CN113285918A - 针对网络攻击的acl过滤表项建立方法及装置 - Google Patents

针对网络攻击的acl过滤表项建立方法及装置 Download PDF

Info

Publication number
CN113285918A
CN113285918A CN202110379234.1A CN202110379234A CN113285918A CN 113285918 A CN113285918 A CN 113285918A CN 202110379234 A CN202110379234 A CN 202110379234A CN 113285918 A CN113285918 A CN 113285918A
Authority
CN
China
Prior art keywords
acl
attack
message
port corresponding
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110379234.1A
Other languages
English (en)
Other versions
CN113285918B (zh
Inventor
陈金楚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ruijie Networks Co Ltd
Original Assignee
Ruijie Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ruijie Networks Co Ltd filed Critical Ruijie Networks Co Ltd
Priority to CN202110379234.1A priority Critical patent/CN113285918B/zh
Publication of CN113285918A publication Critical patent/CN113285918A/zh
Application granted granted Critical
Publication of CN113285918B publication Critical patent/CN113285918B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种针对网络攻击的ACL过滤表项建立方法及装置,该方法包括:若接收到网络攻击的攻击报文类型的待处理报文,则在第一ACL表中添加包括待处理报文的VLAN标识对应的各个端口、五元组信息中除源IP地址之外的四元组信息和源IP地址的子网掩码的ACL统计表项;基于添加的各个ACL统计表项确定五元组信息对应的第一攻击源端口;通过第一攻击源端口发送携带五元组信息、设定MAC地址和VLAN标识的IP请求报文;若在设定时长内接收到与IP请求报文对应的IP响应报文,则在第一ACL表中删除添加的各个ACL统计表项;若未接收到IP响应报文,则在第一ACL表中删除添加的各个ACL统计表项,并在第一ACL表中ACL过滤表项。该方案可以实现仅过滤攻击报文,转发正常报文。

Description

针对网络攻击的ACL过滤表项建立方法及装置
技术领域
本发明涉及通信技术领域,尤指一种针对网络攻击的ACL过滤表项建立方法及装置。
背景技术
目前,在网络中经常会出现一些恶意的网络攻击,如地址解析协议(AddressResolution Protocol,ARP)攻击、互联网协议(Internet Protocol,IP)攻击等,网络攻击会利用大量的报文砸向网络设备的中央处理器(Central Processing Unit,CPU),大量消耗CPU的资源,使CPU一直处于高负载状态,导致正常的协议流和管理流无法被CPU处理,带来协议震荡或者无法管理。
为了防止网络攻击对CPU的不良影响,通常会在访问控制列表(Access ControlList,ACL)表中建立ACL过滤表项来过滤网络攻击对应的攻击报文。在针对网络攻击的ACL过滤表项建立过程中,会基于网络攻击对应的攻击报文类型建立ACL过滤表项,从而过滤掉该攻击报文类型的所有报文。
由上可见,上述针对网络攻击的ACL过滤表项建立方式会过滤掉攻击报文,同时也会过滤掉正常报文,从而影响正常报文的转发。
发明内容
本发明实施例提供一种针对网络攻击的ACL过滤表项建立方法及装置,用以解决现有技术中存在的过滤掉攻击报文同时也会过滤掉正常报文,从而影响正常报文的转发的问题。
根据本发明实施例,提供一种针对网络攻击的ACL过滤表项建立方法,应用于目标网络包括的核心网络设备中,所述目标网络还包括至少一个其他网络设备,包括:
检测到网络攻击后,确定网络攻击的攻击报文类型;
若接收到所述攻击报文类型的待处理报文,则获取所述待处理报文的五元组信息和虚拟局域网VLAN标识,在第一访问控制列表ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源互联网协议IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项,各个ACL统计表项包括的端口不同;
基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口;
通过所述第一攻击源端口发送携带所述五元组信息、设定媒体访问控制MAC地址和所述VLAN标识的IP请求报文;
若在设定时长内接收到与所述IP请求报文对应的IP响应报文,则在所述第一ACL表中删除添加的各个ACL统计表项;若在所述设定时长内未接收到所述IP响应报文,则在所述第一ACL表中删除添加的各个ACL统计表项,并在所述第一ACL表中添加包括所述第一攻击源端口和所述五元组信息的ACL过滤表项,所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第一选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。
具体的,基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口,具体包括:
在设定时长内基于各个ACL统计表项分别统计对应的端口接收到的携带所述五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到所述五元组信息对应的第一攻击源端口。
根据本发明实施例,还提供一种针对网络攻击的ACL过滤表项建立方法,应用于目标网络包括的至少一个其他网络设备中,所述目标网络还包括核心网络设备,包括:
接收携带五元组信息、设定媒体访问控制MAC地址和虚拟局域网VLAN标识的互联网协议IP请求报文后,在第二访问控制列表ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项,各个ACL统计表项对应的端口不同;
基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口;
通过所述第二攻击源端口转发所述IP请求报文;
若在设定时长内接收到与所述IP请求报文对应的IP响应报文,则在所述第二ACL表中删除添加的各个ACL统计表项;若在所述设定时长内未接收到所述IP响应报文,则在所述第二ACL表中删除添加的各个ACL统计表项,并在所述第二ACL表中添加包括所述第二攻击源端口和所述五元组信息的ACL过滤表项,所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第二选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。
具体的,基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口,具体包括:
在设定时长内基于各个ACL统计表项分别统计对应的各个端口接收到的携带所述五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到所述五元组信息对应的第二攻击源端口。
根据本发明实施例,还提供一种针对网络攻击的ACL过滤表项建立装置,应用于目标网络包括的核心网络设备中,所述目标网络还包括至少一个其他网络设备,包括:
第一确定模块,用于检测到网络攻击后,确定网络攻击的攻击报文类型;
添加模块,用于若接收到所述攻击报文类型的待处理报文,则获取所述待处理报文的五元组信息和虚拟局域网VLAN标识,在第一访问控制列表ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源互联网协议IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项,各个ACL统计表项包括的端口不同;
第二确定模块,用于基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口;
发送模块,用于通过所述第一攻击源端口发送携带所述五元组信息、设定媒体访问控制MAC地址和所述VLAN标识的IP请求报文;
处理模块,用于若在设定时长内接收到与所述IP请求报文对应的IP响应报文,则在所述第一ACL表中删除添加的各个ACL统计表项;若在所述设定时长内未接收到所述IP响应报文,则在所述第一ACL表中删除添加的各个ACL统计表项,并在所述第一ACL表中添加包括所述第一攻击源端口和所述五元组信息的ACL过滤表项,所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第一选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。
具体的,第二确定模块,用于基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口,具体用于:
在设定时长内基于各个ACL统计表项分别统计对应的端口接收到的携带所述五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到所述五元组信息对应的第一攻击源端口。
根据本发明实施例,还提供一种针对网络攻击的ACL过滤表项建立装置,应用于目标网络包括的至少一个其他网络设备中,所述目标网络还包括核心网络设备,包括:
添加模块,用于接收携带五元组信息、设定媒体访问控制MAC地址和虚拟局域网VLAN标识的互联网协议IP请求报文后,在第二访问控制列表ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项,各个ACL统计表项对应的端口不同;
确定模块,用于基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口;
转发模块,用于通过所述第二攻击源端口转发所述IP请求报文;
处理模块,用于若在设定时长内接收到与所述IP请求报文对应的IP响应报文,则在所述第二ACL表中删除添加的各个ACL统计表项;若在所述设定时长内未接收到所述IP响应报文,则在所述第二ACL表中删除添加的各个ACL统计表项,并在所述第二ACL表中添加包括所述第二攻击源端口和所述五元组信息的ACL过滤表项,所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第二选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。
具体的,所述确定模块,用于基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口,具体用于:
在设定时长内基于各个ACL统计表项分别统计对应的各个端口接收到的携带所述五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到所述五元组信息对应的第二攻击源端口。
根据本发明实施例,还提供一种电子设备,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现上述的方法步骤。
根据本发明实施例,还提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法步骤。
本发明有益效果如下:
本发明实施例提供一种针对网络攻击的ACL过滤表项建立方法及装置,通过检测到网络攻击后,确定网络攻击的攻击报文类型;若接收到所述攻击报文类型的待处理报文,则获取所述待处理报文的五元组信息和VLAN标识,在第一ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项,各个ACL统计表项包括的端口不同;基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口;通过所述第一攻击源端口发送携带所述五元组信息、设定MAC地址和所述VLAN标识的IP请求报文;若在设定时长内接收到与所述IP请求报文对应的IP响应报文,则在所述第一ACL表中删除添加的各个ACL统计表项;若在所述设定时长内未接收到所述IP响应报文,则在所述第一ACL表中删除添加的各个ACL统计表项,并在所述第一ACL表中添加包括所述第一攻击源端口和所述五元组信息的ACL过滤表项,所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第一选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。该方案中,核心网络设备检测到网络攻击后,对于接收到的网络攻击的攻击报文类型的待处理报文后,会在待处理报文携带的VLAN对应的每个端口统计接收到的携带待处理报文的五元组信息的报文的数量,基于统计的数量确定出该五元组信息对应的攻击源端口,然后通过该攻击源端口发送IP请求报文,至少一个其他网络设备中接收到IP请求报文的第一选定网络设备会返回IP响应报文,核心网络若接收到IP响应报文,则无需过滤该五元组信息的报文,进一步由第一选定设备过滤即可,若未接收到IP响应报文,则建立ACL过滤表项来过滤该五元组信息的报文,由于基于五元组信息进行报文过滤,而不是基于报文类型进行报文过滤,从而实现仅过滤攻击报文,转发正常报文。
附图说明
图1为本发明实施例中一种以核心网络设备为执行主体的针对网络攻击的ACL过滤表项建立方法的流程图;
图2为本发明实施例中一种以至少一个其他网络设备为执行主体的针对网络攻击的ACL过滤表项建立方法的流程图;
图3为本发明实施例中与图1对应的针对网络攻击的ACL过滤表项建立装置的结构示意图;
图4为本发明实施例中与图2对应的针对网络攻击的ACL过滤表项建立装置的结构示意图;
图5为本申请示出的一种电子设备的结构示意图。
具体实施方式
针对现有技术中存在的过滤掉攻击报文同时也会过滤掉正常报文,从而影响正常报文的转发的问题,本发明实施例提供一种针对网络攻击的ACL过滤表项建立方法,应用于目标网络包括的核心网络设备和至少一个其他网络设备中,下面分别介绍以核心网络设备和至少一个其他网络设备为执行主体的针对网络攻击的ACL过滤表项建立方法。
首先介绍以核心网络设备为执行主体的针对网络攻击的ACL过滤表项建立方法,该方法的流程如图1所示,执行步骤如下:
S11:检测到网络攻击后,确定网络攻击的攻击报文类型。
常见的网络攻击包括ARP攻击、IP攻击等等,不同的网络攻击,对应不同的攻击报文类型,例如,ARP攻击的攻击报文类型为ARP报文,IP攻击的攻击报文类型为IP报文。基于此,在检测到网络攻击后,首先需要确定网络攻击的攻击报文类型。
S12:若接收到攻击报文类型的待处理报文,则获取待处理报文的五元组信息和虚拟局域网(Virtual Local Area Network,VLAN)标识,在第一ACL表中添加包括VLAN标识对应的各个端口、五元组信息中除源IP地址之外的四元组信息和源IP地址的子网掩码的ACL统计表项。
为了避免创建过多的ACL统计表项,造成资源浪费,可以在核心网络设备的ACL表(可以定义为第一ACL表)中添加包括VLAN标识对应的各个端口、五元组信息中除源IP地址之外的四元组信息和源IP地址的子网掩码的ACL统计表项,其中,各个ACL统计表项包括的端口不同;源IP地址的子网掩码用于匹配该段网络地址内的攻击报文,这样一段网络地址就可以对应一个ACL统计表项,由于IP地址可以是网际协议版本4(Internet Protocolversion 4,IPv4)地址和IPv6地址,子网掩码也可以是不同的,例如,若是IPv4地址,子网掩码可设置为24,若是IPv6地址,子网掩码可设置为64。
S13:基于添加的各个ACL统计表项从VLAN标识对应的各个端口中确定五元组信息对应的第一攻击源端口。
可以基于各个ACL统计表项从各个端口中确定出五元组信息对应的攻击源端口,该攻击源端口可以定义为第一攻击源端口。
S14:通过第一攻击源端口发送携带五元组信息、设定媒体访问控制(MediaAccess Control Address,MAC地址)和VLAN标识的IP请求报文,确定在设定时长内是否接收到与IP请求报文对于的IP响应报文,若是,则执行S15;若否,则执行S16。
其中,IP响应报文是至少一个其他网络设备中接收到IP请求报文的第一选定网络设备确定IP请求报文携带设定MAC地址后返回的;设定时长可以根据实际需要进行设定,可以但不限于设定为0.5秒、1秒等等;设定MAC地址可以根据实际需要进行设定,可以但不限于设定为固定值xxxx.xxxx.xxxx。
S15:在第一ACL表中删除添加的各个ACL统计表项。
若在设定时长内接收到与IP请求报文对应的IP响应报文,说明核心网络设备还连接其他网络设备,可以由其他网络设备进行该五元组信息的报文的过滤,直接在第一ACL表中删除添加的各个ACL统计表项即可。
S16:在第一ACL表中删除添加的各个ACL统计表项,并在第一ACL表中添加包括第一攻击源端口和五元组信息的ACL过滤表项。
若在设定时长内未接收到与IP请求报文对应的IP响应报文,说明核心网络设备未连接其他网络设备,需要进一步过滤该五元组信息的报文,首先在第一ACL表中删除添加的各个ACL统计表项,然后在第一ACL表中添加包括第一攻击源端口和五元组信息的ACL过滤表项,然后通过ACL过滤表项过滤携带该五元组信息的攻击报文。
该方案中,核心网络设备检测到网络攻击后,对于接收到的网络攻击的攻击报文类型的待处理报文后,会在待处理报文携带的VLAN对应的每个端口统计接收到的携带待处理报文的五元组信息的报文的数量,基于统计的数量确定出该五元组信息对应的攻击源端口,然后通过该攻击源端口发送IP请求报文,至少一个其他网络设备中接收到IP请求报文的第一选定网络设备会返回IP响应报文,若接收到IP响应报文,则无需过滤该五元组信息的报文,进一步由第一选定设备过滤即可,若未接收到IP响应报文,则建立ACL过滤表项来过滤该五元组信息的报文,由于基于五元组信息进行报文过滤,而不是基于报文类型进行报文过滤,从而实现仅过滤攻击报文,转发正常报文。
具体的,上述S13中的基于添加的各个ACL统计表项从VLAN标识对应的各个端口中确定五元组信息对应的第一攻击源端口,实现过程具体包括:
在设定时长内基于各个ACL统计表项分别统计对应的端口接收到的携带五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到五元组信息对应的第一攻击源端口。
可以将设定时长内接收到的携带五元组信息的报文的各个数量中的最大数量对应的端口,作为五元组信息对应的第一攻击源端口。确定第一攻击源端口的方式有很多种,除了上述方式之外还可以通过其他方式确定第一攻击源端口,例如将第二大数量对应的端口作为第一攻击源端口,其他方式不再一一赘述。
以上介绍了以核心网络设备为执行主体的针对网络攻击的ACL过滤表项建立方法,下面介绍以至少一个其他网络设备为执行主体的针对网络攻击的ACL过滤表项建立方法,该方法的流程如图2所示,执行步骤如下:
S21:接收携带五元组信息、设定MAC地址和VLAN标识的IP请求报文后,在第二ACL表中添加包括VLAN标识对应的各个端口、五元组信息中除源IP地址之外的四元组信息和源IP地址的子网掩码的ACL统计表项。
其他网络设备接收到IP请求报文后,由于IP请求报文中携带设定MAC地址,因此可以确定该IP请求报文是针对网络攻击发送的,因此,首先在ACL表(可以定义为第二ACL表)中添加包括VLAN标识对应的各个端口、五元组信息中除源IP地址之外的四元组信息和源IP地址的子网掩码的ACL统计表项。
其中,源IP地址的子网掩码用于匹配该段网络地址内的攻击报文,这样一段网络地址就可以对应一个ACL统计表项,由于IP地址可以是网际协议版本4(Internet Protocolversion 4,IPv4)地址和IPv6地址,子网掩码也可以是不同的,例如,若是IPv4地址,子网掩码可设置为24,若是IPv6地址,子网掩码可设置为64;各个ACL统计表项对应的端口不同;设定MAC地址可以根据实际需要进行设定,可以但不限于设定为固定值xxxx.xxxx.xxxx。
S22:基于添加的各个ACL统计表项从VLAN标识对应的各个端口中确定五元组信息对应的第二攻击源端口。
可以基于各个ACL统计表项从各个端口中确定出五元组信息对应的攻击源端口,该攻击源端口可以定义为第二攻击源端口。
S23:通过第二攻击源端口转发IP请求报文,确定在设定时长内是否接收到与IP请求报文对于的IP响应报文,若是,则执行S24;若否,则执行S25。
其中,IP响应报文是至少一个其他网络设备中接收到IP请求报文的选定网络设备(可以定义为第二选定网络设备)确定IP请求报文携带设定MAC地址后返回的。
S24:在第二ACL表中删除添加的各个ACL统计表项。
若在设定时长内接收到与IP请求报文对应的IP响应报文,说明其他网络设备还连接其他网络设备,可以由连接的其他网络设备进行该五元组信息的报文的过滤,直接在第二ACL表中删除添加的各个ACL统计表项即可。
S25:在第二ACL表中删除添加的各个ACL统计表项,并在第二ACL表中添加包括第二攻击源端口和五元组信息的ACL过滤表项。
若在设定时长内未接收到与IP请求报文对应的IP响应报文,说明其他网络设备未连接其他网络设备,需要进一步过滤该五元组信息的报文,首先在第二ACL表中删除添加的各个ACL统计表项,然后在第二ACL表中添加包括第二攻击源端口和五元组信息的ACL过滤表项。
该方案中,至少一个其他网络设备接收到IP请求报文后,会在IP请求报文携带的VLAN对应的每个端口统计接收到的携带待处理报文的五元组信息的报文的数量,基于统计的数量确定出该五元组信息对应的攻击源端口,然后通过该攻击源端口发送IP请求报文,至少一个其他网络设备中接收到IP请求报文的第二选定网络设备会返回IP响应报文,若接收到IP响应报文,则无需过滤该五元组信息的报文,进一步由第二选定设备过滤即可,若未接收到IP响应报文,则建立ACL过滤表项来过滤该五元组信息的报文,由于基于五元组信息进行报文过滤,而不是基于报文类型进行报文过滤,从而实现仅过滤攻击报文,转发正常报文。
具体的,上述S22中的基于添加的各个ACL统计表项从VLAN标识对应的各个端口中确定五元组信息对应的第二攻击源端口,实现方式具体包括:
在设定时长内基于各个ACL统计表项分别统计对应的各个端口接收到的携带五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到五元组信息对应的第二攻击源端口。
可以将设定时长内接收到的携带五元组信息的报文的各个数量中的最大数量对应的端口,作为五元组信息对应的第二攻击源端口。确定第二攻击源端口的方式有很多种,除了上述方式之外还可以通过其他方式确定第二攻击源端口,例如将第二大数量对应的端口作为第二攻击源端口,其他方式不再一一赘述。
基于同一发明构思,本发明实施例提供一种针对网络攻击的ACL过滤表项建立装置,与如图1所示的方法相对应,应用于目标网络包括的核心网络设备中,目标网络还包括至少一个其他网络设备,该装置的结构如图3所示,包括:
第一确定模块31,用于检测到网络攻击后,确定网络攻击的攻击报文类型;
添加模块32,用于若接收到攻击报文类型的待处理报文,则获取待处理报文的五元组信息和虚拟局域网VLAN标识,在第一访问控制列表ACL表中添加包括VLAN标识对应的各个端口、五元组信息中除源互联网协议IP地址之外的四元组信息和源IP地址的子网掩码的ACL统计表项,各个ACL统计表项包括的端口不同;
第二确定模块33,用于基于添加的各个ACL统计表项从VLAN标识对应的各个端口中确定五元组信息对应的第一攻击源端口;
发送模块34,用于通过第一攻击源端口发送携带五元组信息、设定媒体访问控制MAC地址和VLAN标识的IP请求报文;
处理模块35,用于若在设定时长内接收到与IP请求报文对应的IP响应报文,则在第一ACL表中删除添加的各个ACL统计表项;若在设定时长内未接收到IP响应报文,则在第一ACL表中删除添加的各个ACL统计表项,并在第一ACL表中添加包括第一攻击源端口和五元组信息的ACL过滤表项,IP响应报文是至少一个其他网络设备中接收到IP请求报文的第一选定网络设备确定IP请求报文携带设定MAC地址后返回的。
该方案中,核心网络设备检测到网络攻击后,对于接收到的网络攻击的攻击报文类型的待处理报文后,会在待处理报文携带的VLAN对应的每个端口统计接收到的携带待处理报文的五元组信息的报文的数量,基于统计的数量确定出该五元组信息对应的攻击源端口,然后通过该攻击源端口发送IP请求报文,至少一个其他网络设备中接收到IP请求报文的第一选定网络设备会返回IP响应报文,若接收到IP响应报文,则无需过滤该五元组信息的报文,进一步由第一选定设备过滤即可,若未接收到IP响应报文,则建立ACL过滤表项来过滤该五元组信息的报文,由于基于五元组信息进行报文过滤,而不是基于报文类型进行报文过滤,从而实现仅过滤攻击报文,转发正常报文。
具体的,第二确定模块33,用于基于添加的各个ACL统计表项从VLAN标识对应的各个端口中确定五元组信息对应的第一攻击源端口,具体用于:
在设定时长内基于各个ACL统计表项分别统计对应的端口接收到的携带五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到五元组信息对应的第一攻击源端口。
基于同一发明构思,本发明实施例提供一种针对网络攻击的ACL过滤表项建立装置,与如图2所示的方法相对应,应用于目标网络包括的至少一个其他网络设备中,目标网络还包括核心网络设备,该装置的结构如图4所示,包括:
添加模块41,用于接收携带五元组信息、设定媒体访问控制MAC地址和虚拟局域网VLAN标识的互联网协议IP请求报文后,在第二访问控制列表ACL表中添加包括VLAN标识对应的各个端口、五元组信息中除源IP地址之外的四元组信息和源IP地址的子网掩码的ACL统计表项,各个ACL统计表项对应的端口不同;
确定模块42,用于基于添加的各个ACL统计表项从VLAN标识对应的各个端口中确定五元组信息对应的第二攻击源端口;
转发模块43,用于通过第二攻击源端口转发IP请求报文;
处理模块44,用于若在设定时长内接收到与IP请求报文对应的IP响应报文,则在第二ACL表中删除添加的各个ACL统计表项;若在设定时长内未接收到IP响应报文,则在第二ACL表中删除添加的各个ACL统计表项,并在第二ACL表中添加包括第二攻击源端口和五元组信息的ACL过滤表项,IP响应报文是至少一个其他网络设备中接收到IP请求报文的第二选定网络设备确定IP请求报文携带设定MAC地址后返回的。
该方案中,至少一个其他网络设备接收到IP请求报文后,会在IP请求报文携带的VLAN对应的每个端口统计接收到的携带待处理报文的五元组信息的报文的数量,基于统计的数量确定出该五元组信息对应的攻击源端口,然后通过该攻击源端口发送IP请求报文,至少一个其他网络设备中接收到IP请求报文的第二选定网络设备会返回IP响应报文,若接收到IP响应报文,则无需过滤该五元组信息的报文,进一步由第二选定设备过滤即可,若未接收到IP响应报文,则建立ACL过滤表项来过滤该五元组信息的报文,由于基于五元组信息进行报文过滤,而不是基于报文类型进行报文过滤,从而实现仅过滤攻击报文,转发正常报文。
具体的,确定模块42,用于基于添加的各个ACL统计表项从VLAN标识对应的各个端口中确定五元组信息对应的第二攻击源端口,具体用于:
在设定时长内基于各个ACL统计表项分别统计对应的各个端口接收到的携带五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到五元组信息对应的第二攻击源端口。
本申请实施例还提供了一种电子设备,请参见图5所示,包括处理器510、通信接口520、存储器530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。
存储器530,用于存放计算机程序;
处理器510,用于执行存储器530上所存放的程序时,实现上述实施例中任一所述的针对网络攻击的ACL过滤表项建立方法。
通信接口520用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
该方案中,核心网络设备检测到网络攻击后,对于接收到的网络攻击的攻击报文类型的待处理报文后,会在待处理报文携带的VLAN对应的每个端口统计接收到的携带待处理报文的五元组信息的报文的数量,基于统计的数量确定出该五元组信息对应的攻击源端口,然后通过该攻击源端口发送IP请求报文,至少一个其他网络设备中接收到IP请求报文的第一选定网络设备会返回IP响应报文,若接收到IP响应报文,则无需过滤该五元组信息的报文,进一步由第一选定设备过滤即可,若未接收到IP响应报文,则建立ACL过滤表项来过滤该五元组信息的报文,由于基于五元组信息进行报文过滤,而不是基于报文类型进行报文过滤,从而实现仅过滤攻击报文,转发正常报文。
相应地,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的针对网络攻击的ACL过滤表项建立方法。
该方案中,核心网络设备检测到网络攻击后,对于接收到的网络攻击的攻击报文类型的待处理报文后,会在待处理报文携带的VLAN对应的每个端口统计接收到的携带待处理报文的五元组信息的报文的数量,基于统计的数量确定出该五元组信息对应的攻击源端口,然后通过该攻击源端口发送IP请求报文,至少一个其他网络设备中接收到IP请求报文的第一选定网络设备会返回IP响应报文,若接收到IP响应报文,则无需过滤该五元组信息的报文,进一步由第一选定设备过滤即可,若未接收到IP响应报文,则建立ACL过滤表项来过滤该五元组信息的报文,由于基于五元组信息进行报文过滤,而不是基于报文类型进行报文过滤,从而实现仅过滤攻击报文,转发正常报文。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的可选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种针对网络攻击的ACL过滤表项建立方法,应用于目标网络包括的核心网络设备中,所述目标网络还包括至少一个其他网络设备,其特征在于,包括:
检测到网络攻击后,确定网络攻击的攻击报文类型;
若接收到所述攻击报文类型的待处理报文,则获取所述待处理报文的五元组信息和虚拟局域网VLAN标识,在第一访问控制列表ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源互联网协议IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项,各个ACL统计表项包括的端口不同;
基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口;
通过所述第一攻击源端口发送携带所述五元组信息、设定媒体访问控制MAC地址和所述VLAN标识的IP请求报文;
若在设定时长内接收到与所述IP请求报文对应的IP响应报文,则在所述第一ACL表中删除添加的各个ACL统计表项;若在所述设定时长内未接收到所述IP响应报文,则在所述第一ACL表中删除添加的各个ACL统计表项,并在所述第一ACL表中添加包括所述第一攻击源端口和所述五元组信息的ACL过滤表项,所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第一选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。
2.如权利要求1所述的方法,其特征在于,基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口,具体包括:
在设定时长内基于各个ACL统计表项分别统计对应的端口接收到的携带所述五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到所述五元组信息对应的第一攻击源端口。
3.一种针对网络攻击的ACL过滤表项建立方法,应用于目标网络包括的至少一个其他网络设备中,所述目标网络还包括核心网络设备,其特征在于,包括:
接收携带五元组信息、设定媒体访问控制MAC地址和虚拟局域网VLAN标识的互联网协议IP请求报文后,在第二访问控制列表ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项,各个ACL统计表项对应的端口不同;
基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口;
通过所述第二攻击源端口转发所述IP请求报文;
若在设定时长内接收到与所述IP请求报文对应的IP响应报文,则在所述第二ACL表中删除添加的各个ACL统计表项;若在所述设定时长内未接收到所述IP响应报文,则在所述第二ACL表中删除添加的各个ACL统计表项,并在所述第二ACL表中添加包括所述第二攻击源端口和所述五元组信息的ACL过滤表项,所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第二选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。
4.如权利要求3所述的方法,其特征在于,基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口,具体包括:
在设定时长内基于各个ACL统计表项分别统计对应的各个端口接收到的携带所述五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到所述五元组信息对应的第二攻击源端口。
5.一种针对网络攻击的ACL过滤表项建立装置,应用于目标网络包括的核心网络设备中,所述目标网络还包括至少一个其他网络设备,其特征在于,包括:
第一确定模块,用于检测到网络攻击后,确定网络攻击的攻击报文类型;
添加模块,用于若接收到所述攻击报文类型的待处理报文,则获取所述待处理报文的五元组信息和虚拟局域网VLAN标识,在第一访问控制列表ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源互联网协议IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项,各个ACL统计表项包括的端口不同;
第二确定模块,用于基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口;
发送模块,用于通过所述第一攻击源端口发送携带所述五元组信息、设定媒体访问控制MAC地址和所述VLAN标识的IP请求报文;
处理模块,用于若在设定时长内接收到与所述IP请求报文对应的IP响应报文,则在所述第一ACL表中删除添加的各个ACL统计表项;若在所述设定时长内未接收到所述IP响应报文,则在所述第一ACL表中删除添加的各个ACL统计表项,并在所述第一ACL表中添加包括所述第一攻击源端口和所述五元组信息的ACL过滤表项,所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第一选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。
6.如权利要求5所述的装置,其特征在于,第二确定模块,用于基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口,具体用于:
在设定时长内基于各个ACL统计表项分别统计对应的端口接收到的携带所述五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到所述五元组信息对应的第一攻击源端口。
7.一种针对网络攻击的ACL过滤表项建立装置,应用于目标网络包括的至少一个其他网络设备中,所述目标网络还包括核心网络设备,其特征在于,包括:
添加模块,用于接收携带五元组信息、设定媒体访问控制MAC地址和虚拟局域网VLAN标识的互联网协议IP请求报文后,在第二访问控制列表ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项,各个ACL统计表项对应的端口不同;
确定模块,用于基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口;
转发模块,用于通过所述第二攻击源端口转发所述IP请求报文;
处理模块,用于若在设定时长内接收到与所述IP请求报文对应的IP响应报文,则在所述第二ACL表中删除添加的各个ACL统计表项;若在所述设定时长内未接收到所述IP响应报文,则在所述第二ACL表中删除添加的各个ACL统计表项,并在所述第二ACL表中添加包括所述第二攻击源端口和所述五元组信息的ACL过滤表项,所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第二选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。
8.如权利要求7所述的装置,其特征在于,所述确定模块,用于基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口,具体用于:
在设定时长内基于各个ACL统计表项分别统计对应的各个端口接收到的携带所述五元组信息的报文的数量;
获取统计的各个数量中的最大数量对应的端口,得到所述五元组信息对应的第二攻击源端口。
9.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-4任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4任一所述的方法步骤。
CN202110379234.1A 2021-04-08 2021-04-08 针对网络攻击的acl过滤表项建立方法及装置 Active CN113285918B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110379234.1A CN113285918B (zh) 2021-04-08 2021-04-08 针对网络攻击的acl过滤表项建立方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110379234.1A CN113285918B (zh) 2021-04-08 2021-04-08 针对网络攻击的acl过滤表项建立方法及装置

Publications (2)

Publication Number Publication Date
CN113285918A true CN113285918A (zh) 2021-08-20
CN113285918B CN113285918B (zh) 2023-10-24

Family

ID=77276343

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110379234.1A Active CN113285918B (zh) 2021-04-08 2021-04-08 针对网络攻击的acl过滤表项建立方法及装置

Country Status (1)

Country Link
CN (1) CN113285918B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338569A (zh) * 2021-12-31 2022-04-12 锐捷网络股份有限公司 报文复制转发方法及装置
CN114389844A (zh) * 2021-12-08 2022-04-22 锐捷网络股份有限公司 报文处理方法、装置、电子设备及计算机可读存储介质
CN114978809A (zh) * 2022-06-23 2022-08-30 惠州华阳通用电子有限公司 一种车载以太网vlan节点配置方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1725705A (zh) * 2005-05-09 2006-01-25 杭州华为三康技术有限公司 流量攻击网络设备的报文特征的检测方法
CN105978859A (zh) * 2016-04-25 2016-09-28 杭州华三通信技术有限公司 一种报文处理的方法和装置
CN106911724A (zh) * 2017-04-27 2017-06-30 杭州迪普科技股份有限公司 一种报文处理方法及装置
CN109962918A (zh) * 2019-03-28 2019-07-02 烽火通信科技股份有限公司 一种防御攻击报文的方法、系统及设备
WO2020083272A1 (zh) * 2018-10-23 2020-04-30 中兴通讯股份有限公司 处理策略的生成方法、系统及存储介质
CN112187740A (zh) * 2020-09-14 2021-01-05 锐捷网络股份有限公司 一种网络接入控制方法、装置、电子设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1725705A (zh) * 2005-05-09 2006-01-25 杭州华为三康技术有限公司 流量攻击网络设备的报文特征的检测方法
CN105978859A (zh) * 2016-04-25 2016-09-28 杭州华三通信技术有限公司 一种报文处理的方法和装置
CN106911724A (zh) * 2017-04-27 2017-06-30 杭州迪普科技股份有限公司 一种报文处理方法及装置
WO2020083272A1 (zh) * 2018-10-23 2020-04-30 中兴通讯股份有限公司 处理策略的生成方法、系统及存储介质
CN109962918A (zh) * 2019-03-28 2019-07-02 烽火通信科技股份有限公司 一种防御攻击报文的方法、系统及设备
CN112187740A (zh) * 2020-09-14 2021-01-05 锐捷网络股份有限公司 一种网络接入控制方法、装置、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈禹航;: "ARP攻击的原理分析及防御方案" *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114389844A (zh) * 2021-12-08 2022-04-22 锐捷网络股份有限公司 报文处理方法、装置、电子设备及计算机可读存储介质
CN114389844B (zh) * 2021-12-08 2024-04-16 锐捷网络股份有限公司 报文处理方法、装置、电子设备及计算机可读存储介质
CN114338569A (zh) * 2021-12-31 2022-04-12 锐捷网络股份有限公司 报文复制转发方法及装置
CN114978809A (zh) * 2022-06-23 2022-08-30 惠州华阳通用电子有限公司 一种车载以太网vlan节点配置方法
CN114978809B (zh) * 2022-06-23 2024-01-12 惠州华阳通用电子有限公司 一种车载以太网vlan节点配置方法

Also Published As

Publication number Publication date
CN113285918B (zh) 2023-10-24

Similar Documents

Publication Publication Date Title
CN113285918B (zh) 针对网络攻击的acl过滤表项建立方法及装置
US11671402B2 (en) Service resource scheduling method and apparatus
CN104137513A (zh) 攻击防范方法和设备
CN109657463B (zh) 一种报文洪泛攻击的防御方法及装置
CN111526225B (zh) 会话管理方法和装置
CN112929241B (zh) 一种网络测试方法及装置
CN113452594B (zh) 一种隧道报文的内层报文匹配方法及装置
CN106657126A (zh) 检测及防御DDoS攻击的装置及方法
CN112866114B (zh) 组播报文的处理方法及装置
CN112073376A (zh) 一种基于数据面的攻击检测方法及设备
CN107690004B (zh) 地址解析协议报文的处理方法及装置
CN113890746B (zh) 攻击流量识别方法、装置、设备以及存储介质
CN110932982B (zh) 硬件路由表的维护方法及装置
CN112187636B (zh) Ecmp路由的存储方法及装置
CN113132506B (zh) 基于超级虚拟局域网的报文处理方法及装置
CN107294989B (zh) 一种防arp网关欺骗的方法及装置
CN110365667B (zh) 攻击报文防护方法、装置、电子设备
CN113821410A (zh) 一种日志处理方法和装置
CN107086965B (zh) 一种arp表项的生成方法、装置及交换机
CN114389844B (zh) 报文处理方法、装置、电子设备及计算机可读存储介质
CN112737957A (zh) 流表的老化方法及装置
CN111490989A (zh) 一种网络系统、攻击检测方法、装置及电子设备
CN115396314B (zh) 获得防护策略集合、报文检测的方法、装置、系统及介质
US20240154963A1 (en) Client identification method and apparatus, and storage medium and network device
CN113452614B (zh) 一种报文处理方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant