CN109286594A - 地址解析协议报文的处理方法及装置 - Google Patents
地址解析协议报文的处理方法及装置 Download PDFInfo
- Publication number
- CN109286594A CN109286594A CN201710592680.4A CN201710592680A CN109286594A CN 109286594 A CN109286594 A CN 109286594A CN 201710592680 A CN201710592680 A CN 201710592680A CN 109286594 A CN109286594 A CN 109286594A
- Authority
- CN
- China
- Prior art keywords
- arp message
- message
- reliability rating
- arp
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种地址解析协议报文的处理方法及装置,其中,该方法包括:接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。通过本发明,解决了相关技术中在出现ARP报文攻击时影响上送正常报文的技术问题。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种地址解析协议报文的处理方法及装置。
背景技术
对网络通信设备而言,控制处理器对转发处理器上送的协议报文处理具有一定的带宽限制,一旦出现了某类协议报文攻击或风暴,会耗尽控制平面处理器带宽资源,影响其他协议报文的正常交互。ARP(Address Resolution Protocol)报文,是根据IP地址获取物理地址的地址解析协议,对PTN设备IP数据包转发到下一跳设备前进行正确的链路层封装过程起到决定性的作用。一旦ARP报文无法正常上送到CPU进行处理,业务就很大可能会产生中断,这对PTN(Packet Transport Network,分组传送网)这类通信设备来说是致命的。因此保证正常的ARP报文顺利上送到控制处理器进行协议交互的技术,对PTN设备非常重要。
影响正常ARP报文顺利上送到PTN设备的控制处理器主要有两类原因,一是其他类型协议报文将CPU带宽耗尽,二是出现风暴的ARP报文将CPU带宽耗尽导致。
在相关解决上述协议报文风暴导致ARP报文无法正常上送CPU的技术中,有通过静态配置合法ARP缓存表对ARP报文进行一一检验后合法的才上送CPU、有直接将协议报文上送控制处理器之前进行整体限速,有根据ARP报文中用户地址分配不同限速队列资源来进行报文限速等方法来实现ARP攻击的防御。前两种方法分别存在限制动态ARP学习、攻击ARP报文影响正常ARP报文上送的缺点;根据ARP报文中用户地址分别配置限速队列资源方法,虽然能够有效地识别出攻击流量的用户地址,但耗费大量的限速队列资源,如从一个24位掩码的ip地址接口进来最大需要254个限速队列资源,对于一块具有32个接口单板的PTN设备就需要8000多个限速队列资源,这个对于限速资源整体不到8K的PTN设备是不可取的。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种地址解析协议报文的处理方法及装置,以至少解决相关技术中在出现ARP报文攻击时影响上送正常报文的技术问题。
根据本发明的一个实施例,提供了一种地址解析协议报文的处理方法,包括:接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。
可选地,所述信任等级信息包括:攻击源名单,白名单,灰名单,其中,所述攻击源名单包括低信任等级的ARP报文,所述白名单内包括高信任等级的ARP报文,所述灰名单包括信任等级未知的ARP报文。
可选地,获取所述ARP报文的信任等级信息包括:提取所述ARP报文的源IP地址和入向接口;使用所述源IP地址和所述入向接口在所述信任等级信息查找匹配项,将命中的匹配项作为所述ARP报文的信任等级。
可选地,根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器包括:按照与确定的所述信任等级对应的传输速率将所述ARP报文上送到处理器。
可选地,按照与确定的所述信任等级对应的传输速率将所述ARP报文上送到处理器包括:按照与确定的所述信任等级对应的传输速率将所述ARP报文从第一区段上送进入第二区段;在上送所述处理器的所有报文队列中为所述ARP报文单独划分专用队列;为所述专用队列分配预定的CPU带宽后在所述第二区段将所述ARP报文上送到所述处理器。
可选地,在根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器之前,所述方法还包括:接收路由报文;在所述路由报文的下一跳出接口为3层接口的路由配置时,判断所述路由报文的目标IP地址与下一跳IP地址是否一致;在所述目标IP地址与所述下一跳IP地址一致时,将所述下一跳出接口和所述下一跳IP地址配置到所述白名单的表项。
可选的,在根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器之后,所述方法还包括:接收所述处理器在预定周期内统计的第一ARP报文和第二ARP报文;将所述第一ARP报文从所述攻击源名单中解除,以及将第二ARP报文添加到所述攻击源名单;其中,所述第一ARP报文是在所述预定周期内统计数目低于第一门限的报文,所述第二ARP报文是在所述预定周期内统计数目高于第二门限的报文。
根据本发明的另一个实施例,提供了一种地址解析协议报文的处理装置,包括:接收模块,用于接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;上送模块,用于根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。
可选地,所述信任等级信息包括:攻击源名单,白名单,灰名单,其中,所述攻击源名单包括低信任等级的ARP报文,所述白名单内包括高信任等级的ARP报文,所述灰名单包括信任等级未知的ARP报文。
可选地,所述接收模块包括:提取单元,用于提取所述ARP报文的源IP地址和入向接口;查找单元,用于使用所述源IP地址和所述入向接口在所述信任等级信息查找匹配项,将命中的匹配项作为所述ARP报文的信任等级。
根据本发明的又一个实施例,还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码:
接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;
根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。
通过本发明,通过ARP报文的信任等级信息来上送ARP报文,达到不同信任级别的ARP报文互不影响,保证正常ARP报文在出现攻击的情况下也能达到处理器,解决了相关技术中在出现ARP报文攻击时影响上送正常报文的技术问题,且本方案无需任何硬件升级,且提高了攻击出现时CPU进行协议报文业务交互的处理能力。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的地址解析协议报文的处理方法的流程图;
图2是根据本发明实施例的地址解析协议报文的处理装置的结构框图;
图3是本发明实施例转发面和控制面处理器对ARP报文协作示意图;
图4是本发明实施例对ARP报文进行分类识别和限速流程图;
图5本发明实施例对ARP报文攻击源名单抑制和解除流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
在本实施例中提供了一种地址解析协议报文的处理方法,图1是根据本发明实施例的地址解析协议报文的处理方法的流程图,如图1所示,该流程包括如下步骤:
步骤S102,接收从物理链路接口进入的地址解析协议ARP报文,并获取ARP报文的信任等级信息;
步骤S104,根据ARP报文的信任等级信息将ARP报文上送到处理器。
通过上述步骤,通过ARP报文的信任等级信息来上送ARP报文,达到不同信任级别的ARP报文互不影响,保证正常ARP报文在出现攻击的情况下也能达到处理器,解决了相关技术中在出现ARP报文攻击时影响上送正常报文的技术问题,且本方案无需任何硬件升级,且提高了攻击出现时CPU进行协议报文业务交互的处理能力。
可选地,上述步骤的执行主体可以为PTN设备,路由器,交换机,具体可以是处理器,芯片等,但不限于此。
可选地,信任等级信息包括:攻击源名单,白名单,灰名单,其中,攻击源名单包括低信任等级的ARP报文,白名单内包括高信任等级的ARP报文,灰名单包括信任等级未知的ARP报文。任何报文都有其对应的信任等级信息,在信任等级信息用名单表示时,接收到的每个ARP报文可以匹配到其中一个名单中。
可选地,获取所述ARP报文的信任等级信息,根据ARP报文的信任等级信息将ARP报文上送到处理器包括:
S11,提取ARP报文的源IP地址和入向接口;
S12,使用源IP地址和入向接口在信任等级信息查找匹配项,将命中的匹配项作为ARP报文的信任等级;
S13,按照与确定的信任等级对应的传输速率将ARP报文上送到处理器。
在本实施例中,按照与确定的信任等级对应的传输速率将ARP报文上送到处理器包括:
S21,按照与确定的所述信任等级对应的传输速率将所述ARP报文从第一区段上送进入第二区段;其中,第一区段是根据信任优先级进行限速的区段,第二区段是所有需要上送处理器的ARP报文的整体限速区段。
S22,在上送处理器的所有报文队列中为ARP报文单独划分专用队列;在其他队列上可以传输业务报文或其他报文;发生在经过了入向接口级的限速后,在上送到控制平面之前;
S23,为专用队列分配预定的CPU带宽后在第二区段将ARP报文上送到处理器。
可选地,在根据ARP报文的信任等级信息将ARP报文上送到处理器之前,方法还包括:
S31,接收路由报文;
S32,在路由报文的下一跳出接口为3层接口的路由配置时,判断路由报文的目标IP地址与下一跳IP地址是否一致;
S33,在目标IP地址与下一跳IP地址一致时,将下一跳出接口和下一跳IP地址配置到白名单的表项。
可选的,在根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器之后,所述方法还包括:接收所述处理器在预定周期内统计的第一ARP报文和第二ARP报文;将所述第一ARP报文从所述攻击源名单中解除,以及将第二ARP报文添加到所述攻击源名单;其中,所述第一ARP报文是在所述预定周期内统计数目低于第一门限的报文,所述第二ARP报文是在所述预定周期内统计数目高于第二门限的报文。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种地址解析协议报文的处理装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图2是根据本发明实施例的地址解析协议报文的处理装置的结构框图,如图2所示,该装置包括:
接收模块20,用于接收从物理链路接口进入的地址解析协议ARP报文,并获取ARP报文的信任等级信息;
上送模块22,用于根据ARP报文的信任等级信息将ARP报文上送到处理器。
可选的,信任等级信息包括:攻击源名单,白名单,灰名单,其中,攻击源名单包括低信任等级的ARP报文,白名单内包括高信任等级的ARP报文,灰名单包括信任等级未知的ARP报文。
可选的,接收模块包括:提取单元,用于提取ARP报文的源IP地址和入向接口;查找单元,用于使用源IP地址和入向接口在信任等级信息查找匹配项,将命中的匹配项作为ARP报文的信任等级。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本实施例是根据本发明的可选实施例,用于结合具体实施方式对本申请进行详细说明:
本实施例提供了一种保证ARP协议报文既不受其他协议报文影响,又能在ARP攻击发生时不影响正常ARP报文的交互,同时提供了ARP攻击自动识别和解除的方法。
本实施例的为正常ARP报文上送保驾护航的方法,包括:
对从某个物理链路接口(如网口)进入的ARP协议报文,转发处理器对收到的ARP报文按信任等级区分三种信任等级(即攻击源名单、白名单和灰名单)对ARP报文进行分类限速,信任等级的划分由控制处理器经过一定的规则(结合路由协议信息和报文统计方法)识别并配置到转发处理器;
在协议报文上送控制处理器报文队列中,将ARP协议报文单独划分一个队列,在上送控制处理器时独占一定的CPU带宽进行整体限速,用来保证整个ARP报文不受别的协议报文影响;
转发处理器对接收的识别为攻击源信任等级的ARP报文自动按源ip+入接口为键值进行限速前的统计,通过一定的抑制周期的观察判断攻击是否消除,达到自动识别和解除攻击源信任等级名单。
其中PTN将整个系统分为三个相对独立的平面:控制平面、转发平面和管理平面。
控制平面一般采用通用CPU作为处理引擎,完成用户配置信息下发和各种协议处理(ARP协议为其中一种);
转发平面完成高速数据转发处理;
管理平面完成各种网管、命令行、日志、告警等,一般有专门的管理通道。
本实施例中,转发面平面处理器为网管处理器(Network Processor,简称NP)及所述器件工作需要的外围器件如RAM、TCAM、FLASH等组成的处理系统。
本发明实施例提供了一种PTN设备中转发面处理器和控制面处理器的协作来实现ARP报文按信任等级区分限速来达到ARP报文安全上送的方法。转发面处理器和控制面处理器的协作主要包括信任等级的设定、白名单生成、按信任等级区分限速、ARP协议报文整体限速、上报控制面处理器、控制面识别ARP攻击报文、ARP攻击源告警产生和攻击源名单生成、ARP攻击源的消失几个功能模块。协作处理示意图请参阅图3,图3是本发明实施例转发面和控制面处理器对ARP报文协作示意图,包括:
101、设置白名单和攻击源名单
控制面根据用户的业务配置信息和路由信息,在接口配置为3层接口时(配置该接口的ip地址),或者下发从下一跳出接口为3层接口的路由信息时,根据一定规则会解析ARP白名单信息下发到转发面处理器中。所述规则包括但不限于以下两种:
接口配置ip地址时,将所述接口+ip地址作为键值配置一个ARP白名单表项;
下一跳出接口为3层接口的路由配置时,判断该路由的目标ip与下一跳ip是否相等,相等时配置所述下一跳出接口+所述下一跳ip为ARP白名单表项;
上述规则的依据为,从某3层接口进入的目的ip地址为所述接口ip地址的ARP报文为受信任ARP报文。
初始化时,攻击源名单(缓存表)里面没有任何表项条目。
102、按信任等级区分限速
ARP报文从转发面某3层接口(如图3中接口1)进入时,转发面处理器从所述ARP报文中解析出源ip地址,根据源ip地址+所述3层接口去攻击源名单表去查找,命中则进行攻击源限速,进图3中接口1黑色限速队列;若没有命中攻击源名单,从所述ARP报文中解析出目的ip地址,根据源ip地址+所述3层接口去白名单表中查找,白名单命中后进入图3中接口1中白色限速队列;若攻击源名单和白名单都没有命中,进入图3中接口1的灰色限速队列。经过信任等级区分限速后,非信任等级的ARP报文(如攻击源和灰名单)会大量减少,具体各等级限速速率用户可以根据实际组网场景进行修改。按信任等级区分限速后,转步骤103。
103、整体限速
整体限速单元是为所有协议报文和业务报文进行统一限速的,本发明将ARP协议报文在该单元独占一个队列来进行整体限速,相当于从接口级进行了信任级别区分限速后的所有需要上送控制面的ARP报文速率仍然流量很大时(此时一般为白名单ARP报文出现攻击),为了保证控制面处理能力不受冲击,在本单元对ARP报文进行第二级的整体限速。整体限速后的ARP报文上送控制面处理器,进入步骤104。
104、攻击源识别
控制面处理器对进行了两级限速后的ARP报文进行源ip地址在预定周期内统计计数,在预定周期内统计计数达到预定高门限的源ip地址的报文识别为攻击源,并下发源ip地址+入接口作为键值配置到转发面处理器,生成一个攻击源名单项。在识别攻击源的同时,同时产生攻击源告警。
105、攻击源消失
转发面处理器接收一个ARP报文时,如果该ARP报文命中一个攻击源名单,在该报文进行攻击源限速前进行报文统计,在抑制周期内该ARP报文采样周期内的统计数目都小于预定低门限,在抑制周期过后会解除该攻击源,详细见步骤301-305。
106、高门限和低门限取值规则
在步骤104和105中,攻击源预定高门限和低门限的具体取值可以根据设备用户组网场景和正常ARP报文交互的速率范围来设定,包括但不限于以下规则:
对于在网设备上请求一个子网掩码为24位的ip地址网段的最大254个用户的MAC地址而言,源ip地址相同的ARP请求报文最大可以达到254报文数/秒。所以只要高门限最大满足取预定时间内(10秒)内同一源ip地址向所有网段内用户都发送了3个ARP请求报文并得到处理并留有一定裕量,即1000报文数/10秒。因此高门限最小值根据接入用户个数决定,如果只有10个用户接入该网段,则高门限取值为100报文数/10秒比较合适。低门限取值是在源ip确定为攻击流量后确定该攻击消失的凭据,该值也根据接入用户个数取不同值,一般只要10秒内有一个发往该网段用户的ARP报文正常经过即可,故取值可以设定为用户数/10秒。
本实施例提供了一种ARP报文按信任等级分别进行限速及识别和解除攻击源的方法,以及防御攻击和保证arp报文正常交互的系统。请参阅图4,图4是本发明实施例对ARP报文进行分类识别和限速流程图,本发明实施例中ARP报文按信任等级进行分别限速处理包括:
201、接收ARP报文;
转发平面处理器接收外部设备发送的ARP报文。
202、判断ARP报文信任等级是否为攻击源;
提取获取到的ARP报文中的源ip地址和入向接口,到ARP攻击源表(键值为源ip+入接口)中查找是否有匹配项,若匹配成功则执行步骤203;匹配不成功则执行步骤204;
203、攻击源限速;
匹配攻击源表项的ARP报文,在进入攻击源队列限速之前会进行限速前的报文统计,用于攻击源消失的判断依据。攻击源队列限速值默认取3报文/秒,该限速速率小于白名单和灰名单限速值。攻击源限速后,执行步骤207;
204、判断ARP报文信任等级是否为白名单;
提取获取到的ARP报文中目标ip地址和入接口,到白名单表(键值为目标ip+入接口)中查找是否有匹配项,若匹配成功则执行步骤205;若匹配不成功则执行步骤206;
205、白名单限速;
匹配信任等级为白名单的ARP报文,直接执行白名单限速。所述限速默认取值为(300-600报文数)/秒。该限速值通过管理平面可以修改,最小为10报文数/秒,最大为1000报文数/秒。白名单限速后,执行步骤207;
206、灰名单限速;
报文信任等级既不匹配攻击源、又不匹配白名单的就进行灰名单限速。述限速默认取值为(10-20报文数)/秒。限速范围一般设置为攻击源与白名单之间。该限速值也通过管理平面可以修改,最小为10报文数/秒,最大为1000报文数/秒。
207、统一限速;
经过了入向接口级的限速后,在上送到控制平面之前,会将所有的ARP报文进行独占队列统一限速,防止所有接口汇集的上送控制平面的ARP报文总数对控制平面的协议带宽造成冲击。ARP报文独占队列,可以将其他协议报文与ARP报文之间的相互影响进行隔离;这里的统一限速一般由存储转发芯片控制器完成。统一限速后,执行步骤208;
208、攻击源识别;
在控制平面收发包模块收到ARP报文时,会监视所述报文中的源ip+入接口相同的报文个数(一次能0监视的源ip+入接口对数取值范围为0到10000,默认为1000)。在预定统计周期10秒内统计值大于预定高门限值(默认为60报文个数)就识别该源ip+入接口的报文为攻击源,并将攻击源信息写入转发面控制器中攻击源名单,用于ARP报文进行攻击源匹配的依据(步骤202)。
控制平面负责对ARP报文进行源ip+入接口作为键值统计来识别攻击源,转发面控制器负责对形成的攻击源进行抑制解除。请参阅图5,图5本发明实施例对ARP报文攻击源名单抑制和解除流程图,本发明实例对攻击源抑制的解除处理如下:
301、攻击源抑制流程启动,
该流程有两个重要的周期值,采样周期T1和抑制周期T2,为了实现简单,T2为T1的整数倍取值,关系为T2=N*T1。采样周期T1固定取值为10秒,抑制周期T2可以根据用户设置而修改,默认取值为10分钟。
采样周期T1的含义为,每间隔T1时间对识别为攻击源的ARP报文进行限速前的报文数统计;抑制周期T2的含义为,一旦被识别为攻击源的ARP报文,至少被限速抑制的时间。
抑制流程初始化时,先将识别出的ARP攻击源中T1间隔内统计最大值和已采集的T1周期数清零。然后执行步骤301;
302、采集周期T1时间到,
进入采集时间,将所有识别出的攻击源分别从NP中获取该时间间隔的统计值,将该统计值与所述攻击源T1间隔内统计最大值比较,取较大值替换所述攻击源T1间隔内最大值记录下来。已采集T1周期数加1,若所述周期数小于N,执行步骤302;否则执行步骤303;
303、已采集T1周期数大于等于N,
将所有攻击源各自的T1间隔内统计最大值分别与预定低门限值(40报文个数)比较,若所述攻击源T1间隔内统计最大值小于预定低门限值,执行步骤304;否则执行步骤305;
304、攻击源解除,
将进行该流程的攻击源从攻击源名单中清除,包括从NP中清除相应攻击源表项和统计资源,同时从管理平面中的攻击源告警信息中清除相应告警。
305、攻击源记录中间值清零,
将所述攻击源T1间隔内统计最大值和已采集的T1周期数清0,执行步骤302。
本实施例提供了一种将arp报文不受其他类型协议报文影响并对ARP报文上送控制处理器前采用不同信任等级分别限速+整体限速的限速策略,通过整个PTN处理系统转发面处理器和控制面处理器的协作,实现ARP攻击报文(“攻击源名单”内的报文)、ARP用户信任报文("白名单"信任级别)和其他介于信任与攻击之间的报文(“灰名单”)分别限速,达到不同信任级别的报文互不影响,保证正常ARP报文在出现攻击的情况下也能顺利得到处理。本发明提供的方法无需现有设备进行任何升级,且提高了攻击出现时CPU进行协议报文业务交互的处理能力。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;
S2,根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种地址解析协议报文的处理方法,其特征在于,包括:
接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;
根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。
2.根据权利要求1所述的方法,其特征在于,所述信任等级信息包括:攻击源名单,白名单,灰名单,其中,所述攻击源名单包括低信任等级的ARP报文,所述白名单内包括高信任等级的ARP报文,所述灰名单包括信任等级未知的ARP报文。
3.根据权利要求1所述的方法,其特征在于,获取所述ARP报文的信任等级信息包括:
提取所述ARP报文的源IP地址和入向接口;
使用所述源IP地址和所述入向接口在所述信任等级信息查找匹配项,将命中的匹配项作为所述ARP报文的信任等级。
4.根据权利要求3所述的方法,其特征在于,根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器包括:
按照与确定的所述信任等级对应的传输速率将所述ARP报文上送到处理器。
5.根据权利要求4所述的方法,其特征在于,按照与确定的所述信任等级对应的传输速率将所述ARP报文上送到处理器包括:
按照与确定的所述信任等级对应的传输速率将所述ARP报文从第一区段上送进入第二区段;
在上送所述处理器的所有报文队列中为所述ARP报文单独划分专用队列;
为所述专用队列分配预定的CPU带宽后在所述第二区段将所述ARP报文上送到所述处理器。
6.根据权利要求2所述的方法,其特征在于,在根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器之前,所述方法还包括:
接收路由报文;
在所述路由报文的下一跳出接口为3层接口的路由配置时,判断所述路由报文的目标IP地址与下一跳IP地址是否一致;
在所述目标IP地址与所述下一跳IP地址一致时,将所述下一跳出接口和所述下一跳IP地址配置到所述白名单的表项。
7.根据权利要求2所述的方法,其特征在于,在根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器之后,所述方法还包括:
接收所述处理器在预定周期内统计的第一ARP报文和第二ARP报文;
将所述第一ARP报文从所述攻击源名单中解除,以及将第二ARP报文添加到所述攻击源名单;
其中,所述第一ARP报文是在所述预定周期内统计数目低于第一门限的报文,所述第二ARP报文是在所述预定周期内统计数目高于第二门限的报文。
8.一种地址解析协议报文的处理装置,其特征在于,包括:
接收模块,用于接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;
上送模块,用于根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。
9.根据权利要求8所述的装置,其特征在于,所述信任等级信息包括:攻击源名单,白名单,灰名单,其中,所述攻击源名单包括低信任等级的ARP报文,所述白名单内包括高信任等级的ARP报文,所述灰名单包括信任等级未知的ARP报文。
10.根据权利要求8所述的装置,其特征在于,所述接收模块包括:
提取单元,用于提取所述ARP报文的源IP地址和入向接口;
查找单元,用于使用所述源IP地址和所述入向接口在所述信任等级信息查找匹配项,将命中的匹配项作为所述ARP报文的信任等级。
11.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行权利要求1至7中任一项所述的方法。
12.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710592680.4A CN109286594A (zh) | 2017-07-19 | 2017-07-19 | 地址解析协议报文的处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710592680.4A CN109286594A (zh) | 2017-07-19 | 2017-07-19 | 地址解析协议报文的处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109286594A true CN109286594A (zh) | 2019-01-29 |
Family
ID=65184688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710592680.4A Pending CN109286594A (zh) | 2017-07-19 | 2017-07-19 | 地址解析协议报文的处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109286594A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109803032A (zh) * | 2019-02-26 | 2019-05-24 | 安徽皖通邮电股份有限公司 | 一种arp报文的处理方法 |
| CN110958268A (zh) * | 2019-12-17 | 2020-04-03 | 盛科网络(苏州)有限公司 | Arp报文的处理方法和设备 |
| CN111585957A (zh) * | 2020-04-01 | 2020-08-25 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
| CN112118129A (zh) * | 2020-08-24 | 2020-12-22 | 烽火通信科技股份有限公司 | 一种基于业务流的故障定位方法和装置 |
| CN112383559A (zh) * | 2020-11-25 | 2021-02-19 | 杭州迪普信息技术有限公司 | 地址解析协议攻击的防护方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040236966A1 (en) * | 2003-05-19 | 2004-11-25 | Alcatel | Queuing methods for mitigation of packet spoofing |
| CN101808031A (zh) * | 2010-03-02 | 2010-08-18 | 北京邮电大学 | 一种路由器的可信改造方法 |
| CN102014109A (zh) * | 2009-09-08 | 2011-04-13 | 华为技术有限公司 | 一种泛洪攻击的防范方法及装置 |
| CN105490961A (zh) * | 2014-09-19 | 2016-04-13 | 杭州迪普科技有限公司 | 报文处理方法、装置以及网络设备 |
| US20160269358A1 (en) * | 2015-03-10 | 2016-09-15 | Lsis Co., Ltd. | Method for checking ip address collision of ethernet communication module of plc |
-
2017
- 2017-07-19 CN CN201710592680.4A patent/CN109286594A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040236966A1 (en) * | 2003-05-19 | 2004-11-25 | Alcatel | Queuing methods for mitigation of packet spoofing |
| CN102014109A (zh) * | 2009-09-08 | 2011-04-13 | 华为技术有限公司 | 一种泛洪攻击的防范方法及装置 |
| CN101808031A (zh) * | 2010-03-02 | 2010-08-18 | 北京邮电大学 | 一种路由器的可信改造方法 |
| CN105490961A (zh) * | 2014-09-19 | 2016-04-13 | 杭州迪普科技有限公司 | 报文处理方法、装置以及网络设备 |
| US20160269358A1 (en) * | 2015-03-10 | 2016-09-15 | Lsis Co., Ltd. | Method for checking ip address collision of ethernet communication module of plc |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109803032A (zh) * | 2019-02-26 | 2019-05-24 | 安徽皖通邮电股份有限公司 | 一种arp报文的处理方法 |
| CN110958268A (zh) * | 2019-12-17 | 2020-04-03 | 盛科网络(苏州)有限公司 | Arp报文的处理方法和设备 |
| CN110958268B (zh) * | 2019-12-17 | 2022-08-02 | 苏州盛科通信股份有限公司 | Arp报文的处理方法和设备 |
| CN111585957A (zh) * | 2020-04-01 | 2020-08-25 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
| CN111585957B (zh) * | 2020-04-01 | 2023-03-28 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
| CN112118129A (zh) * | 2020-08-24 | 2020-12-22 | 烽火通信科技股份有限公司 | 一种基于业务流的故障定位方法和装置 |
| CN112118129B (zh) * | 2020-08-24 | 2022-08-12 | 烽火通信科技股份有限公司 | 一种基于业务流的故障定位方法和装置 |
| CN112383559A (zh) * | 2020-11-25 | 2021-02-19 | 杭州迪普信息技术有限公司 | 地址解析协议攻击的防护方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109286594A (zh) | 地址解析协议报文的处理方法及装置 | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| Smys | DDOS attack detection in telecommunication network using machine learning | |
| US9544272B2 (en) | Detecting image spam | |
| US20130198845A1 (en) | Monitoring a wireless network for a distributed denial of service attack | |
| CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| CN110224990A (zh) | 一种基于软件定义安全架构的入侵检测系统 | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
| CN110213212A (zh) | 一种设备的分类方法和装置 | |
| CN104580216B (zh) | 一种对访问请求进行限制的系统和方法 | |
| CN109787827B (zh) | 一种cdn网络监控的方法及装置 | |
| CN108092940B (zh) | 一种dns的防护方法及相关设备 | |
| CN106161395A (zh) | 一种防止暴力破解的方法、装置及系统 | |
| CN102801738A (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
| Gumaste et al. | Detection of ddos attacks in openstack-based private cloud using apache spark | |
| KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| CN111600863A (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
| US11381593B2 (en) | System and method for providing insights on distributed denial of service attacks | |
| CN109657463A (zh) | 一种报文洪泛攻击的防御方法及装置 | |
| Husák et al. | PhiGARo: Automatic phishing detection and incident response framework | |
| CN108768882A (zh) | 一种协议报文的处理方法及系统 | |
| Kim et al. | A scalable carrier-grade DPI system architecture using synchronization of flow information | |
| CN101355585B (zh) | 一种分布式架构数据通信设备的消息保护系统及方法 | |
| CN102546364A (zh) | 网络数据分流方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190129 |