CN110995594A - 一种解决pw bfd受到攻击震荡的方法 - Google Patents

一种解决pw bfd受到攻击震荡的方法 Download PDF

Info

Publication number
CN110995594A
CN110995594A CN201911334224.5A CN201911334224A CN110995594A CN 110995594 A CN110995594 A CN 110995594A CN 201911334224 A CN201911334224 A CN 201911334224A CN 110995594 A CN110995594 A CN 110995594A
Authority
CN
China
Prior art keywords
bfd
message
session
equipment
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911334224.5A
Other languages
English (en)
Inventor
钟锋岩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Wantong Post And Telecommunications Co ltd
Original Assignee
Anhui Wantong Post And Telecommunications Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Wantong Post And Telecommunications Co ltd filed Critical Anhui Wantong Post And Telecommunications Co ltd
Priority to CN201911334224.5A priority Critical patent/CN110995594A/zh
Publication of CN110995594A publication Critical patent/CN110995594A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/68Pseudowire emulation, e.g. IETF WG PWE3
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明的一种解决PW BFD受到攻击震荡的方法,涉及计算机网络数据通信技术领域,本发明通过绑定PW的BFD将对受到的BFD报文进行详细的分析检测,识别出是否是BFD攻击报文。除了进行RD/LD的匹配以外,还进行标签的检查,如果标签并不是本机PW的标签,将认为该报文是BFD攻击报文,不给于响应。从而提高BFD的稳定性,提供整个网络的稳定性。

Description

一种解决PW BFD受到攻击震荡的方法
技术领域
本发明涉及计算机网络数据通信技术领域,具体涉及一种解决PW BFD受到攻击震荡的方法。
背景技术
BFD是Bidirectional Forwarding Detection的缩写,它是一个用于检测两个转发点之间故障的网络协议,在RFC 5880有详细的描述。
BFD是一种双向转发检测机制,可以提供毫秒级的检测,可以实现链路的快速检测,BFD通过与上层路由协议联动,可以实现路由的快速收敛,确保业务的永续性。
伪线(PW),通过信令或者静态配置实现伪线(PW),通过信令或者静态配置实现。标签分发协议LDP、多协议边界网关协议MP-BGP4能够通过信令协议来传递双方的VC标签。伪线是有方向的,是一条从本地AC到对端AC之间的虚拟的、直接相连的数据通道,能够完成用户的二层数据透明传输;
一般PW具有保护组,主PW和备份PW,通过关联BFD实现快速切换。从而达到电信级保护网络。 在PW BFD的使用过程中会出现由于配置错误导致BFD震荡的情况发生,究其原因是因为有BFD攻击导致。
发明内容
本发明提出的一种解决PW BFD受到攻击震荡的方法,可提高BFD的稳定性。
为实现上述目的,本发明采用了以下技术方案:
一种解决PW BFD受到攻击震荡的方法,包括以下步骤:
(1)设备收到BFD的DOWN报文的时候,解析报文的MPLS标签字段,通过该字段进行PW的查找,判断其标签在设备上是否存在对应的PW.;
(2)如果该MPLS标签在设备上不存在对应的PW,直接丢弃该报文,不响应该BFD建立连接的请求;
(3)如果该MPLS标签在设备上查找可以找到对应的PW,认为该BFD连接请求是合法的;
(4)根据设备收到的该BFD DOWN报文的RD字段,查找当前设备是否存在该RD的BFDSESSION;
(5)如果存在了该BFD SESSION,将该SESSION置成DOWN状态;
(6)如果不存在该BFD SESSION,重新建立一个BFD SESSION,并且将该SESSION置成INIT,等待对方发送INIT或者UP报文之后,可以将该SESSION置成UP状态。
由上述技术方案可知,本发明的解决PW BFD受到攻击震荡的方法绑定PW的BFD将对受到的BFD报文进行详细的分析检测,识别出是否是BFD攻击报文。除了进行RD/LD的匹配以外,还进行标签的检查,如果标签并不是本机PW的标签,将认为该报文是BFD攻击报文,不给于响应。从而提高BFD的稳定性,提供整个网络的稳定性。
附图说明
图1为本发明提供的BFD建立连接的方法步骤流程图;
图2为本发明实施例提供的BFD报文攻击图片;
图3为本发明实施例提供的BFD防攻击的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
如图1-图3所示,本实施例所述的解决PW BFD受到攻击震荡的方法,包括:
如图1,正常PW BFD会话建立的过程:
(1)收到BFD DOWN报文后变成INIT状态
(2)BFD INIT状态的时候,收到BFD的INIT报文或者UP报文,变成UP状态。
(3)BFD UP状态的时候,收到BFD的INIT报文或者UP报文,保持UP状态
(4)BFD UP状态的时候,收到BFD的DONW报文,变成DOWN状态
如图2所示,设备1和设备2进行BFD报文交互后,互相变成了UP状态,成功建立了一个BFD的SESSION.一个SESSION包含了LD1和RD1信息。
当设备3向设备2发送一个BFD DOWN报文,发起建立BFD 连接,其RD也是RD1,这时候设备2通过收到的报文RD1,找到了刚才建立的UP的SESSION,并且认为这个SESSION的对端设备发送了DOWN报文,对该SESSION置成了DOWN状态。很显然设备2错误认为设备3发送的DOWN报文是设备1发过来的。所以设备2错误的把设备1的BFD SESSION给置成了DOWN状态。此时设备3通过BFD攻击方式,成功的攻击了设备2的BFD SESSION.
如图3所示:本发明一种解决pw bfd受到攻击震荡的方法,提供了解决该攻击的方法:
(1)设备收到BFD的DOWN报文的时候,解析报文的MPLS标签字段,通过该字段进行PW的查找,判断其标签在设备上是否存在对应的PW.
(2)如果该MPLS标签在设备上不存在对应的PW,直接丢弃该报文,不响应该BFD建立连接的请求
(3)如果该MPLS标签在设备上查找可以找到对应的PW,认为该BFD连接请求是合法的。
(4)根据设备收到的该BFD DOWN报文的RD字段,查找当前设备是否存在该RD的BFDSESSION。
(5)如果存在了该BFD SESSION,将该SESSION置成DOWN状态;
(6)如果不存在该BFD SESSION,重新建立一个BFD SESSION,并且将该SESSION置成INIT,等待对方发送INIT或者UP报文之后,可以将该SESSION置成UP状态。
综上所述,本发明实施例的解决PW BFD受到攻击震荡的方法具备以下有益效果:
(1)运营商开通业务过程中经常会发生业务冲突而导致bfd震荡的情况,排查耗费工时和人力,使用此方法后不会出现该震荡情况,节省时间和人力成本。
(2)运营商开通后维护业务过程中,如果有外界黑客对网络进行bfd攻击,会引起bfd震荡,导致业务震荡,会引起重大网络安全问题。使用此方法后可以有效避免。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (1)

1.种解决PW BFD受到攻击震荡的方法,其特征在于:包括以下步骤:
设备收到BFD的DOWN报文的时候,解析报文的MPLS标签字段,通过该字段进行PW的查找,判断其标签在设备上是否存在对应的PW;
如果该MPLS标签在设备上不存在对应的PW,直接丢弃该报文,不响应该BFD建立连接的请求;
如果该MPLS标签在设备上查找找到对应的PW,认为该BFD连接请求是合法的;
根据设备收到的该BFD DOWN报文的RD字段,查找当前设备是否存在该RD的BFDSESSION;
如果存在了该BFD SESSION,将该SESSION置成DOWN状态;
(6)如果不存在该BFD SESSION,重新建立一个BFD SESSION,并且将该SESSION置成INIT;等待对方发送INIT或者UP报文之后,将该SESSION置成UP状态。
CN201911334224.5A 2019-12-23 2019-12-23 一种解决pw bfd受到攻击震荡的方法 Pending CN110995594A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911334224.5A CN110995594A (zh) 2019-12-23 2019-12-23 一种解决pw bfd受到攻击震荡的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911334224.5A CN110995594A (zh) 2019-12-23 2019-12-23 一种解决pw bfd受到攻击震荡的方法

Publications (1)

Publication Number Publication Date
CN110995594A true CN110995594A (zh) 2020-04-10

Family

ID=70074230

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911334224.5A Pending CN110995594A (zh) 2019-12-23 2019-12-23 一种解决pw bfd受到攻击震荡的方法

Country Status (1)

Country Link
CN (1) CN110995594A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101267360A (zh) * 2008-04-10 2008-09-17 华为技术有限公司 伪线故障检测方法和用户边缘设备
US20140022890A1 (en) * 2011-03-25 2014-01-23 Huawei Technologies Co., Ltd. Vpls fast rerouting method and device
CN104821957A (zh) * 2015-04-16 2015-08-05 瑞斯康达科技发展股份有限公司 一种bfd状态机的实现方法、装置及系统
CN106911571A (zh) * 2017-02-28 2017-06-30 烽火通信科技股份有限公司 一种基于网络处理器的远端pw bfd描述符学习方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101267360A (zh) * 2008-04-10 2008-09-17 华为技术有限公司 伪线故障检测方法和用户边缘设备
US20140022890A1 (en) * 2011-03-25 2014-01-23 Huawei Technologies Co., Ltd. Vpls fast rerouting method and device
CN104821957A (zh) * 2015-04-16 2015-08-05 瑞斯康达科技发展股份有限公司 一种bfd状态机的实现方法、装置及系统
CN106911571A (zh) * 2017-02-28 2017-06-30 烽火通信科技股份有限公司 一种基于网络处理器的远端pw bfd描述符学习方法及系统

Similar Documents

Publication Publication Date Title
US10972391B2 (en) Full-path validation in segment routing
US9294369B2 (en) Method and device for processing location information of fault point
US9344325B2 (en) System, method and apparatus providing MVPN fast failover
KR101706439B1 (ko) 리던던트 네트워크 접속
US10218592B2 (en) Method, device and system for performing bidirectional forwarding detection on aggregated link
US9178756B2 (en) Method and device for processing location information of fault point
US8233378B2 (en) Method and apparatus for validating control and data plane association
US7760621B2 (en) Method and system for protecting label switched path
US9059905B2 (en) Methods and arrangements in an MPLS-TP network
WO2011110118A2 (zh) 检测故障的方法和系统
US20130159806A1 (en) Packet communication apparatus and packet communication method
US8724454B2 (en) System and method for summarizing alarm indications in a network environment
CN103297340A (zh) Mpls和bgp组网中的路由收敛方法和设备
KR101522005B1 (ko) 보호 절체 방법 및 그 장치
WO2021109997A1 (zh) 分段路由隧道的防断纤方法、装置,入口节点及存储介质
CN107659436B (zh) 一种防止业务中断的方法及装置
US20150281050A1 (en) Method for Adjacency Status Synchronization in Label Distribution Protocol
WO2015024523A1 (zh) 确定ip承载网故障的方法和系统
CN108282383B (zh) 一种实现故障处理的方法及设备
JP2006135776A (ja) セッション中継装置およびセッション中継方法
CN110995594A (zh) 一种解决pw bfd受到攻击震荡的方法
CN113037622B (zh) 一种防止bfd震荡的系统及方法
CN108521336B (zh) 一种用于控制路由组网ip地址冲突的方法及装置
CN105656651B (zh) 删除gr功能的方法及设备
KR20160093124A (ko) 전달망에서 패킷 보호 절체 장치 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200410