CN108737273A - 一种报文处理方法和装置 - Google Patents
一种报文处理方法和装置 Download PDFInfo
- Publication number
- CN108737273A CN108737273A CN201810445097.5A CN201810445097A CN108737273A CN 108737273 A CN108737273 A CN 108737273A CN 201810445097 A CN201810445097 A CN 201810445097A CN 108737273 A CN108737273 A CN 108737273A
- Authority
- CN
- China
- Prior art keywords
- ospf
- state
- router
- white list
- neighbor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/32—Flooding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种报文处理方法和装置,该方法应用于使能OSPF协议的本地路由器,包括:接收邻居路由器发送的第一OSPF报文;当第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,记录第一OSPF报文的源IP地址和OSPF协议号,并记录接收所述OSPF报文的接口的接口IP地址;将记录的所述源IP地址、所述OSPF协议号和所述接口IP地址作为一个白名单表项添加到白名单中;依据所述白名单处理接收到的第二OSPF报文。本方法利用OSPF邻居状态机来记录白名单的方法,使得运行OSPF业务的接口在受到OSFP DDoS攻击时,也可以避免因OSPF DDoS攻击导致的邻居震荡。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种报文处理方法和装置。
背景技术
OSPF(Open Shortest Path First,开放式最短路径优先)是一个内部网关协议,用于在单一AS(Autonomous System,自治系统)内决策路由。在同一个路由域里,运行OSPF协议的路由器通过交互和泛洪LSA(Link State Advertisement,链路状态通告),各自维护一个相同LSDB(Link State Database,链路状态数据库)。
目前攻击源可以伪造大量的OSPF报文,并向网络设备发送这些伪造的OSPF报文,对网络设备进行DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。网络设备因处理这些伪造的OSPF报文而无法处理正常的OSPF报文,从而导致正常的OSPF功能无法使用。
发明内容
有鉴于此,本申请提供一种报文处理方法和装置,用以避免因OSPF DDoS攻击导致OSPF邻居震荡。
具体地,本申请是通过如下技术方案实现的:
本申请第一方面,提供了一种报文处理方法,所述方法应用于使能OSPF协议的本地路由器,所述方法包括:
接收邻居路由器发送的第一OSPF报文,所述第一OSPF报文包括源IP地址和OSPF协议号;
当所述第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,记录所述源IP地址和OSPF协议号,并记录接收所述OSPF报文的接口的接口IP地址;
将记录的所述源IP地址、所述OSPF协议号和所述接口IP地址作为一个白名单表项添加到白名单中;
依据所述白名单处理接收到的第二OSPF报文。本申请第二方面,提供了一种本地路由器,所述本地路由器使能OSPF协议,具有实现上述第一方面提供的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块或单元。
一种可能的实现方式中,所述本地路由器可以包括:
接收单元,用于接收邻居路由器发送的第一OSPF报文,所述第一OSPF报文包括源IP地址和OSPF协议号;
记录单元,用于当所述第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,记录所述源IP地址和OSPF协议号,并记录接收所述OSPF报文的接口的接口IP地址;
白名单处理单元,用于将记录的所述源IP地址、所述OSPF协议号和所述接口IP地址作为一个白名单表项添加到白名单中;
报文处理单元,用于依据所述白名单处理所述接收单元接收到的第二OSPF报文。
另一种可能的实现方式中,所述本地路由器可以包括CPU和硬件芯片,其中,
所述硬件芯片,用于接收邻居路由器发送的第一OSPF报文,并将所述第一OSPF报文上送到所述CPU;
所述CPU,用于当所述第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,记录所述第一OSPF报文包括的源IP地址和OSPF协议号,并记录接收所述OSPF报文的接口的接口IP地址;将记录的所述源IP地址、所述OSPF协议号和所述接口IP地址作为一个白名单表项下发给所述硬件芯片,指示硬件芯片将该白名单表项添加到白名单中;
所述硬件芯片,还用于依据所述白名单处理接收到的第二OSPF报文。
本申请第三方面,提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现本申请第二方面中记录单元和白名单处理单元所执行的功能。
本申请利用OSPF邻居状态机来记录白名单的方法,使得运行OSPF业务的接口在受到OSFP DDoS攻击时,也可以避免因OSPF DDoS攻击导致的邻居震荡。
附图说明
图1是OSPF邻居状态机的示意图;
图2是一种OSPF虚连接的示意图;
图3是本申请提供的方法流程图;
图4是本申请提供的装置功能模块框图;
图5是本申请提供的图4所示装置的硬件结构图。
具体实施方式
以下,对本申请中的部分用语进行解释说明,以便于本领域技术人员理解。
“OSFP邻居状态机”:参见图1所示,在OSPF邻居建立过程中,本地路由器在和邻居路由器达到完全邻接关系之前,要经过几个状态,这些状态在OSPF RFC(Request ForComments,请求注解协议)2328有相关的定义,分别是Down,Attempt,Init,2-Way,Exstart,Exchange,Loading和Full,各状态含义如下:
Down:这是第一个OSPF邻居状态,在这个状态下本地路由器没有从邻居路由器那收到任何信息(包括hello包)。不过在这个状态下,本地路由器可以主动发出hello包给自己的邻居路由器。当路由器之间是Full状态时,如果在路由无效时间间隔(Router DeadInterval)内没有从邻居路由器收到任何hello包,或者手工配置的邻居信息被移除,那么邻居状态会从Full变为Down;
Attempt:此状态仅存在于NBMA(Non-Broadcast Multi-Access,非广播多路访问)网络中手工配置邻居的情况下。在这个状态下,本地路由器发送单播的hello包给邻居路由器而且在Router Dead Interval超时之前没有收到邻居路由器发过来的hello包;
Init:此状态说明本地路由器已经收到了来自邻居路由器发送的hello包,但没有从hello包中发现自己的Router ID(路由标识),此时通信是单向的;
2-Way:双向会话建立状态,此状态说明了两台路由器之间已经建立了双向的连接,每一个路由器都已经收到了对方的hello包。这个状态发生在本地路由器收到了一个包含自己Router ID的hello包。在这个状态下,本地路由器决定是否要去跟邻居路由器建立关系。在广播和NBMA网络类型中,一个路由器仅与DR(Designated Router,指定路由器)和BDR(Backup Designated Router,备份指定路由器)建立Full状态关系,而和其它路由器最终停留在2-Way状态。在点对点和点对多点网络类型中,路由器和所有相连接的路由器最终都达到Full状态;
Exstart:信息交换初始状态,在该状态下,本地路由器和邻居路由器将建立Master/Slave关系;
Exchange:信息交换状态,本地路由器和邻居路由器交换一个或多个DBD(database descriptor)分组;
Loading:信息加载状态,此状态下发生的是真正的链路状态信息交换。基于DBD报文所提供的信息,本地路由器会发送链路状态请求报文;
Full:本地路由器和其邻居路由器会达到完全邻接状态,此时邻接间的链路状态数据库同步完成。
“虚连接(Virtual Link)”:指两台ABR(Area Border Router,区域边界路由器)之间通过一个非骨干区域而建立的一条逻辑上的连接通道。OSPF划分区域之后,并非所有的区域都是平等的关系。其中有一个区域是与众不同的,它的区域号(Area ID)是0,通常被称为骨干区域。所有非骨干区域必须与骨干区域保持连通,但在实际应用中,可能会因为各方面条件的限制,无法满足这个要求,这时可以通过配置OSPF虚连接予以解决。参考图2,为一种虚连接的示意图。
下面结合说明书附图和各实施例对本申请技术方案进行说明。
在OSPF区域中,由于虚连接的存在,路由器可以跨设备发送OSPF报文,但这也使得攻击源可以更容易地跨设备发起OSPF DDoS攻击。
一种防御OSPF DDoS攻击的方案是,在接口上开启针对OSPF报文的限速功能,对OSPF报文上送处理器的速率进行控制。但这种方案中,路由器无法区分哪些OSPF报文是攻击报文,哪些OSPF报文是合法报文,从而已经运行OSPF业务的接口可能因收到的OSPF报文过多而限速丢掉合法的OSPF报文,造成OSPF邻居震荡。
为保护已经建立好的OSPF邻居,本申请提供了如图3所示的流程:
参见图3,图3为本申请提供的报文处理方法,该方法应用于使能OSPF协议的本地路由器,如图3所述,该方法可包括以下步骤:
步骤301:接收邻居路由器发送的第一OSPF报文,该第一OSPF报文包括源IP地址和OSPF协议号。
步骤302:当上述OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,记录该OSPF报文所包括的源IP地址和OSPF协议号,并记录接收该OSPF报文的接口的接口IP地址。
本申请中,第一状态为第二状态的前一个状态(邻居状态机一般不会出现状态跳变的情况),第二状态用于指示本地路由器与邻居路由器建立了双向的连接。
例如,可以利用现有的2-Way状态作为第二状态,则对应的第一状态为Init状态;可以利用现有的Exstart状态作为第二状态,则对应的第一状态为2-Way状态;可以利用现有的Exchange状态作为第二状态,则对应的第一状态为Exstart状态;可以利用现有的Loading状态作为第二状态,则对应的第一状态为Exchange状态;可以利用现有的Full状态作为第二状态,则对应的第一状态为Exchange状态或Loading状态。当然,也可以定义在功能上与上述各状态类似的新状态。
在建立OSPF邻居的过程中,本地路由器可以为每个邻居路由器建立一个对应的邻居状态机。这里以两台路由器之间建立邻居关系为例,说明邻居状态机切换为2-Way状态的过程:
1)、R1发送hello包(组播或者单播,由链路层类型来定),其中邻居neighbor字段中包含R1的Router ID;hello包是type=1的OSPF报文;
2)、R2收到hello包,为R1建立一个邻居状态机(即一个邻居数据结构),并把R1的邻居状态置为Init状态,然后向R1发送hello包,neighbor字段中包含R1的Router ID,表示R2收到了R1的hello包;
3)、R1收到R2的hello包之后,为R2建立一个邻居状态机,并把邻居状态置为2-Way状态,然后向R2发送hello包,hello包的neighbor字段中包含R2的Router ID;
4)、R2收到R1的hello包后,把R1的邻居状态置为2-Way状态。
至此,R1和R2之间的邻居关系就建立起来了。
如果这里的R1是攻击源,由于攻击源不会回应hello包,所以在进行到上述第2步之后,不会再有后续的第3步和第4步,这意味着R2为攻击源R1建立的邻居状态机永远不会到达2-Way状态,从而更不会到达Exstart状态、Exchange状态、Loading状态和Full状态。本申请正是基于这个原理,利用OSPF建立邻居时的邻居状态机,来判断一个OSPF报文是攻击报文还是合法报文,进而将合法的OSPF报文的相关特征加入白名单,具体步骤如下:
步骤303:将上述记录的源IP地址、OSPF协议号和接口IP地址作为一个白名单表项添加到白名单中。
其中,上述OSPF报文的源IP地址即发送该OSPF报文的邻居路由器的IP地址,OSPF协议号默认为89。这里,路由器默认以OSPF报文的源IP地址、OSPF协议号和本地路由器接收该OSPF报文的接口IP地址这个三元组建立白名单表项。
白名单的形式可以参考下表1所示例,包括源IP地址、目的IP地址和协议号三个匹配项。上述记录的OSPF报文的源IP地址、接口IP地址和OSPF协议号分别记录到这三个匹配项中;若某个报文匹配某个白名单表项,则意味着该报文的源IP地址与该白名单表项的源IP地址匹配项一致,该报文的协议号与该白名单表项的协议号匹配项一致,以及负责接收该报文的路由器接口的接口IP地址与该白名单的目的IP地址匹配项一致。
这里,在白名单中设置协议号作为一个匹配项的目的,是用于匹配OSPF报文,以专门应对OSPF DDoS攻击;在白名单中设置目的IP地址作为一个匹配项的目的,是考虑到虚连接的存在,OSPF报文可以跨设备发送,某个路由器的邻居路由器发出的OSPF报文的目的地可能并不是该路由器而是其它路由器,所以增加目的IP地址可以加强过滤效果。当然在应用中,也可以在白名单中去除目的IP地址这一匹配项,即在收到报文时只判断该报文是否是合法的邻居路由器发送的OSPF报文,但这样在过滤效果会有所降低。
表1
为便于理解,这里以图2中的R1为例说明如何在白名单中添加白名单表项,其它路由器(如R0、R2、R3和R3等)的处理参见R1,不作赘述。
如图2所示,R1的OSPF邻居路由器有R0、R2和R3,则R1可以在本地的白名单中增加如表2所示的3个白名单表项:
表2
在一个例子中,考虑到在本地路由器与邻居路由器之间的连接是普通连接(即非虚连接)的情况下,该邻居路由器发送给本地路由器的OSPF报文除了可能是单播报文,还可能是组播报文。
为了同时实现对合法的邻居路由器发送的组播OSPF报文的优先处理,本地路由器在执行步骤303之前或之后,还可以执行以下步骤:当第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,判断发送该第一OSPF报文的邻居路由器与本地路由器之间的连接是否是虚连接(可以根据第一OSPF报文的报文头确定二者之间的连接是否是虚连接);如果否,则表示邻居路由器与本地路由器之间的连接为普通连接,本地路由器可以将该OSPF报文的源IP地址、OSPF协议号和预设的OSPF组播地址(默认为224.0.0.5和224.0.0.6)作为一个白名单表项添加到白名单中。
仍以图2中的R1为例,参见表3所示,为在表2的基础上的白名单表项示例:
表3
源IP地址匹配项 | 目的IP地址匹配项 | 协议号匹配项 |
R0的IP地址 | R1的接口IP_1地址 | 89 |
R2的IP地址 | R1的接口IP_2地址 | 89 |
R3的IP地址 | R1的接口IP_3地址 | 89 |
R0的IP地址 | 224.0.0.5、224.0.0.6 | 89 |
R2的IP地址 | 224.0.0.5、224.0.0.6 | 89 |
步骤304:依据白名单处理接收到的第二OSPF报文。
在一个例子中,路由器承担着路由学习、数据报文转发等重要的工作,其系统的稳定性是非常重要的。因此,技术人员将路由器的系统结构从功能上分割为控制层面和转发层面。如此,将控制层面和转发层面相对独立,以减少相互影响。
其中,控制层面可以由CPU(Central Processing Unit,中央处理器)实现,转发层面可以由硬件芯片实现。本申请中,控制层面负责根据邻居状态机的变化生成白名单表项并下发到转发层面的白名单中,转发层面负责依据白名单对收到的报文进行处理。
具体为:在接收到第二OSPF报文时,判断该第二OSPF报文是否与白名单中的白名单表项匹配;若匹配,则确定该第二OSPF报文是合法的邻居路由器发送的,所以优先将该第二OSPF报文上送控制层面,由控制层面处理该报文;若不匹配,则对该第二OSPF报文进行限速处理:将该报文送入普通协议队列,届时处理到该第二OSPF报文时再将其上送控制层面。
对于合法的邻居路由器而言,在本地路由器为其建立的邻居状态机从第一状态切换为第二状态之前,该邻居路由器发送的OSPF报文到达本地路由器时,由于不匹配此时的白名单,将暂时受到限速处理;而在本地路由器为其建立的邻居状态机切换为第二状态之后,本地路由器会将该邻居路由器的特征添加到白名单中,该邻居路由器后续发送的OSPF报文到达本地路由器时将得到优先处理。但对于攻击源而言,由于本地路由器为其建立的邻居状态机永远不会到达第二状态,本地路由器不会将攻击源的特征添加到白名单中,因此攻击源发送的OSPF报文到达本地路由器时总是会受到限速处理。如此,可以在很大程度上避免接口在收到过多OSPF报文时限速丢掉合法的OSPF报文。
需要注意的是,本申请中白名单并不是一成不变的,它根据邻居状态机的变化增加相应的白名单表项,也根据邻居状态机的变化删除相应的白名单表项,具体为:当某个邻居状态机从一个第三状态切换为第四状态时,确定该邻居状态机对应的邻居路由器的IP地址,然后将包含该邻居路由器的IP地址的白名单表项从白名单中删除。
作为一种实现方式,这里的第三状态可以用于指示本地路由器与邻居路由器建立了双向的连接;第四状态可以用于指示本地路由器与邻居路由器建立了单向的连接,或者,本地路由器与邻居路由器之间无连接。
例如,可以利用现有的除Init状态、Down之外的其它状态作为第三状态,第三状态具体可以是2-Way状态、Exstart状态、Exchange状态、Loading状态和Full状态中的任一状态;以及可以利用现有的Init状态或者Down状态作为第四状态。当然,也可以定义在功能上与上述各状态类似的新状态。
应用中,本地路由器在Router Dead Interval内没有从状态为Full状态的邻居路由器那收到任何hello包,或者手工配置的邻居信息被移除,都可能导致该路由器上保存的该邻居的邻居状态机切换为Down状态。或者,如果本地路由器与邻居路由器之间的链路故障导致邻居路由器收不到本地路由器发出的hello包,则可能导致该路由器上保存的该邻居路由器的邻居状态机切换为Init状态。
至此,完成图3所示流程。
通过图3所示流程能够利用OSPF邻居状态机来记录白名单的方法,使得运行OSPF业务的接口在受到OSFP DDoS攻击时,也可以避免因OSPF DDoS攻击导致的邻居震荡。
以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述。
参见图4,为本申请实施例提供的一种本地路由器的功能模块框图。该本地路由器使能OSPF协议,该本地路由器可包括以下单元:
接收单元401,用于接收邻居路由器发送的第一OSPF报文,所述第一OSPF报文包括源IP地址和OSPF协议号;
记录单元402,用于当所述第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,记录所述源IP地址和OSPF协议号,并记录接收所述OSPF报文的接口的接口IP地址;
白名单处理单元403,用于将记录的所述源IP地址、所述OSPF协议号和所述接口IP地址作为一个白名单表项添加到白名单中;
报文处理单元404,用于依据所述白名单处理所述接收单元401接收到的第二OSPF报文。
在其中一种实施方式中,所述白名单处理单元403,还用于当所述第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,判断所述邻居路由器与所述本地路由器之间的连接是否是虚连接;如果否,则将所述源IP地址、所述OSPF协议号和预设的OSPF组播地址作为一个白名单表项添加到白名单中。
在其中一种实施方式中,所述报文处理单元404,用于当所述接收单元401接收到第二OSPF报文时,判断所述第二OSPF报文是否与所述白名单中的白名单表项匹配;若匹配,则优先处理所述第二OSPF报文;若不匹配,则对所述第二OSPF报文进行限速处理。
在其中一种实施方式中,所述白名单处理单元403,还用于当所述邻居状态机从第三状态切换为第一状态或第四状态时,确定所述邻居状态机对应的邻居路由器的IP地址;将包含所述邻居路由器的IP地址的白名单表项从白名单中删除。
在其中一种实施方式中,所述第一状态为第二状态的前一个状态,所述第二状态用于指示本地路由器与所述邻居路由器建立了双向的连接。
在其中一种实施方式中,所述第一状态为Init状态,所述第二状态为2-Way状态。
在其中一种实施方式中,所述第三状态用于指示本地路由器与所述邻居路由器建立了双向的连接;所述第四状态用于指示本地路由器与所述邻居路由器建立了单向的连接,或者,本地路由器与所述邻居路由器之间无连接。
在其中一种实施方式中,所述第三状态为初始Init状态、无效Down状态外的其它状态;所述第四状态为初始Init状态或无效Down状态。
本实施例中未尽之细节可参考上述图3所示方法中有关描述,在此不再赘述。
至此,完成图4所示装置的结构描述。
对应地,本申请还提供了图4所示装置的硬件结构。参见图5,图5为本申请提供的图4所示本地路由器的硬件结构示意图,该本地路由器包括:硬件芯片501和CPU(CentralProcessing Unit,中央处理器)502。当然,该装置可能还包括其他硬件(例如存储器等)与CPU、硬件芯片交互实现本发明上述提供的操作,其中,上述其他硬件与CPU、硬件芯片交互可采用现有技术的方案,只要能够实现上述CPU和硬件芯片的功能即可。
硬件芯片501可以用于实现本地路由器的转发层面功能,CPU 502可以用于实现本地路由器的控制层面功能,具体如下:
所述硬件芯片501,用于接收邻居路由器发送的第一OSPF报文,并将所述第一OSPF报文上送到所述CPU 502;
所述CPU 502,用于当所述第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,记录所述第一OSPF报文包括的源IP地址和OSPF协议号,并记录接收所述OSPF报文的接口的接口IP地址;将记录的所述源IP地址、所述OSPF协议号和所述接口IP地址作为一个白名单表项下发给所述硬件芯片501,指示硬件芯片501将该白名单表项添加到白名单中;
所述硬件芯片501,还用于依据所述白名单处理接收到的第二OSPF报文。
至此,完成图5所示装置的结构描述。
此外,本申请还提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被CPU调用和执行时,所述机器可执行指令促使所述处理器实现图4所示装置中记录单元402和白名单处理单元403所执行的功能。
以上所述仅为本公开的较佳实施例而已,并不用以限制本公开,凡在本公开的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本公开保护的范围之内。
Claims (12)
1.一种报文处理方法,其特征在于,所述方法应用于使能开放式最短路径优先OSPF协议的本地路由器,所述方法包括:
接收邻居路由器发送的第一OSPF报文,所述第一OSPF报文包括源IP地址和OSPF协议号;
当所述第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,记录所述源IP地址和OSPF协议号,并记录接收所述OSPF报文的接口的接口IP地址;
将记录的所述源IP地址、所述OSPF协议号和所述接口IP地址作为一个白名单表项添加到白名单中;
依据所述白名单处理接收到的第二OSPF报文。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,判断所述邻居路由器与所述本地路由器之间的连接是否是虚连接;
如果否,则将所述源IP地址、所述OSPF协议号和预设的OSPF组播地址作为一个白名单表项添加到白名单中。
3.如权利要求1所述的方法,其特征在于,所述依据所述白名单处理接收到的第二OSPF报文,包括:
当接收到第二OSPF报文时,判断所述第二OSPF报文是否与所述白名单中的白名单表项匹配;
若匹配,则优先处理所述第二OSPF报文;
若不匹配,则对所述第二OSPF报文进行限速处理。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述邻居状态机从第三状态切换为第一状态或第四状态时,确定所述邻居状态机对应的邻居路由器的IP地址;
将包含所述邻居路由器的IP地址的白名单表项从白名单中删除。
5.如权利要求1、2或4所述的方法,其特征在于,所述第一状态为第二状态的前一个状态,所述第二状态用于指示本地路由器与所述邻居路由器建立了双向的连接。
6.如权利要求5所述的方法,其特征在于,所述第一状态为初始Init状态,所述第二状态为双向会话建立2-Way状态。
7.如权利要求4所述的方法,其特征在于,所述第三状态用于指示本地路由器与所述邻居路由器建立了双向的连接;
所述第四状态用于指示本地路由器与所述邻居路由器建立了单向的连接,或者,本地路由器与所述邻居路由器之间无连接。
8.如权利要求7所述的方法,其特征在于,所述第三状态为初始Init状态、无效Down状态外的其它状态;所述第四状态为初始Init状态或无效Down状态。
9.一种本地路由器,其特征在于,所述本地路由器使能开放式最短路径优先OSPF协议,所述本地路由器包括:
接收单元,用于接收邻居路由器发送的第一OSPF报文,所述第一OSPF报文包括源IP地址和OSPF协议号;
记录单元,用于当所述第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,记录所述源IP地址和OSPF协议号,并记录接收所述OSPF报文的接口的接口IP地址;
白名单处理单元,用于将记录的所述源IP地址、所述OSPF协议号和所述接口IP地址作为一个白名单表项添加到白名单中;
报文处理单元,用于依据所述白名单处理所述接收单元接收到的第二OSPF报文。
10.如权利要求9所述的本地路由器,其特征在于,
所述白名单处理单元,还用于当所述第一OSPF报文触发本地建立的邻居状态机从第一状态切换为第二状态时,判断所述邻居路由器与所述本地路由器之间的连接是否是虚连接;
如果否,则将所述源IP地址、所述OSPF协议号和预设的OSPF组播地址作为一个白名单表项添加到白名单中。
11.如权利要求9所述的本地路由器,其特征在于,
所述报文处理单元,用于当所述接收单元接收到第二OSPF报文时,判断所述第二OSPF报文是否与所述白名单中的白名单表项匹配;
若匹配,则优先处理所述第二OSPF报文;若不匹配,则对所述第二OSPF报文进行限速处理。
12.如权利要求9所述的本地路由器,其特征在于,
所述白名单处理单元,还用于当所述邻居状态机从第三状态切换为第一状态或第四状态时,确定所述邻居状态机对应的邻居路由器的IP地址;
将包含所述邻居路由器的IP地址的白名单表项从白名单中删除。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810445097.5A CN108737273B (zh) | 2018-05-10 | 2018-05-10 | 一种报文处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810445097.5A CN108737273B (zh) | 2018-05-10 | 2018-05-10 | 一种报文处理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108737273A true CN108737273A (zh) | 2018-11-02 |
CN108737273B CN108737273B (zh) | 2021-03-23 |
Family
ID=63937228
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810445097.5A Active CN108737273B (zh) | 2018-05-10 | 2018-05-10 | 一种报文处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108737273B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109873764A (zh) * | 2019-02-21 | 2019-06-11 | 杭州迪普科技股份有限公司 | 建立定向ospf邻居关系的方法、装置、电子设备 |
CN110445714A (zh) * | 2019-08-12 | 2019-11-12 | 徐州恒佳电子科技有限公司 | 一种基于ospf虚链路的改进型区域通信方法 |
CN110601985A (zh) * | 2019-09-17 | 2019-12-20 | 北京东土军悦科技有限公司 | 一种接口配置信息切换方法、装置、设备及存储介质 |
CN114553765A (zh) * | 2022-01-29 | 2022-05-27 | 苏州浪潮智能科技有限公司 | 一种ospf邻居震荡处理的方法、装置及介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070058631A1 (en) * | 2005-08-12 | 2007-03-15 | Microsoft Corporation | Distributed network management |
CN101026510A (zh) * | 2007-01-31 | 2007-08-29 | 华为技术有限公司 | 一种网络流量异常检测方法和系统 |
CN101257490A (zh) * | 2008-02-03 | 2008-09-03 | 杭州华三通信技术有限公司 | 一种防火墙旁路模式下的报文处理方法和系统 |
CN102215112A (zh) * | 2010-04-08 | 2011-10-12 | 杭州华三通信技术有限公司 | 应用于FCoE组网的优化FSPF协议的方法及交换机 |
CN103748992B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 基于时间自动机的网络攻击意图动态识别系统 |
CN102542191A (zh) * | 2010-12-31 | 2012-07-04 | 深圳市证通电子股份有限公司 | Rtl级ip核的保护方法 |
CN102624635A (zh) * | 2012-04-23 | 2012-08-01 | 杭州华三通信技术有限公司 | 一种平滑重启实现方法及设备 |
CN103414729A (zh) * | 2013-08-29 | 2013-11-27 | 中国科学院计算技术研究所 | 一种路由攻击的检测系统和方法 |
CN103607346A (zh) * | 2013-11-17 | 2014-02-26 | 北京工业大学 | 可信路由器中ospf协议的异常和攻击检测方法 |
-
2018
- 2018-05-10 CN CN201810445097.5A patent/CN108737273B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070058631A1 (en) * | 2005-08-12 | 2007-03-15 | Microsoft Corporation | Distributed network management |
CN101026510A (zh) * | 2007-01-31 | 2007-08-29 | 华为技术有限公司 | 一种网络流量异常检测方法和系统 |
CN101257490A (zh) * | 2008-02-03 | 2008-09-03 | 杭州华三通信技术有限公司 | 一种防火墙旁路模式下的报文处理方法和系统 |
CN102215112A (zh) * | 2010-04-08 | 2011-10-12 | 杭州华三通信技术有限公司 | 应用于FCoE组网的优化FSPF协议的方法及交换机 |
CN103748992B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 基于时间自动机的网络攻击意图动态识别系统 |
CN102542191A (zh) * | 2010-12-31 | 2012-07-04 | 深圳市证通电子股份有限公司 | Rtl级ip核的保护方法 |
CN102624635A (zh) * | 2012-04-23 | 2012-08-01 | 杭州华三通信技术有限公司 | 一种平滑重启实现方法及设备 |
CN103414729A (zh) * | 2013-08-29 | 2013-11-27 | 中国科学院计算技术研究所 | 一种路由攻击的检测系统和方法 |
CN103607346A (zh) * | 2013-11-17 | 2014-02-26 | 北京工业大学 | 可信路由器中ospf协议的异常和攻击检测方法 |
Non-Patent Citations (3)
Title |
---|
WANG MING-HAO ET AL.: "The security analysis and attacks detection of ospf routing protocol", 《IEEE:ICICTA》 * |
王先培等: "运用实时协议分析检测针对OSPF路由协议的攻击", 《东南大学学报(自然科学版)》 * |
高一为等: "基于数据预处理的DDoS攻击检测方法研究", 《信息安全》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109873764A (zh) * | 2019-02-21 | 2019-06-11 | 杭州迪普科技股份有限公司 | 建立定向ospf邻居关系的方法、装置、电子设备 |
CN109873764B (zh) * | 2019-02-21 | 2021-12-24 | 杭州迪普科技股份有限公司 | 建立定向ospf邻居关系的方法、装置、电子设备 |
CN110445714A (zh) * | 2019-08-12 | 2019-11-12 | 徐州恒佳电子科技有限公司 | 一种基于ospf虚链路的改进型区域通信方法 |
CN110445714B (zh) * | 2019-08-12 | 2021-08-20 | 徐州恒佳电子科技有限公司 | 一种基于ospf虚链路的改进型区域通信方法 |
CN110601985A (zh) * | 2019-09-17 | 2019-12-20 | 北京东土军悦科技有限公司 | 一种接口配置信息切换方法、装置、设备及存储介质 |
CN110601985B (zh) * | 2019-09-17 | 2022-03-29 | 北京东土军悦科技有限公司 | 一种接口配置信息切换方法、装置、设备及存储介质 |
CN114553765A (zh) * | 2022-01-29 | 2022-05-27 | 苏州浪潮智能科技有限公司 | 一种ospf邻居震荡处理的方法、装置及介质 |
CN114553765B (zh) * | 2022-01-29 | 2023-06-23 | 苏州浪潮智能科技有限公司 | 一种ospf邻居震荡处理的方法、装置及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108737273B (zh) | 2021-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9001827B2 (en) | Methods for configuring network switches | |
EP3198822B1 (en) | Computer network packet flow controller | |
JP6080313B2 (ja) | 仮想ネットワークを実装及び管理するシステム及び方法 | |
US8799391B2 (en) | Methods, systems, and computer readable media for inter-diameter-message processor routing | |
US9197721B2 (en) | Learning a MAC address | |
JP4231766B2 (ja) | As間の経路制御を行う通信装置および通信方法。 | |
US9185056B2 (en) | System and methods for controlling network traffic through virtual switches | |
CN108737273A (zh) | 一种报文处理方法和装置 | |
US10237179B2 (en) | Systems and methods of inter data center out-bound traffic management | |
US8750304B2 (en) | Controlling directional asymmetricity in wide area networks | |
US20150334057A1 (en) | Packet forwarding | |
US20110274112A1 (en) | Method and Apparatus for Forwarding Data Packets using Aggregating Router Keys | |
CN107018056A (zh) | 具有mac(l2)级认证、安全和策略控制的增强的evpn mac路由通知 | |
US9548900B1 (en) | Systems and methods for forwarding network packets in a network using network domain topology information | |
CN111200611B (zh) | 基于边界接口等价类的域内源地址验证方法及装置 | |
WO2019196562A1 (zh) | 报文处理方法、装置、存储介质及处理器 | |
US20120020364A1 (en) | Border gateway protocol inbound policy optimization | |
WO2017054770A1 (zh) | 集群通信 | |
CN108289044B (zh) | 数据转发方法、确定静态路由的链路状态方法及网络设备 | |
EP3614794A1 (en) | Multi-path access network | |
US8023517B2 (en) | System and method for improving network performance and security by controlling topology information | |
JPWO2014069502A1 (ja) | 通信システム、経路情報交換装置、通信ノード、経路情報の転送方法及びプログラム | |
EP3343847B1 (en) | Performing a service on a packet | |
US8078758B1 (en) | Automatic configuration of source address filters within a network device | |
CN110380966A (zh) | 一种发现转发路径的方法及其相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |