CN110995586A - 一种bgp报文的处理方法、装置、电子设备及存储介质 - Google Patents
一种bgp报文的处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110995586A CN110995586A CN201911120457.5A CN201911120457A CN110995586A CN 110995586 A CN110995586 A CN 110995586A CN 201911120457 A CN201911120457 A CN 201911120457A CN 110995586 A CN110995586 A CN 110995586A
- Authority
- CN
- China
- Prior art keywords
- bgp
- acl
- message
- priority
- speed limiter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明实施例提供一种BGP报文的处理方法、装置、电子设备及存储介质。所述方法包括:根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP报文归属的报文流进行限速;其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。本发明实施例能够降低设备受BGP攻击报文的影响,维护了网络系统的稳定性。
Description
技术领域
本发明实施例涉及通信技术领域,具体涉及一种BGP(Border Gateway Protocol,边界网关协议)报文的处理方法、装置、电子设备及存储介质。
背景技术
边界网关协议(Border Gateway Protocol,BGP)是运行于传输控制协议(Transmission Control Protocol,TCP)上的一种不同自治系统(Autonomous System,AS)的路由设备之间进行通信的外部网关协议(Exterior Gateway Protocol,EGP),其主要功能是在不同的AS之间交换网络可达信息。
BGP使用了TCP的传输方式,因此也会引入TCP方面的问题,例如,利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)。当前基于BGP的CPU防攻击方案为:介质访问控制(Media Access Control,MAC)芯片对接收到的BGP报文,根据BGP特征通过访问控制列表(Access Control Lists,ACL)进行匹配,并关联硬件限速器,对符合ACL特征的BGP报文进行硬件限速,之后上送至CPU,保证了MAC芯片送往CPU的报文在对应协议阀值之内,确保CPU不会收到过量的协议报文,保护了CPU。
然而,该方案存在以下问题:由于BGP协议设计之初是基于网络中的实体均可以彼此信任的前提,并没有添加任何安全机制,因此一旦网络中存在恶意的攻击源,就可以轻易的发起攻击,导致正常的BGP连接无法建立、已经建立的BGP间无法进行正常交换路由信息等,严重影响网络系统的稳定性。
发明内容
针对现有技术中的缺陷,本发明实施例提供了一种BGP报文的处理方法、装置、电子设备及存储介质。
第一方面,本发明实施例提供一种边界网关协议BGP报文的处理方法,应用于电子设备中,包括:
根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;
向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP报文归属的报文流进行限速;
其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。
如上述方法,可选地,所述根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级,包括:
根据合法BGP报文的报文特征,确定第一ACL规则,所述第一ACL规则为接收到的BGP报文的源设备信息为与所述电子设备已建立BGP连接的设备信息,所述第一ACL规则优先级为第一优先级;
若BGP报文为非合法报文,则根据所述非合法报文的目的设备信息确定第二ACL规则和第三ACL规则;
其中,所述第二ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息,且目的设备信息为所述电子设备的设备信息,所述第二ACL规则优先级为第二优先级;
所述第三ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息,且目的设备信息不是所述电子设备的设备信息,所述第三ACL规则优先级为第三优先级;
其中所述第一优先级高于所述第二优先级,且所述第二优先级高于所述第三优先级。
如上述方法,可选地,所述确定每个所述ACL规则对应的硬件限速器安装指令,包括:
根据所述第一ACL规则,确定第一硬件限速器的安装指令;
根据所述第二ACL规则,确定第二硬件限速器的安装指令;
根据所述第三ACL规则,确定第三硬件限速器的安装指令;
其中,所述第一硬件限速器的限速值大于所述第二硬件限速器的限速值,且所述第二硬件限速器的限速值大于所述第三硬件限速器的限速值。
如上述方法,可选地,所述确定每个所述ACL规则对应的硬件限速器安装指令,包括:
根据所述第一ACL规则,确定第一硬件限速器的安装指令;
根据所述第二ACL规则,确定第二硬件限速器的安装指令;
根据所述第三ACL规则,确定丢弃所述BGP报文的指令;
其中,所述第一硬件限速器的限速值大于所述第二硬件限速器的限速值。
如上述方法,可选地,还包括:
根据与所述电子设备已建立BGP连接的设备的设备信息,确定合法BGP邻居表;
根据所述合法BGP邻居表,设置所述第一ACL规则。
如上述方法,可选地,还包括:
接收通过所述硬件限速器限速后的第二BGP报文;
若确定所述第二BGP报文为与本设备建立BGP连接的BGP连接报文,则在所述合法BGP邻居表中添加所述第二BGP报文的源设备信息,并更新所述第一ACL规则。
第二方面,本发明实施例提供一种边界网关协议BGP报文的处理装置,应用于电子设备中,包括:
预处理模块,用于根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;
限速模块,用于向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP归属的报文流进行报文限速;
其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。
如上述装置,可选地,所述预处理模块具体用于:
根据合法BGP报文的报文特征,确定第一ACL规则,所述第一ACL规则为接收到的BGP报文的源设备信息为与所述电子设备已建立BGP连接的设备信息,所述第一ACL规则优先级为第一优先级;
若BGP报文为非合法报文,则根据所述非合法报文的目的设备信息确定第二ACL规则和第三ACL规则;
其中,所述第二ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息,且目的设备信息为所述电子设备的设备信息,所述第二ACL规则优先级为第二优先级;
所述第三ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息且目的设备信息不是所述电子设备的设备信息,所述第三ACL规则优先级为第三优先级;
其中所述第一优先级高于所述第二优先级,且所述第二优先级高于所述第三优先级。
第三方面,本发明实施例提供一种电子设备,包括:
存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如下方法:根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP报文归属的报文流进行限速;其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。
第四方面,本发明实施例提供一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如下方法:根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP报文归属的报文流进行限速;其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。
本发明实施例提供的BGP报文的处理方法,根据BGP报文是否合法,确定访问控制列表ACL中多个ACL规则和优先级,并通过相应的限速器进行限速,使合法的BGP报文带宽可以得到保证,通过限速器对优先级低的BGP报文做限速处理,降低设备受BGP攻击报文的影响,维护了网络系统的稳定性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的BGP报文的处理方法流程示意图;
图2为本发明实施例提供的BGP报文的处理系统示意图;
图3为本发明又一实施例提供的BGP报文的处理方法流程示意图;
图4为本发明实施例提供的BGP报文的处理装置的结构示意图;
图5为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的BGP报文的处理方法流程示意图,应用于电子设备中,如图1所示,所述方法包括:
步骤S11、根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;
步骤S12、向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP报文归属的报文流进行限速;
其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。
具体地,为了解决交换机、路由器等电子设备受到BGP协议攻击,导致正常的BGP连接或待连接的BGP无法正常上送中央处理器CPU的问题,本发明实施例提供一种BGP报文的处理方法,首先,电子设备中的CPU根据接收的BGP报文是否合法,确定ACL中多个ACL规则,并设置每个ACL规则对应的优先级,其中合法BGP报文的ACL规则的优先级最高,以确保合法BGP报文的能正常上送到CPU,本发明实施例中,合法BGP报文是指与CPU所在电子设备已经建立BGP连接的设备发送的BGP报文。之后CPU设置每个ACL规则对应的硬件限速器安装指令,通过硬件限速器对BGP报文进行限速,同样的,CPU设置合法BGP报文的ACL规则的硬件限速器的限速值最高,以确保合法BGP报文的带宽最大。
之后,CPU向所在电子设备的MAC芯片下发ACL、ACL优先级和硬件限速器安装指令,MAC芯片根据ACL优先级安装ACL,MAC芯片接收到BGP报文之后,根据ACL优先级依次匹配ACL规则,确定接收到的BGP报文对应的硬件限速器安装指令,执行安装指令,通过硬件限速器对该BGP报文归属的报文流进行限速后,上送到CPU。
本发明实施例提供的BGP报文的处理方法,根据接收BGP报文是否合法,确定访问控制列表ACL中多个ACL规则和优先级,并通过相应的限速器进行限速,使合法的BGP报文带宽可以得到保证,通过限速器对优先级低的BGP报文做限速处理,降低设备受BGP攻击报文的影响,维护了网络系统的稳定性。
在上述实施例的基础上,进一步地,所述根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级,包括:
根据合法BGP报文的报文特征,确定第一ACL规则,所述第一ACL规则为接收到的BGP报文的源设备信息为与所述电子设备已建立BGP连接的设备信息,所述第一ACL规则优先级为第一优先级;
若BGP报文为非合法报文,则根据所述非合法报文的目的设备信息确定第二ACL规则和第三ACL规则;
其中,所述第二ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息,且目的设备信息为所述电子设备的设备信息,所述第二ACL规则优先级为第二优先级;
所述第三ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息,且目的设备信息不是所述电子设备的设备信息,所述第三ACL规则优先级为第三优先级;
其中所述第一优先级高于所述第二优先级,且所述第二优先级高于所述第三优先级。
具体地,由于目前尚无法直接判断哪些报文是攻击报文,因此CPU可以将接收的BGP报文进行如下分类:
a.合法BGP报文:即已经建立BGP连接的设备间的BGP通信报文,这部分报文对设备来说都是合法的,需要受到保护。实际应用中,CPU可以在建立BGP连接之后,提取所有与本机已建立BGP连接的邻居设备的设备信息,例如IP地址等,根据这些设备信息确定哪些BGP报文是合法的。
b.合法BGP邻居报文:即合法的BGP邻居(主机)发送过来的BGP报文,比如BGP邻居连接建立的报文(合法,需要受到保护),BGP合法邻居发动的BGP攻击报文(非法,需要被限制)。其中,是否为合法的BGP邻居,可以根据网络系统内各个CPU保存的与本机已建立BGP连接的邻居设备的设备信息确定整个网络内合法的BGP邻居。
c.无关BGP报文,即本设备可不处理的BGP报文,比如过路的BGP报文或非法的BGP攻击报文(非法需要被限制)。其中,是否为过路的BGP报文是可以通过BGP报文的目的地址判断,如果目的不是本设备,则确定该BGP报文为过路的BGP报文。
对于上述三类BGP报文,a类报文需要保证其能正常上送到CPU,b类报文限制送CPU,c类报文严格控制送CPU,从而达到防攻击目的。具体地,CPU根据上述三类BGP报文设置三种ACL规则,即第一ACL规则记为ACL-a,优先级为M1:即BGP报文的源设备信息为与本设备已建立BGP连接的设备信息;第二ACL规则,记为ACL-b,优先级为M2:即BGP报文的源设备信息为与本设备未建立BGP连接的设备信息,且BGP报文的目的设备为本设备;第三ACL规则,记为ACL-c,优先级为M3:即BGP报文的源设备信息为与本设备未建立BGP连接的设备信息,且BGP报文的目的设备不是本设备。同时设置三个ACL规则的优先级为:M1>M2>M3。即,MAC芯片接收到BGP报文之后,按照先匹配ACL-a,若不匹配再匹配ACL-b,若都不匹配,则确定匹配ACL-c的顺序确定接收到的BGP报文属于上述三种类别中的哪一类型。
通过对不同类型的BGP报文,安装不同的硬件限速器,在BGP防攻击场景中,将BGP合法报文和其他BGP报文进行区分识别,对合法的BGP报文进行通过ACL和硬件限速器配合,使得合法的BGP报文带宽可以得到保证,对无法区分合法或非法的中间地带BGP报文上送CPU的速率进行限制,最大限度保证合法报文带宽。对非法的BGP报文进行严格限制,以探测设备是否遭受攻击。
在实际应用中,CPU可以预先设置上述第三ACL规则及硬件限速器安装指令,提前下发给MAC芯片,对于第一ACL规则和第二ACL规则,可以在对报文流的首报文进行分析后再下发,以不断调整ACL规则,提高系统防攻击处理的正确率。
在上述各实施例的基础上,进一步地,所述确定每个所述ACL规则对应的硬件限速器安装指令,包括:
根据所述第一ACL规则,确定第一硬件限速器的安装指令;
根据所述第二ACL规则,确定第二硬件限速器的安装指令;
根据所述第三ACL规则,确定第三硬件限速器的安装指令;
其中,所述第一硬件限速器的限速值大于所述第二硬件限速器的限速值,且所述第二硬件限速器的限速值大于所述第三硬件限速器的限速值。
或者,所述确定每个所述ACL规则对应的硬件限速器安装指令,包括:
根据所述第一ACL规则,确定第一硬件限速器的安装指令;
根据所述第二ACL规则,确定第二硬件限速器的安装指令;
根据所述第三ACL规则,确定丢弃所述BGP报文的指令;
其中,所述第一硬件限速器的限速值大于所述第二硬件限速器的限速值。
具体地,可以对不同的ACL规则,配置不同的硬件限速器,例如设置ACL-a对应的硬件限速器为meter-a,ACL-b对应的硬件限速器为meter-b,ACL-c对应的硬件限速器为meter-c,其中meter-a的限速值最大,meter-c的限速值最小,例如设置meter-a的限速值为1000pps,即每秒最多上送CPU ACL-a类BGP报文1000个,设置meter-b的限速值为500pps,设置meter-a的限速值为100pps等,可以根据实际的CPU场景确定。图3为本发明又一实施例提供的BGP报文的处理方法流程示意图,如图3所示,MAC芯片接收到BGP报文之后,首先判断报文是否匹配ACL-a,若匹配则通过meter-a限速后上送CPU,若不匹配则判断报文是否匹配ACL-b,若匹配则通过meter-b限速后上送CPU,若都不匹配则判断报文是否匹配ACL-c,若匹配则通过meter-c限速后上送CPU。
此外,在带宽不足的情况下,还可以仅设置ACL-a对应的硬件限速器为meter-a,ACL-b对应的硬件限速器为meter-b,对于ACL-c则设置直接丢弃的操作,以对无关BGP报文进行严格限制甚至丢弃,保证设备不受BGP攻击报文影响。
在实际应用中,MAC芯片可以在硬件上不同优先级位置,对应上述ACL优先级安装ACL-a、ACL-b和ACL-c,并相应地安装硬件限速器为meter-a,meter-b和meter-c。图2为本发明实施例提供的BGP报文的处理系统示意图,如图2所示,MAC芯片的p0端口接收BGP报文,根据ACL规则及优先级,将不同种类的BGP报文进行相应限速后,通过CPU端口将限速后的BGP报文上送至CPU,从而保护CPU,避免大量报文上送CPU导致系统故障的问题。
在上述各实施例的基础上,进一步地,还包括:
根据与所述电子设备已建立BGP连接的设备的设备信息,确定合法BGP邻居表;
根据所述合法BGP邻居表,设置所述第一ACL规则。
具体地,CPU可以根据与所在电子设备已建立BGP连接的设备的设备信息,确定合法BGP邻居表,例如,与所在电子设备已建立BGP连接后,提取BGP连接特征,例如提取TCP五元组信息,将五元组信息中的源IP地址信息记载到合法BGP邻居表中,并根据合法BGP邻居表设置ACL-a,例如设置ACL-a为报文的源IP地址为合法BGP邻居表中记载的IP地址,这样,当MAC芯片接收到BGP报文后,首先匹配ACL-a,确保了合法BGP报文正常上送CPU。
在上述各实施例的基础上,进一步地,还包括:
接收通过所述硬件限速器限速后的第二BGP报文;
若确定所述第二BGP报文为与本设备建立BGP连接的BGP连接报文,则在所述合法BGP邻居表中添加所述第二BGP报文的源设备信息,并更新所述第一ACL规则。
具体地,由于b类报文既包括需要受到保护的BGP邻居连接建立的报文又包括BGP合法邻居发送的BGP攻击报文。因此,在CPU接收到通过硬件限速器meter-b限速后的BGP报文后,判断该报文是否为BGP连接建立报文,具体地,BGP邻居关系建立过程为:本地设备先与邻居设备建立一个TCP连接(TCP三次握手),如果TCP连接建立成功,本地设备发送一个OPEN消息给邻居设备,并等待邻居设备发来的OPEN消息;收到邻居设备的OPEN消息后,检查该消息的所有字段,如果没有发现错误,则向邻居设备发送KEEPALIVE消息并启动KEEPALIVE定时器;收到邻居设备的KEEPALIVE消息,则本地设备和邻居设备之间的邻居关系建立。建立邻居关系之后,CPU提取BGP连接报文的五元组信息,将源IP地址信息增加到合法BGP邻居表中,并更新ACL-a,将更新后的ACL-a下发至MAC芯片,从而实现动态防BGP报文攻击。
本发明实施例提供的BGP报文的处理方法,在BGP防攻击场景中,通过对BGP合法报文和其他报文进行区分识别,对合法的BGP报文进行通过ACL和硬件限速器配合,确保合法的BGP报文带宽可以得到保证,另外对无法区分合法或非法的中间地带BGP报文送CPU的速率进行限制,最大限度保证合法报文带宽可以得到保证,对非法的BGP报文进行严格限制,甚至丢弃,以探测设备是否遭受攻击,保证设备不受BGP攻击报文影响。
基于同一发明构思,本发明实施例还提供一种边界网关协议BGP报文的处理装置,应用于电子设备中,如图4所示,包括:预处理模块41和限速模块42,其中:
预处理模块41用于根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;限速模块42用于向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP报文归属的报文流进行限速;
其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。
如上述装置,可选地,所述预处理模块具体用于:
根据合法BGP报文的报文特征,确定第一ACL规则,所述第一ACL规则为接收到的BGP报文的源设备信息为与所述电子设备已建立BGP连接的设备信息,所述第一ACL规则优先级为第一优先级;
若BGP报文为非合法报文,则根据所述非合法报文的目的设备信息确定第二ACL规则和第三ACL规则;
其中,所述第二ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息,且目的设备信息为所述电子设备的设备信息,所述第二ACL规则优先级为第二优先级;
所述第三ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息且目的设备信息不是所述电子设备的设备信息,所述第三ACL规则优先级为第三优先级;
其中所述第一优先级高于所述第二优先级,且所述第二优先级高于所述第三优先级。
本发明实施例提供的装置,用于实现上述方法,其功能具体参照上述方法实施例,此处不再赘述。
图5为本发明实施例提供的电子设备的结构示意图,如图5所示,所述设备包括:处理器(processor)51、存储器(memory)52和总线53;
其中,处理器51和存储器52通过所述总线53完成相互间的通信;
处理器51用于调用存储器52中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP报文归属的报文流进行限速;其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。
本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP报文归属的报文流进行限速;其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。
本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP报文归属的报文流进行限速;其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的各实施例技术方案的范围。
Claims (10)
1.一种边界网关协议BGP报文的处理方法,应用于电子设备中,其特征在于,包括:
根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;
向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP报文归属的报文流进行限速;
其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。
2.根据权利要求1所述的方法,其特征在于,所述根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级,包括:
根据合法BGP报文的报文特征,确定第一ACL规则,所述第一ACL规则为接收到的BGP报文的源设备信息为与所述电子设备已建立BGP连接的设备信息,所述第一ACL规则优先级为第一优先级;
若BGP报文为非合法报文,则根据所述非合法报文的目的设备信息确定第二ACL规则和第三ACL规则;
其中,所述第二ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息,且目的设备信息为所述电子设备的设备信息,所述第二ACL规则优先级为第二优先级;
所述第三ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息,且目的设备信息不是所述电子设备的设备信息,所述第三ACL规则优先级为第三优先级;
其中所述第一优先级高于所述第二优先级,且所述第二优先级高于所述第三优先级。
3.根据权利要求2所述的方法,其特征在于,所述确定每个所述ACL规则对应的硬件限速器安装指令,包括:
根据所述第一ACL规则,确定第一硬件限速器的安装指令;
根据所述第二ACL规则,确定第二硬件限速器的安装指令;
根据所述第三ACL规则,确定第三硬件限速器的安装指令;
其中,所述第一硬件限速器的限速值大于所述第二硬件限速器的限速值,且所述第二硬件限速器的限速值大于所述第三硬件限速器的限速值。
4.根据权利要求2所述的方法,其特征在于,所述确定每个所述ACL规则对应的硬件限速器安装指令,包括:
根据所述第一ACL规则,确定第一硬件限速器的安装指令;
根据所述第二ACL规则,确定第二硬件限速器的安装指令;
根据所述第三ACL规则,确定丢弃所述BGP报文的指令;
其中,所述第一硬件限速器的限速值大于所述第二硬件限速器的限速值。
5.根据权利要求3或4所述的方法,其特征在于,还包括:
根据与所述电子设备已建立BGP连接的设备的设备信息,确定合法BGP邻居表;
根据所述合法BGP邻居表,设置所述第一ACL规则。
6.根据权利要求5所述的方法,其特征在于,还包括:
接收通过所述硬件限速器限速后的第二BGP报文;
若确定所述第二BGP报文为与所述电子设备建立BGP连接的BGP连接报文,则在所述合法BGP邻居表中添加所述第二BGP报文的源设备信息,并更新所述第一ACL规则。
7.一种边界网关协议BGP报文的处理装置,应用于电子设备中,其特征在于,包括:
预处理模块,用于根据接收的BGP报文是否合法,确定访问控制列表ACL中的多个ACL规则,以及每个所述ACL规则对应的ACL优先级和硬件限速器安装指令;
限速模块,用于向介质访问控制MAC芯片下发所述ACL、ACL优先级和硬件限速器安装指令,以便所述MAC芯片根据所述ACL优先级以及所述ACL规则,匹配接收到的BGP报文,根据匹配结果执行对应的硬件限速器安装指令,并通过所述硬件限速器对所述BGP归属的报文流进行报文限速;
其中与所述电子设备已建立BGP连接的设备发送的BGP报文为合法BGP报文。
8.根据权利要求7所述的装置,其特征在于,所述预处理模块具体用于:
根据合法BGP报文的报文特征,确定第一ACL规则,所述第一ACL规则为接收到的BGP报文的源设备信息为与所述电子设备已建立BGP连接的设备信息,所述第一ACL规则优先级为第一优先级;
若BGP报文为非合法报文,则根据所述非合法报文的目的设备信息确定第二ACL规则和第三ACL规则;
其中,所述第二ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息,且目的设备信息为所述电子设备的设备信息,所述第二ACL规则优先级为第二优先级;
所述第三ACL规则为接收到的BGP报文的源设备信息为与所述电子设备未建立BGP连接的设备信息且目的设备信息不是所述电子设备的设备信息,所述第三ACL规则优先级为第三优先级;
其中所述第一优先级高于所述第二优先级,且所述第二优先级高于所述第三优先级。
9.一种电子设备,其特征在于,包括:
存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至6任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911120457.5A CN110995586B (zh) | 2019-11-15 | 2019-11-15 | 一种bgp报文的处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911120457.5A CN110995586B (zh) | 2019-11-15 | 2019-11-15 | 一种bgp报文的处理方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110995586A true CN110995586A (zh) | 2020-04-10 |
| CN110995586B CN110995586B (zh) | 2022-07-15 |
Family
ID=70084642
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911120457.5A Active CN110995586B (zh) | 2019-11-15 | 2019-11-15 | 一种bgp报文的处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110995586B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953619A (zh) * | 2020-08-07 | 2020-11-17 | 苏州浪潮智能科技有限公司 | 一种基于dscp对报文进行分流的方法、系统、设备及介质 |
| CN114567581A (zh) * | 2022-01-14 | 2022-05-31 | 新华三技术有限公司合肥分公司 | 一种配置表项的方法及设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106518A (zh) * | 2006-07-10 | 2008-01-16 | 中兴通讯股份有限公司 | 为中央处理器提供负载保护的拒绝服务方法 |
| CN101184095A (zh) * | 2007-12-06 | 2008-05-21 | 中兴通讯股份有限公司 | 基于cpu的策略控制列表的网络防攻击方法及系统 |
| CN101651697A (zh) * | 2009-09-21 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种网络访问权限的管理方法和设备 |
| CN103200123A (zh) * | 2013-03-06 | 2013-07-10 | 深圳市新格林耐特通信技术有限公司 | 一种交换机端口安全控制方法 |
| CN103457953A (zh) * | 2013-09-11 | 2013-12-18 | 重庆大学 | 端口安全接入方式下防802.1x协议攻击的处理机制 |
| CN105490961A (zh) * | 2014-09-19 | 2016-04-13 | 杭州迪普科技有限公司 | 报文处理方法、装置以及网络设备 |
| CN105743843A (zh) * | 2014-12-08 | 2016-07-06 | 华为技术有限公司 | 一种防止报文攻击的处理方法及装置 |
| CN106357556A (zh) * | 2016-10-31 | 2017-01-25 | 盛科网络(苏州)有限公司 | 一种基于acl调整报文上送cpu队列优先级的方法 |
| CN106656857A (zh) * | 2016-12-29 | 2017-05-10 | 杭州迪普科技股份有限公司 | 一种报文限速的方法和装置 |
| WO2019123447A1 (en) * | 2017-12-24 | 2019-06-27 | Arilou Information Security Technologies Ltd. | System and method for tunnel-based malware detection |
| US20190199679A1 (en) * | 2017-12-22 | 2019-06-27 | Nicira, Inc. | Dynamically defining encryption spaces across multiple data centers |
-
2019
- 2019-11-15 CN CN201911120457.5A patent/CN110995586B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106518A (zh) * | 2006-07-10 | 2008-01-16 | 中兴通讯股份有限公司 | 为中央处理器提供负载保护的拒绝服务方法 |
| CN101184095A (zh) * | 2007-12-06 | 2008-05-21 | 中兴通讯股份有限公司 | 基于cpu的策略控制列表的网络防攻击方法及系统 |
| CN101651697A (zh) * | 2009-09-21 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种网络访问权限的管理方法和设备 |
| CN103200123A (zh) * | 2013-03-06 | 2013-07-10 | 深圳市新格林耐特通信技术有限公司 | 一种交换机端口安全控制方法 |
| CN103457953A (zh) * | 2013-09-11 | 2013-12-18 | 重庆大学 | 端口安全接入方式下防802.1x协议攻击的处理机制 |
| CN105490961A (zh) * | 2014-09-19 | 2016-04-13 | 杭州迪普科技有限公司 | 报文处理方法、装置以及网络设备 |
| CN105743843A (zh) * | 2014-12-08 | 2016-07-06 | 华为技术有限公司 | 一种防止报文攻击的处理方法及装置 |
| CN106357556A (zh) * | 2016-10-31 | 2017-01-25 | 盛科网络(苏州)有限公司 | 一种基于acl调整报文上送cpu队列优先级的方法 |
| CN106656857A (zh) * | 2016-12-29 | 2017-05-10 | 杭州迪普科技股份有限公司 | 一种报文限速的方法和装置 |
| US20190199679A1 (en) * | 2017-12-22 | 2019-06-27 | Nicira, Inc. | Dynamically defining encryption spaces across multiple data centers |
| WO2019123447A1 (en) * | 2017-12-24 | 2019-06-27 | Arilou Information Security Technologies Ltd. | System and method for tunnel-based malware detection |
Non-Patent Citations (2)
| Title |
|---|
| KAVIN TANTIPONGSAKUL,等: ""Dynamic Policy-Based Routing Using Firewall Rules"", 《2009 THIRD UKSIM EUROPEAN SYMPOSIUM ON COMPUTER MODELING AND SIMULATION》 * |
| 李益铮: ""基于SDN的IDC流量灵活调度技术研究"", 《江苏通信》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953619A (zh) * | 2020-08-07 | 2020-11-17 | 苏州浪潮智能科技有限公司 | 一种基于dscp对报文进行分流的方法、系统、设备及介质 |
| CN111953619B (zh) * | 2020-08-07 | 2022-05-13 | 苏州浪潮智能科技有限公司 | 一种基于dscp对报文进行分流的方法、系统、设备及介质 |
| CN114567581A (zh) * | 2022-01-14 | 2022-05-31 | 新华三技术有限公司合肥分公司 | 一种配置表项的方法及设备 |
| CN114567581B (zh) * | 2022-01-14 | 2023-12-26 | 新华三技术有限公司合肥分公司 | 一种配置表项的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110995586B (zh) | 2022-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11057349B2 (en) | Cloud-based multi-function firewall and zero trust private virtual network | |
| US10187422B2 (en) | Mitigation of computer network attacks | |
| US7936670B2 (en) | System, method and program to control access to virtual LAN via a switch | |
| US8661522B2 (en) | Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack | |
| CN108737447B (zh) | 用户数据报协议流量过滤方法、装置、服务器及存储介质 | |
| JP2006517066A (ja) | サービス妨害攻撃の軽減 | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| US10313238B2 (en) | Communication system, communication method, and non-transitiory computer readable medium storing program | |
| AbdelSalam et al. | Mitigating ARP spoofing attacks in software-defined networks | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| US9641485B1 (en) | System and method for out-of-band network firewall | |
| CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| CN110995586B (zh) | 一种bgp报文的处理方法、装置、电子设备及存储介质 | |
| JP7462757B2 (ja) | ネットワークセキュリティ保護方法及び保護デバイス | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
| CN112350939B (zh) | 旁路阻断方法、系统、装置、计算机设备及存储介质 | |
| CN110198298B (zh) | 一种信息处理方法、装置及存储介质 | |
| JP2007259223A (ja) | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム | |
| CN115001823B (zh) | 基于逐流、逐包过滤的网络透明代理方法及装置 | |
| US20110216770A1 (en) | Method and apparatus for routing network packets and related packet processing circuit | |
| US9591025B2 (en) | IP-free end-point management appliance | |
| CN113014530B (zh) | Arp欺骗攻击防范方法及系统 | |
| US10182071B2 (en) | Probabilistic tracking of host characteristics | |
| US20180234334A1 (en) | Redirecting flow control packets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |