CN110380968B - 一种报文处理的方法及装置 - Google Patents
一种报文处理的方法及装置 Download PDFInfo
- Publication number
- CN110380968B CN110380968B CN201910611873.9A CN201910611873A CN110380968B CN 110380968 B CN110380968 B CN 110380968B CN 201910611873 A CN201910611873 A CN 201910611873A CN 110380968 B CN110380968 B CN 110380968B
- Authority
- CN
- China
- Prior art keywords
- message
- table entry
- forwarded
- forwarding
- blocking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种报文处理的方法及装置,涉及通信技术领域,用以解决攻击报文占用过多的CPU资源,导致CPU处理正常业务受影响的问题。本申请的方案包括:接收第一待转发报文,第一待转发报文包括第一报文特征。若不存在与第一报文特征匹配的转发表项,且不存在与第一待转发报文匹配的转发策略,则丢弃第一待转发报文,并根据第一报文特征,创建阻断表项,阻断表项包括第一报文特征。当接收到的第二待转发报文包括的第二报文特征与阻断表项包括的第一报文特征匹配时,丢弃第二待转发报文。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种报文处理的方法及装置。
背景技术
随着网络中的视频、游戏等大数据流量应用的不断丰富,对于网络设备的转发性能的要求越来越高。网络设备接收到报文后,通常将接收到的报文与各转发策略进行匹配,转发策略包括一条或多条转发规则,每条转发规则包括用于匹配报文特征的规则,以及对应的转发方式。若报文与某一转发策略包括的规则匹配成功,则按照该规则对应的转发方式转发报文。
例如,某一转发策略为:若报文的源互联网协议(Internet Protocol,IP)地址属于第一地址段,且报文的目的IP地址属于第二地址段,则允许该报文通过。基于该转发策略,网络设备接收到报文后,若确定报文满足该转发策略,则转发报文。
为了提高网络设备的转发效率,当网络设备接收到的报文满足某转发策略时,可根据该报文的五元组等信息创建针对该转发策略的会话表项。后续接收到报文时,无需将该报文分别与各转发策略中的各转发规则进行复杂的匹配过程,而是直接匹配会话表项,若匹配成功,则按照会话表项对应的转发方式对报文进行转发。
通过上述方法虽然实现了报文的快速转发,但对于未与会话表项匹配成功的报文,还需要将其分别与各转发策略进行匹配,若与所有的转发策略均未匹配成功,则丢弃该报文。若出现大流量攻击的情况,网络设备会接收到大量的不能与转发策略匹配的攻击报文,导致网络设备的中央处理器(Central Processing Unit,CPU)为这些攻击报文匹配转发策略,使得CPU利用率骤然提升,影响CPU处理其他的正常业务。
发明内容
有鉴于此,本申请实施例提供一种报文处理的方法及装置,以解决攻击报文占用过多的CPU资源,导致CPU处理正常业务受影响的问题。具体技术方案如下:
第一方面,本申请提供一种报文处理的方法,应用于网络设备,该方法包括:
接收第一待转发报文,第一待转发报文包括第一报文特征;
若不存在与第一报文特征匹配的转发表项,且不存在与第一待转发报文匹配的转发策略,则丢弃第一待转发报文,并根据第一报文特征,创建阻断表项,阻断表项包括第一报文特征;
当接收到的第二待转发报文包括的第二报文特征与阻断表项包括的第一报文特征匹配时,丢弃第二待转发报文。
在一种可能的实现方式中,网络设备的内存中设置安全缓冲区;
根据第一报文特征,创建阻断表项之后,该方法还包括:
占用内存中,除安全缓冲区之外的空闲资源缓存阻断表项。
在一种可能的实现方式中,方法还包括:
当内存中,除安全缓冲区之外无空闲资源时,停止缓存阻断表项,并减小已缓存的阻断表项的老化时间。
在一种可能的实现方式中,该方法还包括:
若存在新增转发表项,且内存中,除安全缓冲区之外无空闲资源,则从阻断表项中选择目标阻断表项,删除目标阻断表项,并占用删除目标阻断表项后释放的资源缓存新增转发表项。
在一种可能的实现方式中,该方法还包括:
若存在新增转发表项,且内存中不存在阻断表项,且除安全缓冲区之外无空闲资源,则占用安全缓冲区的资源缓存新增转发表项。
第二方面,本申请提供一种报文处理的装置,应用于网络设备,该装置包括:
接收模块,用于接收第一待转发报文,第一待转发报文包括第一报文特征;
丢弃模块,用于若不存在与第一报文特征匹配的转发表项,且不存在与第一待转发报文匹配的转发策略,则丢弃第一待转发报文;
创建模块,用于根据第一报文特征,创建阻断表项,阻断表项包括第一报文特征;
丢弃模块,还用于当接收模块接收到的第二待转发报文包括的第二报文特征与阻断表项包括的第一报文特征匹配时,丢弃第二待转发报文。
在一种可能的实现方式中,网络设备的内存中设置安全缓冲区;该装置还包括:
缓存模块,用于占用内存中,除安全缓冲区之外的空闲资源缓存阻断表项。
在一种可能的实现方式中,缓存模块,还用于当内存中,除安全缓冲区之外无空闲资源时,停止缓存阻断表项,并减小已缓存的阻断表项的老化时间。
在一种可能的实现方式中,缓存模块,还用于若存在新增转发表项,且内存中,除安全缓冲区之外无空闲资源,则从阻断表项中选择目标阻断表项,删除目标阻断表项,并占用删除目标阻断表项后释放的资源缓存新增转发表项。
在一种可能的实现方式中,缓存模块,还用于若存在新增转发表项,且内存中不存在阻断表项,且除安全缓冲区之外无空闲资源,则占用安全缓冲区的资源缓存新增转发表项。
第三方面,本申请实施例提供一种网络设备,该网络设备包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面中所述的报文处理的方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面中所述的报文处理的方法。
第五方面,本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面中所述的报文处理的方法。
由上述方案可见,采用本申请实施例的方案,网络设备接收到第一待转发报文后,若不存在与第一待转发报文包括的第一报文特征匹配的转发表项,且不存在与第一待转发报文匹配的转发策略,则丢弃第一待转发报文,并根据第一报文特征,创建阻断表项。后续在接收到的第二待转发报文包括的第二报文特征与阻断表项包括的第一报文特征匹配时,丢弃第二待转发报文。可见,采用该方法,若后续接收到的报文与阻断表项包括的第一报文特征匹配,则可直接丢弃报文,从而避免了CPU使用过多的处理资源处理攻击报文,即避免了由于接收到过多的攻击报文导致的CPU利用率较高的问题,CPU可以正常处理其他业务。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种报文处理的方法的流程图;
图2为本申请实施例提供的另一种报文处理的方法的流程图;
图3为本申请实施例提供的一种网络设备的内存资源的占用情况示意图;
图4为本申请实施例提供的另一种网络设备的内存资源占用情况示意图;
图5为本申请实施例提供的另一种网络设备的内存资源占用情况示意图;
图6为本申请实施例提供的一种报文处理的装置的结构示意图;
图7为本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种报文处理的方法,该方法应用于网络设备,本申请实施例中的网络设备可以为路由器、交换机、防火墙等具有报文转发功能的设备,如图1所示,该方法包括:
S101、接收第一待转发报文。
其中,第一待转发报文包括第一报文特征。
可选地,第一报文特征包括报文的五元组信息,即源地址、目的地址、源端口、目的端口及协议。或者,报文特征还包括报文的入接口和出接口。
S102、若不存在与第一报文特征匹配的转发表项,且不存在与第一待转发报文匹配的转发策略,则丢弃待第一待转发报文,并根据第一报文特征,创建阻断表项。
可以理解的是,网络设备接收到第一待转发报文后,将第一报文特征与转发表项进行匹配,若匹配到转发表项,则根据匹配的转发表项转发第一待转发报文;若未匹配到转发表项,则将第一待转发报文与转发策略进行匹配,若第一待转发报文与网络设备中的所有转发策略均不匹配,则丢弃第一待转发报文。
不存在与第一待转发表项匹配的转发策略是指:若第一待转发表项不满足网络设备的所有转发策略包括的转发规则,则认为不存在与第一待转发表项匹配的转发策略。
例如,假设网络设备包括三条转发策略。转发策略1包括的转发规则为:若报文的源IP地址属于第一地址段,则转发报文。转发策略2包括的转发规则为:若报文的目的地址属于第二地址段,则转发报文。转发策略3包括的转发规则为:若报文的长度属于预设长度范围,则转发报文。
若第一待转发报文的源IP地址不属于第一地址段,则认为第一待转发报文与转发策略1不匹配;若第一待转发报文的目的地址不属于第二地址段,则认为第一待转发报文与转发策略2不匹配;若第一待转发报文的长度不属于预设长度范围,则认为第一待转发报文与转发策略3不匹配。若第一待转发报文与转发策略1、转发策略2和转发策略3均不匹配,则认为不存在与第一待转发表项匹配的转发策略。
其中,转发表项为根据转发策略创建的会话表项,用于实现对报文的快速转发。在一种实施方式中,如表1所示,转发表项包括源地址、目的地址、源端口、目的端口、协议。
表1
源地址 | 目的地址 | 源端口 | 目的端口 | 协议 |
1.1.1.1 | 2.2.2.2 | 63 | 562 | UDP |
可以理解的是,若接收到的第一转发报文包括的第一特征信息:源地址、目的地址、源端口、目的端口、协议均与表1中的转发表项匹配,则确定第一待转发报文与表1所示的转发表项匹配,进而按照该转发表项对应的转发方式转发第一待转发报文。
为了避免下次网络设备对与上述第一待转发报文相同或者相似的报文进行复杂的匹配过程,在丢弃第一待转发报文后,可根据第一报文特征创建阻断表项,阻断表项中包括第一报文特征。可选的,在另一种实施方式中,阻断表项包括第一报文特征的哈希值。
具体地,网络设备从第一待转发报文中获取源地址、目的地址、源端口、目的端口、协议,从而根据这些信息创建阻断表项。可选地,阻断表项还可以包括报文的特有特征,例如若网络设备确定连续接收到的多个攻击报文的某一偏移字段的值均为固定值,则可确定攻击报文存在的特有特征为指定偏移字段的值为预设值。
作为示例,如表2所示,阻断表项包括源地址、目的地址、源端口、目的端口、协议及报文的特有特征。
表2
S103、当接收到的第二待转发报文包括的第二报文特征与阻断表项包括的第一报文特征匹配时,丢弃第二待转发报文。
其中,第二报文特征包括第二待转发报文的五元组信息等用于反映第二待转发报文的特征的信息。
具体的,以表2所示的阻断表项为例,若接收到的第二待转发报文包括的第二报文特征与表2中的信息均匹配,则可丢弃第二待转发报文。
由上述方案可见,采用本申请实施例的方案,网络设备接收到第一待转发报文后,若不存在与第一待转发报文包括的第一报文特征匹配的转发表项,且不存在与第一待转发报文匹配的转发策略,则丢弃第一待转发报文,并根据第一报文特征,创建阻断表项。后续在接收到的第二待转发报文包括的第二报文特征与阻断表项包括的第一报文特征匹配时,丢弃第二待转发报文。可见,采用该方法,若后续接收到的报文与阻断表项包括的第一报文特征匹配,则可直接丢弃报文,从而避免了CPU使用过多的处理资源处理攻击报文,即避免了由于接收到过多的攻击报文导致的CPU利用率较高的问题,CPU可以正常处理其他业务。
可以理解的是,本申请实施例中新增了阻断表项,即网络设备中包括转发表项、转发策略以及阻断表项。上述S102为在网络设备中不存在阻断表项的情况下执行的,以下对网络设备中存在阻断表项的情况下,网络设备对接收到的报文进行处理的方法进行说明,如图2所示,具体包括以下步骤:
S201、接收第三待转发报文,第三待转发报文包括第三报文特征。
S202、判断第三报文特征是否与网络设备中的转发表项匹配。
可以理解的是,网络设备中可能存在多个转发表项,网络设备可将第三报文特征分别与每个转发表项进行匹配,直至确定与第三报文特征匹配的转发表项,或者确定第三报文特征与每个转发表项均不匹配。
具体地,若判断结果为是,则执行S203;若判断结果为否,则执行S204。
S203、按照转发表项对应的转发方式转发第三待转发报文。
S204、判断第三待转发报文是否与网络设备中的阻断表项匹配。
若是,则执行S205;若否,则执行S206。
S205、丢弃第三待转发报文。
S206、判断第三待转发报文是否与网络设备中的转发策略匹配。
若是,则执行S207;若否,则执行S208。
S207、按照转发策略转发报文,并根据第三待转发报文和转发策略创建转发表项。
其中,创建转发表项的方法可参考现有技术中的相关描述,此处不再赘述。
S208、丢弃第三待转发报文,并根据第三待转发报文创建阻断表项。
在本申请实施例中,上述转发表项和阻断表项均缓存于网络设备的内存中,但网络设备的内存资源有限,为了避免阻断表项占用过多的内存资源,可采用如下方式动态调整内存资源的分配。
如图3所示,网络设备的内存中存在转发表项缓存区、空闲内存、安全缓冲区及阻断表项缓存区。
其中,转发表项缓存区、空闲内存、阻断表项缓存区的大小都是动态变化的,转发表项缓存区为已缓存的转发表项所占用的内存空间,阻断表项缓存区为已缓存的阻断表项所占用的内存空间。
安全缓冲区为预先设置的内存空间,安全缓冲区的大小可预先设置,例如安全缓冲区的大小为新建性能乘以转发表项的老化时间。其中,新建性能是指新建转发表项的性能,例如,新建性能为10万条每秒,代表网络设备每秒可以新建10万条转发表项。
在创建阻断表项后,网络设备占用所述内存中,除安全缓冲区之外的空闲资源缓存阻断表项。
可以理解的是,每缓存一条阻断表项,阻断表项缓存区将增大一部分,图3中的阻断表项缓存区将向左扩张。由于安全缓冲区的大小固定,且阻断表项不能占用安全缓冲区,所以随着阻断表项的增加,会推动安全缓冲区向左移动。
当内存中,除安全缓冲区之外无空闲资源时,停止缓存阻断表项,并减小已缓存的阻断表项的老化时间。
可以理解的,当内存中除安全缓冲区之外无空闲资源时,说明图3中的空闲内存部分消失,这种情况下网络设备的内存占用情况如图4所示。
由于安全缓冲区中的内存资源只能供转发表项占用,所以此时将暂停缓存阻断表项,并减小阻断表项的老化时间,以使得阻断表项老化被删除后,可以使用释放的内存资源缓存新的阻断表项,避免阻断表项抢占转发表项的内存资源。
可选地,在减小老化时间之前,阻断表项的老化时间为默认值,当需要减小老化时间时,网络设备可将阻断表项的老化时间减小至预设值。
在本申请实施例的一种可能的实现方式中,若存在新增转发表项,且内存中,除安全缓冲区之外无空闲资源,则从阻断表项中选择目标阻断表项,删除目标阻断表项,并占用删除目标阻断表项后释放的资源缓存新增转发表项。
即若图3中的空闲内存部分消失,当存在新增转发表项时,将没有可用的空闲内存资源,此时可随机选择一条阻断表项,或者选择一条即将达到老化时间的阻断表项作为目标阻断表项,删除目标阻断表项,以使用释放的内存资源缓存新增转发表项。
在此过程中,随着转发表项的增加,转发表项缓存区将向右扩张,推动安全缓冲区向右移动,阻断表项缓存区将逐渐变小,直至转发表项占用了除安全缓冲区之外的所有内存资源时,阻断表项缓存区消失。这种情况下网络设备的内存占用情况如图5所示,内存中只剩转发表项缓存区和安全缓冲区。
若存在新增转发表项,且内存中不存在阻断表项,且除所述安全缓冲区之外无空闲资源,则占用安全缓冲区的资源缓存新增转发表项。
可以理解为,在图5所示的情况下,网络设备可占用安全缓冲区的资源缓存转发表项。
以上介绍了转发表项增加的过程,即转发表项增加的过程中,首先占用空闲内存资源,当无空闲内存资源时,抢占阻断表项的资源,当内存中无阻断表项时,则占用安全缓冲区的内存资源。
反之,若随着转发表项的老化等原因,转发表项的数量减少时,首先释放安全缓冲区的内存资源,在安全缓冲区占用的空闲内存资源达到指定大小后,可以开始缓存阻断表项,以加速对攻击报文的处理,并将上述缩小后的阻断表项的老化时间恢复至默认值。
采用上述动态调整内存资源占用的方法,可以加快网络设备对攻击报文的处理,且当转发表项增加时,优先保证转发表项的缓存,以使得网络设备可以处理正常的业务报文,可见通过该方法可以实现在不影响网络设备处理正常业务报文的前提下,加速对攻击报文的处理,避免因接收到攻击报文而导致的CPU利用率过高的问题。
对应于上述方法实施例,本申请实施例还提供一种报文处理的装置,应用于网络设备,如图6所示,该装置包括:接收模块601、丢弃模块602和创建模块603。
接收模块601,用于接收第一待转发报文,第一待转发报文包括第一报文特征;
丢弃模块602,用于若不存在与第一报文特征匹配的转发表项,且不存在与第一待转发报文匹配的转发策略,则丢弃第一待转发报文;
创建模块603,用于根据第一报文特征,创建阻断表项,阻断表项包括所述第一报文特征;
丢弃模块602,当接收模块601接收到的第二待转发报文包括的第二报文特征与阻断表项包括的第一报文特征匹配时,丢弃第二待转发报文。
其中,网络设备的内存中设置安全缓冲区。
可选地,该装置还包括:
缓存模块,用于占用内存中,除安全缓冲区之外的空闲资源缓存阻断表项。
可选地,缓存模块,还用于当内存中,除安全缓冲区之外无空闲资源时,停止缓存阻断表项,并缩小已缓存的阻断表项的老化时间。
可选地,缓存模块,还用于若存在新增转发表项,且内存中,除安全缓冲区之外无空闲资源,则从阻断表项中选择目标阻断表项,删除目标阻断表项,并占用删除目标阻断表项后释放的资源缓存所述新增转发表项。
可选地,缓存模块,还用于若存在新增转发表项,且内存中不存在阻断表项,且除安全缓冲区之外无空闲资源,则占用安全缓冲区的资源缓存新增转发表项。
本申请实施例还提供了一种网络设备,如图7所示,包括处理器701、通信接口702、存储器703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信,
存储器703,用于存放计算机程序;
处理器701,用于执行存储器703上所存放的程序时,实现上述方法实施例中由网络设备执行的步骤。
上述网络设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述网络设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一报文处理的方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一报文处理的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (8)
1.一种报文处理的方法,其特征在于,应用于网络设备,所述网络设备的内存中设置安全缓冲区,所述方法包括:
接收第一待转发报文,所述第一待转发报文包括第一报文特征;
若不存在与所述第一报文特征匹配的转发表项,且不存在与所述第一待转发报文匹配的转发策略,则丢弃所述第一待转发报文,并根据所述第一报文特征,创建阻断表项,所述阻断表项包括所述第一报文特征;
当接收到的第二待转发报文包括的第二报文特征与所述阻断表项包括的所述第一报文特征匹配时,丢弃所述第二待转发报文;
所述方法还包括:
若存在新增转发表项,且所述内存中,除所述安全缓冲区之外无空闲资源,则从阻断表项中选择目标阻断表项,删除所述目标阻断表项,并占用删除所述目标阻断表项后释放的资源缓存所述新增转发表项。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述根据所述第一报文特征,创建阻断表项之后,所述方法还包括:
占用所述内存中,除所述安全缓冲区之外的空闲资源缓存所述阻断表项。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
当所述内存中,除所述安全缓冲区之外无空闲资源时,停止缓存阻断表项,并减小已缓存的阻断表项的老化时间。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若存在新增转发表项,且所述内存中不存在阻断表项,且除所述安全缓冲区之外无空闲资源,则占用所述安全缓冲区的资源缓存所述新增转发表项。
5.一种报文处理的装置,其特征在于,应用于网络设备,所述网络设备的内存中设置安全缓冲区,所述装置包括:
接收模块,用于接收第一待转发报文,所述第一待转发报文包括第一报文特征;
丢弃模块,用于若不存在与所述第一报文特征匹配的转发表项,且不存在与所述第一待转发报文匹配的转发策略,则丢弃所述第一待转发报文;
创建模块,用于根据所述第一报文特征,创建阻断表项,所述阻断表项包括所述第一报文特征;
所述丢弃模块,还用于当所述接收模块接收到的第二待转发报文包括的第二报文特征与所述阻断表项包括的所述第一报文特征匹配时,丢弃所述第二待转发报文;
缓存模块,用于若存在新增转发表项,且所述内存中,除所述安全缓冲区之外无空闲资源,则从阻断表项中选择目标阻断表项,删除所述目标阻断表项,并占用删除所述目标阻断表项后释放的资源缓存所述新增转发表项。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
所述缓存模块,还用于占用所述内存中,除所述安全缓冲区之外的空闲资源缓存所述阻断表项。
7.根据权利要求5或6所述的装置,其特征在于,
所述缓存模块,还用于当所述内存中,除所述安全缓冲区之外无空闲资源时,停止缓存阻断表项,并减小已缓存的阻断表项的老化时间。
8.根据权利要求7所述的装置,其特征在于,
所述缓存模块,还用于若存在新增转发表项,且所述内存中不存在阻断表项,且除所述安全缓冲区之外无空闲资源,则占用所述安全缓冲区的资源缓存所述新增转发表项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910611873.9A CN110380968B (zh) | 2019-07-08 | 2019-07-08 | 一种报文处理的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910611873.9A CN110380968B (zh) | 2019-07-08 | 2019-07-08 | 一种报文处理的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110380968A CN110380968A (zh) | 2019-10-25 |
CN110380968B true CN110380968B (zh) | 2021-08-27 |
Family
ID=68252378
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910611873.9A Active CN110380968B (zh) | 2019-07-08 | 2019-07-08 | 一种报文处理的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110380968B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2308697A1 (en) * | 2000-05-15 | 2001-11-15 | Nortel Networks Limited | Exclusion routes in border gateway protocol (bgp) routers |
CN102882810A (zh) * | 2012-10-26 | 2013-01-16 | 杭州迪普科技有限公司 | 一种报文快速转发方法及装置 |
CN103237039A (zh) * | 2013-05-10 | 2013-08-07 | 汉柏科技有限公司 | 一种报文转发方法及设备 |
CN106330715A (zh) * | 2015-06-30 | 2017-01-11 | 杭州华三通信技术有限公司 | 报文处理方法及装置 |
CN106534287A (zh) * | 2016-10-27 | 2017-03-22 | 杭州迪普科技股份有限公司 | 一种会话表项的管理方法和装置 |
CN108134748A (zh) * | 2017-12-11 | 2018-06-08 | 杭州迪普科技股份有限公司 | 一种基于快速转发表项的丢包方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160285753A1 (en) * | 2015-03-27 | 2016-09-29 | Telefonaktiebolaget L M Ericsson (Publ) | Lock free flow learning in a network device |
-
2019
- 2019-07-08 CN CN201910611873.9A patent/CN110380968B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2308697A1 (en) * | 2000-05-15 | 2001-11-15 | Nortel Networks Limited | Exclusion routes in border gateway protocol (bgp) routers |
CN102882810A (zh) * | 2012-10-26 | 2013-01-16 | 杭州迪普科技有限公司 | 一种报文快速转发方法及装置 |
CN103237039A (zh) * | 2013-05-10 | 2013-08-07 | 汉柏科技有限公司 | 一种报文转发方法及设备 |
CN106330715A (zh) * | 2015-06-30 | 2017-01-11 | 杭州华三通信技术有限公司 | 报文处理方法及装置 |
CN106534287A (zh) * | 2016-10-27 | 2017-03-22 | 杭州迪普科技股份有限公司 | 一种会话表项的管理方法和装置 |
CN108134748A (zh) * | 2017-12-11 | 2018-06-08 | 杭州迪普科技股份有限公司 | 一种基于快速转发表项的丢包方法和装置 |
Non-Patent Citations (3)
Title |
---|
"A scalable and small forwarding table for fast IP address lookups";J. Sungkee,等;《Proceedings 2001 International Conference on Computer Networks and Mobile Computing》;20020807;第I139-82页 * |
"Reconfigurable memory architecture for scalable IP forwarding engines";M. Akhbarizadeh,等;《Proceedings. Eleventh International Conference on Computer Communications and Networks》;20021210;第432-437页 * |
"基于软件定义网络的DDoS防护系统";杨慧文;《中国优秀硕士学位论文全文数据库信息科技辑》;20190515;第413-418页 * |
Also Published As
Publication number | Publication date |
---|---|
CN110380968A (zh) | 2019-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20180167361A1 (en) | Network Attack Prevention Method, Apparatus and System | |
US9185120B2 (en) | Method and system for mitigating interest flooding attacks in content-centric networks | |
CN110808913B (zh) | 报文处理的方法、装置及相关设备 | |
US10785226B2 (en) | Method for controlling permission of application program and controller | |
US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
WO2010111930A1 (zh) | 一种过滤方法、系统及网络设备 | |
EP2640021A1 (en) | Longest prefix match searches with variable numbers of prefixes | |
CN109873768B (zh) | 更新转发表的方法、硬件加速器、ovs和服务器 | |
US9667446B2 (en) | Condition code approach for comparing rule and packet data that are provided in portions | |
US10291584B2 (en) | Dynamic prioritization of network traffic based on reputation | |
US9571377B2 (en) | Dynamic denial of service protection | |
US20080271118A1 (en) | Method of protecting against denial-of-service attacks | |
US11451582B2 (en) | Detecting malicious packets in edge network devices | |
US7464398B2 (en) | Queuing methods for mitigation of packet spoofing | |
WO2023040303A1 (zh) | 网络流量控制方法以及相关系统 | |
US20140334491A1 (en) | Prediction based methods for fast routing of ip flows using communication/network processors | |
CN110798451A (zh) | 一种安全认证的方法及装置 | |
CN110380968B (zh) | 一种报文处理的方法及装置 | |
CN110198290B (zh) | 一种信息处理方法、设备、装置及存储介质 | |
CN107332773B (zh) | 一种学习arp表项的方法及ptn设备 | |
CN111294330B (zh) | 用于管理存储器的方法 | |
WO2017219842A1 (zh) | 一种tcam表项的更新方法、装置及tcam | |
CN112532610B (zh) | 一种基于tcp分段的入侵防御检测方法及装置 | |
CN113821410A (zh) | 一种日志处理方法和装置 | |
CN110365667B (zh) | 攻击报文防护方法、装置、电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |