CN109347810A - 一种处理报文的方法和装置 - Google Patents
一种处理报文的方法和装置 Download PDFInfo
- Publication number
- CN109347810A CN109347810A CN201811128320.XA CN201811128320A CN109347810A CN 109347810 A CN109347810 A CN 109347810A CN 201811128320 A CN201811128320 A CN 201811128320A CN 109347810 A CN109347810 A CN 109347810A
- Authority
- CN
- China
- Prior art keywords
- port
- message
- processing mode
- message processing
- rate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/16—Multipoint routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种处理报文的方法和装置,可以应用于组播网络中的路由器,路由器中设置有用于连接主机的端口,检测端口的报文接收速率,如果该端口的报文接收速率大于预设的第一速率阈值,则确定当前针对该端口的报文处理方式为第一报文处理方式,第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的端口的连接类型对应的速率阈值。在该端口处于第一报文处理方式的情况下,丢弃通过该端口接收到的报文。基于上述处理,路由器可以检测各端口的报文接收速率,并在某端口的报文接收速率大于第一速率阈值时,丢弃通过该端口接收到的报文,进而可以降低IGMP攻击对组播网络性能的影响。
Description
技术领域
本申请涉及互联网技术领域,特别是涉及一种处理报文的方法和装置。
背景技术
目前,在组播网络中,主机和路由器之间通过互联网组管理协议(Internet GroupManagement Protocol,IGMP)实现组播组的成员关系的维护。主机可以向路由器发送IGMP报文(包括IGMP报告报文和IGMP离开报文),路由器则可以根据IGMP报文,对IGMP报文对应的组播组的成员关系进行维护。
根据IGMP报告报文,路由器可以确定主机所属的组播组,记录该组播组当前包含有组播组的成员,进而可以将发往该组播组的数据报文转发至该组播组;根据IGMP离开报文,路由器可以确定主机离开的组播组,进而可以向该组播组的成员发送查询报文,以确认该组播组当前是否还包含有成员。网络攻击者往往会利用主机向路由器发起IGMP攻击,例如,网络攻击者通过主机向路由器发送大量无用的IGMP报文,可能会导致路由器无法处理正常的IGMP报文,进而影响组播网络的性能。
现有技术通常基于接入认证实现IGMP攻击的防范。例如,在包含宽带远程接入服务器(Broadband Remote Access Server,BRAS)路由器的组播网络中,BRAS路由器可以对主机进行接入认证。BRAS路由器会丢弃未通过接入认证的主机发送的IGMP报文。对于通过接入认证的主机发送的IGMP报文,BRAS路由器则进行正常处理。
可见,如果网络攻击者使用主机通过了接入认证,路由器仍会受到网络攻击者使用主机发起的IGMP攻击,进而影响组播网络的性能。
发明内容
本申请实施例的目的在于提供一种处理报文的方法和装置,可以降低IGMP攻击对组播网络性能的影响。具体技术方案如下:
第一方面,为了达到上述目的,本申请实施例公开了一种处理报文的方法,所述方法应用于组播网络中的路由器,所述路由器中设置有用于连接主机的端口,所述方法包括:
检测所述端口的报文接收速率;
如果所述端口的报文接收速率大于预设的第一速率阈值,则确定当前针对所述端口的报文处理方式为第一报文处理方式,其中,所述第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的所述端口的连接类型对应的速率阈值;
在所述端口处于所述第一报文处理方式的情况下,丢弃通过所述端口接收到的报文。
可选的,所述方法还包括:
如果所述端口的报文接收速率小于所述第一速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
可选的,所述方法还包括:
如果所述端口的报文接收速率小于预设的第二速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式,其中,所述第二速率阈值小于所述第一速率阈值;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
可选的,所述方法还包括:
如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第一报文处理方式,则确定当前针对所述端口的报文处理方式为所述第一报文处理方式;
如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第二报文处理方式,则确定当前针对所述端口的报文处理方式为所述第二报文处理方式。
可选的,所述端口的连接类型包括主机连接或交换机连接。
第二方面,为了达到上述目的,本申请实施例公开了一种处理报文的装置,所述装置应用于组播网络中的路由器,所述路由器中设置有用于连接主机的端口,所述装置包括:
检测模块,用于检测所述端口的报文接收速率;
确定模块,用于如果所述端口的报文接收速率大于预设的第一速率阈值,则确定当前针对所述端口的报文处理方式为第一报文处理方式,其中,所述第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的所述端口的连接类型对应的速率阈值;
第一处理模块,用于在所述端口处于所述第一报文处理方式的情况下,丢弃通过所述端口接收到的报文。
可选的,所述装置还包括:
第二处理模块,用于如果所述端口的报文接收速率小于所述第一速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
可选的,所述装置还包括:
第三处理模块,用于如果所述端口的报文接收速率小于预设的第二速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式,其中,所述第二速率阈值小于所述第一速率阈值;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
可选的,所述第三处理模块,还用于如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第一报文处理方式,则确定当前针对所述端口的报文处理方式为所述第一报文处理方式;
如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第二报文处理方式,则确定当前针对所述端口的报文处理方式为所述第二报文处理方式。
可选的,所述端口的连接类型包括主机连接或交换机连接。
第三方面,提供了一种路由器,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面所述的方法步骤。
第四方面,提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现第一方面所述的方法步骤。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法步骤。
本申请实施例提供了一种处理报文的方法和装置,可以应用于组播网络中的路由器,路由器中设置有用于连接主机的端口,路由器可以检测端口的报文接收速率,如果该端口的报文接收速率大于预设的第一速率阈值,则确定当前针对该端口的报文处理方式为第一报文处理方式,第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的端口的连接类型对应的速率阈值。在该端口处于第一报文处理方式的情况下,丢弃通过该端口接收到的报文。基于上述处理,路由器可以检测各端口的报文接收速率,并在某端口的报文接收速率大于第一速率阈值时,丢弃通过该端口接收到的报文,进而可以降低IGMP攻击对组播网络性能的影响。
当然,实施本申请的任一产品或方法必不一定需要同时达到以上的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种组网架构的框架图;
图2为本申请实施例提供的一种处理报文的方法的流程图;
图3为本申请实施例提供的一种处理报文的方法示例的流程图;
图4为本申请实施例提供的一种处理报文的装置的结构图;
图5为本申请实施例提供的一种路由器的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种处理报文的方法和装置,可以应用于组播网络中的路由器,该路由器中设置有用于连接主机的端口,用于连接主机的端口可以为一个,也可以为多个。参见图1,图1为本申请实施例提供的一种组网的框架图,为一种可能的应用场景。该组网包括:路由器A、路由器B、交换机A、交换机B、主机A、主机B、主机C和主机D。路由器A和路由器B可以连接到网际协议(Internet Protocol,IP)网,用于接收组播源发送的数据报文。路由器A中的一个端口(可称为第一端口)与主机D连接,路由器A中的另一个端口(可称为第二端口)与交换机A连接,路由器B中的一个端口(可称为第三端口)与交换机B连接。交换机A与主机A、主机B和主机C连接,交换机B与主机A、主机B和主机C连接。第一端口、第二端口和第三端口均为用于连接主机的端口。
图1中,路由器A可以通过第二端口,从交换机A接收到主机A、主机B和主机C发送的IGMP报文,也可以通过第一端口直接接收主机D发送的IGMP报文。路由器A可以根据接收到的IGMP报文,分别对主机A、主机B、主机C和主机D对应的组播组的成员关系进行维护。
IGMP报文可以包括IGMP报告报文和IGMP离开报文。当主机接收到路由器发送的查询报文时,可以向路由器发送IGMP报告报文,或者,主机也可以主动向路由器发送IGMP报告报文。路由器可以根据IGMP报告报文,确定该主机所属的组播组。当主机离开所属的组播组时,可以向路由器发送IGMP离开报文,路由器可以根据IGMP离开报文,确定该主机离开的组播组。
基于本实施例的处理报文的方法,路由器A可以检测用于连接主机的端口(包括第一端口和第二端口)的报文接收速率。针对每一端口,路由器A可以根据预设的连接类型和速率阈值的对应关系,确定出该端口的连接类型对应的速率阈值,作为第一速率阈值。如果该端口的报文接收速率大于第一速率阈值,则确定当前针对该端口的报文处理方式为第一报文处理方式,在该端口处于第一报文处理方式的情况下,丢弃通过该端口接收到的报文。基于上述处理,路由器A可以检测各端口的报文接收速率,并在某端口的报文接收速率大于第一速率阈值时,丢弃通过该端口接收到的报文,进而可以降低IGMP攻击对组播网络性能的影响。
参见图2,图2为本申请实施例提供的一种处理报文的方法的流程图,方法可以应用于组播网络中的路由器,组播网络还可以包括主机。该方法可以包括以下步骤。
S201:检测端口的报文接收速率。
其中,路由器所检测的端口为路由器中用于连接主机的端口。如果用于连接主机的端口为多个,针对每一端口,路由器都进行相同的处理。组播网络中的主机可以向路由器发送IGMP报文,路由器则可以通过用于连接该主机的端口接收到该主机发送的IGMP报文。
在申请实施例中,针对用于连接主机的端口,路由器可以检测该端口的报文接收速率。报文接收速率可以用单位时间内接收到的报文的个数表示,例如,报文接收速率可以为路由器通过该端口每秒接收到的报文的个数。
另外,路由器可以每间隔预设间隔时长检测端口的报文接收速率,例如,路由器可以每间隔2秒检测端口的报文接收速率,或者,路由器可以每间隔5秒检测端口的报文接收速率。路由器检测端口的报文接收速率的方式可以由技术人员根据经验和业务需求进行设置。
S202:如果该端口的报文接收速率大于预设的第一速率阈值,则确定当前针对该端口的报文处理方式为第一报文处理方式。
其中,第一速率阈值可以为根据预设的连接类型和速率阈值的对应关系,确定出的端口的连接类型对应的速率阈值。端口的连接类型、预设的连接类型和速率阈值的对应关系可以由技术人员根据业务需要进行设置。
在申请实施例中,在组播网络构建完成之后,路由器可以获取每一端口的连接配置,以确定该端口的连接类型,连接类型可以包括主机连接或交换机连接,进而可以根据本申请实施例的方法对该端口接收到的报文进行安全控制处理。
在构建组播组网时,技术人员可以设置每一端口的连接配置。例如,针对某一端口,如果该端口的连接配置为igmp interface-defend host(互联网组管理协议接口-保卫主机),则表示该端口的连接类型为主机连接,即与该端口直接相连的设备为主机,该端口可以为图1的路由器A中的第一端口;如果该端口的连接配置为igmp interface-defendswitch(互联网组管理协议接口-保卫交换机),则表示该端口的连接类型为交换机连接,即与该端口直接相连的设备为交换机,该端口可以为图1的路由器A中的第二端口。
路由器可以根据端口的连接类型,在预设的连接类型和速率阈值的对应关系中进行查询,得到与该端口的连接类型对应的速率阈值,作为第一速率阈值。
例如,预设的连接类型和速率阈值的对应关系可以参见表(1)。
表(1)
连接类型 | 速率阈值 |
主机连接 | 500个/秒 |
交换机连接 | 4000个/秒 |
表(1)中,连接类型包括主机连接和交换机连接,主机连接对应的速率阈值为500个/秒,交换机连接对应的速率阈值为4000个/秒。各连接类型对应的速率阈值可以根据路由器处理报文的能力确定。例如,路由器的最大报文处理能力为5000个/秒,则主机连接对应的速率阈值可以为最大报文处理能力的10%,即500个/秒;交换机连接对应的速率阈值可以为最大报文处理能力的80%,即4000个/秒。
另外,由于与路由器连接的交换机可以同时连接多个主机,例如,图1中的交换机A同时与主机A、主机B和主机C连接。因此,通常可以设置交换机连接对应的速率阈值大于主机连接对应的速率阈值。
针对表(1),当路由器确定该端口的连接类型为主机连接时,路由器可以确定第一速率阈值为500个/秒。当路由器确定该端口的连接类型为交换机连接时,路由器可以确定第一速率阈值为4000个/秒。
在检测该端口的报文接收速率时,路由器可以判断该端口的报文接收速率是否大于第一速率阈值。当路由器判定该端口的报文接收速率大于或者等于第一速率阈值时,路由器可以确定当前针对该端口的报文处理方式为第一报文处理方式。
路由器确定当前针对该端口的报文处理方式为第一报文处理方式,可以表示当前该端口存在IGMP攻击。具体的,路由器可以为每一端口设置对应的攻击标志位。当路由器判定该端口的报文接收速率大于或者等于第一速率阈值时,路由器可以直接确定当前该端口对应的攻击标志位为1,以表示当前该端口存在IGMP攻击。相应的,攻击标志位为0,可以表示当前该端口不存在IGMP攻击。
在路由器确定该端口的报文处理方式为第一报文处理方式时,如果当前该端口对应的攻击标志位为0,则路由器将该端口对应的攻击标志位修改为1,如果当前该端口对应的攻击标志位为1,则路由器对该端口对应的攻击标志位不进行任何处理。
S203:在该端口处于第一报文处理方式的情况下,丢弃通过该端口接收到的报文。
在申请实施例中,路由器可以根据该端口的报文处理方式,对通过该端口接收到的报文进行安全控制处理。当通过该端口接收到某一报文时,如果路由器确定当前针对该端口的报文处理方式为第一报文处理方式,则路由器可以丢弃该报文。
例如,当通过该端口接收到某一报文时,路由器可以获取该端口对应的攻击标志位,如果当前该端口对应的攻击标志位为1,则表示当前针对该端口的报文处理方式为第一报文处理方式,也即当前该端口存在IGMP攻击,此时,路由器可以丢弃接收到的报文,以实现对IGMP攻击的防范。
可见,路由器可以检测各端口的报文接收速率,并在某端口的报文接收速率大于第一速率阈值时,丢弃通过该端口接收到的报文,进而可以降低IGMP攻击对组播网络性能的影响,另外,端口对应的第一速率阈值可以根据该端口的连接类型确定,使得本申请实施例的方法能够有效地适用于路由器的各个端口。
另外,基于本实施例的方法,路由器不需要对主机进行接入认证,使得该方法不仅适用于包含BRAS路由器的组播网络,也适用于其他类型的组播网络。
可选的,路由器还可以根据通过该端口接收到的IGMP报文,对组播组的成员关系进行维护,则该方法还可以包括以下处理步骤。
步骤一,如果该端口的报文接收速率小于第一速率阈值,则确定当前针对该端口的报文处理方式为第二报文处理方式。
在申请实施例中,在检测该端口的报文接收速率时,路由器可以判断该端口的报文接收速率是否大于第一速率阈值。当路由器判定该端口的报文接收速率小于第一速率阈值时,路由器可以确定当前针对该端口的报文处理方式为第二报文处理方式。
路由器确定当前针对该端口的报文处理方式为第二报文处理方式,可以表示当前该端口不存在IGMP攻击。具体的,当路由器判定该端口的报文接收速率小于第一速率阈值时,路由器可以直接确定当前该端口对应的攻击标志位为0,以表示当前该端口不存在IGMP攻击。
在路由器确定该端口的报文处理方式为第二报文处理方式时,如果当前该端口对应的攻击标志位为1,则路由器将该端口对应的攻击标志位修改为0,如果当前该端口对应的攻击标志位为0,则路由器对该端口对应的攻击标志位不进行任何处理。
例如,该端口的连接类型为主机连接,该端口的报文接收速率为200个/秒。根据表(1),路由器判定该端口的报文接收速率小于500个/秒,路由器可以直接确定该端口对应的攻击标志位为0。
步骤二,在该端口处于第二报文处理方式的情况下,当通过该端口接收到IGMP报文时,对IGMP报文对应的组播组的成员关系进行维护。
其中,IGMP报文中可以携带有组播组标识。
在申请实施例中,当通过该端口接收到IGMP报告报文时,如果路由器确定当前针对该端口的报文处理方式为第二报文处理方式,路由器可以根据获取IGMP报文中携带的组播组标识,确定需要维护的组播组(可以称为目标组播组),进而对目标组播组的成员关系进行维护。
例如,IGMP报文为IGMP报告报文,路由器可以确定目标组播组当前包含有成员,当路由器接收到发往目标组播组的数据报文时,可以向目标组播组转发该数据报文。
IGMP报文为IGMP离开报文,路由器可以向目标组播组发送查询报文,如果路由器未接收到目标组播组的成员发送的IGMP报告报文,则路由器确定目标组播组当前不包含有成员,当路由器接收到发往目标组播组的数据报文时,不会向目标组播组转发该数据报文。如果路由器接收到目标组播组的成员发送的IGMP报告报文,则路由器确定目标组播组当前仍包含有成员,当路由器接收到发往目标组播组的数据报文时,可以向目标组播组转发该数据报文。
具体的,当通过该端口接收到IGMP报文时,路由器可以获取该端口对应的攻击标志位,如果当前该端口对应的攻击标志位为0,则表示当前针对该端口的报文处理方式为第二报文处理方式,也即当前该端口不存在IGMP攻击,此时,路由器可以根据IGMP报文,对IGMP报文对应的组播组的成员关系进行维护。
可选的,路由器还可以设置第二速率阈值,以进一步提高系统的稳定性。相应的,该方法还可以包括以下处理步骤。
步骤一,如果该端口的报文接收速率小于预设的第二速率阈值,则确定当前针对该端口的报文处理方式为第二报文处理方式。
其中,第二速率阈值小于第一速率阈值。例如,第二速率阈值可以为第一速率阈值的二分之一,具体的,第二速率阈值可以由技术人员根据经验进行设置,参见表(2)。
表(2)
连接类型 | 第一速率阈值 | 第二速率阈值 |
主机连接 | 500个/秒 | 250个/秒 |
交换机连接 | 4000个/秒 | 2000个/秒 |
表(2)中,主机连接对应的第一速率阈值为500个/秒,主机连接对应的第二速率阈值为250个/秒,交换机连接对应的第一速率阈值为4000个/秒,交换机连接对应的第一速率阈值为2000个/秒。
在申请实施例中,针对某一端口,路由器可以判断该端口的报文接收速率是否大于第二速率阈值。当路由器判定该端口的报文接收速率小于或者等于第二速率阈值时,路由器可以直接确定当前针对该端口的报文处理方式为第二报文处理方式。
具体的,当路由器判定该端口的报文接收速率小于或者等于第二速率阈值时,路由器可以直接确定该端口对应的攻击标志位为0。在路由器判定该端口的报文接收速率小于第二速率阈值时,如果当前该端口对应的攻击标志位为1,则路由器将该端口对应的攻击标志位修改为0,如果当前该端口对应的攻击标志位为0,则路由器对该端口对应的攻击标志位不进行任何处理。
例如,该端口的连接类型为主机连接,该端口的报文接收速率为200个/秒。根据表(2),路由器判定该端口的报文接收速率小于250个/秒,此时,路由器可以直接确定该端口对应的攻击标志位为0。
步骤二,在该端口处于第二报文处理方式的情况下,当通过该端口接收到IGMP报文时,对IGMP报文对应的组播组的成员关系进行维护。
本步骤可以参考上述实施例中相同处理步骤的详细介绍,在此不再赘述。
可选的,如果该端口的报文接收速率小于第一速率阈值,且大于第二速率阈值,路由器可以根据上一次确定出的针对该端口的报文处理方式,确定当前针对该端口的报文处理方式。具体的,该方法还可以包括以下处理步骤。
步骤一,如果该端口的报文接收速率大于第二速率阈值,且上一次确定出的针对该端口的报文处理方式为第一报文处理方式,则确定当前针对该端口的报文处理方式为第一报文处理方式。
在申请实施例中,当路由器判定该端口的报文接收速率小于第一速率阈值,且大于第二速率阈值时,路由器可以获取上一次确定出的针对该端口的报文处理方式。如果上一次确定出的针对该端口的报文处理方式为第一报文处理方式,则路由器可以确定当前针对该端口的报文处理方式为第一报文处理方式。
例如,该端口的连接类型为主机连接,该端口的报文接收速率为300个/秒。根据表(2),路由器判定该端口的报文接收速率小于500个/秒,且大于250个/秒,路由器可以获取该端口对应的攻击标志位。如果该端口对应的攻击标志位为1,则路由器可以确定当前针对该端口的报文处理方式为第一报文处理方式。
步骤二,如果该端口的报文接收速率大于第二速率阈值,且上一次确定出的针对该端口的报文处理方式为第二报文处理方式,则确定当前针对该端口的报文处理方式为第二报文处理方式。
在申请实施例中,当路由器判定该端口的报文接收速率小于第一速率阈值,且大于第二速率阈值时,路由器可以获取上一次确定出的针对该端口的报文处理方式。如果上一次确定出的针对该端口的报文处理方式为第二报文处理方式,则路由器可以确定当前针对该端口的报文处理方式为第二报文处理方式。
例如,该端口的连接类型为主机连接,该端口的报文接收速率为300个/秒。根据表(2),路由器判定该端口的报文接收速率小于500个/秒,且大于250个/秒,路由器可以获取该端口对应的攻击标志位。如果该端口对应的攻击标志位为0,则路由器可以确定当前针对该端口的报文处理方式为第二报文处理方式。
由以上可见,在路由器开始工作时,端口的报文接收速率小于第二速率阈值,此时,路由器设置该端口对应的攻击标志位为0。之后,如果该端口的报文接收速率保持小于第一速率阈值,则路由器保持该端口对应的攻击标志位为0。当某一时刻该端口的报文接收速率大于或者等于第一速率阈值时,路由器则将该端口对应的攻击标志位修改为1。之后,如果该端口的报文接收速率保持大于第二速率阈值,则路由器保持该端口对应的攻击标志位为1。当某一时刻该端口的报文接收速率小于或者等于第二速率阈值时,路由器则将该端口对应的攻击标志位修改为0。以此类推,路由器根据该端口的报文接收速率,确定该端口对应的攻击标志位,也即确定针对该端口的报文处理方式。
当该端口对应的攻击标志位为1时,路由器丢弃通过该端口接收到的报文;当该端口对应的攻击标志位为0时,路由器根据通过该端口接收到的IGMP报文,对组播网络中组播组的成员关系进行维护。基于上述处理,路由器能够实现对各端口接收到的所有报文进行安全控制处理,进而降低IGMP攻击对组播网络性能的影响。
参见图3,图3为本申请实施例提供的一种处理报文的方法示例的流程图,该方法可以应用于组播网络中的路由器,路由器中设置有用于连接主机的端口,该方法可以包括以下处理步骤。
S301:检测用于连接主机的端口的报文接收速率。
S302:判断该端口的报文接收速率是否大于预设的第一速率阈值,如果该端口的报文接收速率大于或者等于第一速率阈值,执行S303,如果该端口的报文接收速率小于第一速率阈值,执行S304。
其中,第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的该端口的连接类型对应的速率阈值。
S303:确定当前针对该端口的报文处理方式为第一报文处理方式。
S304:判断该端口的报文接收速率是否大于预设的第二速率阈值,如果该端口的报文接收速率大于第二速率阈值,执行S305,如果该端口的报文接收速率小于或者等于第二速率阈值,执行S306。
其中,第二速率阈值小于第一速率阈值。
S305:将上一次确定出的针对该端口的报文处理方式,作为当前针对该端口的报文处理方式。
S306:确定当前针对该端口的报文处理方式为第二报文处理方式。
S307:在该端口处于第一报文处理方式的情况下,丢弃通过该端口接收到的报文。
S308:在该端口处于第二报文处理方式的情况下,根据通过该端口接收到的IGMP报文,对IGMP报文对应的组播组的成员关系进行维护。
基于本申请实施例的处理报文的方法,检测用于连接主机的端口的报文接收速率,如果该端口的报文接收速率大于预设的第一速率阈值,则确定当前针对该端口的报文处理方式为第一报文处理方式,第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的该端口的连接类型对应的速率阈值。在该端口处于第一报文处理方式的情况下,丢弃通过该端口接收到的报文。基于上述处理,路由器可以检测各端口的报文接收速率,并在某端口的报文接收速率大于第一速率阈值时,丢弃通过该端口接收到的报文,从而避免路由器接收到大量IGMP报文,降低IGMP攻击对组播网络性能的影响。
与图2的方法实施例相对应,参见图4,图4为本申请实施例提供的一种处理报文的装置的结构图,该装置可以应用于组播网络中的路由器,路由器中设置有用于连接主机的端口,该装置可以包括:
检测模块401,用于检测所述端口的报文接收速率;
确定模块402,用于如果所述端口的报文接收速率大于预设的第一速率阈值,则确定当前针对所述端口的报文处理方式为第一报文处理方式,其中,所述第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的所述端口的连接类型对应的速率阈值;
第一处理模块403,用于在所述端口处于所述第一报文处理方式的情况下,丢弃通过所述端口接收到的报文。
可选的,所述装置还包括:
第二处理模块,用于如果所述端口的报文接收速率小于所述第一速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
可选的,所述装置还包括:
第三处理模块,用于如果所述端口的报文接收速率小于预设的第二速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式,其中,所述第二速率阈值小于所述第一速率阈值;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
可选的,所述第三处理模块,还用于如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第一报文处理方式,则确定当前针对所述端口的报文处理方式为所述第一报文处理方式;
如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第二报文处理方式,则确定当前针对所述端口的报文处理方式为所述第二报文处理方式。
可选的,所述端口的连接类型包括主机连接或交换机连接。
基于本申请实施例的处理报文的装置,检测用于连接主机的端口的报文接收速率,如果该端口的报文接收速率大于预设的第一速率阈值,则确定当前针对该端口的报文处理方式为第一报文处理方式,第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的该端口的连接类型对应的速率阈值。在该端口处于第一报文处理方式的情况下,丢弃通过该端口接收到的报文。基于上述处理,路由器可以检测各端口的报文接收速率,并在某端口的报文接收速率大于第一速率阈值时,丢弃通过该端口接收到的报文,从而避免路由器接收到大量IGMP报文,降低IGMP攻击对组播网络性能的影响。
本申请实施例还提供了一种路由器,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,以使该路由器执行处理报文的方法的步骤,该方法包括:
检测所述端口的报文接收速率;
如果所述端口的报文接收速率大于预设的第一速率阈值,则确定当前针对所述端口的报文处理方式为第一报文处理方式,其中,所述第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的所述端口的连接类型对应的速率阈值;
在所述端口处于所述第一报文处理方式的情况下,丢弃通过所述端口接收到的报文。
可选的,所述方法还包括:
如果所述端口的报文接收速率小于所述第一速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
可选的,所述方法还包括:
如果所述端口的报文接收速率小于预设的第二速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式,其中,所述第二速率阈值小于所述第一速率阈值;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
可选的,所述方法还包括:
如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第一报文处理方式,则确定当前针对所述端口的报文处理方式为所述第一报文处理方式;
如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第二报文处理方式,则确定当前针对所述端口的报文处理方式为所述第二报文处理方式。
可选的,所述端口的连接类型包括主机连接或交换机连接。
上述路由器提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述路由器与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一处理报文的方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一处理报文的方法。
本申请实施例中,检测用于连接主机的端口的报文接收速率,如果该端口的报文接收速率大于预设的第一速率阈值,则确定当前针对该端口的报文处理方式为第一报文处理方式,第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的该端口的连接类型对应的速率阈值。在该端口处于第一报文处理方式的情况下,丢弃通过该端口接收到的报文。基于上述处理,可以检测各端口的报文接收速率,并在某端口的报文接收速率大于第一速率阈值时,丢弃通过该端口接收到的报文,从而避免路由器接收到大量IGMP报文,降低IGMP攻击对组播网络性能的影响。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、路由器、机器可读存储介质,以及计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (12)
1.一种处理报文的方法,其特征在于,所述方法应用于组播网络中的路由器,所述路由器中设置有用于连接主机的端口,所述方法包括:
检测所述端口的报文接收速率;
如果所述端口的报文接收速率大于预设的第一速率阈值,则确定当前针对所述端口的报文处理方式为第一报文处理方式,其中,所述第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的所述端口的连接类型对应的速率阈值;
在所述端口处于所述第一报文处理方式的情况下,丢弃通过所述端口接收到的报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述端口的报文接收速率小于所述第一速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述端口的报文接收速率小于预设的第二速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式,其中,所述第二速率阈值小于所述第一速率阈值;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第一报文处理方式,则确定当前针对所述端口的报文处理方式为所述第一报文处理方式;
如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第二报文处理方式,则确定当前针对所述端口的报文处理方式为所述第二报文处理方式。
5.根据权利要求1所述的方法,其特征在于,所述端口的连接类型包括主机连接或交换机连接。
6.一种处理报文的装置,其特征在于,所述装置应用于组播网络中的路由器,所述路由器中设置有用于连接主机的端口,所述装置包括:
检测模块,用于检测所述端口的报文接收速率;
确定模块,用于如果所述端口的报文接收速率大于预设的第一速率阈值,则确定当前针对所述端口的报文处理方式为第一报文处理方式,其中,所述第一速率阈值为根据预设的连接类型和速率阈值的对应关系,确定出的所述端口的连接类型对应的速率阈值;
第一处理模块,用于在所述端口处于所述第一报文处理方式的情况下,丢弃通过所述端口接收到的报文。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二处理模块,用于如果所述端口的报文接收速率小于所述第一速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第三处理模块,用于如果所述端口的报文接收速率小于预设的第二速率阈值,则确定当前针对所述端口的报文处理方式为第二报文处理方式,其中,所述第二速率阈值小于所述第一速率阈值;
在所述端口处于所述第二报文处理方式的情况下,当通过所述端口接收到IGMP报文时,对所述IGMP报文对应的组播组的成员关系进行维护。
9.根据权利要求8所述的装置,其特征在于,所述第三处理模块,还用于如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第一报文处理方式,则确定当前针对所述端口的报文处理方式为所述第一报文处理方式;
如果所述端口的报文接收速率大于所述第二速率阈值,且上一次确定出的针对所述端口的报文处理方式为所述第二报文处理方式,则确定当前针对所述端口的报文处理方式为所述第二报文处理方式。
10.根据权利要求6所述的装置,其特征在于,所述端口的连接类型包括主机连接或交换机连接。
11.一种路由器,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-5任一所述的方法步骤。
12.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811128320.XA CN109347810B (zh) | 2018-09-27 | 2018-09-27 | 一种处理报文的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811128320.XA CN109347810B (zh) | 2018-09-27 | 2018-09-27 | 一种处理报文的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109347810A true CN109347810A (zh) | 2019-02-15 |
CN109347810B CN109347810B (zh) | 2021-06-11 |
Family
ID=65306740
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811128320.XA Active CN109347810B (zh) | 2018-09-27 | 2018-09-27 | 一种处理报文的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109347810B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110519302A (zh) * | 2019-09-29 | 2019-11-29 | 锐捷网络股份有限公司 | 一种防报文攻击的方法和装置 |
CN113676402A (zh) * | 2020-05-13 | 2021-11-19 | 华为技术有限公司 | 一种协议报文的处理方法、网络设备及计算机存储介质 |
CN118101515A (zh) * | 2024-04-24 | 2024-05-28 | 珠海星云智联科技有限公司 | 异常拓扑处理方法、系统、设备以及集群 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102349271A (zh) * | 2011-07-07 | 2012-02-08 | 华为技术有限公司 | 组播协议报文监听方法、装置以及交换机 |
CN102487339A (zh) * | 2010-12-01 | 2012-06-06 | 中兴通讯股份有限公司 | 一种网络设备攻击防范方法及装置 |
CN102882707A (zh) * | 2012-09-04 | 2013-01-16 | 大唐移动通信设备有限公司 | 一种以太链路风暴检测及抑制的方法和装置 |
CN104580107A (zh) * | 2013-10-24 | 2015-04-29 | 华为技术有限公司 | 恶意攻击检测方法及控制器 |
US20170099224A1 (en) * | 2015-10-01 | 2017-04-06 | Ixia | Egress Port Overload Protection For Network Packet Forwarding Systems |
-
2018
- 2018-09-27 CN CN201811128320.XA patent/CN109347810B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102487339A (zh) * | 2010-12-01 | 2012-06-06 | 中兴通讯股份有限公司 | 一种网络设备攻击防范方法及装置 |
CN102349271A (zh) * | 2011-07-07 | 2012-02-08 | 华为技术有限公司 | 组播协议报文监听方法、装置以及交换机 |
CN102882707A (zh) * | 2012-09-04 | 2013-01-16 | 大唐移动通信设备有限公司 | 一种以太链路风暴检测及抑制的方法和装置 |
CN104580107A (zh) * | 2013-10-24 | 2015-04-29 | 华为技术有限公司 | 恶意攻击检测方法及控制器 |
US20170099224A1 (en) * | 2015-10-01 | 2017-04-06 | Ixia | Egress Port Overload Protection For Network Packet Forwarding Systems |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110519302A (zh) * | 2019-09-29 | 2019-11-29 | 锐捷网络股份有限公司 | 一种防报文攻击的方法和装置 |
CN113676402A (zh) * | 2020-05-13 | 2021-11-19 | 华为技术有限公司 | 一种协议报文的处理方法、网络设备及计算机存储介质 |
CN113676402B (zh) * | 2020-05-13 | 2022-12-27 | 华为技术有限公司 | 一种协议报文的处理方法、网络设备及计算机存储介质 |
CN118101515A (zh) * | 2024-04-24 | 2024-05-28 | 珠海星云智联科技有限公司 | 异常拓扑处理方法、系统、设备以及集群 |
Also Published As
Publication number | Publication date |
---|---|
CN109347810B (zh) | 2021-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2647646C2 (ru) | Способ и устройство детектирования злонамеренной атаки | |
US20200244676A1 (en) | Detecting outlier pairs of scanned ports | |
EP3720075B1 (en) | Data transmission method and virtual switch | |
CN103856470B (zh) | 分布式拒绝服务攻击检测方法及检测装置 | |
US11711389B2 (en) | Scanner probe detection | |
US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
CN108551446A (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
CN108737447B (zh) | 用户数据报协议流量过滤方法、装置、服务器及存储介质 | |
CN105812318B (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
CN109347810A (zh) | 一种处理报文的方法和装置 | |
US11770396B2 (en) | Port scan detection using destination profiles | |
CN106878343B (zh) | 一种云计算环境下提供网络安全即服务的系统 | |
CN105991444A (zh) | 业务处理的方法和装置 | |
CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
CN105959282A (zh) | Dhcp攻击的防护方法及装置 | |
CN110278152A (zh) | 一种建立快速转发表的方法及装置 | |
US11108812B1 (en) | Data plane with connection validation circuits | |
CN108737344A (zh) | 一种网络攻击防护方法和装置 | |
CN108322454B (zh) | 一种网络安全检测方法及装置 | |
CN109729016A (zh) | 一种报文发送方法、设备及计算机可读存储介质 | |
CN110381053A (zh) | 一种报文过滤方法及装置 | |
CN101741691A (zh) | 网络流量负载平衡的处理方法 | |
WO2020157561A1 (en) | Port scan detection | |
US20190182337A1 (en) | Peer connection monitoring of network applications | |
CN109981606A (zh) | 通用串行总线的硬件防火墙检测装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230607 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |