CN109617905B - 多播攻击的处理方法、装置和实现装置 - Google Patents
多播攻击的处理方法、装置和实现装置 Download PDFInfo
- Publication number
- CN109617905B CN109617905B CN201811652957.9A CN201811652957A CN109617905B CN 109617905 B CN109617905 B CN 109617905B CN 201811652957 A CN201811652957 A CN 201811652957A CN 109617905 B CN109617905 B CN 109617905B
- Authority
- CN
- China
- Prior art keywords
- interface
- state
- bmc
- multicast
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种多播攻击的处理方法、装置和实现装置,应用于带有BMC的服务器,该方法包括:如果BMC的接口处于多播防攻击状态,检查接口是否为DOWN状态;如果是,向该接口的直连设备发送ARP报文以探测接口的实际状态;如果探测到该接口的实际状态正常,设置BMC的接口为UP状态。通过对DOWN状态接口进行状态探测,可以实现根据探测到的BMC的接口的实际状态及时更新BMC接口状态,使得BMC记录的接口状态与接口的实际状态一致,提高BMC记录的接口状态的可靠性。同时,使用消耗资源很小的ARP报文进行接口探测,能够使BMC芯片可以完成大量侦测工作,提高系统资源利用率。
Description
技术领域
本公开涉及通信技术领域,尤其是涉及多播攻击的处理方法、装置和实现装置。
背景技术
随着应用服务的发展,使用应用服务的场景越来越多,网络环境越来越复杂。其中包括许多不安全的网络环境,不安全网络中的攻击流量会冲击网络中的各个节点。
当攻击流量攻击到服务器时,服务器会对攻击流量进行屏蔽。如果服务器的接口出现UP事件或DOWN事件,服务器中的网络连接状态指示器(Network Connectivity StatusIndicator,NCSI)以广播形式发送携带有接口打开UP/关闭DOWN消息的异步事件通告(Asynchronous Event Notification,AEN)报文。该报文在收发周期内到达时,基板管理控制器(Baseboard Management Controller,BMC)根据该报文中的UP/DOWN消息更改接口状态。如果该报文在收发周期未到达,由于服务器的屏蔽机制,该报文被丢弃。
发明内容
有鉴于此,本公开的目的在于提供一种多播攻击的处理方法、装置和实现装置,可以在服务器处于多播防攻击状态,BMC的接口为DOWN状态时,检测BMC的接口的实际状态,使BMC记录的接口状态更加准确。
为了实现上述目的,本公开采用的技术方案如下:
第一方面,本公开提供了一种多播攻击的处理方法,应用于带有BMC的服务器,该方法包括:如果BMC的接口处于多播防攻击状态,检查接口是否为DOWN状态;如果是,向接口的直连设备发送ARP报文以探测接口的实际状态;如果探测到接口的实际状态正常,设置该接口为UP状态。
第二方面,本公开提供了一种多播攻击的处理装置,应用于带有BMC的服务器,该装置包括:检测模块,用于如果BMC的接口处于多播防攻击状态,检查接口是否为DOWN状态;探测模块,用于如果检测模块检测到接口为DOWN状态,向接口的直连设备发送ARP报文以探测接口的实际状态;设置模块,用于如果探测模块探测到接口的实际状态正常,设置BMC的接口为UP状态。
第三方面,本公开实施方式提供了一种多播攻击处理的实现装置,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现上述多播攻击的处理方法。
第四方面,本公开实施方式提供了一种机器可读存储介质,机器可读存储介质存储有机器可执行指令,机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现上述多播攻击的处理方法。
上述多播攻击的处理方法、装置、实现装置和机器可读存储介质,在BMC的接口处于多播防攻击状态且BMC的接口为DOWN状态时,对BMC的接口进行状态探测,在探测到接口的实际状态正常时,设置BMC的接口为UP状态。通过对DOWN状态接口进行状态探测,可以实现根据探测到的BMC的接口的实际状态及时更新BMC接口状态,使得BMC记录的接口状态与接口的实际状态一致,BMC记录的接口状态更加准确,提高BMC记录的接口状态的可靠性。同时,ARP报文作为路由学习报文,其系统开销很小,使用消耗资源很小的ARP报文进行接口探测,能够使BMC芯片可以完成大量侦测工作,提高系统资源利用率。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
附图说明
为了更清楚地说明本公开具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施方式提供的系统架构示意图;
图2为本公开实施方式提供的一种多播攻击的处理方法的流程示意图;
图3为本公开实施方式提供的另一个多播攻击的处理方法的流程示意图;
图4为本公开实施方式提供的一种多播攻击的处理装置的结构示意图;
图5为本公开实施方式提供的另一种多播攻击的处理装置的结构示意图;
图6为本公开实施方式提供的一种实现装置的结构示意图。
具体实施方式
为使本公开实施方式的目的、技术方案和优点更加清楚,下面将结合附图对本公开的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本公开一部分实施方式,而不是全部的实施方式。基于本公开中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本公开保护的范围。
流量攻击是一种常见的网络攻击方式,在不安全网络中,攻击流量会冲击网络中的各个节点,包括服务器。为了免受侵害服务器在检测到攻击流量后,BMC的接口进入防攻击状态,此时BMC的接口不处理接收到的多播报文。相应的,在BMC的接口未进入防攻击状态时,BMC的接口处理接收到的多播报文。当接口出现UP事件或DOWN事件,网络连接状态指示器NCSI以广播形式发送携带有接口打开UP/关闭DOWN消息的异步事件通告AEN,BMC根据AEN中的UP/DOWN消息更改接口状态。但是,当BMC处于多播防攻击状态时,由于BMC屏蔽接口上的多播报文,因此若AEN报文没有在收发周期内到达,则BMC不处理AEN中携带的UP/DOWN消息,导致BMC的接口状态与接口的实际状态不一致。例如,BMC在未处于多播防攻击状态时,BMC的接口状态为DOWN状态,在BMC处于多播防攻击状态时,携带UP消息的AEN到达服务器,但该AEN不被处理,导致BMC记录的接口状态为DOWN状态,而接口的实际状态为UP状态,出现误差,系统资源利用率低。
图1为本公开实施方式的系统架构示意图,服务器10包含BMC11和通信模块12,通信模块12用于服务器10与网络20的数据传输,BMC11通过串行接口与通信模块12连接。远程管理终端30通过网络20与服务器的通信模块12连接,基于服务器的智能平台管理接口(Intelligent Platform Management Interface,IPMI)标准与BMC11通信。IPMI是使硬件管理具备“智能化”的通用接口标准。用户在远程管理终端上可以利用IPMI监视服务器的物理特征,如接口状态、温度、电压、电扇工作状态、电源供应及机箱入侵等。BMC是IPMI中的物理部件,是一种嵌入式管理微控制器,IPMI通过BMC监控各个传感器的数据并记录各种事件的日志。BMC的主要功能是自动监视平台系统管理事件,把发生的事件记录在非易失的系统事件日志(System Event Log,SEL)中。BMC记录的事件类型包括接口状态、温度超标、电压超标、风扇故障和机箱入侵等。在本公开实施方式中,BMC记录的接口状态可以为UP状态和DOWN状态,其中接口为直连设备连接接口,直连设备可以为服务器、交换机等。
本公开实施方式提供了一种多播攻击的处理方法,服务器在处于多播防攻击状态时,主动对BMC的接口进行状态探测,及时更新BMC的接口状态,使得BMC记录的接口状态与接口的实际状态一致。具体方案如下所示:
图2为本公开实施方式提供的一种多播攻击的处理方法的流程图,该方法可以由图1所示的服务器执行,具体可以由该服务器中的BMC执行,该方法应用于服务器遭受多播攻击的情况,包括如下步骤:
步骤101、如果BMC的接口处于多播防攻击状态,检查该接口是否为DOWN状态。
服务器在接收到多播报文时,如果多播报文在一个收发周期中的数量大于预设阈值,判定BMC的接口处于多播防攻击状态。当BMC处于多播防攻击状态时,检测接口是否为DOWN状态。如果接口为DOWN状态,则执行步骤102。
步骤102、如果是,向上述接口的直连设备发送ARP报文以探测该接口的实际状态。
当接口为DOWN状态时,向接口的直连设备发送ARP报文。ARP报文作为路由学习报文,其消耗的功耗较低,BMC通过采用ARP报文进行接口探测,不会占用服务器过多的资源,提高设备的资源利用率。
向接口的直连设备发送ARP报文之后,根据直连设备对该ARP报文响应与否,可以确定该接口的实际状态是否正常,例如:如果在规定时间内接收到该直连设备返回的ARP响应报文,则确定该接口的实际状态正常。如果在规定时间内没有接收到该直连设备返回的ARP响应报文,则确定该接口的实际状态为异常。
步骤103、如果探测到上述接口的实际状态正常,设置该接口为UP状态。
探测到接口的实际状态可能为UP状态也可能为DOWN状态。如果实际状态为正常,则设置该接口的UP状态。如果实际状态为异常,则继续位置该接口的状态为DOWN状态,达到BMC记录的接口状态与接口的实际状态一致。
上述多播攻击的处理方法,在BMC的接口处于多播防攻击状态且BMC的接口为DOWN状态时,对BMC的接口进行状态探测,在探测到接口的实际状态正常时,设置BMC的接口为UP状态。通过对DOWN状态接口进行状态探测,可以实现根据探测到的BMC的接口的实际状态及时更新BMC接口状态,使得BMC记录的接口状态与接口的实际状态一致,BMC记录的接口状态更加准确,提高BMC记录的接口状态的可靠性。同时,使用消耗资源很小的ARP报文进行接口探测,能够使BMC芯片可以完成大量侦测工作,提高系统资源利用率。
在另一个实现方式中,在上述方法的基础上,BMC接口处于多播防攻击状态时,BMC的接口状态也可能为UP状态。基于此,上述方法还包括:如果检查到接口为UP状态,在当前收发周期之后的设定时长内监听接口是否有报文传输,如果未监听到报文传输,向接口的直连设备发送ARP报文以探测接口的实际状态;根据探测到的实际状态设置接口的接口状态。
上述设定时长可以为当前收发周期的预设倍数,预设倍数为大于2的整数。示例性的,当前收发周期为2秒,预设倍数为3倍,则设定时长为6秒。可以在当前收发周期结束时,读取第一接口报文计数,并启动计时器计时。当计时结果与设定时长匹配时,读取第二接口报文计数。预设时长可以为收发周期的整数倍,如三倍。如果第一接口报文计数与第二接口报文计数不同,则当前收发周期之后的设定时长内接口有报文传输。否则,如果第一接口报文计数与第二接口报文计数相同,则当前收发周期之后的设定时长内接口无报文传输,即未监听到报文传输。
在发送ARP报文前,可以先获取直连设备的地址信息,例如可以通过与服务器的ARP模块进程间交互,得到直连设备的MAC地址,使用该MAC地址发送ARP报文。直连设备若接收到ARP报文,返回ARP响应报文。
本公开实施方式能够在BMC的接口处于多播防攻击状态,且BMC的接口状态也可能为UP状态时,检测BMC的接口的实际状态,使得BMC记录的接口状态与接口的实际状态一致,BMC记录的接口状态更加准确,提高BMC记录的接口状态的可靠性。
在另一个实施例中,在上述实现方式的基础上,还包括步骤(1)至步骤(3),用于实现对BMC的接口进行状态探测:
步骤(1)、检测当前收发周期中BMC的接口是否出现多播攻击事件。
收发周期可以预先设置,可选的一个收发周期可以为2秒。根据系统时间可确定当前系统时间所在的当前收发周期。多播攻击事件的检测方式可以为,当接收到特定终端发送的多播消息,则确定出现多播攻击事件。其中,特定终端位于黑名单中,该黑名单用于记录具有多播攻击行为历史的终端。
多播攻击事件的检测方式还可以为:首先,检测当前收发周期中,BMC的接口接收到的多播报文的个数;其中,多播报文包括广播报文和/或组播报文。如果多播报文的个数大于设定阈值,确定BMC的接口出现多播攻击事件。如果多播报文的个数小于设定阈值,则确定BMC的接口未出现多播攻击事件。
从收发周期的起始时刻起,统计BMC的接口接收到的多播报文数量。当到达收发周期的结束时刻时,停止多播报文数量统计,得到BMC的接口接收到的多播报文的个数。可以只统计广播报文的个数,将当前收发周期内接收到的全部广播报文的个数记为多播报文的个数。也可以只统计组播报文的个数,将当前收发周期内接收到的全部组播报文的个数记为多播报文的个数。还可以,同时统计广播报文和组播报文的个数,将当前收发周期内接收到的全部组播报文和广播报文的个数记为多播报文的个数。
其中,预设阈值可以为大于1000的整数,如2000等。如果多播报文的个数大于设定阈值,说明接收到多播报文过多,超出预设阈值的报文出错率较高,确定BMC的接口出现多播攻击事件。
在当前实现方式中,根据公式一可分析上述问题出现的概率。
1000*(N-1000)/N平方(公式一)
其中,N为每秒收到多播报文个数。可见,每2S周期内收包2000个广播报文,周期内多于2000个以上的报文都会被丢弃。当N为2000时,概率最大。当接口接收的多播报文个数大于2000时,确定出现多播攻击事件。
步骤(2)、如果当前收发周期中BMC的接口出现多播攻击事件,设置BMC的接口处于多播防攻击状态。
如果当前收发周期中BMC的接口出现多播攻击事件,BMC在日志中记录该多播攻击事件,并设置BMC的接口处于多播防攻击状态。
步骤(3)、根据BMC的接口的接口状态,对该接口进行状态探测。具体可以根据不同的接口状态确定相应的状态探测方式,例如,如果当前的接口状态为UP状态,则可以再持续监听一下该接口后续是否接收到报文,若接收到报文,则说明该接口的UP状态无误,如果持续监听该接口没有接收到报文,则需要进一步探测该接口是否实际已经为DOWN状态。若该接口当前的状态已经为DOWN状态,则可以通过发送单播探测报文的方式进一步探测该接口的实际状态。基于此,上述步骤(3)具体可以包括如下步骤:
步骤(31)、判断BMC的接口是否为UP状态。
如果BMC的接口为UP状态,则执行步骤(32)。如果BMC的接口为DOWN状态,则执行步骤(35)。
步骤(32)、如果BMC的接口为UP状态,则探测当前收发周期之后的设定时长内接口是否有报文传输。
设定时长可以为当前收发周期的预设倍数,预设倍数为大于2的整数。示例性的,当前收发周期为2秒,预设倍数为3倍,则设定时长为6秒。可以在当前收发周期结束时,读取第一接口报文计数,并启动计时器计时。当计时结果与设定时长匹配时,读取第二接口报文计数。预设时长可以为收发周期的整数倍,如三倍。如果第一接口报文计数与第二接口报文计数不同,则当前收发周期之后的设定时长内接口有报文传输,执行步骤(33)。否则,如果第一接口报文计数与第二接口报文计数相同,则当前收发周期之后的设定时长内接口无报文传输,执行步骤(34)。
步骤(33)、如果当前收发周期之后的设定时长内接口有报文传输,则接口状态正常。
步骤(34)、如果当前收发周期之后的设定时长内接口没有报文传输,则向接口的直连设备发送单播探测报文,例如上述ARP报文。
在发送单播探测报文前,获取直连设备的地址信息。可以通过与服务器ARP模块进程间交互,得到直连设备的MAC信息作为地址信息。基于该地址信息向直连设备发送单播的ARP报文。直连设备若接收到ARP报文,将进行单播回应。
步骤(35)、如果BMC的接口为DOWN状态,向接口的直连设备发送单播探测报文,例如上述ARP报文。
步骤(35)向接口的直连设备发送单播探测报文的方式与步骤(34)中相同。
上述过程为检测到当前收发周期中BMC的接口出现多播攻击事件的场景,对于当前收发周期中BMC的接口未出现多播攻击事件的情况,可以直接结束上述方法,等下一个收发周期到来时,将下一个收发周期作为新的当前周期,继续执行上述步骤。
为了用户能够通过远程管理终端配置BMC的接口自适应功能,可以在远程管理界面上设置自适应UP功能标签,若标签使能(即被用户选中),则启动上述方法。基于此,上述步骤110中的如果BMC的接口处于多播防攻击状态,检查接口是否为DOWN状态的步骤,可以包括:如果BMC的接口处于多播防攻击状态,检查服务器的自适应UP功能标签是否为选中状态,如果自适应UP功能标签为选中状态,执行上述检查接口是否为DOWN状态。
通过上述方式,用于可以通过远程管理终端登录BMC的网页(即上述远程管理界面)设置页面,在网页页面中设置标签页,该标签页包含自适应UP功能标签。自适应UP功能标签具有选中和取消两种状态。当自适应UP功能标签为选中状态时,服务器可以主动应用图2所示的方法对接口状态进行更新,进而实现用户可以控制接口的自适应UP功能的启动和关闭,提高易用性。
下面通过一个使用场景对本公开实施方式进行说明,如图3所示,包括:
步骤200、BMC启动。
步骤201、BMC启动后,根据网页页面中设置的UP功能标签判断是否使能自适应UP功能。
如果使能自适应UP功能,则执行步骤202。如果未使能自适应UP功能,结束。
步骤202、后台启动一个进程,该进程通过服务器的ARP模块获取直连设备MAC信息。该进程用于执行本公开实施方式提供的方法,包括:分析网络状态、设置定时器以便每隔X秒进行探测等,其中X大于1。
步骤203、判断BMC的接口是否已进入多播防攻击状态。
如果该接口已进入多播防攻击状态,则执行步骤204。
如果接口未进入多播防攻击状态,则当前网络状态正常,结束。
步骤204、判断当前的接口状态是否为UP状态。如果当前的接口状态为UP状态,执行步骤205。如果当前的接口状态为DOWN状态,执行步骤207。
步骤205、进行二次报文统计。例如:间隔6秒(3个收包周期)读取接口报文计数。具体的,在同一个接口上以6秒为间隔统计两次报文计数,一个报文计数为间隔起始时间的报文计数,另一个报文计数为间隔结束时间的报文计数。通过比较两个报文计数可以确定该接口上是否收发新的报文。
步骤206、判断两次统计结果是否变化。
如果两次统计结果有变化,则说明有新的报文交互,网络正常,结束。
如果两次统计结果无变化,认为可能存在问题,执行步骤207。
步骤207、进行ARP报文探测。
可以在确定接口为DOWN状态时,发送ARP探测报文。也可以,在接口为UP状态,并且步骤206判定两个统计结果无变化时,发送ARP探测报文。
服务器主动发送一个单播的ARP报文给直连设备,用于探测该直连设备。
步骤208、判断是否收到对端应答。若对端(该直连设备)单播回应,则执行步骤209;如果对端没有单播回应,则进行步骤210。
步骤209、设置上述接口状态为UP状态。
步骤210、设置上述接口状态为DOWN状态。启动定时器,当定时器到达设定时间时,返回执行步骤207。
当BMC记录的接口状态为DOWN状态时,可以每当定时器达到预定时间时,通过ARP报文探测对端,并根据对端应答确定接口的状态,进而避免接口处于DOWN状态时,服务器无法接受报文的问题,提高服务器的响应速率以及BMC记录的接口状态的可靠性。
本公开实施方式,用户可以通过远程管理终端登录网页页面,在网页页面中设置自适应UP功能的使能情况,实现由用户配置接口自适应的功能的启动和关闭。当BMC的接口处于多播防攻击状态时,根据接口状态确定相应的接口探测方式,根据定时器的定时对DOWN状态的接口进行持续探测,及时将接口的DOWN状态更新为UP状态,实现UP状态自适应。当DOWN状态的接口二次统计无变化时,将接口从UP状态调整为DOWN状态,实现DOWN状态的自适应。
需要说明的是,上述各方法实施方式均采用递进的方式描述,每个实施方式重点说明的都是与其他实施方式的不同之处,各个实施方式之间相同相似的部分互相参见即可。
在另一实施方式中,如图4所示,本公开实施方式提供了一种与上述方法实施方式相对应的多播攻击的处理装置,应用于带有BMC的服务器,该装置包括:检测模块310、探测模块320和设置模块330。
检测模块310,用于如果BMC的接口处于多播防攻击状态,检查接口是否为DOWN状态;
探测模块320,用于如果检测模块310检测到接口为DOWN状态,向接口的直连设备发送ARP报文以探测接口的实际状态;
设置模块330,用于如果探测模块320探测到接口的实际状态正常,设置BMC的接口为UP状态。
如图5所示,在上述装置基础上,还包括监听模块340、攻击检测模块350、防攻击设置模块360和功能标签检测模块370;
监听模块340用于如果检查到接口为UP状态,在当前收发周期之后的设定时长内监听接口是否有报文传输;
探测模块320还用于如果监听模块340未监听到报文传输,向接口的直连设备发送ARP报文以探测接口的实际状态;
设置模块330还用于根据探测模块320探测到的实际状态设置接口的接口状态。
在上述装置基础上,攻击检测模块350,用于检测当前收发周期中BMC的接口是否出现多播攻击事件;
防攻击设置模块360用于,如果是,设置BMC的接口处于多播防攻击状态。
在上述装置基础上,攻击检测模块350用于:检测当前收发周期中,BMC的接口接收到的多播报文的个数;其中,多播报文包括广播报文和/或组播报文;如果多播报文的个数大于设定阈值,确定BMC的接口出现多播攻击事件。
在上述装置基础上,装置还包括功能标签检测模块370;
功能标签检测模块370用于如果BMC的接口处于多播防攻击状态,检查服务器的自适应UP功能标签是否为选中状态,如果是,执行检查接口是否为DOWN状态的步骤。
上述多播攻击的处理装置,在BMC的接口处于多播防攻击状态且BMC的接口为DOWN状态时,对BMC的接口进行状态探测,在探测到接口的实际状态正常时,设置BMC的接口为UP状态。通过对DOWN状态接口进行状态探测,可以实现根据探测到的BMC的接口的实际状态及时更新BMC接口状态,使得BMC记录的接口状态与接口的实际状态一致,BMC记录的接口状态更加准确,提高BMC记录的接口状态的可靠性。同时,使用消耗资源很小的ARP报文进行接口探测,能够使计算能力较弱的BMC芯片可以完成大量侦测工作,提高系统资源利用率。
本实施方式提供了一种与上述方法实施方式相对应的多播攻击处理的实现装置。图6为该实现装置的结构示意图,如图6所示,该设备包括处理器1201和存储器1202;其中,存储器1202用于存储一条或多条计算机指令,一条或多条计算机指令被处理器执行,以实现上述多播攻击的处理方法。
图6所示的实现装置还包括总线1203和转发芯片1204,处理器1201、转发芯片1204和存储器1202通过总线1203连接。该多播攻击处理的实现装置可以是服务器。
其中,存储器1202可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。总线1203可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
转发芯片1204用于通过网络接口与至少一个用户终端及其它网络单元连接,将封装好的IPv4报文或IPv6报文通过网络接口发送至用户终端。
处理器1201可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1201中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1201可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processor,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本公开实施方式中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本公开实施方式所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1202,处理器1201读取存储器1202中的信息,结合其硬件完成前述实施方式的方法的步骤。
本公开实施方式还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现上述多播攻击的处理方法,具体实现可参见方法实施方式,在此不再赘述。
本公开实施方式所提供的多播攻击的处理装置及多播攻击的处理实现装置,其实现原理及产生的技术效果和前述方法实施方式相同,为简要描述,装置实施方式部分未提及之处,可参考前述方法实施方式中相应内容。
在本公开所提供的几个实施方式中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施方式仅仅是示意性的,例如,附图中的流程图和框图显示了根据本公开的多个实施方式的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本公开各个实施方式中的各功能模块或单元可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施方式,仅为本公开的具体实施方式,用以说明本公开的技术方案,而非对其限制,本公开的保护范围并不局限于此,尽管参照前述实施方式对本公开进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,其依然可以对前述实施方式所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本公开实施方式技术方案的精神和范围,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种多播攻击的处理方法,其特征在于,应用于带有BMC的服务器,所述方法包括:
如果所述BMC的接口处于多播防攻击状态,检查所述接口是否为DOWN状态;
如果是,向所述接口的直连设备发送ARP报文以探测所述接口的实际状态;
如果探测到所述接口的实际状态正常,设置所述接口为UP状态;
其中,如果所述BMC的接口处于多播防攻击状态,检查所述服务器的自适应UP功能标签是否为选中状态,如果是,执行检查所述接口是否为DOWN状态的步骤。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果检查到所述接口为UP状态,在当前收发周期之后的设定时长内监听所述接口是否有报文传输;
如果未监听到报文传输,向所述接口的直连设备发送ARP报文以探测所述接口的实际状态;
根据探测到的实际状态设置所述接口的接口状态。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
检测当前收发周期中所述BMC的接口是否出现多播攻击事件;
如果是,设置所述BMC的接口处于多播防攻击状态。
4.根据权利要求3所述的方法,其特征在于,检测当前收发周期中所述BMC的接口是否出现多播攻击事件的步骤,包括:
检测当前收发周期中,所述BMC的接口接收到的多播报文的个数;其中,所述多播报文包括广播报文和/或组播报文;
如果所述多播报文的个数大于设定阈值,确定所述BMC的接口出现多播攻击事件。
5.一种多播攻击的处理装置,其特征在于,应用于带有BMC的服务器,所述装置包括:
检测模块,用于如果所述BMC的接口处于多播防攻击状态,检查所述接口是否为DOWN状态;
探测模块,用于如果所述检测模块检测到所述接口为DOWN状态,向所述接口的直连设备发送ARP报文以探测所述接口的实际状态;
设置模块,用于如果所述探测模块探测到所述接口的实际状态正常,设置所述BMC的接口为UP状态;
其中,所述装置还包括:
功能标签检测模块,用于如果所述BMC的接口处于多播防攻击状态,检查所述服务器的自适应UP功能标签是否为选中状态,如果是,执行检查所述接口是否为DOWN状态的步骤。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:监听模块,用于如果检查到所述接口为UP状态,在当前收发周期之后的设定时长内监听所述接口是否有报文传输;
所述探测模块还用于,如果所述监听模块未监听到报文传输,向所述接口的直连设备发送ARP报文以探测所述接口的实际状态;
所述设置模块还用于,根据所述探测模块探测到的实际状态设置所述接口的接口状态。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:
攻击检测模块,用于检测当前收发周期中所述BMC的接口是否出现多播攻击事件;
防攻击设置模块,用于如果所述攻击检测模块的检测结果为是,设置所述BMC的接口处于多播防攻击状态。
8.根据权利要求7所述的装置,其特征在于,所述攻击检测模块用于:
检测当前收发周期中,所述BMC的接口接收到的多播报文的个数;其中,所述多播报文包括广播报文和/或组播报文;
如果所述多播报文的个数大于设定阈值,确定所述BMC的接口出现多播攻击事件。
9.一种多播攻击处理的实现装置,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1至4任一项所述的多播攻击的处理方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1至4任一项所述的多播攻击的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811652957.9A CN109617905B (zh) | 2018-12-29 | 2018-12-29 | 多播攻击的处理方法、装置和实现装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811652957.9A CN109617905B (zh) | 2018-12-29 | 2018-12-29 | 多播攻击的处理方法、装置和实现装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109617905A CN109617905A (zh) | 2019-04-12 |
| CN109617905B true CN109617905B (zh) | 2022-04-08 |
Family
ID=66015534
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811652957.9A Active CN109617905B (zh) | 2018-12-29 | 2018-12-29 | 多播攻击的处理方法、装置和实现装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109617905B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110661809B (zh) * | 2019-09-29 | 2021-07-30 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
| CN110932925A (zh) * | 2019-10-31 | 2020-03-27 | 苏州浪潮智能科技有限公司 | 一种服务器bmc网络稳定性测试方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119408A (zh) * | 2007-08-16 | 2008-02-06 | 中兴通讯股份有限公司 | 一种实现接口数据一致性的接口、方法及通信系统 |
| CN101159534A (zh) * | 2007-11-19 | 2008-04-09 | 杭州华三通信技术有限公司 | 一种实现接口状态同步的方法和装置 |
| CN107360012A (zh) * | 2016-05-10 | 2017-11-17 | 大唐移动通信设备有限公司 | 一种链路状态处理方法及网络节点设备 |
| CN108322326A (zh) * | 2017-06-27 | 2018-07-24 | 新华三技术有限公司 | 一种接口状态控制方法、报文传输方法及装置 |
| CN109005053A (zh) * | 2018-07-11 | 2018-12-14 | 新华三技术有限公司 | 一种端口状态确定方法和转发设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035676B (zh) * | 2010-12-07 | 2014-08-13 | 中兴通讯股份有限公司 | 基于arp协议交互的链路故障检测与恢复的方法和设备 |
-
2018
- 2018-12-29 CN CN201811652957.9A patent/CN109617905B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119408A (zh) * | 2007-08-16 | 2008-02-06 | 中兴通讯股份有限公司 | 一种实现接口数据一致性的接口、方法及通信系统 |
| CN101159534A (zh) * | 2007-11-19 | 2008-04-09 | 杭州华三通信技术有限公司 | 一种实现接口状态同步的方法和装置 |
| CN107360012A (zh) * | 2016-05-10 | 2017-11-17 | 大唐移动通信设备有限公司 | 一种链路状态处理方法及网络节点设备 |
| CN108322326A (zh) * | 2017-06-27 | 2018-07-24 | 新华三技术有限公司 | 一种接口状态控制方法、报文传输方法及装置 |
| CN109005053A (zh) * | 2018-07-11 | 2018-12-14 | 新华三技术有限公司 | 一种端口状态确定方法和转发设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109617905A (zh) | 2019-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| CN110249603B (zh) | 用于检测无线网络中的分布式攻击的方法和装置 | |
| US20140283062A1 (en) | Apparatus, system and method for suppressing erroneous reporting of attacks on a wireless network | |
| CN111078453B (zh) | 微服务自动熔断和恢复方法、装置、计算机设备及存储介质 | |
| CN109617905B (zh) | 多播攻击的处理方法、装置和实现装置 | |
| CN109040140B (zh) | 一种慢速攻击检测方法及装置 | |
| CN109657463B (zh) | 一种报文洪泛攻击的防御方法及装置 | |
| CN109561111A (zh) | 一种攻击源的确定方法及装置 | |
| CN101299719A (zh) | 数据流的检测处理方法、中央处理器及交换机 | |
| CN109040137B (zh) | 用于检测中间人攻击的方法、装置以及电子设备 | |
| CN110233838B (zh) | 一种脉冲式攻击的防御方法、装置及设备 | |
| CN108989155B (zh) | 基于容忍机制的环路检测方法及系统 | |
| Desai et al. | Packet forwarding misbehavior detection in next-generation networks | |
| CN106603335B (zh) | 私有软件流量监控方法和设备 | |
| CN108156052B (zh) | 一种设备稳定性测试的方法及系统 | |
| CN116070210A (zh) | 异常进程的确定方法、装置及病毒查杀方法 | |
| CN107483329B (zh) | 邻居表项管理方法及装置 | |
| CN106506279B (zh) | 网络死锁状态检测方法及装置 | |
| CN111884871B (zh) | 一种交换机丢弃报文检测的方法和设备 | |
| KR20220014796A (ko) | 의도적 에러를 이용한 위변조 제어기 식별 시스템 및 방법 | |
| US9900207B2 (en) | Network control protocol | |
| US10819609B2 (en) | Communication relay device and network monitoring method | |
| CN115883466B (zh) | 交换机的控制方法及装置、存储介质及电子装置 | |
| CN114143089B (zh) | 报文处理方法、装置、网络设备及计算机可读存储介质 | |
| CN110740094B (zh) | 一种网络设备、bfd报文的传输方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |