,确定所述会话资源分配报文匹配的安全表项,包括:
根据所述第四信息中的目的MAC地址及VLAN标识,确定所述会话资源分配报文匹配的安全表项。
6.根据权利要求4或5所述的方法,其特征在于,在所述接收主机发送的发现服务器报文之后,还包括:
判断是否在第一预设时间段内接收到服务器发送的发现响应报文,如果否,删除建立的安全表项;
在所述接收服务器发送的发现响应报文之后,还包括:
判断是否在第二预设时间段内接收到所述主机发送的服务请求报文,如果否,删除建立的安全表项;
在所述接收所述主机发送的服务请求报文之后,还包括:
判断是否在第三预设时间段内接收到所述服务器发送的会话资源分配报文,如果否,删除建立的安全表项。
7.一种报文处理装置,其特征在于,应用于交换设备,包括:
第一接收模块,用于接收主机发送的PPPoE会话报文;
第一获得模块,用于获得所述PPPoE会话报文的第一信息,其中,所述第一信息中包括会话标识信息;
匹配模块,用于将所述第一信息与安全表项进行匹配,其中,所述安全表项中包括会话标识信息;
丢弃模块,用于当所述匹配模块匹配不成功时,将所述PPPoE会话报文丢弃。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于接收服务器发送的会话资源分配报文;
第二获得模块,用于获得所述会话资源分配报文的第二信息,其中所述第二信息中包括会话标识信息;
第一建立模块,用于根据所述第二信息,建立安全表项。
9.根据权利要求8所述的装置,其特征在于,所述第一信息中还包括MAC地址和/或VLAN标识,所述安全表项中还包括会话标识信息与MAC地址和/或VLAN标识的对应关系,所述第二信息中还包括MAC地址和/或VLAN标识。
10.根据权利要求7所述的装置,其特征在于,所述第一信息中还包括MAC地址、或入端口及MAC地址,所述安全表项中还包括会话标识信息与MAC地址、或会话标识信息与入端口及MAC地址的对应关系;所述装置还包括:
第三接收模块,用于接收主机发送的发现服务器报文;
第三获得模块,用于获得所述发现服务器报文的第三信息,其中,所述第三信息中包括源MAC地址、或入端口及源MAC地址;
第一接收转发模块,用于接收服务器发送的发现响应报文并转发至所述主机;
第二接收转发模块,用于接收所述主机发送的服务请求报文并转发至所述服务器;
第四接收模块,用于接收所述服务器发送的会话资源分配报文;
第四获得模块,用于获得所述会话资源分配报文的第四信息,其中所述第四信息中包括会话标识信息、目的MAC地址;
确定模块,用于根据所述目的MAC地址,确定所述会话资源分配报文匹配的安全表项;
加入模块,用于在所确定的安全表项中加入所述会话资源分配报文的会话标识信息。
11.根据权利要求10所述的装置,其特征在于,所述第一信息中还包括VLAN标识,所述安全表项中还包括会话标识信息与VLAN标识的对应关系,所述第三信息中还包括VLAN标识,所述第四信息中还包括VLAN标识;
所述确定模块,具体用于:
根据所述第四信息中的目的MAC地址及VLAN标识,确定所述会话资源分配报文匹配的安全表项。
12.根据权利要求10或11所述的装置,其特征在于,所述装置还包括:
第一判断模块,用于判断在所述接收主机发送的发现服务器报文之后,是否在第一预设时间段内接收到服务器发送的发现响应报文;
第二判断模块,用于判断在所述接收服务器发送的发现响应报文之后,是否在第二预设时间段内接收到所述主机发送的服务请求报文;
第三判断模块,用于判断在所述接收所述主机发送的服务请求报文之后,是否在第三预设时间段内接收到所述服务器发送的会话资源分配报文;
删除模块,用于当所述第一判断模块判断结果为否时,或当所述第二判断模块判断结果为否时,或当所述第三判断模块判断结果为否时,删除建立的安全表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610519821.5A CN106131177B (zh) | 2016-06-29 | 2016-06-29 | 一种报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610519821.5A CN106131177B (zh) | 2016-06-29 | 2016-06-29 | 一种报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106131177A true CN106131177A (zh) | 2016-11-16 |
| CN106131177B CN106131177B (zh) | 2020-09-04 |
Family
ID=57468370
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610519821.5A Active CN106131177B (zh) | 2016-06-29 | 2016-06-29 | 一种报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106131177B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
| CN107547618A (zh) * | 2017-06-09 | 2018-01-05 | 新华三技术有限公司 | 一种会话拆除方法和装置 |
| CN111404870A (zh) * | 2019-11-13 | 2020-07-10 | 浙江中控技术股份有限公司 | 一种应用于Modbus实现安全可靠公网通信方法 |
| CN111884871A (zh) * | 2020-06-30 | 2020-11-03 | 苏州浪潮智能科技有限公司 | 一种交换机丢弃报文检测的方法和设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050033853A1 (en) * | 2003-08-04 | 2005-02-10 | Sbc Knowledge Ventures, L.P. | System and method to identify devices employing point-to-point-over Ethernet encapsulation |
| CN101459583A (zh) * | 2007-12-13 | 2009-06-17 | 华为技术有限公司 | 报文处理方法和装置、以及报文发送方法和装置 |
| CN101547158A (zh) * | 2009-05-13 | 2009-09-30 | 杭州华三通信技术有限公司 | PPPoE会话中的PADT报文交互方法和设备 |
| CN101621525A (zh) * | 2009-08-05 | 2010-01-06 | 杭州华三通信技术有限公司 | 合法表项的处理方法和设备 |
| CN102394857A (zh) * | 2011-06-29 | 2012-03-28 | 福建星网锐捷网络有限公司 | 以太网上点对点协议会话建立方法、装置及设备 |
| CN103139085A (zh) * | 2013-02-27 | 2013-06-05 | 华为技术有限公司 | 网络中组播业务实现的方法、接入设备及系统 |
| CN104009961A (zh) * | 2013-02-25 | 2014-08-27 | 杭州华三通信技术有限公司 | 一种PPPoE会话标识分配方法及设备 |
-
2016
- 2016-06-29 CN CN201610519821.5A patent/CN106131177B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050033853A1 (en) * | 2003-08-04 | 2005-02-10 | Sbc Knowledge Ventures, L.P. | System and method to identify devices employing point-to-point-over Ethernet encapsulation |
| CN101459583A (zh) * | 2007-12-13 | 2009-06-17 | 华为技术有限公司 | 报文处理方法和装置、以及报文发送方法和装置 |
| CN101547158A (zh) * | 2009-05-13 | 2009-09-30 | 杭州华三通信技术有限公司 | PPPoE会话中的PADT报文交互方法和设备 |
| CN101621525A (zh) * | 2009-08-05 | 2010-01-06 | 杭州华三通信技术有限公司 | 合法表项的处理方法和设备 |
| CN102394857A (zh) * | 2011-06-29 | 2012-03-28 | 福建星网锐捷网络有限公司 | 以太网上点对点协议会话建立方法、装置及设备 |
| CN104009961A (zh) * | 2013-02-25 | 2014-08-27 | 杭州华三通信技术有限公司 | 一种PPPoE会话标识分配方法及设备 |
| CN103139085A (zh) * | 2013-02-27 | 2013-06-05 | 华为技术有限公司 | 网络中组播业务实现的方法、接入设备及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
| CN107547618A (zh) * | 2017-06-09 | 2018-01-05 | 新华三技术有限公司 | 一种会话拆除方法和装置 |
| CN107547618B (zh) * | 2017-06-09 | 2020-11-06 | 新华三技术有限公司 | 一种会话拆除方法和装置 |
| CN111404870A (zh) * | 2019-11-13 | 2020-07-10 | 浙江中控技术股份有限公司 | 一种应用于Modbus实现安全可靠公网通信方法 |
| CN111404870B (zh) * | 2019-11-13 | 2022-05-31 | 浙江中控技术股份有限公司 | 一种应用于Modbus实现安全可靠公网通信方法 |
| CN111884871A (zh) * | 2020-06-30 | 2020-11-03 | 苏州浪潮智能科技有限公司 | 一种交换机丢弃报文检测的方法和设备 |
| CN111884871B (zh) * | 2020-06-30 | 2022-08-19 | 苏州浪潮智能科技有限公司 | 一种交换机丢弃报文检测的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106131177B (zh) | 2020-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100651715B1 (ko) | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 | |
| CN104426837B (zh) | Ftp的应用层报文过滤方法及装置 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN106131177A (zh) | 一种报文处理方法及装置 | |
| CN104283858B (zh) | 控制用户终端接入的方法、装置及系统 | |
| CN105556915B (zh) | 一种多链路的融合方法和服务器、客户端以及系统 | |
| CN103874069B (zh) | 一种无线终端mac认证装置和方法 | |
| CN103491076B (zh) | 一种网络攻击的防范方法和系统 | |
| CN104601566B (zh) | 认证方法以及装置 | |
| CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
| CN107438074A (zh) | 一种DDoS攻击的防护方法及装置 | |
| CN103067407B (zh) | 用户终端接入网络的认证方法及装置 | |
| Chadalapaka et al. | Internet small computer system interface (iSCSI) protocol (consolidated) | |
| CN104009972B (zh) | 网络安全接入的认证系统及其认证方法 | |
| CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| CN112333214B (zh) | 一种用于物联网设备管理的安全用户认证方法及系统 | |
| CN102404346A (zh) | 一种互联网用户访问权限的控制方法及系统 | |
| TW201212614A (en) | Network devices and authentication protocol methods thereof | |
| CN101252584A (zh) | 双向转发检测协议会话的认证方法、系统和设备 | |
| CN113746788A (zh) | 一种数据处理方法及装置 | |
| CN107277058A (zh) | 一种基于bfd协议的接口认证方法及系统 | |
| CN102546429B (zh) | 基于dhcp监听的isatap隧道的认证方法和系统 | |
| EP2084880B1 (en) | Method and a first device for associating the first device with a second device | |
| CN100471167C (zh) | 无线接入宽带用户的管理方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Industrial Park, high tech Industrial Development Zone, Zhejiang Province, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |