CN113676402A - 一种协议报文的处理方法、网络设备及计算机存储介质 - Google Patents

一种协议报文的处理方法、网络设备及计算机存储介质 Download PDF

Info

Publication number
CN113676402A
CN113676402A CN202010404456.XA CN202010404456A CN113676402A CN 113676402 A CN113676402 A CN 113676402A CN 202010404456 A CN202010404456 A CN 202010404456A CN 113676402 A CN113676402 A CN 113676402A
Authority
CN
China
Prior art keywords
network device
protocol
protocol packet
trusted
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010404456.XA
Other languages
English (en)
Other versions
CN113676402B (zh
Inventor
张旭东
郭锋
张鹏
徐海军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202211665048.5A priority Critical patent/CN116155797A/zh
Priority to CN202010404456.XA priority patent/CN113676402B/zh
Priority to PCT/CN2021/082831 priority patent/WO2021227674A1/zh
Priority to EP21803258.9A priority patent/EP4138346A4/en
Publication of CN113676402A publication Critical patent/CN113676402A/zh
Priority to US17/985,614 priority patent/US20230079949A1/en
Application granted granted Critical
Publication of CN113676402B publication Critical patent/CN113676402B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/28Routing or path finding of packets in data switching networks using route fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/06Deflection routing, e.g. hot-potato routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing

Abstract

本申请提供了一种协议报文的处理方法、网络设备以及计算机存储介质,方法包括:第一网络设备接收第一协议报文;第一网络设备根据第一数量、第一协议报文和可信集合对第一协议报文进行处理,第一数量包括第一网络设备中保存的协议报文数量或第一网络设备中保存的路由数量。

Description

一种协议报文的处理方法、网络设备及计算机存储介质
技术领域
本申请涉及通信技术领域,尤其涉及一种协议报文的处理方法、网络设备及计算机存储介质。
背景技术
网络作为一种新兴的传播媒介,其基本功能是转发数据包。网络中的网络设备之间可以通过交互协议报文以实现全网路由信息的互通,从而使得数据包能够在网络中进行转发。但是,当网络的规模不断扩大或者网络中的网络设备遭到恶意路由攻击时,网络中会存在大量的攻击协议报文,而网络设备会接收并保存这些攻击协议报文及其携带的攻击路由,从而耗尽网络设备的内存,导致网络设备出现反复重启等故障,严重影响网络中业务的正常运作。
现有技术主要通过限制路由协议处理路由的数量来解决由于海量协议报文和海量路由的攻击而造成网络设备出现故障的问题,但是效果并不理想。
发明内容
本申请实施例公开了一种协议报文的处理方法、网络设备及计算机存储介质,使得网络设备能够在海量协议报文的攻击下正常处理协议报文。
第一方面,本申请提供了一种协议报文的处理方法,包括:
第一网络设备接收第一协议报文;
所述第一网络设备根据第一数量、所述第一协议报文和可信集合对所述第一协议报文进行处理,所述第一数量包括所述第一网络设备中保存的协议报文数量或所述第一网络设备中保存的路由数量。
在一些可能的设计中,所述可信集合包括:至少一个标识集合和至少一个可信度,其中,所述至少一个标识集合和所述至少一个可信度存在一一对应的关系;在所述第一网络设备接收第一协议报文之前,所述方法还包括:所述第一网络设备接收第二网络设备发送的所述第二协议报文,所述至少一个标识集合包括第一标识集合,所述至少一个可信度包括第一可信度,所述第一标识集合与所述第一可信度对应,所述第一标识集合包括第一标识,所述第一标识集合用于指示与其对应的第二协议报文的特征和/或生成所述第二协议报文的网络设备,所述第一可信度用于指示所述第一标识对应的所述第二协议报文的可信度。
在一些可能的设计中,当所述第一标识用于指示所述第二协议报文对应的路由时,所述第一标识集合还包括第二标识,所述第二标识用于指示生成所述第二协议报文的网络设备。
在一些可能的设计中,当所述第一标识用于指示所述第二协议报文对应的链路时,所述第一标识集合还包括第二标识和第三标识,所述第二标识用于指示所述第二协议报文的类型,所述第三标识用于指示生成所述第二协议报文的网络设备。
在一些可能的设计中,所述第一可信度包括:所述第一网络设备接收所述第二协议报文的时间、所述第一网络设备接收到所述第二协议报文后的持续时间、或所述第一网络设备对所述第二协议报文的可信评分。
可以看出,第一网络设备可以采用多种不同的方式作为第二协议报文的可信度,例如,将第一网络设备接收第二协议报文的时间作为第二协议报文的可信度,将第一网络设备接收到协议报文后的持续时间作为第二协议报文的可信度,或将第一网络设备对第二协议报文的可信评分作为第二协议报文的可信度。
在一些可能的设计中,所述第一数量大于等于第一阈值,所述第一网络设备根据第一数量、所述第一协议报文和可信集合对所述第一协议报文进行处理,包括:所述第一网络设备根据所述第一协议报文获得第二标识集合;所述第一网络设备根据所述第二标识集合和所述可信集合,确定所述第一协议报文是否可信;所述第一网络设备根据所述确定所述第一协议报文是否可信对所述第一协议报文进行不同处理。
可以看出,在第一网络设备中保存的协议报文数量大于等于第一阈值或第一网络设备中保存的路由数量大于等于第一阈值的情况下,第一网络设备能够根据第一协议报文对应的第二标识集合及可信集合,确定第一协议报文是否可信,从而对第一协议报文进行不同的处理,而不是直接选择丢弃第一协议报文。
在一些可能的设计中,所述第一网络设备根据所述确定所述第一协议报文是否可信对所述第一协议报文进行不同处理,包括:响应于所述第一协议报文可信,所述第一网络设备对所述第一协议报文进行处理,包括:所述第一网络设备保存所述第一协议报文;或者,所述第一网络设备根据所述第一协议报文更新路由表;响应于所述第一协议报文不可信,所述第一网络设备对所述第一协议报文进行处理,包括:所述第一网络设备丢弃所述第一协议报文。
可以看出,在第一协议报文可信的情况下,第一网络设备将保存第一协议报文或根据第一协议报文更新路由表;在第一协议报文不可信的情况下,第一网络设备将丢弃第一协议报文。因此,在第一网络设备中保存的协议报文数量大于等于第一阈值或第一网络设备中保存的路由数量大于等于第一阈值的情况下,第一网络设备能够学习可信的协议报文,丢弃不可信的协议报文。与现有技术中的直接将第一协议报文丢弃相比,上述方法能够保证在海量协议报文攻击下正常学习到可信协议报文,从而减少对正常业务的影响。
在一些可能的设计中,所述第一网络设备根据所述第二标识集合和所述可信集合,确定所述第一协议报文是否可信,包括:所述第一网络设备根据所述可信集合包括所述第二标识集合确定所述第一协议报文可信;或所述可信集合不包括所述第二标识集合,所述第一网络设备根据发送所述第一协议报文的第三网络设备,确定所述第一协议报文可信。
可以看出,第一网络设备利用可信集合,当可信集合包括第一协议报文对应的第二标识集合时,第一网络设备确定第一协议报文可信,例如,第一协议报文为因路由震荡而产生的协议报文,此时第一网络设备可以重新学习第一协议报文。或者,第一网络设备根据发送(包括生成或转发)第一协议报文的第三网络设备确定第一协议报文是否可信。通过上述两种方式可以快速简便的判断第一协议报文是否可信。
在一些可能的设计中,所述可信集合包括第二可信度,所述第二标识集合对应所述第二可信度,所述第一网络设备根据所述可信集合包括所述第二标识集合确定所述第一协议报文可信,包括:所述第一网络设备根据所述第一可信度低于所述第二可信度确定所述第一协议报文可信。
可以看出,第一网络设备还可以根据可信集合中第二标识集合对应的第二可信度确定第一协议报文是否可信,第二可信度越大,第一协议报文越可信。
在一些可能的设计中,在所述第一网络设备根据所述第三网络设备,确定所述第一协议报文可信之前,所述方法还包括:所述第一网络设备获得配置,所述配置用于指示所述第三网络设备发送的协议报文可信。
可以看出,第一网络设备根据配置中指示的第三网络设备发送的协议报文可信,从而确定第三网络设备发送的第一协议报文可信。
在一些可能的设计中,在所述第一网络设备保存所述第一协议报文之前,所述方法还包括:所述第一网络设备删除所述第二协议报文。
可以看出,第一网络设备通过删除可信度低于第一协议报文的第二协议报文,使得第一网络设备在内存不超限的情况下,学习第一协议报文。
在一些可能的设计中,所述第一数量小于所述第一阈值,所述第一网络设备根据第一数量、所述第一协议报文和可信集合对所述第一协议报文进行处理,包括:所述第一网络设备根据所述第一协议报文获得第二标识集合和第二可信度;所述第一网络设备将所述第二标识集合和第二可信度保存到所述可信集合。
可以看出,在第一网络设备中保存的协议报文数量小于第一阈值或第一网络设备中保存的路由数量小于第一阈值的情况下,第一网络设备将第一协议报文对应的第二标识集合和第二可信度保存到可信集合,方便第一网络设备在保存的协议报文数量大于等于第一阈值或第一网络设备在保存的协议报文数量大于等于第一阈值时,第一网络设备能够根据协议报文是否可信对协议报文进行不同的处理。
实施第一方面描述的方法,第一网络设备利用可信集合,使得第一网络设备在接收到协议报文且内存超限(保存的协议报文数量大于等于第一阈值或者保存的路由数量大于等于第一阈值)的情况下,能够根据协议报文携带的标识集合和可信集合确定协议报文是否可信,从而对协议报文进行不同的处理。可以看出,利用上述方法不仅能够避免第一网络设备因内存超限而导致的故障,还能够使得第一网络设备在海量协议报文的攻击下学习协议报文,从而减少或者避免路由攻击对正常业务的影响。
第二方面,本申请提供了一种第一网络设备,包括接收单元和处理单元,
所述接收单元用于接收第一协议报文;
所述处理单元用于根据第一数量、所述第一协议报文和可信集合对所述第一协议报文进行处理,所述第一数量包括所述第一网络设备中保存的协议报文数量或所述第一网络设备中保存的路由数量。
在一些可能的设计中,所述可信集合包括:至少一个标识集合和至少一个可信度,其中,所述至少一个标识集合和所述至少一个可信度存在一一对应的关系;在所述接收单元接收第一协议报文之前,所述接收单元还用于接收第二网络设备发送的第二协议报文,所述至少一个标识集合包括第一标识集合,所述至少一个可信度包括第一可信度,所述第一标识集合与所述第一可信度对应,所述第一标识集合包括第一标识,所述第一标识集合用于指示与其对应的第二协议报文的特征和/或生成所述第二协议报文的网络设备,所述第一可信度用于指示所述第一标识对应的所述第二协议报文的可信度。
在一些可能的设计中,当所述第一标识用于指示所述第二协议报文对应的路由时,所述第一标识集合还包括第二标识,所述第二标识用于指示生成所述第二协议报文的网络设备。
在一些可能的设计中,当所述第一标识用于指示所述第二协议报文对应的链路时,所述第一标识集合还包括第二标识和第三标识,所述第二标识用于指示所述第二协议报文的类型,所述第三标识用于指示生成所述第二协议报文的网络设备。
在一些可能的设计中,所述第一可信度包括:所述第一接收单元接收所述第二协议报文的时间、所述接收单元接收到所述第二协议报文后的持续时间、或所述第一网络设备对所述第二协议报文的可信评分。
在一些可能的设计中,所述第一数量大于等于第一阈值,所述处理单元用于根据所述第一协议报文获得第二标识集合;所述处理单元用于根据所述第二标识集合和所述可信集合,确定所述第一协议报文是否可信;所述处理单元用于根据所述确定所述第一协议报文是否可信对所述第一协议报文进行不同处理。
在一些可能的设计中,响应于所述第一协议报文可信,所述处理单元用于保存所述第一协议报文;或所述处理单元用于根据所述第一协议报文更新路由表;响应于所述第一协议报文不可信,所述处理单元用于丢弃所述第一协议报文。
在一些可能的设计中,所述处理单元用于根据所述可信集合包括所述第二标识集合确定所述第一协议报文可信;或所述可信集合不包括所述第二标识集合,所述处理单元用于根据发送所述第一协议报文的第三网络设备,确定所述第一协议报文可信。
在一些可能的设计中,所述可信集合包括第二可信度,所述第二标识集合对应所述第二可信度,所述处理单元用于根据所述第一可信度低于所述第二可信度确定所述第一协议报文可信。
在一些可能的设计中,在所述处理单元根据所述第三网络设备,确定所述第一协议报文可信之前,所述处理单元还用于获得配置,所述配置用于指示所述第三网络设备发送的协议报文可信。
在一些可能的设计中,在所述第一网络设备保存所述第一协议报文之前,所述处理单元还用于删除所述第二协议报文。
在一些可能的设计中,所述第一数量小于第一第一阈值,所述处理单元用于根据所述第一协议报文获得第二标识集合和第二可信度;所述处理单元用于将所述第二标识集合和所述第二可信度保存到所述可信集合。
上述第一网络设备能够在内存超限(第一数量大于等于第一阈值)且又接收到协议报文的情况下,根据协议报文携带的标识集合和可信集合确定协议报文是否可信,从而对协议报文进行不同的处理。可以看出,在海量协议报文的攻击下,上述第一网络设备的内存不会超限,也不会因内存超限而出现故障,并且还能够处理协议报文,从而减少或者避免海量攻击报文对正常业务的影响。
第三方面,本申请提供了一种第一网络设备,所述第一网络设备包括处理器和存储器,所述处理器执行所述存储器中的代码以实现如第一方面所述的部分或全部步骤。
第四方面,本申请提供了一种计算机存储介质,存储有计算机指令,所述计算机指令用于实现如第一方面所述的部分或全部步骤。
第五方面,本申请提供了一种网络系统,其特征在于,包括第一网络设备,所述第一网络设备用于执行如第一方面所述的部分或全部步骤。
附图说明
图1是本申请提供的一种在海量协议报文攻击下的网络域的示意图;
图2是本申请提供的一种协议报文处理方法的流程示意图;
图3是本申请提供的一种被海量LSP攻击的网络设备R3学习协议报文的过程;
图4是本申请提供的另一种被海量LSP攻击的网络设备R3学习协议报文的过程;
图5是本申请提供的一种被海量LSA攻击的网络设备R3学习协议报文的过程;
图6是本申请提供的另一种被海量LSA攻击的网络设备R3学习协议报文的过程;
图7是本申请提供的一种被海量update报文攻击的网络设备R3学习协议报文的过程;
图8是本申请提供的另一种被海量update报文攻击的网络设备R3学习协议报文的过程;
图9是本申请提供的一种第一网络设备的结构示意图;
图10是本申请提供的另一种第一网络设备的结构示意图。
具体实施方式
下面结合附图对本申请实施例进行详细的阐述。
首先请参见图1,图1中的网络域中包括网络设备R1、网络设备R2、网络设备R3、网络设备R4以及网络设备R5,外部网络中包括至少一个网络设备。网络域中的网络设备通过运行网络协议以发现网络中的路由信息,从而实现全网互通。其中,常见的网络协议包括中间系统到中间系统(intermediate system to intermediate system,IS-IS)协议,开放最短路径优先(open shortest path first,OSPF)以及边界网关协议(border gatewayprotocol,BGP)等等。外部网络中的网络设备与网络域中的网络设备可以运行不同的网络协议,例如,网络域中的网络设备运行IS-IS协议,外部网络中的网络设备运行OSPF协议。
当网络域中的网络设备均正常上线时,各个网络设备会将根据本地接口状态和路由信息生成的可信协议报文泛洪到网络域。在本申请实施例中,将网络中的设备之间互相通告发送的路由信息报文称为协议报文,如:ISIS的链路状态协议(link state protocol,LSP)报文,OSPF的链路状态通告(linkstate advertisement,LSA)报文,或BGP的路由更新(update)报文。
假设,一段时间后网络设备R2遭到路由攻击,那么网络设备R2会将大量携带有伪造路由信息的不可信协议报文泛洪到网络域,使得网络域中的其他网络设备生成错误的路由,从而干扰网络设备之间正常的通信。此时,网络域中存在大量的协议报文和大量的路由信息。一些网络设备可能由于硬件资源有限,无法完全承载这些协议报文和路由信息,从而出现反复重启等故障,严重影响网络的正常运行。
本申请中的泛洪是指:当一个网络设备向邻居网络设备发送协议报文之后,相邻网络设备再将同样的协议报文传送到除发送该协议报文的网络设备外的其它邻居,并以相同的方式逐级将协议报文传送到网络域中的所有网络设备。例如,网络设备R2获得协议报文之后,将该协议报文发送给网络设备R3和网络设备R4,网络设备R3接收到该协议报文之后,将该协议报文发送给网络设备R1和网络设备R5,网络设备R4接收到该协议报文之后,将该协议报文发送给网络设备R1和网络设备R5,从而使得网络域中的所有网络设备均获得该协议报文。
为了避免网络设备因保存大量协议报文和大量路由而造成的设备故障,位于网络域边界的网络设备上通常会配置路由引入的最大数量,从而限制网络域中引入的路由的数量。引入的路由具体可以包括:静态路由、因特网(Internet)路由、直连路由、其它路由协议学习到的路由(例如,将BGP路由引入IS-IS网络域中)以及伪造的路由等等。通过配置引入路由的最大数量方法虽然可以在一定程度上限制网络域中协议报文和路由的数量,但是当网络域中的非攻击路由出现震荡时,网络域中的边界网络设备将由于引入路由的数量达到上限,导致无法重新引入出现震荡的合法路由,从而使得正常业务受损。另外,运行BGP的网络设备还可以配置路由学习的最大数量,从而限制网络设备中保存的协议报文数量和路由数量。但是,当运行BGP的网络设备中已保存的合法路由出现震荡时,由于网络设备中保存的路由数量达到上限,导致其无法重新学习出现震荡的合法路由,从而无法进行正常业务访问。
针对上述问题,本申请提供了一种协议报文的处理方法,在介绍本申请实施例中的方法之前,先对本申请实施例中涉及到的相关概念进行介绍。
IS-IS协议是一种内部网关协议(interior gateway protocol,IGP),主要用于自治系统(autonomous system,AS)内部。IS-IS协议通过在建立IS-IS邻居的网络设备之间交互LSP报文,使得IS-IS网络域中的所有网络设备都形成相同的链路状态数据库(linkstate data base,LSDB),然后使用最短路径优先(shortest path first,SPF)算法进行路由计算,生成本地路由表,从而指导数据包的转发。
LSP是一种用于通告运行IS-IS协议的网络设备(以下简称为IS-IS网络设备)的链路状态消息的协议报文。当IS-IS网络设备初始化或者IS-IS网络设备所在的网络域的结构发生改变(例如,IS-IS网络设备的直连接口状态改变、IS-IS网络设备学习到外部网络路由)时,IS-IS网络设备将生成LSP,并向其IS-IS邻居发布该LSP,从而将发生变化的链路状态信息通告给IS-IS网络域的其他IS-IS网络设备。当其他IS-IS网络设备接收到LSP时,会将LSP存储到本地LSDB中,并根据LSP中携带的链路状态信息获取相应的网络拓扑结构。因此,IS-IS网络域内的所有网络设备都具有相同的LSDB。LSP利用LSP ID进行标识,其中,LSPID包括系统标识符(system ID)、伪节点ID(pseudonode ID)和LSP编号(LSP number),系统标识符为生成该LSP的网络设备的标识符,伪节点ID用于标识LSP是否为指定中间系统(designated intermediate system,DIS)生成的伪节点LSP,LSP编号用于标识LSP是否被分片。
OSPF协议是一种基于链路状态的IGP,主要用于单一的AS中。在OSPF网络域内,运行OSPF协议的网络设备(以下简称为OSPF网络设备)之间通过建立OSPF邻居关系,将自身生成的LSA报文发送给其他OSPF邻居。当网络设备接收到LSA之后,会在本地LSDB中保存这些LSA,以使得OSPF网络域中的所有网络设备都建立相同的LSDB,然后基于LSDB利用SPF算法计算得到OSPF路由表,从而指导OSPF网络域中数据包的转发。
与LSP类似的,LSA是一种用于通告OSPF网络设备的链路状态的协议报文,也就是说,在OSPF网络域中对路由信息的描述都是封装在LSA中发布的。当OSPF网络设备初始化或者OSPF网络域的结构发生改变(例如,OSPF网络设备的直连接口状态改变、OSPF网络设备学习到网络路由)时,OSPF网络设备将生成LSA,并向OSPF邻居发布该LSA,从而使得OSPF网络域中的其他OSPF网络设备能够学习到发生变化的链路状态,并生成相应的网络拓扑结构。LSA中携带的链路状态(linkstate,LS)ID、LSA的类型和生成LSA的网络设备的标识用于标识该LSA。其中,LSA的类型包括11种,具体是:路由器LSA(router LSA)、网络LSA(networkLSA)、网络汇总LSA(network summary LSA)、自治系统边界路由器(AS boundary router,ASBR)汇总LSA(ASBR summary LSA)、AS外部LSA(AS external LSA)、组成员LSA(groupmembership LSA)、末梢节区域(not so stubby area,NSSA)LSA(NSSA LSA)、外部属性LSA(external attributesLSA)以及不透明LSA(opaque LSA)。
BGP是一种基于距离矢量的外部网关协议(exterior gateway protocol,EGP),主要用于在AS之间选择最佳路由以及控制路由的传播。运行BGP的网络设备自身不能发现路由,需要引入其他协议的路由(例如,IS-IS路由、OSPF路由),并通过学习将最佳路由注入BGP路由表中,然后将BGP路由表封装在更新(update)报文中通告给其他BGP邻居,从而实现在AS中和AS之间转发数据包。
Update报文是一种用于在BGP邻居之间交换路由信息的报文,一条update报文可以同时发布多条可达路由,也可以撤销多条不可达路由。当网络设备的BGP路由表发生变化时,网络设备将携带了增量路由信息(例如,新增的路由信息、删除的路由信息、修改后路由信息)的update报文发布给BGP邻居,以使得BGP邻居根据update报文更新本地路由表。网络设备接收到update报文之后,会得到update报文中携带的路由。update报文利用路由前缀和邻居标识为每条路由进行标识,其中,路由前缀为路由中的目的网际互连协议(internetprotocol,IP)地址,邻居标识为路由中的下一跳地址。
如图2所示,图2是本申请提供的协议报文的处理方法的流程示意图,该方法包括但不限于如下步骤:
S101、第一网络设备接收第二网络设备发送的第一协议报文。
此处,第二网络设备发送的第一协议报文可以是由第二网络设备生成的,或是由其他网络设备生成,经由第二网络设备转发的。
S102、在第一数量小于第一阈值的情况下,第一网络设备保存第一协议报文和/或第一路由,并将第一标识集合和第一可信度关联保存到可信集合。
其中,第一协议报文用于指示第一网络设备生成第一路由。第一数量包括第一网络设备中保存的协议报文数量或第一网络设备中保存的路由数量。第一阈值包括第一网络设备保存的最大协议报文数量或第一网络设备中保存的最大路由数量。第一协议报文携带了第一标识集合,第一标识集合用于指示第一协议报文的特征和/或生成第一协议报文的网络设备。第一标识集合和第一可信度存在对应关系。第一可信度用于指示第一协议报文的可信度。可信集合包括至少一个标识集合和至少一个可信度,至少一个标识集合和至少一个可信度存在一一对应的关系。至少一个标识集合包括第一标识集合,至少一个可信度包括第一可信度。标识集合用于指示与其对应的协议报文的特征和/或生成该协议报文的网络设备。可信度用于指示与其对应的协议报文的可信度。
在本申请具体的实施例中,标识集合包括第一标识,标识集合用于指示协议报文的特征和/或生成第一协议报文的网络设备。例如,当协议报文为LSP,标识集合包括LSPID,LSP ID指示了生成该LSP的网络设备、该LSP是否被分片、该LSP是否伪节点LSP。当第一标识用于指示协议报文对应的路由时,第一标识集合还包括第二标识,第二标识用于指示生成协议报文的网络设备。例如,当协议报文为update报文时,第一标识集合包括路由前缀和邻居标识,路由前缀指示了该update报文中的路由,邻居标识指示了生成该update报文的网络设备。当第一标识用于指示第一协议报文对应的链路时,第一标识集合还包括第二标识、第三标识,其中,第二标识用于指示第一协议报文的类型,第三标识用于指示生成第一协议报文的网络设备。例如,当协议报文为LSA时,第一标识集合包括LS ID、LSA的类型和生成LSA的网络设备的标识,其中,LS ID用于指示该LSA对应的链路,LSA的类型用于指示该LSA的类型,生成LSA的网络设备的标识用于指示生成该LSA的网络设备。
在本申请具体的实施例中,可信度包括:第一网络设备接收协议报文的时间、第一网络设备接收到协议报文后的持续时间、或第一网络设备对接收到的协议报文的可信评分。可信度用于指示与其对应的协议报文的可信度。具体的,第一网络设备接收协议报文的时间越小,该协议报文对应的可信度越大,该协议报文越可信。第一网络设备接收到协议报文的持续时间越大,该协议报文对应的可信度越大,该协议报文越可信。第一网络设备对协议报文的可信评分越高,该协议报文对应的可信度越大,该协议报文越可信。
在本申请具体的实施例中,第一网络设备对协议报文的可信评分可以是第一网络设备根据第一网络设备接收协议报文的时间设置的,也可以是第一网络设备根据第一网络设备接收到协议报文的持续时间设置的,还可以是第一网络设备根据同一网络设备发送的协议报文的数量等等,此处不作具体限定。例如,第一网络设备对在时间t1至时间t3内接收到的协议报文评定为A,对在时间t3至时间t2内接收到的协议报文评定为B,其中,t1<t3<t2。又例如,第一网络设备将持续时间大于时间T的报文评定为A,将持续时间小于或者等于T的报文评定B。又例如,第一网络设备在时间t1至时间t3内接收到100000个由第二网络设备发送的协议报文,在时间t1至时间t3内接收到10个由第三网络设备发送的协议报文,那么第一网络设备将第二网络设备发送的协议报文的可信评分设置为A,将第三网络设备发送的协议报文的可信评分设置为B。
在本申请具体的实施例中,可信集合在第一网络设备中的存储方式可以是永久存储,也可以是临时存储,还可以是动态老化等等,此处不作具体限定。第一网络设备可以依据可信度的大小,将可信集合中的可信度按照从大到小或者从小到大的排序方式进行保存,并对应保存标识集合;第一网络设备还可以依据接收协议报文的时间保存可信度和标识集合等等,此处不作具体限定。可信集合的具体表现形式具体可参见后文中的表1-表3。
S103、第一网络设备接收第二协议报文。
S104、在第一数量大于等于第一阈值的情况下,第一网络设备确定第二协议报文是否可信。
具体实现中,第一网络设备接收第二协议报文之后,确定第一数量大于第一阈值,也就是说,当前第一网络设备中保存的协议报文数量大于第一网络设备保存的最大协议报文数量,或者当前第一网络设备中保存的路由数量大于第一网络设备保存的最大路由数量。此时,第一网络设备根据第二协议报文获得第二标识集合。其中,第二标识集合用于指示与其对应的第二协议报文的特征和/或生成第二协议报文的网络设备。然后,第一网络设备根据第二标识集合和可信集合,确定第二协议报文是否可信。该步骤的具体内容将在后文的示例一和示例二中进行详细阐述。
S105、响应于第二协议报文可信,第一网络设备保存第二协议报文,或第一网络设备根据第二协议报文更新路由表。
在本申请具体的实施例中,响应于第二协议报文可信,第一网络设备先删除第一协议报文,再保存第二协议报文;或者,第一网络设备先删除第一路由,再根据第二协议报文更新路由表。另外,第一网络设备还将第二标识集合和第二协议报文的可信度保存到可信集合中。该步骤的具体内容将在后文的步骤步骤21-步骤23中进行阐述。
S106、响应于第二协议报文不可信,第一网络设备丢弃第二协议报文。
具体实现中,响应于第二协议报文不可信,第一网络设备丢弃第二协议报文,或将第二协议报文转发给其他网络设备,或根据第二协议报文向其他网络设备发送路由更新消息。例如,当第二协议报文为LSP或LSA时,若第二协议报文不可信,则第一网络设备丢弃第二协议报文,或将第二协议报文转发给其他网络设备。当第二协议报文为update报文时,若第二协议报文不可信,则第一网络设备丢弃第二协议报文,或根据第二协议报文向其他网络设备发送路由更新消息。
下面示例一和示例二对前述步骤S104中第一网络设备确定第二协议报是否可信的具体流程进行详细地解释说明。
示例一:第一网络设备根据可信集合包括第二标识集合确定第二协议报文可信。
具体实现中,第一网络设备根据第二协议报文获得第二标识集合,然后将第二标识集合与可信集合中的标识集合进行匹配。其中,第二标识集合包括至少一个标识,第二标识集合用于指示与其对应的第二协议报文的特征和/或生成第二协议报文的网络设备,第二标识集合的具体描述请参见步骤S102中关于标识集合的描述。
在本申请具体的实施例中,在第一网络设备接收第二协议报文之前,第一网络设备接收第三协议报文,并保存第三协议报文和/或根据第三协议报文更新路由表。第一网络设备还将第三标识集合和第三可信度保存到可信集合。其中,第三可信度用于指示第三协议报文的可惜度。第三可信度包括第一网络设备接收第三协议报文的时间、第一网络设备接收到第三协议报文后的持续时间或第一网络设备对第三协议报文的可信评分。之后,第一网络设备又删除了第三协议报文和/或根据第三协议报文生成的路由,但可信集合中可以仍保存第三标识集合和第三可信度。
在一个示例中,当第一网络设备确定可信集合中包括的第三标识集合与第二标识集合相同,那么第一网络设备即可确定第二协议报文可信。其中,第三标识集合包括至少一个标识,第三标识集合用于指示与其对应的第三协议报文的特征和/或生成第三协议报文的网络设备,第三标识集合的具体描述请参见步骤S102中关于标识集合的描述。
在另一个示例中,在第一网络设备确定可信集合中保存的第三标识集合与第二标识集合相同的情况下,第一网络设备还可以进一步根据与第三标识集合对应的第三可信度是否符合判别条件确定第二协议报文是否可信。当第三可信度符合判别条件时,第一网络设备确定第二协议报文可信。其中,判别条件包括以下至少一个:
(1)第一预设可信度。第一网络设备将第三可信度与第一预设可信度进行比较,若第三可信度大于或者等于第一预设可信度,则第一网络设备确定第二协议报文可信。其中,第一预设可信度包括:预设时间、预设持续时间或预设可信评分。
例如,第一网络设备将第一网络设备接收第三协议报文的时间与预设时间进行比较,若第一网络设备接收第三协议报文的时间小于或者等于预设时间,则第一网络设备确定第二协议报文可信。
又例如,第一网络设备将第一网络设备接收到第三协议报文后的持续时间与预设持续时间进行比较,若第一网络设备接收到第三协议报文后的持续时间大于或者等于预设持续时间,则第一网络设备确定第二协议报文可信。
又例如,第一网络设备将第一网络设备对第三协议报文的可信评分与预设可信评分进行比较,若第一网络设备对第三协议报文的可信评分大于或者等于预设可信评分,则第一网络设备确定第二协议报文可信。
(2)第一预设时长。第一网络设备根据第一网络设备接收到第三协议报文的时间。然后,第一网络设备计算接收到第二协议报文的时间与第一网络设备接收到第三协议报文的时间的差值,将差值与第一预设时长进行比较。若差值大于第一预设时长,则第一网络设备确定第三协议报文可信;若差值小于第一预设时长,则第一网络设备确定第三协议报文不可信。
需要说明的,上述第一预设可信度(包括预设时间、预设持续时间以及预设可信评分)和第一预设时长可以是人工配置的,也可以是第一网络设备根据可信集合中的可信度计算得到的动态基线值。例如,第一网络设备取可信集合中的可信度的平均值、中位数或者众数等等,此处不作具体限定。
示例二:第一网络设备根据发送第二协议报文的第三网络设备,确定第二协议报文可信。
具体实现中,当第一网络设备从目标端口接收到第二协议报文时,第一网络设备获得将第二协议报文转发给第一网络设备的设备的地址信息,从而确定将第二协议报文转发给第一网络设备的设备为第三网络设备,那么第一网络设备确定第二协议报文可信。或,第一网络设备根据第二协议报文获得第二标识集合,然后根据第二标识集合确定第二协议报文为第三网络设备生成的,从而确定第三协议报文可信。
在本申请具体的实施例中,在第一网络设备根据第三网络设备确定第二协议报文可信之前,第一网络设备获得配置,该配置用于指示第三网络设备发送的协议报文可信。
在一个示例中,第一网络设备可以这样确定第三网络设备发送的协议报文可信:在第一网络设备接收第二协议报文之前,第一网络设备接收第三网络设备发送的第四协议报文,并保存第四协议报文或根据第四协议报文更新路由表。第二预设时长之后,若第一网络设备中还保存有第四协议报文或根据第四协议报文生成的路由,则第一网络设备在本地配置的可信网络设备集合中添加第三网络设备,那么第一网络设备确定第三网络设备后续发送的协议报文均可信。其中,与上述第一预设时长类似的,第二预设时长可以是人工配置的,也可以是第一网络设备根据第一网络设备接收协议报文后的持续时间计算得到的动态基线值,此处不作具体限定。
在另一个示例中,第一网络设备可以这样确定第三网络设备发送的协议报文可信:在第一网络设备上配置可信网络设备集合,可信网络设备集合包括第三网络设备,那么第一网络设备确定第三网络设备发送的所有协议报文均可信。
此处,第三网络设备发送的协议报文(包括第二协议报文、第四协议报文)可以是由第三网络设备生成的,或是由其他网络设备生成,经由第三网络设备转发的。
下面结合步骤步骤21-步骤23对前述步骤S105进行详细地解释说明。
步骤21、响应于第二协议报文可信,第一网络设备删除第一协议报文或第一路由。
在本申请具体的实施例中,第一可信度可以是可信集合中的最小可信度,也可以是可信集合中小于第二预设可信度的任一个可信度,其中,第二预设可信度小于或者等于第一可信度。
若第一可信度是可信集合中的最小可信度,则第一网络设备可以通过如下方式删除第一协议报文或第一路由:第一网络设备通过比较可信集合中包括的所有可信度,得到最小可信度为第一可信度,以及与第一可信度对应的第一标识集合。然后,第一网络设备根据第一标识集合确定与其对应的第一协议报文或第一路由,从而删除第一网络设备中保存的第一协议报文或第一路由。可以看出,通过删除可信集合中的最小可信度对应的协议报文或路由,能够大大提高被删除的协议报文或被删除的路由不可信的准确性,从而有效避免第一网路设备误删除可信协议报文或可信路由。
若第一可信度是可信集合中小于第二预设可信度的任一个可信度,则第一网络设备可以通过如下方式删除第一协议报文或第一路由:第一网络设备分别将可信集合中包括的可信度与第二预设可信度进行比较,得到至少一个小于第二预设可信度的可信度,然后从中任选一个可信度(这里是第一可信度),并在可信集合中查找到与第一可信度对应的第一标识集合。然后,第一网络设备根据第一标识集合确定与其对应的第一协议报文或第一路由,从而删除第一网络设备中保存的第一协议报文或第一路由。
在本申请具体的实施例中,第二预设可信度小于或者等于上述示例一中的第一预设可信度,并且,与第一预设可信度类似的,第二预设可信度可以是人工配置的,也可以是第一网络设备根据可信集合中的可信度计算得到的动态基线值等等,此处不作具体限定。
步骤22、第一网络设备保存第二协议报文,或根据第二协议报文更新路由表。
步骤23、第一网络设备将第二标识集合和第二协议报文的可信度保存到可信集合。
在一种可能的实施例中,第一网络设备根据S104中的示例一确定第二协议报文可信,那么第一网络设备将可信集合中与第二标识集合(即第三标识集合)对应的第三可信度作为第二协议报文的可信度,并在可信集合中继续保存第三标识集合和第三可信度。
在另一种可能的实施例中,第一网络设备根据S104中的示例二确定第二协议报文可信,那么第一网络设备将第二标识集合和第二协议报文的可信度保存到可信集合。其中,第二协议报文的可信度包括:第一网络设备接收第二协议报文的时间、第一网络设备接收到第二协议报文后的持续时间、或第一网络设备对第二协议报文的可信评分。
应理解,上述实施例中第一网络设备根据其接收协议报文的时间或接收到协议报文后的持续时间确定协议报文可信度,从而确定协议报文是否可信的原因是:针对被路由攻击的网络域,可信协议报文通常是在网络设备上线时根据自身的链路状态生成的协议报文,而不可信协议报文通常是在网络设备上线之后且突然遭到路由攻击时引入网络域中的协议报文。因此,网络设备接收可信协议报文的接收时间明显小于网络设备接收不可信协议报文的接收时间,可信协议报文在网络设备中的持续时间明显大于不可信协议报文在网络设备中的持续时间。也就是说,网络设备接收可信度高的协议报文的时间小于网络设备接收可信度低的协议报文的时间,可信度高的协议报文在网络设备中的持续时间大于可信度低的协议报文在网络设备中的持续时间。还应理解,上述实施例中可信集合中包括的是非本地生成的协议报文的标识集合及其对应的可信度。这是因为,网络设备默认本地生成的协议报文可信,无需进行可信度的比较。
本申请提出的协议报文处理方法中,第一网络设备至少运行一种网络协议,例如,IS-IS协议、OSPF协议、BGP、路由信息协议(routing information protocol,RIP)、标签发布协议(label distribution protocol,LDP)以及协议无关组播(protocol independentmulticast,PIM)等等,此处不作具体限定。网络设备之间通过交互协议报文来传递网络协议,不同的网络协议需要通过不同的协议报文进行传递。例如,当第一网络设备运行IS-IS协议时,协议报文为LSP,协议报文对应的标识集合包括LSP ID,具体请参见后文中的步骤31-步骤35和步骤41-步骤44;当第一网络设备运行OSPF协议时,协议报文为LSA,协议报文对应的标识集合包括LS ID、LSA的类型以及生成LSA的网络设备的标识,具体请参见后文中的步骤51-步骤55和步骤61-步骤64;当第一网络设备运行BGP时,协议报文为update报文,协议报文对应的标识集合包括路由前缀和邻居标识,具体请参见后文中的步骤71-步骤75和步骤81-步骤84。
上述方法中,第一网络设备通过将协议报文携带的标识集合和协议报文的可信度存储到可信集合,使得第一网络设备在接收到协议报文且内存超限(第一数量大于等于第一阈值)的情况下,能够根据协议报文携带的标识集合和可信集合确定协议报文是否可信,从而对协议报文进行不同的处理。可以看出,利用上述方法不仅能够避免第一网络设备因内存超限而导致的故障,还能够使得第一网络设备在海量协议报文的攻击下,学习协议报文,从而减少或者避免路由攻击对正常业务的影响。
下面结合图1中的场景,对图2所示的协议报文处理的方法进行举例说明。
(1)图1示出的网络域为IS-IS网络域:网络域中的网络设备都运行IS-IS协议。
如图3所示,图3示出了一种可能的被海量LSP攻击的网络设备R3学习协议报文的过程。具体步骤如下,
步骤31,网络设备R3接收LSP1,LSP2,…,LSPm,并将LSP1,LSP2,…,LSPm保存到本地LSDB。其中,网络设备R3的LSDB中至多能保存m个非本地生成的LSP,m是正整数。
步骤32,网络设备R3将LSP1 ID,LSP2 ID,...,LSPm ID和时间t1,t2,…,tm关联保存到可信集合。
其中,LSP1携带了LSP1 ID,LSP2携带了LSP2 ID,…,LSPm携带了LSPm ID。LSP1 ID,LSP2 ID…,LSPm ID分别用于标识LSP1,LSP2,…,LSPm。网络设备R3在时间t1接收LSP1,网络设备R3在时间t2接收LSP2,…,网络设备R3在时间tm接收LSPm。可信集合的具体形式可参见表1。
表1.可信集合
标识集合 可信度
LSP<sub>1</sub>ID t<sub>1</sub>
LSP<sub>2</sub>ID t<sub>2</sub>
LSP<sub>m</sub>ID t<sub>m</sub>
应理解,表1示出的可信集合仅仅作为一种举例,在实际应用中,可信集合还可以包括更多信息,例如,LSP的序列号信息、LSP的校验和信息,可信度可为网络设备R3获得LSP之后的持续时间或网络设备R3对LSP的可信评分等等,此处不作具体限定。
步骤33,在网络设备R5向网络设备R3发布删除LSPi消息的情况下,网络设备R3删除本地LSDB中保存的LSPi,然后将LSPm+1保存到本地LSDB。
如上所述,网络设备R3在时间ti接收到网络设备R5发送的LSPi,LSPi携带了LSPiID,LSPi ID用于标识LSPi,1≤i≤m且i是正整数。在本步骤中网络设备R3在时间tm+1接收LSPm+1,LSPm+1携带了LSPm+1ID,LSPm+1ID用于标识LSPm+1,tm+1>tm
具体的,当网络设备R5删除LSPi时,网络设备R5向网络设备R3发送LSPi′。其中,LSPi′携带了LSPi ID,LSPi′携带的链路状态信息为空。当网络设备R3接收到LSPi′时,网络设备R3根据LSPi ID查找到本地LSDB中保存的LSPi,然后根据LSPi′携带的链路状态信息将LSPi对应的链路状态信息修改为空,从而删除本地LSDB中保存的LSPi。在网络设备R3将LSPi从本地LSDB中删除后,网络设备R3获得LSPm+1,此时网络设备R3的LSDB中具有存储空间以保存LSPm+1,并在可信集合中关联保存LSPm+1ID和时间tm+1。因此,当网络设备R3删除LSPi,保存LSPm+1之后,网络设备R3的LSDB中仍保存有m个LSP,即LSP1,LSP2,…,LSPi-1,LSPi+1,…,LSPm,LSPm+1,可信集合中保存了m+1个LSP的标识集合和m+1个时间,即LSP1 ID,LSP2 ID,…,LSPmID,LSPm+1ID和时间t1,t2,…,tm,tm+1
步骤34,网络设备R3接收网络设备R5发送的LSPn
其中,网络设备R3在时间tn接收到LSPn,LSPn携带了LSPi ID,n>m+1,tn>tm+1且n是正整数。
步骤35,网络设备R3删除本地LSDB中保存的LSPk以保存LSPn,并在可信集合中继续保存LSPi ID和时间ti
其中,网络设备R3在时间tk接收LSPk,LSPk携带了LSPk ID,LSPk ID用于标识LSPk,i<k≤m+1且k是正整数。这里,ti<tk,因此LSPk的可信度小于LSPi的可信度。例如,LSPk为可信集合中最大时间对应的协议报文。
如图4所示,图4示出了另一种可能的被海量LSP攻击的网络设备R3学习协议报文的过程。在本方案中,网络设备R3认为网络设备R5发送的协议报文可信。具体步骤如下,
步骤41,网络设备R3在时间ti接收网络设备R5发送的LSPi,并将LSPi保存到本地LSDB,将LSPi ID和时间ti关联保存到可信集合。
其中,网络设备R3的LSDB中至多能保存m个非本地生成的LSP,m是正整数,LSPi携带了LSPi ID,LSPi ID用于标识LSPi,1≤i≤m且i是正整数。
步骤42,一段时间(第二预设时长)后,网络设备R3确定本地LSDB中仍保存有LSPi,网络设备R3确定网络设备R5为可信网络设备。
步骤43,之后,网络设备R2遭到路由攻击,网络设备R2向网络设备R3持续发送海量LSP,使得网络设备R3的LSDB中保存的LSP数量达到m个。此时网络设备R3的LSDB中保存了LSP1,LSP2,…,LSPm。可信集合中保存了LSP1 ID,LSP2 ID,…,LSPm ID和时间t1,t2,…,tm
其中,LSP1携带了LSP1 ID,LSP2携带了LSP2 ID,…,LSPm携带了LSPm ID。LSP1 ID,LSP2 ID…,LSPm ID分别用于标识LSP1,LSP2,…,LSPm。网络设备R3在时间t1接收LSP1,网络设备R3在时间t2接收LSP2,…,网络设备R3在时间tm接收LSPm
步骤44,网络设备R3在时间tn接收到网络设备R5发送的LSPn
其中,网络设备R3在时间tn接收到LSPn,LSPn携带了LSPn ID,n>m+1,tn>tm+1且n是正整数。
步骤45,网络设备R3删除本地LSDB中保存的LSPk以保存LSPn,并将LSPn ID和时间tn保存到可信集合。
其中,网络设备R3在时间tk接收LSPk,LSPk携带了LSPkID,LSPkID用于标识LSPk,i<k≤m+1且k是正整数。这里,ti<tk,因此LSPk的可信度小于LSPi的可信度。例如,LSPk为可信集合中最大时间对应的协议报文。
在本方案中,网络设备R3可以是因为接收过网络设备R5发送的协议报文,后认为网络设备R5发送的协议报文都可信,如上步骤所述。也可以是网络设备R3被配置为认为网络设备R5发送的协议报文都可信。
(2)图1示出的网络域为OSPF网络域:网络域中的网络设备都运行OSPF协议。
如图5所示,图5示出了一种可能的被海量LSA攻击的网络设备R3学习协议报文的过程。具体步骤如下:
步骤51,网络设备R3接收LSA1,LSA2,…,LSAm,并将LSA1,LSA2,…,LSAm保存到本地LSDB。其中,网络设备R3的LSDB中至多能保存m个非本地生成的LSA,m是正整数。
步骤52,网络设备R3将标识集合1,标识集合2,…,标识集合m和时间t1,t2,…,tm关联保存到可信集合。
其中,LSA1携带了标识集合1,标识集合1包括LS1 ID、LSA1的类型T1以及生成LSA1的网络设备的标识A1;LSA2携带了标识集合2,标识集合2包括LS2 ID、LSA2的类型T2以及生成LSA2的网络设备的标识A2;…;LSAm携带了标识集合m,标识集合m包括LSmID、LSAm的类型Tm以及生成LSAm的网络设备的标识Am。网络设备R3能够根据标识集合1,标识集合2,…,标识集合m分别确定出LSA1,LSA2,…,LSAm和生成LSA1,LSA2,…,LSAm的网络设备。网络设备R3在时间t1接收LSA1,网络设备R3在时间t2接收LSA2,…,网络设备R3在时间tm接收LSAm。可信集合的具体形式可参见表2。
表2.可信集合
Figure BDA0002490750060000151
应理解,表2示出的可信集合仅仅作为一种举例。在实际应用中,可信集合还可以包括更多信息,例如,LSA的序列号信息、LSA的校验和信息,可信度可为网络设备R3获得LSA之后的持续时间或网络设备R3对LSA的可信评分等等。
步骤53,在网络设备R5向网络设备R3发布删除LSAi消息的情况下,网络设备R3删除本地LSDB中保存的LSAi,然后将LSAm+1保存到本地LSDB。
如上所述,网络设备R3在时间ti接收到网络设备R5发送的LSAi,LSAi携带了标识集合i,标识集合i包括LSi ID、LSAi的类型Ti以及生成LSAi的网络设备的标识Ai,标识集合i用于标识LSAi,1≤i≤m且i是正整数。在本步骤中网络设备R3在时间tm+1获得LSAm+1,LSAm+1携带了标识集合m+1,标识集合m+1包括LSm+1ID、LSAm+1的类型Tm+1以及生成LSAm+1的网络设备的标识Am+1,标识集合m+1用于标识LSAm+1,tm+1>tm
具体的,当网络设备R5删除LSAi时,网络设备R5向网络设备R3发送LSAi′。其中,LSAi′携带了标识i,LSAi′用于通告网络设备R5删除LSAi。当网络设备R3接收到LSAi′时,网络设备根据LSAi′携带的标识集合i查找到本地LSDB中保存的LSAi,从而删除本地LSDB中保存的LSAi。在网络设备R3将LSAi从本地LSDB中删除之后,网络设备R3获得LSAm+1,此时网络设备R3的LSDB中具有存储空间以保存LSA m+1,并在可信集合中关联保存标识集合m+1和时间tm+1。因此,当网络设备R3删除LSAi,保存LSAm+1之后,网络设备R3的LSDB中保存有m个LSA,即LSA1,LSA2,…,LSAi-1,LSAi+1,…,LSAm,LSA m+1,可信集合中保存了m+1个标识集合和m+1个时间,即标识集合1,标识集合2,…,标识集合m,标识集合m+1和时间t1,t2,…,tm,tm+1
步骤54,网络设备R3接收网络设备R5发送的LSAn
其中,网络设备R3在时间tn接收到LSAn,LSPn携带了标识集合i,标识集合i包括LSiID、类型Ti以及生成LSAi的网络设备的标识Ai,n是正整数,n>m+1,tn>tm+1且n是正整数。
步骤55,网络设备R3删除本地LSDB中保存的LSAk以保存LSAn,并在可信集合中继续保存标识集合i和时间ti
其中,网络设备R3在时间tk获得LSAk,LSAk携带了标识集合k,标识集合k包括LSkID、类型Tk以及生成LSAk的网络设备的标识Ak,i<k≤m+1,且k是正整数。这里,ti<tk,因此LSPk的可信度小于LSPi的可信度。例如,LSPk为可信集合中最大时间对应的协议报文。
如图6所示,图6示出了另一种可能的被海量LSA攻击的网络设备R3学习协议报文的过程。在本方案中,网络设备R3认为网络设备R5发送的协议报文可信。具体步骤如下:
步骤61,网络设备R3接收在时间ti接收网络设备R5发送的LSAi,并将LSAi保存到本地LSDB,将标识集合i和时间ti关联保存到可信集合。
其中,网络设备R3的LSDB中至多能保存m个非本地生成的LSA,m是正整数,LSAi携带了标识集合i,标识集合i包括LSi ID、类型Ti以及生成LSAi的网络设备的标识Ai,1≤i≤m且i是正整数。
步骤62,一段时间(第二预设时长)后,网络设备R3确定本地LSDB中仍保存有LSAi,网络设备R3确定网络设备R5为可信网络设备。
步骤63,之后,网络设备R2遭到路由攻击,网络设备R2向网络设备R3持续发送海量LSA,使得网络设备R3的LSDB中保存的LSA数量达到m个。此时网络设备R3的LSDB中保存了LSA1,LSA2,…,LSAm。可信集合中保存了标识集合1,标识集合2,…,标识集合m和时间t1,t2,…,tm。其中,标识集合1,标识集合2,…,标识集合m和时间t1,t2,…,tm的具体定义请参见步骤52。
步骤64,网络设备R3在时间tn接收到网络设备R5发送的LSAn
其中,网络设备R3在时间tn接收到LSAn,LSPn携带了标识集合n,标识集合n包括LSnID、类型Tn以及生成LSAn的网络设备的标识An,n是正整数,n>m+1,tn>tm+1且n是正整数。
步骤65,网络设备R3删除本地LSDB中保存的LSAk以保存LSAn,并将LSAn ID和时间tn保存到可信集合。其中,LSAk的详细介绍具体请参见步骤55。
在本方案中,网络设备R3可以是因为接收过网络设备R5发送的协议报文,后认为网络设备R5发送的协议报文都可信,如上步骤所述。也可以是网络设备R3被配置为认为网络设备R5发送的协议报文都可信。
(3)图1示出的网络域为BGP网络域,网络域中的网络设备都运行BGP。
如图7所示,图7示出了一种可能的被海量update报文攻击的网络设备R3学习协议报文的过程。具体步骤如下:
步骤71,网络设备R3接收update1,update2,…,updatem,并根据update1,update2,…,updatem获得路由1,路由2,…,路由l,然后将路由1,路由2,…,路由l保存到本地转发表。
其中,网络设备R3的本地转发表中至多能保存l条非本地生成的路由,l和m是正整数。update1包括l-m+1条路由,update2,update3…,updatem均包括1条路由。也就是说,update1包括路由1,路由2,...,路由l-m+1,update2包括路由l-m+2,...,updatem包括路由l。
具体的,网络设备R3获得update1之后,将其根据update1生成的路由1,路由2,…路由l-m+1保存到本地转发表;网络设备R3获得update2之后,将其根据update2生成的路由l-m+2保存到本地转发表;…;网络设备R3获得updatem之后,将其根据updatem生成的路由l保存到本地转发表。
步骤72,网络设备R3分别将标识集合1和时间t1,标识集合2和时间t1,…标识集合l-m+1和时间t1,标识集合l-m+2和时间t2,…,标识集合l和时间tm关联保存到可信集合。
其中,路由1包括标识集合1,标识集合1包括路由前缀1和邻居标识1;路由2包括标识集合2,标识集合2包括路由前缀2和邻近标识2;…;路由l-m+1包括标识集合l-m+1,标识集合l-m+1包括路由前缀l-m+1和邻居标识l-m+1;路由l-m+2包括标识集合l-m+2,标识集合l-m+2包括路由前缀l-m+2和邻居标识l-m+2;…;标识集合l包括路由前缀l和邻居标识l。上述路由前缀为与其对应的路由中的目的IP地址,上述邻居标识为与其对应的路由中的下一跳地址。网络设备R3在时间t1接收update1,并得到路由1,路由2,...,路由l-m+1;网络设备R3在时间t2接收update2,并得到路由l-m+2;...;网络设备R3在时间tm接收updatem,并得到路由l。可信集合的具体形式可参见表3。
表3.可信集合
Figure BDA0002490750060000171
应理解,表3示出的可信集合仅仅作为一种举例,在实际应用中,可信集合还可以包括更多信息,例如,可信度可为网络设备R3获得路由之后的持续时间、网络设备R3对路由的可信评分等等,此处不作具体限定。
步骤73,在网络设备R5发布删除路由i消息的情况下,网络设备R3删除转发表中保存的路由i,然后将路由l+1保存到本地转发表。
如上所述,网络设备R3在时间ti接收网络设备R5发送的updatei,并根据updatei得到路由i。路由i包括标识集合i,标识集合i具体可以包括路由前缀i和邻居标识i,路由前缀i为路由i中的目的IP地址,邻居标识i为路由i中的下一跳地址,1≤i≤l且i是正整数。在本步骤中网络设备R3在时间tm+1获得updatem+1,updatem+1包括路由l+1,路由l+1携带了标识集合l+1,标识集合l+1包括路由前缀l+1和邻居标识l+1,路由前缀l+1为路由l+1中的目的IP地址,邻居标识l+1为路由l+1中的下一跳地址,tm+1>tm
具体的,当网络设备R5删除路由i时,网络设备R5向网络设备R3发送updatei′。其中,updatei′携带了标识集合i,updatei′用于通告网络设备R5删除路由i。当网络设备R3接收到updatei′时,网络设备根据updatei′携带的标识集合i删除本地转发表中保存的路由i。在网络设备R3将路由i从本地转发表中删除后,网络设备R3获得updatem+1,此时网络设备R3的转发表中具有存储空间保存网络设备根据updatem+1生成的路由l+1,并在可信集合中关联保存标识集合l+1和时间tm+1。因此,当网络设备R3删除路由i,保存路由l+1之后,网络设备R3的转发表中仍保存有l个路由,即路由1,路由2,…路由i-1,路由i+1,…,路由l,路由l+1,可信集合中关联保存了标识集合1和时间t1,标识集合2和时间t1,...,标识集合l-m+1和时间t1,标识集合l-m+2和时间t2,...,标识集合l和时间tm,标识集合l+1和时间tm+1
步骤74,网络设备R3接收网络设备R5发送的updaten
其中,网络设备在时间tn获得updaten,updaten包括路由i,路由i包括标识集合i,n是正整数,n>m+1,tn>tm+1且n是正整数。
步骤75,网络设备R3删除本地转发表中的路由k以保存路由n,并在可信集合中继续保存标识集合i和时间ti
其中,网络设备R3在时间tk接收updatek,并根据updatei得到路由k。路由k包括标识集合k,标识集合k包括路由前缀k和邻居标识k,路由前缀k为路由k中的目的IP地址,邻居标识k为路由k中的下一跳地址,i<k≤l+1,且k是正整数。这里,ti<tk,因此路由k的可信度小于路由l的可信度。例如,路由k为可信集合中最大时间对应的路由。
如图8所示,图8示出了另一种可能的被海量update报文攻击的网络设备R3学习协议报文的过程。在本方案中,网络设备R3认为网络设备R5发送的协议报文可信。具体步骤如下:
步骤81,网络设备R1在时间ti接收网络设备R5发送的updatei,并将根据updatei生成的路由i保存到本地转发表,将标识集合i和时间ti保存到可信集合。
其中,网络设备R3的本地转发表中至多能保存l条非本地生成的路由,l是正整数。路由i包括标识集合i,标识集合i具体可以包括路由前缀i和邻居标识i,路由前缀i为路由i中的目的IP地址,邻居标识i为路由i中的下一跳地址,1≤i≤l且i是正整数。
步骤82,一段时间(第二预设时长)后,网络设备R3确定本地转发表中仍保存有路由i,网络设备R3确定网络设备R5为可信网络设备。
步骤83,之后,网络设备R2遭到路由攻击,网络设备R2向网络设备R3持续发送海量update报文,使得网络设备R3的转发表中保存的路由数量达到l个。此时网络设备R3的转发表中保存了路由1,路由2,…,路由l。可信集合中保存标识集合1和时间t1,标识集合2和时间t1,…标识集合l-m+1和时间t1,标识集合l-m+2和时间t2,…,标识集合l和时间tm。其中,路由1,路由2,…,路由l,标识集合1,标识集合2,…,标识集合l和时间t1,t2,…,tm的定义具体请参见步骤71和步骤72。
步骤84,网络设备R3在时间tn接收网络设备R5发送的updaten
步骤84,网络设备R3在时间tn接收网络设备R5发送的updaten
其中,updaten包括路由n,路由n包括标识集合n,标识集合n包括路由前缀n和邻居标识n,路由前缀n为路由n中的目的IP地址,邻居标识n为路由n中的下一跳地址(这里为网络设备R5的IP地址),n>m+1,tn>tm+1且n是正整数。
步骤85,网络设备R3删除本地转发表中保存的路由k以保存路由n,并将标识集合n和时间tn保存到可信集合。其中,路由k的详细介绍具体请参见步骤75。
在本方案中,网络设备R3可以是因为接收过网络设备R5发送的协议报文,后认为网络设备R5发送的协议报文都可信,如上步骤所述。也可以是网络设备R3被配置为认为网络设备R5发送的协议报文都可信。
结合上述方法实施例,下面介绍本申请实施例涉及的相关网络装置。如图9所示,图9示出了本申请提供的一种第一网络设备的结构示意图。第一网络设备包括:接收单元110和处理单元120,其中,
接收单元110用于接收其他网络设备发送的协议报文,例如,S101中第二网络设备发送的第一协议报文、S103中第三网络设备发送的第二协议报文。
处理单元120用于根据第一数量、接收到的协议报文和可信集合对接收到的协议报文进行处理。
在本申请具体的实施例中,第一数量包括第一网络设备中保存的协议报文数量或第一网络设备中保存的路由数量。
在本申请具体的实施例中,可信集合包括至少一个标识集合和至少一个可信度,至少一个标识集合和至少一个可信度存在一一对应的关系。标识集合至少包括一个标识,标识集合用于指示与其对应的协议报文的特征和/或生成与其对应的协议报文的网络设备。可信度包括:第一网络设备接收协议报文的时间、第一网络设备接收到协议报文后的持续时间、或第一网络设备对协议报文的可信评分。可信度用于指示与其对应的协议报文的可信度。
在本申请具体的实施例中,在第一数量小于第一阈值的情况下,处理单元120用于根据第一协议报文获得第一标识集合和第一可信度。处理单元120还用于将第一标识集合和第一可信度保存到可信集合。其中,第一阈值包括第一网络设备中保存的最大协议报文数量或第一网络设备中保存的最大路由数量。第一标识集合用于指示第一协议报文的特征和/或生成第一协议报文的网络设备。第一可信度用于指示第一协议报文的可信度。具体请参见S102。
在本申请具体的实施例中,在第一数量大于等于第一阈值的情况下,处理单元120用于根据第二标识集合和可信集合确定第二协议报文是否可信。处理单元120还用于根据第二协议报文是否可信对第二协议报文进行处理。其中,第二标识集合用于指示第二协议报文的特征和/或生成第二协议报文的网络设备。具体请参见S104。
在本申请具体的实施例中,响应于第二协议报文可信,处理单元120用于保存第二协议报文,或根据第二协议报文更新路由表。响应于第二协议报文不可信,处理单元120用于丢弃第二协议报文。处理单元120具体用于实现S105-S106、步骤21-步骤23中的方法。
在本申请具体的实施例中,响应于第二协议报文可信,处理单元120还用于将第二标识集合和第二协议的可信度保存到可信集合。处理单元120具体用于实现步骤23中的方法。
在一个示例中,处理单元120用于根据可信集合包括第二标识集合确定第二协议报文可信。处理单元120具体用于实现示例一的方法。
在本申请具体的实施例中,处理单元120根据第一可信度低于第二可信度确定第二协议报文可信。其中,第二可信度用于指示第二协议报文的可信度。
在另一个示例中,可信集合不包括第二标识集合,处理单元120根据根据发送第二协议报文的第三网络设备,确定第二协议报文可信。处理单元120具体用于实现示例二的方法。
在本申请具体的实施例中,在处理单元120根据第三网络设备确定第二协议报文可信之前,处理单元120还用于获得配置,其中,该配置用于指示第三网络设备发送的协议报文可信。
在本申请具体的实施例中,在处理单元120保存第二协议报文之前,处理单元120还用于删除第一协议报文。
本申请实施例中的第一网络设备至少运行一种网络协议,例如,IS-IS协议、OSPF协议、BGP、RIP、LDP以及PIM等等,此处不作具体限定。例如,当第一网络设备运行IS-IS协议时,第一网络设备学习协议报文的具体过程请参见步骤31-步骤35和步骤41-步骤44;当第一网络设备运行OSPF协议时,第一网络设备学习协议报文的具体过程请参见步骤51-步骤55和步骤61-步骤64;当第一网络设备运行BGP时,第一网络设备学习协议报文的具体过程请参见步骤71-步骤75和步骤81-步骤84。
为了简便陈述,上述实施例并没有对可信集合、标识集合(例如,第一标识集合、第二标识集合)可信度(例如,第一可信度、第二可信度)进行阐述,具体请参见图2及其实施例,此处不再展开赘述。
上述实施例中的第一网络设备通过将协议报文的标识集合和协议报文的可信度存储到可信集合,使得第一网络设备在内存超限(第一数量大于等于第一阈值)且又接收到协议报文的情况下,能够根据协议报文携带的标识集合和可信集合确定协议报文是否可信,从而对协议报文进行不同的处理。可以看出,在海量协议报文的攻击下,第一网络设备的内存不会超限,也不会因内存超限而出现故障,并且还能够学习协议报文,从而减少或者避免海量攻击报文对正常业务的影响。
本申请实施例的第一网络设备在处理协议报文时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将第一网络设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的第一网络设备与上述方法实施例属于同一构思,其具体实现过程详见上述方法实施例,这里不再赘述。
请参见图10,图10是本申请提供的另一种第一网络设备的结构示意图,第一网络设备包括处理器210、通信接口220和存储器230。其中,处理器210、通信接口220以及存储器230通过总线240进行耦合。
处理器210可以是中央处理器(central processing unit,CPU),通用处理器、数字信号处理器(digital signal processor,DSP)、专用集成电路(application specificintegrated circuit,ASIC)、现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件(programmable logic device,PLD)、晶体管逻辑器件、硬件部件或者其任意组合。处理器210可以实现或执行结合本申请公开内容所描述的各种示例性的方法。具体的,处理器210读取存储器230中存储的程序代码,并与通信接口220配合执行S101-S106的部分或者全部步骤。
通信接口220可以为有线接口或无线接口,用于与其他模块或设备进行通信,有线接口可以是以太接口、控制器局域网络接口、局域互联网络(local interconnectnetwork,LIN)以及FlexRay接口,无线接口可以是蜂窝网络接口或使用无线局域网接口等。具体的,通信接口220可以与网络设备250连接,网络设备250可以包括交换机、路由器、客户端等等。
存储器230可以包括易失性存储器,例如随机存取存储器(random accessmemory,RAM);存储器230也可以包括非易失性存储器,例如只读存储器(read onlymemory,ROM)、快闪存储器、硬盘(hard disk drive,HDD)或固态硬盘(solid state drive,SSD),存储器230还可以包括上述种类的存储器的组合。存储器230可以存储有程序代码以及程序数据。其中,程序代码由图9示出的第一网关设备中的部分或者全部单元的代码组成,例如,接收单元110的代码、处理单元120的代码。程序数据由图9示出的第一网关设备在运行程序的过程中产生的数据,例如,可信集合、协议报文以及路由表等等。
总线240可以是控制器局域网络(controller area network,CAN)或其他实现内部总线。总线240可以分为地址总线、数据总线、控制总线等。为了便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本申请实施例中的第一网络设备用于执行上述方法实施例中的第一网络设备执行的方法,与上述方法实施例属于同一构思,其具体实现过程详见上述方法实施例,这里不再赘述。
本申请还提供了一种计算机存储介质,计算机存储介质存储有计算机程序,计算机程序被硬件(例如处理器等)执行以实现本申请提供的协议报文处理方法中的部分或全部步骤。
本申请还提供了一种网络系统,网络系统包括第一网络设备,第一网络设备用于执行本申请提供的协议报文处理中的部分或全部步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。上述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行上述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。上述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。上述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,上述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(如,同轴电缆、光纤、数字用户线)或无线(如,红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。上述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。上述可用介质可以是磁性介质,(如,软盘、存储盘、磁带)、光介质(如,DVD)、或者半导体介质(如,SSD)等。在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,也可以通过其它的方式实现。例如以上所描述的装置实施例仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可结合或者可以集成到另一个系统,或一些特征可以忽略或不执行。另一点,所显示或讨论的相互之间的间接耦合或者直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者,也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例的方案的目的。
另外,在本申请各实施例中的各功能单元可集成在一个处理单元中,也可以是各单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质例如可包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或光盘等各种可存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (27)

1.一种协议报文的处理方法,其特征在于,所述方法包括:
第一网络设备接收第一协议报文;
所述第一网络设备根据第一数量、所述第一协议报文和可信集合对所述第一协议报文进行处理,所述第一数量包括所述第一网络设备中保存的协议报文数量或所述第一网络设备中保存的路由数量。
2.根据权利要求1所述的方法,其特征在于,
所述可信集合包括:至少一个标识集合和至少一个可信度,其中,所述至少一个标识集合和所述至少一个可信度存在一一对应的关系;
在所述第一网络设备接收第一协议报文之前,所述方法还包括:
所述第一网络设备接收第二网络设备发送的所述第二协议报文,
所述至少一个标识集合包括第一标识集合,所述至少一个可信度包括第一可信度,所述第一标识集合与所述第一可信度对应,所述第一标识集合包括第一标识,所述第一标识集合用于指示与其对应的第二协议报文的特征和/或生成所述第二协议报文的网络设备,所述第一可信度用于指示所述第一标识对应的所述第二协议报文的可信度。
3.根据权利要求2所述的方法,其特征在于,当所述第一标识用于指示所述第二协议报文对应的路由时,所述第一标识集合还包括第二标识,所述第二标识用于指示生成所述第二协议报文的网络设备。
4.根据权利要求2所述的方法,其特征在于,当所述第一标识用于指示所述第二协议报文对应的链路时,所述第一标识集合还包括第二标识和第三标识,所述第二标识用于指示所述第二协议报文的类型,所述第三标识用于指示生成所述第二协议报文的网络设备。
5.根据权利要求2-4任一项所述的方法,其特征在于,所述第一可信度包括:所述第一网络设备接收所述第二协议报文的时间、所述第一网络设备接收到所述第二协议报文后的持续时间、或所述第一网络设备对所述第二协议报文的可信评分。
6.根据权利要求2-5任一项所述的方法,其特征在于,所述第一数量大于等于第一阈值,所述第一网络设备根据第一数量、所述第一协议报文和可信集合对所述第一协议报文进行处理,包括:
所述第一网络设备根据所述第一协议报文获得第二标识集合;
所述第一网络设备根据所述第二标识集合和所述可信集合,确定所述第一协议报文是否可信;
所述第一网络设备根据所述确定所述第一协议报文是否可信对所述第一协议报文进行不同处理。
7.根据权利要求6所述的方法,其特征在于,所述第一网络设备根据所述确定所述第一协议报文是否可信对所述第一协议报文进行不同处理,包括:
响应于所述第一协议报文可信,所述第一网络设备对所述第一协议报文进行处理,包括:
所述第一网络设备保存所述第一协议报文;或者,
所述第一网络设备根据所述第一协议报文更新路由表;
响应于所述第一协议报文不可信,所述第一网络设备对所述第一协议报文进行处理,包括:
所述第一网络设备丢弃所述第一协议报文。
8.根据权利要求6所述的方法,其特征在于,所述第一网络设备根据所述第二标识集合和所述可信集合,确定所述第一协议报文是否可信,包括:
所述第一网络设备根据所述可信集合包括所述第二标识集合确定所述第一协议报文可信;或
所述可信集合不包括所述第二标识集合,所述第一网络设备根据发送所述第一协议报文的第三网络设备,确定所述第一协议报文可信。
9.根据权利要求8所述的方法,其特征在于,所述可信集合包括第二可信度,所述第二标识集合对应所述第二可信度,所述第一网络设备根据所述可信集合包括所述第二标识集合确定所述第一协议报文可信,包括:
所述第一网络设备根据所述第一可信度低于所述第二可信度确定所述第一协议报文可信。
10.根据权利要求8所述的方法,其特征在于,在所述第一网络设备根据所述第三网络设备,确定所述第一协议报文可信之前,所述方法还包括:
所述第一网络设备获得配置,所述配置用于指示所述第三网络设备发送的协议报文可信。
11.根据权利要求7-10任一项所述的方法,其特征在于,在所述第一网络设备保存所述第一协议报文之前,所述方法还包括:
所述第一网络设备删除所述第二协议报文。
12.根据权利要求1-5任一项所述的方法,其特征在于,所述第一数量小于所述第一阈值,所述第一网络设备根据第一数量、所述第一协议报文和可信集合对所述第一协议报文进行处理,包括:
所述第一网络设备根据所述第一协议报文获得第二标识集合和第二可信度;
所述第一网络设备将所述第二标识集合和第二可信度保存到所述可信集合。
13.一种第一网络设备,其特征在于,包括接收单元和处理单元,
所述接收单元用于接收第一协议报文;
所述处理单元用于根据第一数量、所述第一协议报文和可信集合对所述第一协议报文进行处理,所述第一数量包括所述第一网络设备中保存的协议报文数量或所述第一网络设备中保存的路由数量。
14.根据权利要求13所述的设备,其特征在于,
所述可信集合包括:至少一个标识集合和至少一个可信度,其中,所述至少一个标识集合和所述至少一个可信度存在一一对应的关系;
在所述接收单元接收第一协议报文之前,所述接收单元还用于接收第二网络设备发送的第二协议报文,
所述至少一个标识集合包括第一标识集合,所述至少一个可信度包括第一可信度,所述第一标识集合与所述第一可信度对应,所述第一标识集合包括第一标识,所述第一标识集合用于指示与其对应的第二协议报文的特征和/或生成所述第二协议报文的网络设备,所述第一可信度用于指示所述第一标识对应的所述第二协议报文的可信度。
15.根据权利要求14所述的设备,其特征在于,当所述第一标识用于指示所述第二协议报文对应的路由时,所述第一标识集合还包括第二标识,所述第二标识用于指示生成所述第二协议报文的网络设备。
16.根据权利要求14所述的设备,其特征在于,当所述第一标识用于指示所述第二协议报文对应的链路时,所述第一标识集合还包括第二标识和第三标识,所述第二标识用于指示所述第二协议报文的类型,所述第三标识用于指示生成所述第二协议报文的网络设备。
17.根据权利要求14-16所述的设备,其特征在于,所述第一可信度包括:所述第一接收单元接收所述第二协议报文的时间、所述接收单元接收到所述第二协议报文后的持续时间、或所述第一网络设备对所述第二协议报文的可信评分。
18.根据权利要求14-17任一项所述的设备,其特征在于,所述第一数量大于等于第一阈值,
所述处理单元用于根据所述第一协议报文获得第二标识集合;
所述处理单元用于根据所述第二标识集合和所述可信集合,确定所述第一协议报文是否可信;
所述处理单元用于根据所述确定所述第一协议报文是否可信对所述第一协议报文进行不同处理。
19.根据权利要求17所述的设备,其特征在于,
响应于所述第一协议报文可信,所述处理单元用于保存所述第一协议报文;或所述处理单元用于根据所述第一协议报文更新路由表;
响应于所述第一协议报文不可信,所述处理单元用于丢弃所述第一协议报文。
20.根据权利要求17所述的设备,其特征在于,
所述处理单元用于根据所述可信集合包括所述第二标识集合确定所述第一协议报文可信;或
所述可信集合不包括所述第二标识集合,所述处理单元用于根据发送所述第一协议报文的第三网络设备,确定所述第一协议报文可信。
21.根据权利要求20所述的设备,其特征在于,所述可信集合包括第二可信度,所述第二标识集合对应所述第二可信度,所述处理单元用于根据所述第一可信度低于所述第二可信度确定所述第一协议报文可信。
22.根据权利要求20所述的设备,其特征在于,在所述处理单元根据所述第三网络设备,确定所述第一协议报文可信之前,
所述处理单元还用于获得配置,所述配置用于指示所述第三网络设备发送的协议报文可信。
23.根据权利要求19-22任一项所述的设备,其特征在于,在所述第一网络设备保存所述第一协议报文之前,所述处理单元还用于删除所述第二协议报文。
24.根据权利要求12至15任一项所述的设备,其特征在于,所述第一数量小于第一第一阈值,
所述处理单元用于根据所述第一协议报文获得第二标识集合和第二可信度;
所述处理单元用于将所述第二标识集合和所述第二可信度保存到所述可信集合。
25.一种第一网络设备,其特征在于,所述第一网络设备包括处理器和存储器,所述处理器执行所述存储器中的代码以实现权利要求1至12任一项所述的方法。
26.一种计算机存储介质,其特征在于,存储有计算机指令,所述计算机指令用于实现权利要求1至12任一项所述的方法。
27.一种网络系统,其特征在于,包括第一网络设备,所述第一网络设备用于执行权利要求1至12任一项所述的方法。
CN202010404456.XA 2020-05-13 2020-05-13 一种协议报文的处理方法、网络设备及计算机存储介质 Active CN113676402B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN202211665048.5A CN116155797A (zh) 2020-05-13 2020-05-13 一种协议报文的处理方法、网络设备及计算机存储介质
CN202010404456.XA CN113676402B (zh) 2020-05-13 2020-05-13 一种协议报文的处理方法、网络设备及计算机存储介质
PCT/CN2021/082831 WO2021227674A1 (zh) 2020-05-13 2021-03-24 一种协议报文的处理方法、网络设备及计算机存储介质
EP21803258.9A EP4138346A4 (en) 2020-05-13 2021-03-24 PROCESSING METHOD FOR PROTOCOL MESSAGE, NETWORK DEVICE AND COMPUTER STORAGE MEDIUM
US17/985,614 US20230079949A1 (en) 2020-05-13 2022-11-11 Protocol Packet Processing Method, Network Device, and Computer Storage Medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010404456.XA CN113676402B (zh) 2020-05-13 2020-05-13 一种协议报文的处理方法、网络设备及计算机存储介质

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202211665048.5A Division CN116155797A (zh) 2020-05-13 2020-05-13 一种协议报文的处理方法、网络设备及计算机存储介质

Publications (2)

Publication Number Publication Date
CN113676402A true CN113676402A (zh) 2021-11-19
CN113676402B CN113676402B (zh) 2022-12-27

Family

ID=78526406

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202211665048.5A Pending CN116155797A (zh) 2020-05-13 2020-05-13 一种协议报文的处理方法、网络设备及计算机存储介质
CN202010404456.XA Active CN113676402B (zh) 2020-05-13 2020-05-13 一种协议报文的处理方法、网络设备及计算机存储介质

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN202211665048.5A Pending CN116155797A (zh) 2020-05-13 2020-05-13 一种协议报文的处理方法、网络设备及计算机存储介质

Country Status (4)

Country Link
US (1) US20230079949A1 (zh)
EP (1) EP4138346A4 (zh)
CN (2) CN116155797A (zh)
WO (1) WO2021227674A1 (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101616129A (zh) * 2008-06-27 2009-12-30 成都市华为赛门铁克科技有限公司 防网络攻击流量过载保护的方法、装置和系统
CN104113548A (zh) * 2014-07-24 2014-10-22 杭州华三通信技术有限公司 一种认证报文处理方法及装置
WO2015002583A1 (en) * 2013-07-02 2015-01-08 Telefonaktiebolaget L M Ericsson (Publ) Methods, nodes and computer programs for reduction of undesired energy consumption of a server node
CN106685847A (zh) * 2015-11-06 2017-05-17 华为技术有限公司 一种报文处理方法、装置及设备
CN106790299A (zh) * 2017-03-20 2017-05-31 京信通信技术(广州)有限公司 一种在无线接入点ap上应用的无线攻击防御方法和装置
CN108809668A (zh) * 2018-05-29 2018-11-13 新华三技术有限公司 一种认证方法、装置及接入设备
CN109347810A (zh) * 2018-09-27 2019-02-15 新华三技术有限公司 一种处理报文的方法和装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070087198A (ko) * 2004-12-21 2007-08-27 미슬토우 테크놀로지즈, 인코포레이티드 네트워크 인터페이스 및 방화벽 장치
US8943587B2 (en) * 2012-09-13 2015-01-27 Symantec Corporation Systems and methods for performing selective deep packet inspection
CN104702560A (zh) * 2013-12-04 2015-06-10 华为技术有限公司 一种防止报文攻击方法及装置
CN107395632B (zh) * 2017-08-25 2020-09-22 北京神州绿盟信息安全科技股份有限公司 SYN Flood防护方法、装置、清洗设备及介质
CN110324295B (zh) * 2018-03-30 2022-04-12 阿里云计算有限公司 一种域名系统泛洪攻击的防御方法和装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101616129A (zh) * 2008-06-27 2009-12-30 成都市华为赛门铁克科技有限公司 防网络攻击流量过载保护的方法、装置和系统
WO2015002583A1 (en) * 2013-07-02 2015-01-08 Telefonaktiebolaget L M Ericsson (Publ) Methods, nodes and computer programs for reduction of undesired energy consumption of a server node
CN104113548A (zh) * 2014-07-24 2014-10-22 杭州华三通信技术有限公司 一种认证报文处理方法及装置
CN106685847A (zh) * 2015-11-06 2017-05-17 华为技术有限公司 一种报文处理方法、装置及设备
CN106790299A (zh) * 2017-03-20 2017-05-31 京信通信技术(广州)有限公司 一种在无线接入点ap上应用的无线攻击防御方法和装置
CN108809668A (zh) * 2018-05-29 2018-11-13 新华三技术有限公司 一种认证方法、装置及接入设备
CN109347810A (zh) * 2018-09-27 2019-02-15 新华三技术有限公司 一种处理报文的方法和装置

Also Published As

Publication number Publication date
WO2021227674A1 (zh) 2021-11-18
US20230079949A1 (en) 2023-03-16
EP4138346A1 (en) 2023-02-22
CN113676402B (zh) 2022-12-27
CN116155797A (zh) 2023-05-23
EP4138346A4 (en) 2023-10-11

Similar Documents

Publication Publication Date Title
US10541905B2 (en) Automatic optimal route reflector root address assignment to route reflector clients and fast failover in a network environment
US7957306B2 (en) Providing reachability information in a routing domain of an external destination address in a data communications network
US7940776B2 (en) Fast re-routing in distance vector routing protocol networks
US7920566B2 (en) Forwarding data in a data communication network
US20230055501A1 (en) Interior gateway protocol (igp) for segment routing (sr) proxy segment identifiers (sids)
CN110798403B (zh) 通信方法、通信设备和通信系统
US8855113B2 (en) Link state identifier collision handling
CN112702773B (zh) 一种通信方法及装置
US11546252B2 (en) Fast flooding topology protection
CN113785542A (zh) 用于内部网关协议(igp)快速收敛的系统和方法
US20210203695A1 (en) Anti-spoofing attack check method, device, and system
US10708295B1 (en) Network route hijack protection
US8078758B1 (en) Automatic configuration of source address filters within a network device
CN113676402B (zh) 一种协议报文的处理方法、网络设备及计算机存储介质
CN114531270B (zh) 针对分段路由标签探测的防御方法及装置
US11838201B1 (en) Optimized protected segment-list determination for weighted SRLG TI-LFA protection
WO2023235387A1 (en) Intermediate system to intermediate system for source address validation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant