CN110365667B - 攻击报文防护方法、装置、电子设备 - Google Patents
攻击报文防护方法、装置、电子设备 Download PDFInfo
- Publication number
- CN110365667B CN110365667B CN201910596214.2A CN201910596214A CN110365667B CN 110365667 B CN110365667 B CN 110365667B CN 201910596214 A CN201910596214 A CN 201910596214A CN 110365667 B CN110365667 B CN 110365667B
- Authority
- CN
- China
- Prior art keywords
- ospf
- message
- attack
- time interval
- input interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本申请提供一种攻击报文防护方法、装置、电子设备及机器可读存储介质。在本申请中,接收来自所述邻居设备的OSPF报文,统计获得所述OSPF报文对应的时间间隔;基于所述时间间隔,检查所述OSPF报文是否为攻击报文;若所述OSPF报文是攻击报文,则针对所述OSPF报文执行对应防护处理。基于统计获得OSPF报文对应的时间间隔;以及,基于时间间隔与历史统计时间间隔相比较,进一步检查OSPF报文是否为攻击报文,并对OSPF攻击报文执行对应包括限速及丢包的防护处理;一方面,确保OSPF正常报文被优选处理,保障了OSPF组网的稳定性;另一方面,降低了OSPF攻击报文对网络设备性能的占用及消耗,提高了OSPF组网的效率。
Description
技术领域
本申请涉及通信技术领域,尤其涉及攻击报文防护方法、装置、电子设备及机器可读存储介质。
背景技术
随着互联网的发展以及普及,对应网络的规模也越来越大、越来越复杂。由此对网络路由协议的要求也越来越高。而OSPF(Open Shortest Path First,开放最短路径优先)已经成为目前互联网和企业网采用最多、应用最广泛的IGP(Interior Gateway Protocol,内部网关协议)路由协议之一。
OSPF由IETF(Internet Engineering Task Force,互联网工程任务组)组织开发;具有适应范围广、快速收敛等优点,例如:OSPF支持各种规模的网络,最多可支持几百台路由器;在网络拓扑结构发生变化后,基于OSPF协议可以立即发送更新报文,使这一变化在网络中同步。
发明内容
本申请提供一种攻击报文防护方法,所述方法应用于OSPF组网中的网络设备,所述OSPF组网还包括邻居设备,所述邻居设备与所述网络设备基于OSPF协议相连通信,所述方法包括:
接收来自所述邻居设备的OSPF报文,统计获得所述OSPF报文对应的时间间隔;其中,所述OSPF报文为OSPF hello报文;
基于所述时间间隔,检查所述OSPF报文是否为攻击报文;
若所述OSPF报文是攻击报文,则针对所述OSPF报文执行对应防护处理。
可选的,所述基于所述时间间隔,检查所述OSPF报文是否为攻击报文,包括:
获取预设的报文攻击判断比对表;其中,所述报文攻击判断比对表包括所述网络设备所有使能OSPF接口接收OSPF hello报文对应的若干历史统计时间间隔;
在所述报文攻击判断比对表中检查是否存在与所述时间间隔存在匹配的历史统计时间间隔;若所述时间间隔与所述若干历史统计时间间隔都不匹配,则指示所述OSPF报文为攻击报文;
若所述时间间隔与所述若干历史统计时间间隔中任意一个存在匹配,则指示所述OSPF报文为正常报文。
可选的,当所述OSPF报文为攻击报文时,还包括:
获取用于保存所述OSPF报文的CPU队列;
将所述OSPF报文对应的源MAC地址及入接口,保存在预设的报文攻击特征表;
基于所述报文攻击特征表以及所述CPU队列,针对所述OSPF报文执行防护处理。
可选的,所述基于所述报文攻击特征表以及所述CPU队列,针对所述OSPF报文执行防护处理,包括:
获取所述CPU队列的队列速率;
若所述CPU队列的队列速率达到或超过预设安全阈值,则针对所述OSPF报文对应入接口下发丢包控制策略;以使该入接口识别对应源MAC地址的所述OSPF报文,并依据所述丢包控制策略,丢弃所述OSPF报文;
若所述CPU队列的队列速率未达到预设安全阈值,则针对所述OSPF报文对应入接口下发限速控制策略;以使该入接口识别对应源MAC地址的所述OSPF报文,并依据所述限速控制策略,控制所述OSPF报文保存至所述CPU队列的速率。
可选的,还包括:
在预设观察周期内,遍历监测所述报文攻击特征表中的若干入接口,获取未收到对应源MAC地址的OSPF报文的第一入接口以及收到对应源MAC地址的OSPF报文的第二入接口;
删除所述第一入接口对应的丢包控制策略或限速控制策略;
更新所述第二入接口对应的丢包控制策略的策略老化周期或限速控制策略的策略老化周期。
本申请还提供一种攻击报文防护装置,所述装置应用于OSPF组网中的网络设备,所述OSPF组网还包括邻居设备,所述邻居设备与所述网络设备基于OSPF协议相连通信,所述装置包括:
统计模块,接收来自所述邻居设备的OSPF报文,统计获得所述OSPF报文对应的时间间隔;其中,所述OSPF报文为OSPF hello报文;
检查模块,基于所述时间间隔,检查所述OSPF报文是否为攻击报文;
防护模块,若所述OSPF报文是攻击报文,则针对所述OSPF报文执行对应防护处理。
可选的,所述检查模块进一步:
获取预设的报文攻击判断比对表;其中,所述报文攻击判断比对表包括所述网络设备所有使能OSPF接口接收OSPF hello报文对应的若干历史统计时间间隔;
在所述报文攻击判断比对表中检查是否存在与所述时间间隔存在匹配的历史统计时间间隔;若所述时间间隔与所述若干历史统计时间间隔都不匹配,则指示所述OSPF报文为攻击报文;
若所述时间间隔与所述若干历史统计时间间隔中任意一个存在匹配,则指示所述OSPF报文为正常报文。
可选的,当所述OSPF报文为攻击报文时,所述防护模块进一步:
获取用于保存所述OSPF报文的CPU队列;
将所述OSPF报文对应的源MAC地址及入接口,保存在预设的报文攻击特征表;
基于所述报文攻击特征表以及所述CPU队列,针对所述OSPF报文执行防护处理。
可选的,所述防护模块进一步:
获取所述CPU队列的队列速率;
若所述CPU队列的队列速率达到或超过预设安全阈值,则针对所述OSPF报文对应入接口下发丢包控制策略;以使该入接口识别对应源MAC地址的所述OSPF报文,并依据所述丢包控制策略,丢弃所述OSPF报文;
若所述CPU队列的队列速率未达到预设安全阈值,则针对所述OSPF报文对应入接口下发限速控制策略;以使该入接口识别对应源MAC地址的所述OSPF报文,并依据所述限速控制策略,控制所述OSPF报文保存至所述CPU队列的速率。
可选的,其特征在于,所述防护模块进一步:
在预设观察周期内,遍历监测所述报文攻击特征表中的若干入接口,获取未收到对应源MAC地址的OSPF报文的第一入接口以及收到对应源MAC地址的OSPF报文的第二入接口;
删除所述第一入接口对应的丢包控制策略或限速控制策略;
更新所述第二入接口对应的丢包控制策略的策略老化周期或限速控制策略的策略老化周期。
本申请还提供一种电子设备,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行上述的方法。
本申请还提供一种机器可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现上述方法。
通过以上实施例,基于统计获得OSPF报文对应的时间间隔;以及,基于时间间隔与历史统计时间间隔相比较,进一步检查OSPF报文是否为攻击报文,并对OSPF攻击报文执行对应包括限速及丢包的防护处理;一方面,确保OSPF正常报文被优选处理,保障了OSPF组网的稳定性;另一方面,降低了OSPF攻击报文对网络设备性能的占用及消耗,提高了OSPF组网的效率。
附图说明
图1是一示例性实施例提供的一种OSPF组网的拓扑图;
图2是一示例性实施例提供的一种攻击报文防护方法的流程图;
图3是一示例性实施例提供的一种攻击报文防护装置的框图;
图4是一示例性实施例提供的一种电子设备的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了使本技术领域的人员更好地理解本申请实施例中的技术方案,下面先对本申请实施例涉及的攻击报文防护的相关技术,进行简要说明。
请参见图1,图1是本申请一实施例提供的一种OSPF组网的拓扑图。
如图1所示的OSPF组网包括:网络设备A、网络设备B;其中,网络设备A与网络设备B基于OSPF协议相连通信。网络设备A与网络设备B互为OSPF邻居,也即,网络设备B是网络设备A的OSPF邻居;网络设备B是网络设备A的OSPF邻居。
基于如图1所示的OSPF组网,网络设备A与网络设备B通过OSPF Hello报文进行会话交互,可以实现在OSPF邻居发现及OSPF邻居状态维护。
例如,在实现时,如图1所示,网络设备B会在预设的时间间隔内向邻居(网络设备A)发送一个OSPF Hello报文来证明自己还存在。若网络设备A在该预设的时间间隔内没有收到邻居(网络设备B)发送的OSPF Hello报文,则网络设备A认为邻居(网络设备B)已经不存在从而删除从该邻居(网络设备B)学习到的所有路由。
在一些场景下,OSPF组网包含若干网络设备,该若干网络设备互相之间都互相发送OSPF Hello报文,当该若干网络设备中存在被黑客控制或异常的异常网络设备时,该异常网络设备会在OSPF组网发送OSPF Hello攻击报文,而在现有技术方案中,网络设备无法区分其邻居发送的OSPF Hello报文是否为攻击报文,从而导致影响OSPF组网的稳定性及网络设备性能。
在以上示出的组网架构的基础上,而本申请旨在提出一种,基于统计获得OSPF报文对应的时间间隔,检查OSPF报文是否为攻击报文并执行对应防护处理的技术方案。
在实现时,OSPF组网包括网络设备、所述网络设备的邻居设备;所述邻居设备与所述网络设备基于OSPF协议相连通信。
进一步地,所述网络设备接收来自所述邻居设备的OSPF报文,统计获得所述OSPF报文对应的时间间隔;其中,所述OSPF报文为OSPF hello报文;基于所述时间间隔,检查所述OSPF报文是否为攻击报文;若所述OSPF报文是攻击报文,则针对所述OSPF报文执行对应防护处理。
在以上方案中,基于统计获得OSPF报文对应的时间间隔;以及,基于时间间隔与历史统计时间间隔相比较,进一步检查OSPF报文是否为攻击报文,并对OSPF攻击报文执行对应包括限速及丢包的防护处理;一方面,确保OSPF正常报文被优选处理,保障了OSPF组网的稳定性;另一方面,降低了OSPF攻击报文对网络设备性能的占用及消耗,提高了OSPF组网的效率。
下面通过具体实施例并结合具体的应用场景对本申请进行描述。
请参考图2,图2是本申请一实施例提供的一种攻击报文防护方法的流程图,所述方法应用于OSPF组网中的网络设备,所述OSPF组网还包括邻居设备,所述邻居设备与所述网络设备基于OSPF协议相连通信,上述方法执行以下步骤:
步骤202、接收来自所述邻居设备的OSPF报文,统计获得所述OSPF报文对应的时间间隔。
步骤204、基于所述时间间隔,检查所述OSPF报文是否为攻击报文。
步骤206、若所述OSPF报文是攻击报文,则针对所述OSPF报文执行对应防护处理。
在本说明书中,上述网络设备,可以包括支持OSPF协议的任何网络设备。
例如,在实际应用中,上述网络设备具体可以包括支持OSPF协议的交换机、路由器、防火墙、服务器,以及负载均衡器等。上述网络设备可以是如图1所示的网络设备A。
在本说明书中,上述邻居设备,可以包括支持OSPF协议的任何网络设备;其中,上述邻居设备作为上述网络设备的OSPF邻居。
例如,在实际应用中,上述邻居设备具体可以包括支持OSPF协议的交换机、路由器、防火墙、服务器,以及负载均衡器等。上述邻居设备可以是如图1所示的网络设备B;其中,网络设备B作为网络设备A的OSPF邻居。
需要说明的是,上述邻居设备的个数可以是一个或多个,在本申请中不作具体限定。
在本说明书中,上述OSPF组网,包括上述网络设备以及上述邻居设备;其中,上述网络设备与上述邻居设备基于OSPF协议相连通信。
接着以上示例继续举例,上述OSPF组网如图1所示,网络设备B与网络设备A基于OSPF协议相连通信。
在本说明书中,上述OSPF报文,可以包括上述网络设备与上述邻居设备之间进行OSPF协议通信的多个接口分别对应的多个OSPF hello报文。
例如,请参见图1所示,上述OSPF报文,可以是网络设备B向网络设备A以预设周期发送的OSPF hello报文,具体OSPF hello报文的格式及详细说明,请参见OSPF协议,这里不再赘述。
在本说明书中,上述时间间隔,是指上述网络设备针对来自上述邻居设备的上述OSPF报文执行统计,获得的上述OSPF报文对应的时间间隔。
接着以上示例继续举例,网络设备A接收来自网络设备B的若干OSPF hello报文,按预设统计方式,统计获得上述OSPF报文对应的时间间隔,该统计方式可以包括:在预设统计周期内,按接收若干相邻的OSPF hello报文之间的时间间隔的均值进行统计,或采用其它统计方式,在本说明书中不作具体限定。
在本说明书中,进一步地,上述网络设备接收来自上述邻居设备的上述OSPF报文,统计获得上述OSPF报文对应的时间间隔;在统计上述OSPF报文对应的时间间隔后,获得上述时间间隔为10秒。
在本说明书中,上述报文攻击判断比对表,包括上述网络设备所有使能OSPF接口接收OSPF hello报文对应的若干历史统计时间间隔。
在实现时,上述网络设备存在使能OSPF的若干接口,在预设的历史统计周期内,可以在该若干接口接收上述邻居设备发送的OSPF hello报文,并分别针对该若干接口统计获得对应的若干历史统计时间间隔。
接着以上示例继续举例,上述报文攻击判断比对表,请参见表1所示例:
表1
如表1所示,上述报文攻击判断比对表至少包括使能OSPF接口、与该使能OSPF接口对应的历史统计时间间隔;其中,每个使能OSPF接口对应上述网络设备的一个OSPF邻居,也即如表1所示的若干使能OSPF接口与上述邻居设备相对应。
需要说明的是,上述报文攻击判断比对表可以由上述网络设备在预设周期内统计获得,具体统计方法,在本说明书中不作具体限定。
在本说明书中,在获得上述时间间隔后,进一步地,上述网络设备基于上述时间间隔,检查上述OSPF报文是否为攻击报文。
在示出的一种实施方式中,上述网络设备获取上述报文攻击判断比对表,在上述报文攻击判断比对表中检查是否存在与上述时间间隔存在匹配的历史统计时间间隔;若上述时间间隔与上述若干历史统计时间间隔都不匹配,则指示上述OSPF报文为攻击报文。
接着以上示例继续举例,假定上述OSPF报文对应的上述时间间隔为10秒,上述网络设备获取如表1所示的上述报文攻击判断比对表,上述网络设备在表1中检查是否存在与10秒存在匹配的历史统计时间间隔,经检查表1中的若干历史统计时间间隔中不存在10秒,则上述网络设备将标记指示上述OSPF报文为攻击报文。
在示出的另一种实施方式中,上述网络设备获取上述报文攻击判断比对表,在上述报文攻击判断比对表中检查是否存在与上述时间间隔存在匹配的历史统计时间间隔;若上述时间间隔与上述若干历史统计时间间隔中任意一个存在匹配,则指示上述OSPF报文为正常报文。
接着以上示例继续举例,假定上述OSPF报文对应的上述时间间隔为30秒,上述网络设备获取如表1所示的上述报文攻击判断比对表,上述网络设备在表1中检查是否存在与30秒存在匹配的历史统计时间间隔,经检查表1中的若干历史统计时间间隔中存在编号1对应的历史统计时间间隔为30秒,也即上述时间间隔与上述若干历史统计时间间隔中任意一个存在匹配,则上述网络设备将标记指示上述OSPF报文为正常报文。
在本说明书中,上述CPU队列,包括用于保存上述OSPF报文,并将上述OSPF报文上送至上述网络设备所集成的CPU的报文缓存队列。
例如,在实现时,上述CPU队列可以基于fifo队列(First Input First Output,先入先出队列)或链表等方式实现,在本说明书中不作具体限定。
在示出的一种实施方式中,当上述OSPF报文为攻击报文时,进一步地,上述网络设备获取上述OSPF报文对应的上述CPU队列;
例如,在实现时,以上述OSPF报文为如图1所示的网络设备B发送到网络设备的上述OSPF报文,当上述OSPF报文为攻击报文时,网络设备A获取上述OSPF报文对应的上述CPU队列。
在本说明书,进一步地,上述网络设备将上述OSPF报文对应的源MAC地址及入接口,保存在预设的报文攻击特征表;
在实现时,上述报文攻击特征表至少包括上述OSPF报文对应的源MAC、上述OSPF报文对应在上述网络设备的入接口。
例如,上述报文攻击特征表,请参见表2所示例:
表2
如表2所示,编号1对应表项用于指示上述网络设备在接口1接收到OSPF报文,该OSPF报文为攻击报文,该OSPF报文对应的源MAC为SMAC1;编号2、3表项说明与编号1表项同理,这里不再赘述。
在本说明书中,进一步地,上述网络设备基于上述报文攻击特征表以及上述CPU队列,针对上述OSPF报文执行防护处理。
接着以上示例继续举例,上述网络设备基于如表2所示的上述报文攻击特征表以及上述CPU队列,针对上述OSPF报文执行防护处理。
在本说明书中,上述丢包控制策略,可以包括上述网络设备用于在上述OSPF报文对应入接口上控制丢弃上述OSPF报文的任何安全控制策略。比如,上述丢包控制策略可以基于ACL(Access Control List,访问控制列表)或其它方式实现,在本说明书中不作具体限定。
在本说明书中,上述限速控制策略,可以包括上述网络设备用于在上述OSPF报文对应入接口上控制限速上述OSPF报文的任何安全控制策略。比如,上述丢包控制策略可以基于ACL(Access Control List,访问控制列表)、各种Qos(Quality of Service,服务质量)技术或其它方式实现,在本说明书中不作具体限定。
在示出的一种实施方式中,上述网络设备获取上述CPU队列的队列速率,若上述CPU队列的队列速率达到或超过预设安全阈值,则针对上述OSPF报文对应入接口下发丢包控制策略;以使该入接口识别对应源MAC地址的上述OSPF报文,并依据上述丢包控制策略,丢弃上述OSPF报文。
接着以上示例继续举例,上述网络设备获取上述CPU队列的队列速率,比如:该队列速率为1000条/秒或1200条/秒,分别对应达到或超过预设安全阈值(1000条/秒);上述网络设备在上述OSPF报文对应入接口下发丢包控制策略;以使该入接口识别对应源MAC地址的上述OSPF报文,并依据上述丢包控制策略,丢弃上述OSPF报文。
在示出的一种实施方式中,上述网络设备获取上述CPU队列的队列速率,若上述CPU队列的队列速率未达到预设安全阈值,则针对上述OSPF报文对应入接口下发限速控制策略;以使该入接口识别对应源MAC地址的上述OSPF报文,并依据上述限速控制策略,控制上述OSPF报文保存至上述CPU队列的速率。
接着以上示例继续举例,上述网络设备获取上述CPU队列的队列速率,比如:该队列当前速率为600条/秒,分别对应未达到预设安全阈值(1000条/秒);上述网络设备在上述OSPF报文对应入接口下发限速控制策略;以使该入接口识别对应源MAC地址的上述OSPF报文,并依据上述限速控制策略,控制上述OSPF报文保存至上述CPU队列的速率控制在该队列当前速率的10%(60条/秒),也即上述网络设备仅将上述OSPF报文中的10%保存至上述CPU队列,上述OSPF报文中的其余部分丢弃。
需要说明的是,上述OSPF报文为攻击报文,在上述网络设备执行针对上述OSPF报文执行对应防护处理时,用于保存上述报文攻击特征表所对应上述丢包控制策略及上述限速控制策略的资源是有限的,若存在海量上述OSPF报文,则会导致该资源不足,由此,上述网络设备还提供针对与上述报文攻击特征表表项分别对应的上述丢包控制策略及上述限速控制策略的策略老化机制,也即在该策略老化定时器达到预设阈值后,会触发上述网络设备删除其对应策略。
接着以上示例继续举例,在实现时,在上述OSPF报文为攻击报文时,上述网络设备在为上述OSPF报文对应入接口下发对应丢包控制或限速控制策略时,上述网络设备为该策略同步生成一个对应策略老化计时器,通过该策略老化计时器控制该入接口对应丢包控制或限速控制策略。
在示出的一种实施方式中,上述网络设备在预设观察周期内,遍历监测上述报文攻击特征表中的若干入接口,获取未收到对应源MAC地址的OSPF报文的第一入接口以及收到对应源MAC地址的OSPF报文的第二入接口。
接着以上示例继续举例,假定上述时间间隔为T,上述预设观察周期为上述时间间隔的N(N为大于1的自然数)倍,也即上述预设观察周期为N*T,上述网络设备在内,遍历监测如图3所示的上述报文攻击特征表中的若干入接口,获取未收到对应源MAC地址的OSPF报文的第一入接口以及收到对应源MAC地址的OSPF报文的第二入接口;比如:上述第一入接口包括接口1、接口2;上述第二入接口包括接口3。
在本说明中,在获取上述第一入接口后,进一步地,上述网络设备删除删除上述第一入接口对应的丢包控制策略或限速控制策略;
接着以上示例继续举例,上述网络设备删除上述第一入接口(比如:包括接口1、接口2)分别对应的丢包控制策略或限速控制策略。
在本说明中,在获取上述第二入接口后,进一步地,上述网络设备,更新所述第二入接口对应的丢包控制策略的策略老化周期或限速控制策略的策略老化周期。
在实现时,在上述OSPF报文为攻击报文时,上述网络设备在为上述OSPF报文下发对应丢包控制或限速控制策略时,同步为该策略生成对应老化计时器,基于该老化计时器对应周期,也即上述策略老化周期,控制该策略在无更新情况下被自动删除。
接着以上示例继续举例,假定上述策略老化周期为5分钟,在预设观察周期(比如:120秒)完成后,上述网络设备更新上述第二入接口(比如:包括接口3)分别对应的丢包控制策略的策略老化周期或限速控制策略的策略老化周期,再延长一个5分钟(上述策略老化周期),从而使得在预设观察周期内,若可持续监测到OSPF报文为攻击报文,则保持该OSPF报文对应上述第二入接口的丢包控制策略或限速控制策略,可以持续有效。
在以上技术方案中,基于统计获得OSPF报文对应的时间间隔;以及,基于时间间隔与历史统计时间间隔相比较,进一步检查OSPF报文是否为攻击报文,并对OSPF攻击报文执行对应包括限速及丢包的防护处理;一方面,确保OSPF正常报文被优选处理,保障了OSPF组网的稳定性;另一方面,降低了OSPF攻击报文对网络设备性能的占用及消耗,提高了OSPF组网的效率。
图3是本申请一示例性实施例提供的一种攻击报文防护装置的框图。与上述方法实施例相对应,本申请还提供了一种攻击报文防护装置的实施例,所述装置应用于OSPF组网中的网络设备,所述OSPF组网还包括邻居设备,所述邻居设备与所述网络设备基于OSPF协议相连通信,请参考图3所示例的一种攻击报文防护装置30,所述装置包括:
统计模块301,接收来自所述邻居设备的OSPF报文,统计获得所述OSPF报文对应的时间间隔;其中,所述OSPF报文为OSPF hello报文;
检查模块302,基于所述时间间隔,检查所述OSPF报文是否为攻击报文;
防护模块303,若所述OSPF报文是攻击报文,则针对所述OSPF报文执行对应防护处理。
在本实施中,所述检查模块302进一步:
获取预设的报文攻击判断比对表;其中,所述报文攻击判断比对表包括所述网络设备所有使能OSPF接口接收OSPF hello报文对应的若干历史统计时间间隔;
在所述报文攻击判断比对表中检查是否存在与所述时间间隔存在匹配的历史统计时间间隔;若所述时间间隔与所述若干历史统计时间间隔都不匹配,则指示所述OSPF报文为攻击报文;
若所述时间间隔与所述若干历史统计时间间隔中任意一个存在匹配,则指示所述OSPF报文为正常报文。
在本实施中,当所述OSPF报文为攻击报文时,所述防护模块303进一步:
获取用于保存所述OSPF报文的CPU队列;
将所述OSPF报文对应的源MAC地址及入接口,保存在预设的报文攻击特征表;
基于所述报文攻击特征表以及所述CPU队列,针对所述OSPF报文执行防护处理。
在本实施中,所述防护模块303进一步:
获取所述CPU队列的队列速率;
若所述CPU队列的队列速率达到或超过预设安全阈值,则针对所述OSPF报文对应入接口下发丢包控制策略;以使该入接口识别对应源MAC地址的所述OSPF报文,并依据所述丢包控制策略,丢弃所述OSPF报文;
若所述CPU队列的队列速率未达到预设安全阈值,则针对所述OSPF报文对应入接口下发限速控制策略;以使该入接口识别对应源MAC地址的所述OSPF报文,并依据所述限速控制策略,控制所述OSPF报文保存至所述CPU队列的速率。
在本实施中,其特征在于,所述防护模块303进一步:
在预设观察周期内,遍历监测所述报文攻击特征表中的若干入接口,获取未收到对应源MAC地址的OSPF报文的第一入接口以及收到对应源MAC地址的OSPF报文的第二入接口;
删除所述第一入接口对应的丢包控制策略或限速控制策略;
更新所述第二入接口对应的丢包控制策略的策略老化周期或限速控制策略的策略老化周期。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述实施例阐明的系统、装置、模块或模块,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本申请的攻击报文防护装置的实施例可以应用在图4所示的电子设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在电子设备的处理器将机器可读存储介质中对应的计算机程序指令读取后运行形成的机器可执行指令。从硬件层面而言,如图4所示,为本申请的攻击报文防护装置所在电子设备的一种硬件结构图,除了图4所示的处理器、通信接口、总线以及机器可读存储介质之外,实施例中装置所在的电子设备通常根据该电子设备的实际功能,还可以包括其他硬件,对此不再赘述。
对应地,本申请实施例还提供了图3所示装置的一种电子设备的硬件结构,请参见图4,图4为本申请实施例提供的一种电子设备的硬件结构示意图。该设备包含:通信接口401、处理器402、机器可读存储介质403和总线404;其中,通信接口401、处理器402、机器可读存储介质403通过总线404完成相互间的通信。其中,通信接口401,用于进行网络通信。处理器402可以是一个中央处理器(CPU),处理器402可以执行机器可读存储介质403中存储的机器可读指令,以实现以上描述的方法。
本文中提到的机器可读存储介质403可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质403可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图4所示的硬件结构描述。
此外,本申请实施例还提供了一种包括机器可执行指令的机器可读存储介质,例如图4中的机器可读机器可读存储介质403,所述机器可执行指令可由数据处理装置中的处理器402执行以实现以上描述的数据处理方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种攻击报文防护方法,其特征在于,所述方法应用于OSPF组网中的网络设备,所述OSPF组网还包括邻居设备,所述邻居设备与所述网络设备基于OSPF协议相连通信,所述方法包括:
接收来自所述邻居设备的OSPF报文,统计获得所述OSPF报文对应的时间间隔;其中,所述OSPF报文为OSPF hello报文;
在预设的报文攻击判断比对表中检查是否存在与所述时间间隔匹配的历史统计时间间隔;其中,所述报文攻击判断比对表包括所述网络设备所有使能OSPF接口接收OSPFhello报文对应的若干历史统计时间间隔;
若所述时间间隔与所述若干历史统计时间间隔中的任一历史统计时间间隔匹配,则指示所述OSPF报文为正常报文;
若所述时间间隔与所述若干历史统计时间间隔都不匹配,则指示所述OSPF报文为攻击报文,并针对所述OSPF报文执行对应包括限速及丢包的防护处理。
2.根据权利要求1所述的方法,其特征在于,当所述OSPF报文为攻击报文时,还包括:
获取用于保存所述OSPF报文的CPU队列;
将所述OSPF报文对应的源MAC地址及入接口,保存在预设的报文攻击特征表;
基于所述报文攻击特征表以及所述CPU队列,针对所述OSPF报文执行防护处理。
3.根据权利要求2所述的方法,其特征在于,所述基于所述报文攻击特征表以及所述CPU队列,针对所述OSPF报文执行防护处理,包括:
获取所述CPU队列的队列速率;
若所述CPU队列的队列速率达到或超过预设安全阈值,则针对所述OSPF报文对应入接口下发丢包控制策略;以使该入接口识别对应源MAC地址的所述OSPF报文,并依据所述丢包控制策略,丢弃所述OSPF报文;
若所述CPU队列的队列速率未达到预设安全阈值,则针对所述OSPF报文对应入接口下发限速控制策略;以使该入接口识别对应源MAC地址的所述OSPF报文,并依据所述限速控制策略,控制所述OSPF报文保存至所述CPU队列的速率。
4.根据权利要求3所述的方法,其特征在于,还包括:
在预设观察周期内,遍历监测所述报文攻击特征表中的若干入接口,获取未收到对应源MAC地址的OSPF报文的第一入接口以及收到对应源MAC地址的OSPF报文的第二入接口;
删除所述第一入接口对应的丢包控制策略或限速控制策略;
更新所述第二入接口对应的丢包控制策略的策略老化周期或限速控制策略的策略老化周期。
5.一种攻击报文防护装置,其特征在于,所述装置应用于OSPF组网中的网络设备,所述OSPF组网还包括邻居设备,所述邻居设备与所述网络设备基于OSPF协议相连通信,所述装置包括:
统计模块,接收来自所述邻居设备的OSPF报文,统计获得所述OSPF报文对应的时间间隔;其中,所述OSPF报文为OSPF hello报文;
检查模块,在预设的报文攻击判断比对表中检查是否存在与所述时间间隔匹配的历史统计时间间隔;其中,所述报文攻击判断比对表包括所述网络设备所有使能OSPF接口接收OSPF hello报文对应的若干历史统计时间间隔;若所述时间间隔与所述若干历史统计时间间隔中的任一历史统计时间间隔匹配,则指示所述OSPF报文为正常报文;若所述时间间隔与所述若干历史统计时间间隔都不匹配,则指示所述OSPF报文为攻击报文;
防护模块,若所述OSPF报文为攻击报文,则针对所述OSPF报文执行对应包括限速及丢包的防护处理。
6.根据权利要求5所述的装置,其特征在于,当所述OSPF报文为攻击报文时,所述防护模块进一步:
获取用于保存所述OSPF报文的CPU队列;
将所述OSPF报文对应的源MAC地址及入接口,保存在预设的报文攻击特征表;
基于所述报文攻击特征表以及所述CPU队列,针对所述OSPF报文执行防护处理。
7.根据权利要求6所述的装置,其特征在于,所述防护模块进一步:
获取所述CPU队列的队列速率;
若所述CPU队列的队列速率达到或超过预设安全阈值,则针对所述OSPF报文对应入接口下发丢包控制策略;以使该入接口识别对应源MAC地址的所述OSPF报文,并依据所述丢包控制策略,丢弃所述OSPF报文;
若所述CPU队列的队列速率未达到预设安全阈值,则针对所述OSPF报文对应入接口下发限速控制策略;以使该入接口识别对应源MAC地址的所述OSPF报文,并依据所述限速控制策略,控制所述OSPF报文保存至所述CPU队列的速率。
8.根据权利要求7所述的装置,其特征在于,所述防护模块进一步:
在预设观察周期内,遍历监测所述报文攻击特征表中的若干入接口,获取未收到对应源MAC地址的OSPF报文的第一入接口以及收到对应源MAC地址的OSPF报文的第二入接口;
删除所述第一入接口对应的丢包控制策略或限速控制策略;
更新所述第二入接口对应的丢包控制策略的策略老化周期或限速控制策略的策略老化周期。
9.一种电子设备,其特征在于,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行如权利要求1至4任一项所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现权利要求1至4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910596214.2A CN110365667B (zh) | 2019-07-03 | 2019-07-03 | 攻击报文防护方法、装置、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910596214.2A CN110365667B (zh) | 2019-07-03 | 2019-07-03 | 攻击报文防护方法、装置、电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110365667A CN110365667A (zh) | 2019-10-22 |
| CN110365667B true CN110365667B (zh) | 2021-11-23 |
Family
ID=68218058
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910596214.2A Active CN110365667B (zh) | 2019-07-03 | 2019-07-03 | 攻击报文防护方法、装置、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110365667B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115604031B (zh) * | 2022-11-30 | 2023-03-17 | 成都中科合迅科技有限公司 | 一种路由器防攻击方法、装置、设备及介质 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100370757C (zh) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| CN100471141C (zh) * | 2007-02-05 | 2009-03-18 | 南京邮电大学 | 无线传感器网络的混合入侵检测方法 |
| CN101917733B (zh) * | 2010-08-06 | 2012-11-21 | 深圳市兆讯达科技实业有限公司 | 无线自组织网络路由查询泛洪攻击的检测方法 |
| CN102098669B (zh) * | 2011-03-10 | 2013-05-29 | 南京邮电大学 | Ad Hoc网络中节点攻击的防御方法 |
| CN103326469B (zh) * | 2013-06-14 | 2015-02-11 | 广东电网公司电力科学研究院 | 智能变电站goose通信状态监测方法及监测设备 |
| JP6237397B2 (ja) * | 2014-03-27 | 2017-11-29 | 富士通株式会社 | 制御装置、および、通信方法 |
| CN104009986B (zh) * | 2014-05-22 | 2017-03-15 | 中国电子科技集团公司第三十研究所 | 一种基于主机的网络攻击跳板检测方法及装置 |
| CN106375152A (zh) * | 2016-08-31 | 2017-02-01 | 北京信而泰科技股份有限公司 | 一种c/s架构的通信异常处理方法 |
| CN107547507B (zh) * | 2017-06-27 | 2021-07-09 | 新华三技术有限公司 | 一种防攻击方法、装置、路由器设备及机器可读存储介质 |
| CN109768991B (zh) * | 2019-03-04 | 2021-04-27 | 杭州迪普科技股份有限公司 | 报文的重放攻击检测方法、装置、电子设备 |
-
2019
- 2019-07-03 CN CN201910596214.2A patent/CN110365667B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110365667A (zh) | 2019-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10075338B2 (en) | Relay control unit, relay control system, relay control method, and relay control program | |
| US7580351B2 (en) | Dynamically controlling the rate and internal priority of packets destined for the control plane of a routing device | |
| US10148573B2 (en) | Packet processing method, node, and system | |
| US7522521B2 (en) | Route processor adjusting of line card admission control parameters for packets destined for the route processor | |
| US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
| US7558266B2 (en) | System and method for restricting network access using forwarding databases | |
| CN113285882B (zh) | 报文处理的方法、装置及相关设备 | |
| EP2627047B1 (en) | Flow cache mechanism for performing packet flow lookups in a network device | |
| US20050213570A1 (en) | Hardware filtering support for denial-of-service attacks | |
| CN106656857B (zh) | 一种报文限速的方法和装置 | |
| US9866491B2 (en) | Method and system for avoiding new flow packet flood from data plane to control plane of a network device | |
| EP3169036A1 (en) | Packet processing method, apparatus, and device | |
| US11863459B2 (en) | Packet processing method and apparatus | |
| CN110278152B (zh) | 一种建立快速转发表的方法及装置 | |
| CN108566344B (zh) | 一种报文处理方法和装置 | |
| CN110365667B (zh) | 攻击报文防护方法、装置、电子设备 | |
| CN106789671B (zh) | 一种业务报文转发方法及设备 | |
| US8948188B1 (en) | Method and apparatus for managing traffic through a network switch | |
| US10887282B1 (en) | Determining synchronization of filter rules (e.g., on iptable filter tables on Linux kernal) across firewall filter application restarts | |
| CN108199965B (zh) | Flow spec表项下发方法、网络设备、控制器及自治系统 | |
| US20230164149A1 (en) | Causing or preventing an update to a network address translation table | |
| CN111901248B (zh) | 一种负载均衡方法、装置、设备及机器可读存储介质 | |
| JP6018872B2 (ja) | 通信装置、及び、通信装置における転送情報管理方法 | |
| JP5786588B2 (ja) | 通信装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |