CN110519302A - 一种防报文攻击的方法和装置 - Google Patents
一种防报文攻击的方法和装置 Download PDFInfo
- Publication number
- CN110519302A CN110519302A CN201910937096.7A CN201910937096A CN110519302A CN 110519302 A CN110519302 A CN 110519302A CN 201910937096 A CN201910937096 A CN 201910937096A CN 110519302 A CN110519302 A CN 110519302A
- Authority
- CN
- China
- Prior art keywords
- message
- abnormal
- received
- exchange chip
- unit time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/26—Flow control; Congestion control using explicit feedback to the source, e.g. choke packets
- H04L47/263—Rate modification at the source after receiving feedback
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/29—Flow control; Congestion control using a combination of thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种防报文攻击的方法和装置,用以准确识别攻击报文,涉及网络安全技术领域。该方法中,针对任一协议类型,若单位时长内交换芯片发送给处理器的协议类型的目标报文的数量大于协议类型对应的限速值,且交换芯片的多个外部端口中有目标报文对应的异常端口,则降低异常端口的发送报文数量,其中目标报文对应的异常端口为单位时长内接收到目标报文的数量超过阈值的外部端口,发送报文数量为交换芯片将通过异常端口接收到的目标报文在单位时长内发送给处理器的最大值。这样,能够根据报文类型以及外部端口报文的流量,更加准确的识别攻击报文,减少对正常业务报文的误识别,能够隔离攻击端口的报文,使得正常业务的处理不受影响。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种防报文攻击的方法和装置。
背景技术
目前,交换设备采取的防攻击策略较为简单,主要方法有以下几种:
1、软件防攻击:由于CPU处理报文的性能是固定的,因此在CPU接收到报文后,对报文进行统计。超过CPU处理性能的报文直接丢弃,防止占用更多的CPU资源。
2、队列限速:可以通过配置限速值,对每一类报文的总速率进行限制,超过该总速率的报文直接丢弃。
3、基于报文流的防攻击:报文流是指报文的源目的MAC、源目的IP相同的一系列报文。该方案通过检测报文的内容,判断出某一条报文流存在攻击的可能,通过策略资源将该报文流对应的报文的速率降低。
上述三种防攻击方法存在如下缺陷:第1、第2种方法由于报文丢弃是随机的,无法保证业务不受影响。第3种方法中,由于每一条攻击报文流都需要占用1个单元的策略资源,在实际环境中攻击报文的报文流类型庞大,超过策略资源的攻击报文将不能被隔离处理,并且第3种方法无法将正常的业务报文和攻击报文区分开,在一些情况下仍然无法保证业务的稳定性。
发明内容
本申请实施例提供一种防报文攻击的方法和装置,用以准确识别攻击报文。
第一方面,本申请实施例提供一种防报文攻击的方法,该方法包括:
对交换芯片发送给处理器的报文进行监控;
针对任一协议类型,若单位时长内所述交换芯片发送给所述处理器的所述协议类型的目标报文的数量大于所述协议类型对应的限速值,且所述交换芯片的多个外部端口中有所述目标报文对应的异常端口,其中所述目标报文对应的异常端口为所述单位时长内接收到所述目标报文的数量超过阈值的外部端口,则降低所述异常端口的发送报文数量,其中所述发送报文数量为所述交换芯片将通过异常端口接收到的目标报文在单位时长内发送给所述处理器的最大值。
上述方法,能够根据报文类型以及外部端口报文的流量,更加准确的识别攻击报文,减少对正常业务报文的误识别,还能够隔离攻击端口的报文,使得处理器对正常业务的处理不受影响。
可选的,所述降低所述异常端口的发送报文数量之前,还包括:
确定当前使用的外部端口的数量大于或等于预设个数。
上述方法,在当前使用的外部端口的数量为预设个数时,降低异常端口的发送报文数量,在当前使用的外部端口的数量小于预设个数时,攻击报文对其它正常业务的报文影响较小,不需要降低异常端口的发送报文数量。
可选的,所述降低所述异常端口的发送报文数量之后,还包括:
监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量;
若监控到的所述接收数量大于所述限速值,则确定当前使用的步进值;
根据确定的所述当前使用的步进值,降低所述异常端口的发送报文数量,并返回监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量的步骤。
上述方法,在降低异常端口的发送报文数量后持续监控异常端口的目标报文的数量,能够在报文攻击未停止时,持续降低异常端口的发送报文数量,保证正常业务的进行。
可选的,所述方法还包括:
若单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量小于所述限速值,则将所述异常端口的发生报文数量恢复为初始值。
上述方法,能够及时发现报文攻击是否结束,在报文攻击结束时消除对异常端口的发送报文数量的调整,能够保证正常业务的进行。
可选的,所述确定当前使用的步进值,包括:
根据所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量确定所述当前使用的步进值;
其中,所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量越大,所述步进值越大。
上述方法,使得异常端口中攻击报文的攻击流越大,对应的发送报文数量越小,从而能够保证攻击报文被隔离,使得处理器能够处理正常业务报文。
第二方面,本申请实施例提供一种防报文攻击的装置,该装置包括:
处理器以及存储器;
其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器执行以下过程:
对交换芯片发送给处理器的报文进行监控;
针对任一协议类型,若单位时长内所述交换芯片发送给所述处理器的所述协议类型的目标报文的数量大于所述协议类型对应的限速值,且所述交换芯片的多个外部端口中有所述目标报文对应的异常端口,其中所述目标报文对应的异常端口为所述单位时长内接收到所述目标报文的数量超过阈值的外部端口,则降低所述异常端口的发送报文数量,其中所述发送报文数量为所述交换芯片将通过异常端口接收到的目标报文在单位时长内发送给所述处理器的最大值。
可选的,所述处理器还用于:
降低所述异常端口的发送报文数量之前,确定当前使用的外部端口的数量大于或等于预设个数。
可选的,所述处理器还用于:
降低所述异常端口的发送报文数量之后,监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量;
若监控到的所述接收数量大于所述限速值,则确定当前使用的步进值;
根据确定的所述当前使用的步进值,降低所述异常端口的发送报文数量,并返回监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量的步骤。
可选的,所述处理器还用于:
若单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量小于所述限速值,则将所述异常端口的发送报文数量恢复为初始值。
可选的,所述处理器还用于:
根据所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量确定所述当前使用的步进值;
其中,所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量越大,所述步进值越大。
第三方面,本申请实施例提供另一种防报文攻击的装置,该装置包括:
监控模块,用于对交换芯片发送给处理器的报文进行监控;
处理模块,用于针对任一协议类型,若单位时长内所述交换芯片发送给所述处理器的所述协议类型的目标报文的数量大于所述协议类型对应的限速值,且所述交换芯片的多个外部端口中有所述目标报文对应的异常端口,其中所述目标报文对应的异常端口为所述单位时长内接收到所述目标报文的数量超过阈值的外部端口,则降低所述异常端口的发送报文数量,其中所述发送报文数量为所述交换芯片将通过异常端口接收到的目标报文在单位时长内发送给所述处理器的最大值。
可选的,所述处理模块还用于,降低所述异常端口的发送报文数量之前,确定当前使用的外部端口的数量大于或等于预设个数。
可选的,所述监控模块还用于:
降低所述异常端口的发送报文数量之后,监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量;
所述处理模块还用于,若监控到的所述接收数量大于所述限速值,则确定当前使用的步进值;根据确定的所述当前使用的步进值,降低所述异常端口的发送报文数量,并返回监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量的步骤。
可选的,所述处理模块还用于:
若单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量小于所述限速值,则将所述异常端口的发送报文数量恢复为初始值。
可选的,所述处理模块具体用于:
根据所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量确定所述当前使用的步进值;
其中,所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量越大,所述步进值越大。
第四方面,本申请另一实施例还提供了一种计算机存储介质,其中,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行本申请实施例中的任一防报文攻击的方法。
另外,第二方面至第四方面中任一种实现方式所带来的技术效果可参见第一方面中不同实现方式所带来的技术效果,此处不再赘述。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种交换芯片的异常端口示意图;
图2为本申请实施例中一种防报文攻击的方法的流程示意图之一;
图3为本申请实施例中一种防报文攻击的应用场景示意图;
图4为本申请实施例中一种防报文攻击的方法的流程示意图之一;
图5为本申请实施例中一种防报文攻击的装置的示意图之一;
图6为本申请实施例中一种防报文攻击的装置的示意图之一。
具体实施方式
为了能够清楚地理解本申请实施例提供的技术方案,下面对本申请实施例出现的名词做解释,需要说明的是本申请实施例中的名词解释仅是为了便于理解本方案,并不用于限定本方案,涉及的名词包括:
1、目标报文,指单位时长内由交换芯片发送给处理器的某一协议类型的报文。协议类型例如是ARP(Address Resolution Protocol,地址解析协议)、OSPF(Open ShortestPath First,开放式最短路径优先)、BGP(Border Gateway Protocol,边界网关协议)等。即,单位时长内交换芯片发送给处理器的全部ARP的报文为目标报文;或者单位时长内交换芯片发送给处理器的全部OSPF的报文为目标报文。
2、异常端口,单位时长内接收到目标报文的数量超过阈值的外部端口。如图1所示,交换芯片的外部端口分别有1-3三个端口。其中,单位时长内端口1接收到ARP协议的报文数量为100,发送给处理器的报文为80,则针对ARP协议单位时长内端口1接收到的目标报文的数量为80。单位时长内端口2接收到ARP协议的报文数量为200,发送给处理器的报文为150,则针对ARP协议单位时长内端口2接收到的目标报文的数量为150。单位时长内端口3接收到的ARP协议的报文数量为300,发送给处理器的报文为280,则针对ARP协议单位时长内端口3接收到的目标报文的数量为280。假设阈值为270,则端口1-3中的异常端口为端口3(图中黑色端口)。
目前,交换机设备防报文攻击的方法缺陷十分明显。在丢弃报文时随机丢弃,无法保证正常业务不受影响。或者是需要占用过的策略资源,并且无法将正常的业务报文和攻击报文进行区分,在一些情况下仍然无法保证业务的稳定性。
有鉴于此,本申请实施例提供一种防报文攻击的方法。该方法中,对交换芯片发送给处理器的报文进行监控。针对任一协议类型,若单位时长内交换芯片发送给处理器的该协议类型的目标报文的数量大于该协议类型对应的限速值,并且交换芯片的多个外部端口中有所述目标报文对应的异常端口,则降低所述异常端口的发送报文数量。其中异常端口为单位时长内接收到目标报文的数量超过阈值的外部端口,发送报文数量为交换芯片将通过异常端口接收到的目标报文在单位时长内发送给处理器的最大值。
上述方法,能够根据报文类型以及外部端口报文的流量,更加准确的识别攻击报文,减少对正常业务报文的误识别,还能够隔离攻击端口的报文,使得处理器对正常业务的处理不受影响。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
参阅图2,为本申请实施例中一种防报文攻击的方法的流程示意图,可以包括以下步骤:
步骤201:对交换芯片发送给处理器的报文进行监控。
步骤202:针对任一协议类型,若单位时长内所述交换芯片发送给所述处理器的所述协议类型的目标报文的数量大于所述协议类型对应的限速值,且所述交换芯片的多个外部端口中有所述目标报文对应的异常端口,则降低所述异常端口的发送报文数量。
其中,所述目标报文对应的异常端口为所述单位时长内接收到所述目标报文的数量超过阈值的外部端口,所述发送报文数量为所述交换芯片将通过异常端口接收到的目标报文在单位时长内发送给所述处理器的最大值。
具体实施时,所述阈值可以根据单位时长内交换芯片接收到的目标报文的数量确定。例如,可以是接收到的目标报文的总数量的预设百分比,例如70%,80%等,本申请不做具体限定。
例如,交换芯片的外部端口包括端口1、端口2、端口3以及端口4。假设接收到的目标报文的总数量为5000,其中,端口1接收到的目标报文的数量为4100,端口2接收到的目标报文的数量为500,端口3接收到的目标报文的数量为100,端口4接收到的目标报文的数量为300。故此,端口1接收到的目标报文的数量超过阈值5000*80%=4000,端口1为异常端口。
在一个可能的实施方式中,针对任一协议类型,该协议类型对应的限速值可以根据实际需求进行设置,例如设置为1000、1500等,本申请实施例不做具体限定。其中,各协议类型对应的限速值可以相同,也可以不同。例如,ARP协议对应的限速值设置为2000,BGP协议对应的限速值也可以设置为2000。需要说明的是,还可以将单位时长内目标报文的数量与协议类型对应的限速值的指定百分比作比较。例如,限速值的70%、限速值的80%等。在目标报文的数量超过限速值的指定百分比时,可以确定该协议类型的报文有攻击嫌疑,所以在目标报文的数量大于所述协议类型对应的限速值的指定百分比,且所述交换芯片的多个外部端口中有所述目标报文对应的异常端口时,即可降低所述异常端口的发送报文数量。
实施时,在降低异常端口的发送报文数量前需要确定当前使用的外部端口的数量大于或等于预设个数。具体的,预设个数可以是大于2的整数,例如可以是3、5等。在当前使用的外部端口的数量小于预设个数时,攻击报文对正常业务报文的影响较小,不需要降低异常端口的发送报文数量。
降低异常端口的发送报文数量时的步进值可以根据实际情况进行设置,例如可以是协议类型对应的限速值的50%、或者是协议类型对应的限速值的40%等。或者,步进值还可以设置为该异常端口接收到的目标报文的数量的50%等,本申请不做具体限定。
例如,交换芯片的外部端口包括端口1-端口4,共4个端口。其中,当前使用的外部端口为端口1-端口4。针对BGP协议,单位时长内目标报文的数量为5000大于对应的限速值2000。在端口1-端口4中,端口1在单位时长内接收到目标报文的数量为3500,端口2单位时长内接收到目标报文的数量为500,端口3接收到目标报文的数量为500,端口4接收到目标报文的数量为500。其中,端口1在单位时长内接收到的目标报文的数量大于阈值5000*60%=3000,则端口1为异常端口。由于当前使用的端口为4个大于预设个数3,此时,降低端口1的发送报文数量,降低后端口1的发送报文数量为限速值2000的50%,即1000。
若外部端口中存在多个异常端口时,各异常端口的步进值可以相同,也可以不同。例如,交换芯片的外部端口包括端口1-端口4,共4个端口。其中,当前使用的外部端口为端口1-端口4。针对BGP协议,单位时长内目标报文的数量为7000大于对应的限速值1500的70%。在端口1-端口4中,端口1在单位时长内接收到目标报文的数量为3400,端口2单位时长内接收到目标报文的数量为3400,端口3单位时长内接收到目标报文的数量为100,端口4单位时长内接收到目标报文的数量为100。其中,端口1和端口2在单位时长内接收到的目标报文的数量大于阈值7000*40%=2800,则端口1和端口2为异常端口。由于当前使用的端口为4个大于预设个数3,此时,降低端口1和端口2的发送报文数量,降低后端口1和端口2的发送报文数量均为限速值1500*60%=900。
参阅图3,为本申请实施例中一种防报文攻击的方法的应用场景示意图。该场景包括:交换芯片301,处理器302,以及在处理器上运行的防报文攻击模块3021。
防报文攻击模块3021对交换芯片301发送给处理器302的报文进行监控。当前使用的外部端口为端口1-端口4。针对BGP协议,单位时长内目标报文的数量为5000大于对应的限速值2000。针对ARP协议,单位时长内目标报文的数量为10000大于对应的限速值1500。其中,在端口1-端口4中,端口1在单位时长内接收到BGP协议的目标报文的数量为3500,接收到ARP协议的目标报文的数量为500;端口2单位时长内接收到BGP协议的目标报文的数量为500,接收到ARP协议的目标报文的数量为1000;端口3接收到BGP协议的目标报文的数量为500,接收到ARP协议的目标报文的数量为1500;端口4接收到BGP协议的目标报文的数量为500,接收到ARP协议的目标报文的数量为7000。其中,端口1在单位时长内接收到的BGP协议的目标报文的数量大于阈值5000*60%=3000,则端口1为BGP协议的异常端口。端口4在单位时长内接收到的ARP协议的目标报文的数量大于10000*60%=6000,则端口4为ARP协议的异常端口。由于当前使用的端口为4个大于预设个数3,此时,降低端口1的BGP协议的发送报文数量,降低后端口1的BGP协议的发送报文数量为限速值2000的50%,即1000。降低端口4的ARP协议的发送报文数量,降低后端口4的ARP协议的发送报文数量为限速值1500的50%,即750。
在执行上述步骤202之后,还可以执行如图4所示的步骤401-405:
步骤401:监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量。
步骤402:判断监控到的所述数量是否大于所述限速值,若大于则执行步骤403,若小于则执行步骤405。
步骤403:确定当前使用的步进值,继续执行步骤404。
具体实施时,步进值可以根据情况进行设置,例如可以设置为1000,或者10000,或者还可以是协议类型对应的限速值的预设倍数,本申请不做具体限定。
在一个可能的实施方式中,可以根据所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量确定所述当前使用的步进值。其中,所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的数量越大,所述步进值越大。
假设,M为所述数量,则所述步进值D可以根据公式(1)确定:
D=KM (公式1)
其中,K∈(0,1)。
例如,K可以取0.7,则M=10000时,步进值D=7000,则降低后的异常端口的发送报文数量为300。
在一个可能的实施方式中,还可以根据所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量确定降低后的所述异常端口的发送报文数量。
假设,A为所述协议类型的限速值,M为所述数量,则可以根据公式(2)确定降低后的所述异常端口的发送报文数量X:
例如,A=1000,M=10000,则可以确定降低后的异常端口的发送报文数量X=100。
步骤404:根据确定的所述当前使用的步进值,降低所述异常端口的发送报文数量,返回执行步骤401。
步骤405:将所述异常端口的发送报文数量恢复为初始值。
上述方法,使得异常端口中攻击报文的攻击流越大,对应的发送报文数量越小,从而能够保证攻击报文被隔离,使得处理器能够处理正常业务报文。另外,能够及时发现报文攻击是否结束,在报文攻击结束时消除对异常端口的发送报文数量的调整,能够保证正常业务的进行。
结合图3,在降低端口1的BGP协议的发送报文数量以及降低端口4的ARP协议的发送报文数量后,防报文攻击模块3021监控端口1接收到的BGP协议的报文的接收数量,以及监控端口4的ARP协议的报文的接收数量。
防报文攻击模块3021监控到单位时长内,端口1接收到的BGP协议的报文的接收数量为1500,端口4接收到的ARP协议的报文的接收数量为15000。防报文攻击模块3021确定单位时长内端口1接收到的BGP协议的报文的接收数量小于对应的限速值2000,则将端口1的BGP协议的发送报文数量恢复为初始值。防报文攻击模块3021确定单位时长内端口4接收到的ARP协议的报文的接收数量大于对应的限速值1500,则继续降低端口4的ARP协议的发送报文数量。降低后的端口4的ARP协议的发送报文数量根据公式(2)确定,即150。
在一个可能的实施方式中,针对任一协议类型,当前使用的外部端口共用该协议类型对应的限速值。例如,BGP协议对应的限速值为2000,当前使用的外部端口为端口1-端口5,则端口1-端口5的目标报文的数量应小于限速值2000,即端口1-端口5的目标报文的数量应分别小于400,400即为端口1-端口5的发送报文数量的初始值。
基于相同的发明构思,本申请实施例提供另一种防报文攻击的装置。参阅图5为本申请实施例中一种防报文攻击的装置的示意图。该装置包括:
监控模块501,用于对交换芯片发送给处理器的报文进行监控;
处理模块502,用于针对任一协议类型,若单位时长内所述交换芯片发送给所述处理器的所述协议类型的目标报文的数量大于所述协议类型对应的限速值,且所述交换芯片的多个外部端口中有所述目标报文对应的异常端口,其中所述目标报文对应的异常端口为所述单位时长内接收到所述目标报文的数量超过阈值的外部端口,则降低所述异常端口的发送报文数量,其中所述发送报文数量为所述交换芯片将通过异常端口接收到的目标报文在单位时长内发送给所述处理器的最大值。
可选的,所述处理模块502还用于,降低所述异常端口的发送报文数量之前,确定当前使用的外部端口的数量大于或等于预设个数。
可选的,所述监控模块501还用于:
降低所述异常端口的发送报文数量之后,监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量;
所述处理模块502还用于,若监控到的所述接收数量大于所述限速值,则确定当前使用的步进值;根据确定的所述当前使用的步进值,降低所述异常端口的发送报文数量,并返回监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量的步骤。
可选的,所述处理模块502还用于:
若单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量小于所述限速值,则将所述异常端口的发送报文数量恢复为初始值。
可选的,所述处理模块502具体用于:
根据所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量确定所述当前使用的步进值;
其中,所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量越大,所述步进值越大。
在介绍了本申请示例性实施方式的一种防报文攻击的方法和装置之后,接下来,介绍根据本申请的另一示例性实施方式的一种防报文攻击的装置。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本申请的防报文攻击的装置可以至少包括至少一个处理器、以及至少一个存储器。其中,存储器存储有程序代码,当程序代码被处理器执行时,使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的防报文攻击的方法中的步骤。例如,处理器可以执行如图2中所示的步骤201-202或者如图4所示的步骤401-405。
下面参照图6来描述根据本申请的这种实施方式的防报文攻击的装置130。图6显示的防报文攻击的装置130仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,防报文攻击的装置130以通用防报文攻击的装置的形式表现。防报文攻击的装置130的组件可以包括但不限于:上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。
总线133表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器132可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)1321和/或高速缓存存储器1322,还可以进一步包括只读存储器(ROM)1323。
存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325,这样的程序模块1324包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
防报文攻击的装置130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与防报文攻击的装置130交互的设备通信,和/或与使得该防报文攻击的装置130能与一个或多个其它防报文攻击的装置进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口135进行。并且,防报文攻击的装置130还可以通过网络适配器136与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器136通过总线133与用于防报文攻击的装置130的其它模块通信。应当理解,尽管图中未示出,可以结合防报文攻击的装置130使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本申请提供的一种防报文攻击的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种防报文攻击的方法中的步骤,例如,计算机设备可以执行如图2中所示的步骤201-202或者如图4所示的步骤401-405。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的用于防报文攻击的的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在防报文攻击的装置上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户防报文攻击的装置上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户防报文攻击的装置上部分在远程防报文攻击的装置上执行、或者完全在远程防报文攻击的装置或服务器上执行。在涉及远程防报文攻击的装置的情形中,远程防报文攻击的装置可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户防报文攻击的装置,或者,可以连接到外部防报文攻击的装置(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种防报文攻击的方法,其特征在于,所述方法包括:
对交换芯片发送给处理器的报文进行监控;
针对任一协议类型,若单位时长内所述交换芯片发送给所述处理器的所述协议类型的目标报文的数量大于所述协议类型对应的限速值,且所述交换芯片的多个外部端口中有所述目标报文对应的异常端口,其中所述目标报文对应的异常端口为所述单位时长内接收到所述目标报文的数量超过阈值的外部端口,则降低所述异常端口的发送报文数量,其中所述发送报文数量为所述交换芯片将通过异常端口接收到的目标报文在单位时长内发送给所述处理器的最大值。
2.根据权利要求1所述的方法,其特征在于,所述降低所述异常端口的发送报文数量之前,还包括:
确定当前使用的外部端口的数量大于或等于预设个数。
3.根据权利要求1所述的方法,其特征在于,所述降低所述异常端口的发送报文数量之后,还包括:
监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量;
若监控到的所述接收数量大于所述限速值,则确定当前使用的步进值;
根据确定的所述当前使用的步进值,降低所述异常端口的发送报文数量,并返回监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量的步骤。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量小于所述限速值,则将所述异常端口的发送报文数量恢复为初始值。
5.根据权利要求3所述的方法,其特征在于,所述确定当前使用的步进值,包括:
根据所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量确定所述当前使用的步进值;
其中,所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量越大,所述步进值越大。
6.一种防报文攻击的装置,其特征在于,所述装置包括:
监控模块,用于对交换芯片发送给处理器的报文进行监控;
处理模块,用于针对任一协议类型,若单位时长内所述交换芯片发送给所述处理器的所述协议类型的目标报文的数量大于所述协议类型对应的限速值,且所述交换芯片的多个外部端口中有所述目标报文对应的异常端口,其中所述目标报文对应的异常端口为所述单位时长内接收到所述目标报文的数量超过阈值的外部端口,则降低所述异常端口的发送报文数量,其中所述发送报文数量为所述交换芯片将通过异常端口接收到的目标报文在单位时长内发送给所述处理器的最大值。
7.根据权利要求6所述的装置,其特征在于,所述监控模块还用于:
降低所述异常端口的发送报文数量之后,监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量;
所述处理模块还用于,若监控到的所述接收数量大于所述限速值,则确定当前使用的步进值;根据确定的所述当前使用的步进值,降低所述异常端口的发送报文数量,并返回监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量的步骤。
8.根据权利要求7所述的装置,其特征在于,所述处理模块还用于:
若单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量小于所述限速值,则将所述异常端口的发送报文数量恢复为初始值。
9.根据权利要求7所述的装置,其特征在于,所述处理模块还用于:
根据所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量确定所述当前使用的步进值;
其中,所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量越大,所述步进值越大。
10.一种防报文攻击的装置,其特征在于,所述装置包括:处理器以及存储器;
其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器执行如权利要求1-5中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910937096.7A CN110519302A (zh) | 2019-09-29 | 2019-09-29 | 一种防报文攻击的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910937096.7A CN110519302A (zh) | 2019-09-29 | 2019-09-29 | 一种防报文攻击的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110519302A true CN110519302A (zh) | 2019-11-29 |
Family
ID=68634079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910937096.7A Pending CN110519302A (zh) | 2019-09-29 | 2019-09-29 | 一种防报文攻击的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110519302A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131756A (zh) * | 2019-12-26 | 2020-05-08 | 视联动力信息技术股份有限公司 | 一种基于视联网的异常检测方法、装置、设备及介质 |
| CN114006731A (zh) * | 2021-09-30 | 2022-02-01 | 新华三信息安全技术有限公司 | 一种网络攻击处理方法、装置、设备及机器可读存储介质 |
| CN114285654A (zh) * | 2021-12-27 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种检测攻击的方法和装置 |
| CN114500414A (zh) * | 2021-02-20 | 2022-05-13 | 井芯微电子技术(天津)有限公司 | 以太网交换机及网络系统 |
| CN117560276A (zh) * | 2024-01-11 | 2024-02-13 | 北京奥普维尔科技有限公司 | 一种报文处理方法、装置及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101083563A (zh) * | 2007-07-20 | 2007-12-05 | 杭州华三通信技术有限公司 | 一种防分布式拒绝服务攻击的方法及设备 |
| CN101141390A (zh) * | 2007-07-17 | 2008-03-12 | 武汉烽火网络有限责任公司 | 一种新型自定义以太网带外数据包过滤的方法及装置 |
| US7826447B1 (en) * | 2005-06-22 | 2010-11-02 | Marvell International Ltd. | Preventing denial-of-service attacks employing broadcast packets |
| CN101980489A (zh) * | 2010-10-28 | 2011-02-23 | 中兴通讯股份有限公司 | 一种防止协议报文攻击cpu的保护方法及系统 |
| CN102447711A (zh) * | 2012-01-18 | 2012-05-09 | 中兴通讯股份有限公司 | 协议报文发送方法及装置 |
| CN109347810A (zh) * | 2018-09-27 | 2019-02-15 | 新华三技术有限公司 | 一种处理报文的方法和装置 |
-
2019
- 2019-09-29 CN CN201910937096.7A patent/CN110519302A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7826447B1 (en) * | 2005-06-22 | 2010-11-02 | Marvell International Ltd. | Preventing denial-of-service attacks employing broadcast packets |
| CN101141390A (zh) * | 2007-07-17 | 2008-03-12 | 武汉烽火网络有限责任公司 | 一种新型自定义以太网带外数据包过滤的方法及装置 |
| CN101083563A (zh) * | 2007-07-20 | 2007-12-05 | 杭州华三通信技术有限公司 | 一种防分布式拒绝服务攻击的方法及设备 |
| CN101980489A (zh) * | 2010-10-28 | 2011-02-23 | 中兴通讯股份有限公司 | 一种防止协议报文攻击cpu的保护方法及系统 |
| CN102447711A (zh) * | 2012-01-18 | 2012-05-09 | 中兴通讯股份有限公司 | 协议报文发送方法及装置 |
| CN109347810A (zh) * | 2018-09-27 | 2019-02-15 | 新华三技术有限公司 | 一种处理报文的方法和装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131756A (zh) * | 2019-12-26 | 2020-05-08 | 视联动力信息技术股份有限公司 | 一种基于视联网的异常检测方法、装置、设备及介质 |
| CN111131756B (zh) * | 2019-12-26 | 2022-11-01 | 视联动力信息技术股份有限公司 | 一种基于视联网的异常检测方法、装置、设备及介质 |
| CN114500414A (zh) * | 2021-02-20 | 2022-05-13 | 井芯微电子技术(天津)有限公司 | 以太网交换机及网络系统 |
| CN114500414B (zh) * | 2021-02-20 | 2023-11-21 | 井芯微电子技术(天津)有限公司 | 以太网交换机及网络系统 |
| CN114006731A (zh) * | 2021-09-30 | 2022-02-01 | 新华三信息安全技术有限公司 | 一种网络攻击处理方法、装置、设备及机器可读存储介质 |
| CN114006731B (zh) * | 2021-09-30 | 2023-12-26 | 新华三信息安全技术有限公司 | 一种网络攻击处理方法、装置、设备及机器可读存储介质 |
| CN114285654A (zh) * | 2021-12-27 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种检测攻击的方法和装置 |
| CN117560276A (zh) * | 2024-01-11 | 2024-02-13 | 北京奥普维尔科技有限公司 | 一种报文处理方法、装置及系统 |
| CN117560276B (zh) * | 2024-01-11 | 2024-03-19 | 北京奥普维尔科技有限公司 | 一种报文处理方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110519302A (zh) | 一种防报文攻击的方法和装置 | |
| US9800502B2 (en) | Quantized congestion notification for computing environments | |
| CN105991430B (zh) | 跨多个自治网络系统的数据路由 | |
| US10257066B2 (en) | Interconnect congestion control in a storage grid | |
| US9461923B2 (en) | Performance-based routing in software-defined network (SDN) | |
| EP2548130B1 (en) | Shaping virtual machine communication traffic | |
| US20190182149A1 (en) | Generation of Path Failure Message at Forwarding Element | |
| JP6162337B2 (ja) | アプリケーションアウェアネットワーク管理 | |
| US9413652B2 (en) | Systems and methods for path maximum transmission unit discovery | |
| US20160173383A1 (en) | Method and apparatus for priority flow and congestion control in ethernet network | |
| US9231860B2 (en) | System and method for hierarchical link aggregation | |
| WO2012112235A1 (en) | Method and system for classification and management of inter-blade network traffic in a blade server | |
| US11240157B1 (en) | Adaptive quality of service marking | |
| EP2362589B1 (en) | Priority and source aware packet memory reservation and flow control | |
| TWI571076B (zh) | 服務品質虛擬化之方法及裝置 | |
| US7342883B2 (en) | Method and apparatus for managing network traffic | |
| US8553539B2 (en) | Method and system for packet traffic congestion management | |
| CN110447207B (zh) | 反应式路径选择的系统和方法 | |
| CN111970149B (zh) | 一种基于硬件防火墙qos的共享带宽实现方法 | |
| US20080002701A1 (en) | Network interface card virtualization based on hardware resources and software rings | |
| US9497088B2 (en) | Method and system for end-to-end classification of level 7 application flows in networking endpoints and devices | |
| Szymanski | Low latency energy efficient communications in global-scale cloud computing systems | |
| US20230412505A1 (en) | System and method for transmitting a data packet | |
| CN113630809A (zh) | 一种业务转发方法、装置及计算机可读存储介质 | |
| CN117579543A (zh) | 一种数据流分割方法、装置、设备和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191129 |