CN114143089B - 报文处理方法、装置、网络设备及计算机可读存储介质 - Google Patents

报文处理方法、装置、网络设备及计算机可读存储介质 Download PDF

Info

Publication number
CN114143089B
CN114143089B CN202111449746.7A CN202111449746A CN114143089B CN 114143089 B CN114143089 B CN 114143089B CN 202111449746 A CN202111449746 A CN 202111449746A CN 114143089 B CN114143089 B CN 114143089B
Authority
CN
China
Prior art keywords
message
processor
routing table
preset
reporting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111449746.7A
Other languages
English (en)
Other versions
CN114143089A (zh
Inventor
孙文婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Maipu Communication Technology Co Ltd
Original Assignee
Maipu Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Maipu Communication Technology Co Ltd filed Critical Maipu Communication Technology Co Ltd
Priority to CN202111449746.7A priority Critical patent/CN114143089B/zh
Publication of CN114143089A publication Critical patent/CN114143089A/zh
Application granted granted Critical
Publication of CN114143089B publication Critical patent/CN114143089B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种报文处理方法、装置、网络设备及计算机可读存储介质,属于网络通信技术领域。该报文处理方法应用于网络设备,所述网络设备包括处理器,所述方法包括:检测预设时间段内上报所述处理器的报文的速率,所述报文的报文头中携带有第一预设标识,所述第一预设标识用于标识该报文为命中路由表的报文;若所述速率超过预设阈值,则丢弃之后的携带有所述第一预设标识的上报所述处理器的报文。该方法无需将报文中的IP字段与ARP表项一一比对,降低了对处理器的性能要求,便可精确识别报文是否为基于路由表上报处理器的报文,从而可以快速对环境中是否存在ARP攻击做出判断。

Description

报文处理方法、装置、网络设备及计算机可读存储介质
技术领域
本申请属于网络通信技术领域,具体涉及一种报文处理方法、装置、网络设备及计算机可读存储介质。
背景技术
地址解析协议(Address Resolution Protocol,ARP)攻击是局域网常见的一种攻击方式。ARP攻击它会持续地向局域网内所有的计算机及网络通信设备发送大量的ARP欺骗数据包,如不及时处理就会造成网络通道阻塞、通讯质量不佳的后果。
ARP攻击包括ARP洪泛攻击、ARP源IP报文攻击、ARP欺骗等类型。其中,ARP源IP报文攻击是指攻击者会向设备发送大量目标IP地址不能被解析的IP报文,广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU负荷过重。
当前已有解决方案如下:CPU收到报文后,检测报文上报CPU携带的原因是否为三层单播路由,若是,则将报文中的IP字段与ARP表项一一比对,判断该报文是通过主机表(IP地址不带掩码的三层表项)还是路由表(IP地址带掩码的三层表项)上报CPU,然后再对通过路由表上报CPU的报文进行统计,当通过路由表上报CPU的这一类报文的上报速率超过阈值后就会丢包,并不再向外发送ARP请求报文。由于通过主机表的报文也会上报CPU,且携带的原因也都是三层单播路由,为了区分上报CPU的报文是通过主机表或路由表上报,此时CPU需要将报文中的IP字段与ARP表项一一比对,这种情况对CPU的性能要求会非常高。
发明内容
鉴于此,本申请的目的在于提供一种报文处理方法、装置、网络设备及计算机可读存储介质,以改善现有防止ARP攻击的解决方法无法快速对环境中是否存在ARP攻击做出判断,以及会占用处理器的大量资源的问题。
本申请的实施例是这样实现的:
第一方面,本申请实施例提供了一种报文处理方法,应用于网络设备,所述网络设备包括处理器,所述方法包括:检测预设时间段内上报所述处理器的报文的速率,所述报文的报文头中携带有第一预设标识,所述第一预设标识用于标识该报文为命中路由表的报文;若所述速率超过预设阈值,则丢弃之后的携带有所述第一预设标识的上报所述处理器的报文。本申请实施例中,通过在报文的报文头中携带用于标识报文为命中路由表的报文的第一预设标识,使得在识别报文是否为基于路由表上报处理器的报文时,只需要去检测报文头中是否携带有第一预设标识即可,便可精确识别报文是否为基于路由表上报处理器的报文,从而可以快速对环境中是否存在ARP攻击做出判断,而无需向现有技术那样需要将报文中的IP字段与ARP表项一一比对,降低了对处理器的性能要求。
结合第一方面实施例的一种可能的实施方式,所述网络设备还包括交换芯片,在所述检测预设时间段内上报所述处理器的报文的速率之前,所述方法还包括:所述交换芯片对命中所述路由表的报文添加报文头;当命中的路由表项中没有指定出端口时,所述交换芯片将添加有报文头的报文上报处理器;当命中的路由表项指定有出端口时,所述交换芯片将添加有报文头的报文从该指定的出端口转发出去,不上报处理器。本申请实施例中,通过对命中路由表的报文添加携带有第一预设标识的报文头,当命中的路由表项中没有指定出端口时,才上报处理器,使得处理器在识别报文是否为基于路由表上报处理器的报文时,只需要去检测报文头中是否携带有第一预设标识即可,便可精确识别报文是否为基于路由表上报处理器的报文。
结合第一方面实施例的一种可能的实施方式,所述路由表中的每一条路由表项均带有第二预设标识,命中所述路由表中路由表项的报文会打上所述第二预设标识,所述第二预设标识用于确定报文是否为命中路由表的报文。本申请实施例中,通过对路由表中的每一条路由表项进行配置,使其带有第二预设标识,使得命中路由表项的报文会在上下文中打上第二预设标识,通过该标记便可快速确定报文是否为命中路由表的报文。
结合第一方面实施例的一种可能的实施方式,所述检测预设时间段内上报处理器的报文的速率,包括:统计所述预设时间段内上报处理器的报文的报文头中携带有第一预设标识的报文的数量;基于所述数量和所述预设时间段,得到所述速率。本申请实施例中,通过对预设时间段内的上报处理器的报文头中携带有第一预设标识的报文的数量进行统计,之后基于数量和预设时间段(速率=数量/预设时间)便能准确得到速率。
第二方面,本申请实施例还提供了一种网络设备,包括:交换芯片和处理器;交换芯片,用于对命中路由表项的报文添加携带有第一预设标识的报文头,所述第一预设标识用于标识该报文为命中路由表的报文,当命中的路由表项中没有指定出端口,将添加有所述报文头的报文上报处理器;所述处理器,用于检测预设时间段内接收到的报文头中携带有第一预设标识的报文的速率,若所述速率超过预设阈值,则丢弃之后的携带有所述第一预设标识的上报所述处理器的报文。
结合第二方面实施例的一种可能的实施方式,所述路由表中的每一条路由表项均带有第二预设标识,命中所述路由表中路由表项的报文会打上所述第二预设标识。
结合第二方面实施例的一种可能的实施方式,所述交换芯片包括:三层转发模块、ACL模块、收包模块;三层转发模块,用于为待转发报文查找三层转发表,所述三层转发表包括路由表或主机表;ACL模块,用于对命中路由表项的报文添加携带有第一预设标识的报文头;收包模块,用于当命中的路由表项中没有指定出端口,将添加有所述报文头的报文上报所述处理器。
结合第二方面实施例的一种可能的实施方式,所述处理器还用于:若上报所述处理器的报文的目标IP地址不能被解析,则广播ARP请求报文以对所述目标IP地址进行解析;若预设时间内所述目标IP地址不能被解析的报文的接收速率超过预设阈值,则停止广播所述ARP请求报文。
第三方面,本申请实施例还提供了一种报文处理装置,包括:检测模块、处理模块;检测模块,用于检测预设时间段内上报处理器的报文,且报文头中携带有第一预设标识的报文的速率,所述第一预设标识用于标识该报文为命中路由表的报文;处理模块,用于若所述速率超过预设阈值,则丢弃之后的携带有所述第一预设标识的上报处理器的报文。
第四方面,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器运行时,执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1示出了本申请实施例提供的一种报文处理方法的流程示意图。
图2示出了本申请实施例提供的一种报文在网路设备的内部模块之间的交互示意图。
图3示出了本申请实施例提供的一种报文处理装置的模块示意图。
图4示出了本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
鉴于当前防止ARP攻击的解决方法中,为了区别上报处理器(如CPU)的报文是通过主机表(IP地址不带掩码的三层表项)或路由表(IP地址带掩码的三层表项)上报,处理器需要将报文中的IP字段与ARP表项一一比对,这种情况对处理器的性能要求会非常高。本申请实施例提供的一种报文处理方法,无需将报文中的IP字段与ARP表项一一比对,便可精确识别报文是否为基于路由表上报处理器的报文,从而可以快速对环境中是否存在ARP攻击做出判断。下面将结合图1,对本申请实施例提供的报文处理方法进行说明。
S1:检测预设时间段内上报所述处理器的报文的速率,所述报文的报文头中携带有第一预设标识,所述第一预设标识用于标识该报文为命中路由表的报文。
网络设备中的处理器(如CPU)在接收到报文后,检测预设时间段内上报处理器的报文的速率,该报文的报文头中携带有第一预设标识,之后,判断速率是否超过预设阈值,若速率超过预设阈值(如100pps(packet per second,每秒数据包数)),则执行步骤S2。
一种实施方式下,检测预设时间段内上报处理器的报文的速率的过程可以是:统计预设时间段内上报处理器的报文的报文头中携带有第一预设标识的报文的数量,基于数量和预设时间段,得到速率。例如,统计100秒内处理器收的报文中携带有第一预设标识的报文的数量,每接收到一个携带有第一预设标识的报文,则统计数量加1,之后,基于统计的数量除以预设时间段,得到速率,也即速率=数量/时间。
其中,上述的预设时间段可以根据需要进行设定,如设置为100秒,则检测100秒内上报处理器的报文,且报文头中携带有第一预设标识的报文的速率。
本申请实施例中,通过在报文的报文头中携带用于标识报文为命中路由表的报文的第一预设标识,使得在识别报文是否为基于路由表上报处理器的报文时,只需要去检测报文头中是否携带有第一预设标识即可,而无需象现有技术那样需要将报文中的IP字段与ARP表项一一比对,来区别上报处理器的报文是通过主机表或路由表上报。
可选地,上述的报文头可以是Higig2头,第一预设标识对应的值可以是0-255中的任意数值,例如,可以对命中路由表的报文添加Higig2头,并将Higig2头中的classId的值设置为预设特定值(即第一预设标识,例如以m表示),这样就可以通过检测报文的报文头中是否携带有第一预设标识(也即classId的值为m)来判断该报文是否为命中路由表的报文。
一种实施方式下,在S1之前,该报文处理方法还包括:网络设备中的交换芯片对命中路由表的报文添加报文头,当命中的路由表项中没有指定出端口,则交换芯片将添加有报文头的报文上报处理器。交换芯片在接收到报文后,会为待转发报文查找三层转发表(包括主机表或路由表)以查找对应的出端口,对命中路由表的报文添加报文头,若命中的路由表项中没有指定出端口,则交换芯片将添加有报文头的报文上报处理器,以便处理器进行处理。当命中的路由表项中有指定出端口时,则会继续按照芯片已有流程转发或丢弃,例如,从该指定的出端口转发出去,不上报处理器。其中,如何查找三层转发表的具体过程已经为本领域所熟知,在此不再介绍。
可选地,路由表中的每一条路由表项均带有第二预设标识(也即将每条路由表项中classId的值设置为预设特定值(即第二预设标识,例如以n表示)。例如,通过将每一条路由表项中的classId的值设定为n,n的取值为0-255中的任一数值;对于命中路由表中路由表项的报文会在上下文中打上该第二预设标识,通过该第二预设标识便可确定报文是否为命中路由表的报文,若报文上下文中带有该第二预设标识,则表示为命中路由表的报文,则添加报文头(Higig2头),报文头中添加有第一预设标识。其中,第一预设标识对应的值m和第二预设标识对应的值n可以相同也可以不同。
其中,交换芯片包括三层转发模块、ACL模块、收包模块。三层转发模块,用于为待转发报文查找三层转发表;ACL模块,用于对命中路由表项的报文添加携带有第一预设标识的报文头;收包模块,用于将交换芯片上报处理器的报文发送给处理器。例如,当命中的路由表项中没有指定出端口,将添加有报文头的报文上报处理器。
S2:若所述速率超过预设阈值,则丢弃之后的携带有所述第一预设标识的上报所述处理器的报文。
若报文的上报速率超过预设阈值,则丢弃之后的携带有第一预设标识的上报处理器的报文。对于命中路由表的报文,若命中的路由表项中没有指定出端口,则表示该报文为目标IP地址不能被解析的报文,则该报文会上报处理器,处理器在接收待该报文后,处理器会向与自身所在的网络设备相连的其他设备或PC发送ARP请求报文,如网络中存在该目标设备或PC,目标设备或PC会发送ARP回应报文,此时处理器收到回应报文后可以学习到ARP表项,报文就可以通过路由表查找到出口,这时目标IP地址就是可解析的地址。如网络中不存在该目标设备或PC,那么处理器自身所在的网络设备就一直无法学习到ARP表项,报文通过路由表查找不到出口,目标IP地址就是不可解析的地址。若预设时间内目标IP地址不能被解析的报文的上报速率超过预设阈值,则丢弃之后的携带有第一预设标识的上报处理器的报文,并停止向网络中相连的其他设备或PC发送ARP请求报文。
为了便于理解,下面结例子进行说明,在配置路由表时,需要将路由表中的每一条路由表项中的classId的值设为第二预设标识(以n进行表示,如n可以取值为1)。为ACL模块下发一条ACL表项,作用是匹配三层classId的值为n,动作是添加Higig2头,并设置Higig2头中的classId的值为第一预设标识(以m进行表示)。注意本发明实施例中,n和m可以相同,也可以不同。配置完成后,假设三层转发模块在查找三层转发表时,报文命中一条IP是192.168.0.0,掩码长度是16,路由表项中的classId的值为n(如为1)的路由表项,则会在报文上下文中打上三层classId为n的标记,接着匹配ACL表项,给报文添加Higig2头部,并设置Higig2头中的classId的值为m,由于报文命中的路由表项中没有指定出端口,则添加有报文头的报文会经收包模块上报处理器。报文上报处理器后,收包模块会通知处理器,处理器会统计预设时间段内Higig2头部classId的值为m的报文个数,若报文的速率未超过100pps(假设设置目的IP地址不能被解析的IP报文上处理器速率阈值为100pps),则会向网络中相连的其他设备或PC发送ARP请求报文,当报文的速率超过100pps时,就会丢包,并且不再向外发送ARP请求报文,其示意图如图2所示。
基于同样的发明构思,请参阅图2,本申请实施例还提供了一种网络设备,该网络设备包括:交换芯片和处理器。
交换芯片,用于对命中路由表项的报文添加携带有第一预设标识的报文头,所述第一预设标识用于标识该报文为命中路由表的报文,当命中的路由表项中没有指定出端口,将添加有所述报文头的报文上报处理器。
其中,交换芯片包括:三层转发模块、ACL模块、收包模块;三层转发模块,用于为待转发报文查找三层转发表,所述三层转发表包括路由表或主机表;ACL模块,用于对命中路由表项的报文添加携带有第一预设标识的报文头;收包模块,用于当命中的路由表项中没有指定出端口,将添加有所述报文头的报文上报所述处理器。
处理器,用于检测预设时间段内接收到的报文头中携带有第一预设标识的报文的速率,若所述速率超过预设阈值,则丢弃之后的携带有所述第一预设标识的上报所述处理器的报文。所述处理器还用于:若上报处理器的报文的目标IP地址不能被解析,也即在接收到报文头中携带有第一预设标识的报文时,本设备向网络中其他相连的设备或PC发送ARP请求报文以对目标IP地址进行解析;若预设时间内所述目标IP地址不能被解析的报文的接收速率超过预设阈值,则停止向外发送所述ARP请求报文。
本申请实施例所提供的网络设备,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,网络设备实施例部分未提及之处,可参考前述方法实施例中相应内容。
基于同样的发明构思,本申请实施例还提供了一种报文处理装置100,如图3所示,该报文处理装置100包括:检测模块110、处理模块120。
检测模块110,用于检测预设时间段内上报处理器的报文的速率,所述报文的报文头中携带有第一预设标识,所述第一预设标识用于标识该报文为命中路由表的报文。
处理模块120,用于若所述速率超过预设阈值,则丢弃之后的携带有所述第一预设标识的上报处理器的报文。
可选地,检测模块110,用于统计所述预设时间段内上报处理器的报文的报文头中携带有第一预设标识的报文的数量;基于所述数量和所述预设时间段,得到所述速率。
处理模块120,还用于在接收到的报文头中携带有第一预设标识的报文的速率未超过预设阈值时,向网络中其他相连的设备或PC发送ARP请求报文以对所述目标IP地址进行解析,以及在速率超过预设阈值时,停止广播ARP请求报文。
可选地,该报文处理装置100还包括:第二处理模块,用于在处理模块120检测预设时间段内上报处理器的报的速率之前,对命中所述路由表的报文添加所述报文头,当命中的路由表项中没有指定出端口时,所述交换芯片将添加有所述报文头的报文上报处理器,当命中的路由表项指定有出端口时,所述交换芯片将添加有所述报文头的报文从该指定的出端口转发出去,不上报处理器。
本申请实施例所提供的报文处理装置100,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
如图4所示,图4示出了本申请实施例提供的一种电子设备200的结构框图。所述电子设备200包括:收发器210、存储器220、通讯总线230、处理器240。若该电子设备为上述的网络设备时,还包括交换芯片,交换芯片用于对命中路由表项的报文添加携带有第一预设标识的报文头,所述第一预设标识用于标识该报文为命中路由表的报文,当命中的路由表项中没有指定出端口,将添加有所述报文头的报文上报处理器240。
所述收发器210、所述存储器220、处理器240各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线230或信号线实现电性连接。其中,收发器210用于收发报文。存储器220用于存储计算机程序,如存储有图3中所示的软件功能模块,即报文处理装置100。其中,报文处理装置100包括至少一个可以软件或固件(Firmware)的形式存储于所述存储器220中或固化在所述电子设备200的操作系统(Operating System,OS)中的软件功能模块。所述处理器240,用于执行存储器220中存储的可执行模块,例如报文处理装置100包括的软件功能模块或计算机程序。例如,处理器240,用于检测预设时间段内上报所述处理器的报文的速率,所述报文的报文头中携带有第一预设标识,所述第一预设标识用于标识该报文为命中路由表的报文;若所述速率超过预设阈值,则丢弃之后的携带有所述第一预设标识的上报所述处理器的报文。
其中,存储器220可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器240可能是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,处理器)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器240也可以是任何常规的处理器等。
其中,上述的电子设备200,包括但不限于上述的网络设备,网络设备可以是交换机、路由器等。
本申请实施例还提供了一种非易失性的计算机可读取存储介质(以下简称存储介质),该存储介质上存储有计算机程序,该计算机程序被计算机如上述的电子设备200运行时,执行上述所示的报文处理方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个计算机可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者电子设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的计算机可读存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种报文处理方法,其特征在于,应用于网络设备,所述网络设备包括处理器和交换芯片,所述方法包括:
检测预设时间段内上报所述处理器的报文的速率,所述报文的报文头中携带有第一预设标识,所述第一预设标识用于标识该报文为命中路由表的报文;
若所述速率超过预设阈值,则丢弃之后的携带有所述第一预设标识的上报所述处理器的报文;
其中,在所述检测预设时间段内上报所述处理器的报文的速率之前,所述交换芯片对命中路由表的报文添加携带有所述第一预设标识的报文头;
当命中的路由表项中没有指定出端口时,所述交换芯片将添加有报文头的报文上报处理器。
2.根据权利要求1所述的方法,其特征在于,
当命中的路由表项指定有出端口时,所述交换芯片将添加有报文头的报文从该指定的出端口转发出去,不上报处理器。
3.根据权利要求2所述的方法,其特征在于,所述路由表中的每一条路由表项均带有第二预设标识,命中所述路由表中路由表项的报文会打上所述第二预设标识,所述第二预设标识用于确定报文是否为命中所述路由表的报文。
4.根据权利要求1所述的方法,其特征在于,所述检测预设时间段内上报所述处理器的报文的速率,包括:
统计所述预设时间段内上报处理器的报文的报文头中携带有所述第一预设标识的报文的数量;
基于所述数量和所述预设时间段,得到所述速率。
5.一种网络设备,其特征在于,包括:
交换芯片,用于对命中路由表项的报文添加携带有第一预设标识的报文头,所述第一预设标识用于标识该报文为命中路由表的报文,当命中的路由表项中没有指定出端口,将添加有所述报文头的报文上报处理器;
所述处理器,用于检测预设时间段内接收到的报文头中携带有第一预设标识的报文的速率,若所述速率超过预设阈值,则丢弃之后的携带有所述第一预设标识的上报所述处理器的报文。
6.根据权利要求5所述的网络设备,其特征在于,所述路由表中的每一条路由表项均带有第二预设标识,命中所述路由表中路由表项的报文会打上所述第二预设标识。
7.根据权利要求5所述的网络设备,其特征在于,所述交换芯片包括:
三层转发模块,用于为待转发报文查找三层转发表,所述三层转发表包括路由表或主机表;
ACL模块,用于对命中路由表项的报文添加携带有第一预设标识的报文头;
收包模块,用于当命中的路由表项中没有指定出端口,将添加有所述报文头的报文上报所述处理器。
8.根据权利要求5所述的网络设备,其特征在于,所述处理器还用于:
若上报所述处理器的报文的目标IP地址不能被解析,则广播ARP请求报文以对所述目标IP地址进行解析;
若预设时间内所述目标IP地址不能被解析的报文的接收速率超过预设阈值,则停止广播所述ARP请求报文。
9.一种报文处理装置,其特征在于,包括:
检测模块,用于检测预设时间段内上报处理器的报文的速率,所述报文的报文头中携带有第一预设标识,所述第一预设标识用于标识该报文为命中路由表的报文;
处理模块,用于若所述速率超过预设阈值,则丢弃之后的携带有所述第一预设标识的上报处理器的报文;
第二处理模块,用于在所述检测模块检测预设时间段内上报处理器的报的速率之前,对命中路由表的报文添加携带有所述第一预设标识的报文头,当命中的路由表项中没有指定出端口时,将添加有所述报文头的报文上报处理器。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器运行时,执行如权利要求1-4中任一项所述的方法。
CN202111449746.7A 2021-11-30 2021-11-30 报文处理方法、装置、网络设备及计算机可读存储介质 Active CN114143089B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111449746.7A CN114143089B (zh) 2021-11-30 2021-11-30 报文处理方法、装置、网络设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111449746.7A CN114143089B (zh) 2021-11-30 2021-11-30 报文处理方法、装置、网络设备及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN114143089A CN114143089A (zh) 2022-03-04
CN114143089B true CN114143089B (zh) 2024-02-09

Family

ID=80386318

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111449746.7A Active CN114143089B (zh) 2021-11-30 2021-11-30 报文处理方法、装置、网络设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN114143089B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1725705A (zh) * 2005-05-09 2006-01-25 杭州华为三康技术有限公司 流量攻击网络设备的报文特征的检测方法
JP2009231892A (ja) * 2008-03-19 2009-10-08 Yamaha Corp 中継装置およびプログラム
CN106470158A (zh) * 2016-09-13 2017-03-01 杭州迪普科技股份有限公司 报文转发方法及装置
CN106506270A (zh) * 2016-11-03 2017-03-15 杭州华三通信技术有限公司 一种ping报文处理方法及装置
CN107104926A (zh) * 2016-02-22 2017-08-29 华为技术有限公司 攻击防护系统、方法、装置和网络设备
CN107786450A (zh) * 2017-10-17 2018-03-09 新华三技术有限公司 一种数据报文传输方法、装置及机器可读存储介质
CN108566344A (zh) * 2018-03-19 2018-09-21 新华三技术有限公司 一种报文处理方法和装置
CN110392034A (zh) * 2018-09-28 2019-10-29 新华三信息安全技术有限公司 一种报文处理方法及装置
CN111526064A (zh) * 2020-04-03 2020-08-11 北京星网锐捷网络技术有限公司 一种数据流处理方法、装置、电子设备及存储介质
CN112714052A (zh) * 2020-12-20 2021-04-27 苏州浪潮智能科技有限公司 一种流量隔离方法、装置、交换机及存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1725705A (zh) * 2005-05-09 2006-01-25 杭州华为三康技术有限公司 流量攻击网络设备的报文特征的检测方法
JP2009231892A (ja) * 2008-03-19 2009-10-08 Yamaha Corp 中継装置およびプログラム
CN107104926A (zh) * 2016-02-22 2017-08-29 华为技术有限公司 攻击防护系统、方法、装置和网络设备
CN106470158A (zh) * 2016-09-13 2017-03-01 杭州迪普科技股份有限公司 报文转发方法及装置
CN106506270A (zh) * 2016-11-03 2017-03-15 杭州华三通信技术有限公司 一种ping报文处理方法及装置
CN107786450A (zh) * 2017-10-17 2018-03-09 新华三技术有限公司 一种数据报文传输方法、装置及机器可读存储介质
CN108566344A (zh) * 2018-03-19 2018-09-21 新华三技术有限公司 一种报文处理方法和装置
CN110392034A (zh) * 2018-09-28 2019-10-29 新华三信息安全技术有限公司 一种报文处理方法及装置
CN111526064A (zh) * 2020-04-03 2020-08-11 北京星网锐捷网络技术有限公司 一种数据流处理方法、装置、电子设备及存储介质
CN112714052A (zh) * 2020-12-20 2021-04-27 苏州浪潮智能科技有限公司 一种流量隔离方法、装置、交换机及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于STiP模型的安全主机标识及认证协议;朱国库;蒋文保;;网络空间安全(第Z1期);全文 *
朱国库 ; 蒋文保 ; .基于STiP模型的安全主机标识及认证协议.网络空间安全.2017,(第Z1期),全文. *

Also Published As

Publication number Publication date
CN114143089A (zh) 2022-03-04

Similar Documents

Publication Publication Date Title
WO2021008028A1 (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
EP3119052B1 (en) Method, device and switch for identifying attack flow in a software defined network
US8018845B2 (en) Sampling rate-limited traffic
US8661544B2 (en) Detecting botnets
US20060288413A1 (en) Intrusion detection and prevention system
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
US20150319090A1 (en) Method and apparatus for notifying network abnormality
US7506372B2 (en) Method and apparatus for controlling connection rate of network hosts
US10693890B2 (en) Packet relay apparatus
WO2020135391A1 (zh) 一种操作管理维护iOAM报文的传输方法及相应装置
CN101286996A (zh) 一种风暴攻击抵抗方法与装置
US11153342B2 (en) Method and system for providing ddos protection by detecting changes in a preferred set of hierarchically structured items in stream data
US20100251364A1 (en) Method and apparatus for classifying harmful packet
CN101674312B (zh) 一种在网络传输中防止源地址欺骗的方法及装置
CN112260899B (zh) 基于mmu的网络监测方法和装置
CN114157609B (zh) Pfc死锁检测方法及装置
US8036217B2 (en) Method and apparatus to count MAC moves at line rate
CN110958245B (zh) 一种攻击的检测方法、装置、设备和存储介质
US10938721B2 (en) Hash collision mitigation system
CN114143089B (zh) 报文处理方法、装置、网络设备及计算机可读存储介质
CN106453367B (zh) 一种基于sdn的防地址扫描攻击的方法及系统
CN109347810B (zh) 一种处理报文的方法和装置
EP2599267A1 (en) Mitigation of detected patterns in a network device
CN109194638B (zh) 报文处理方法、装置、交换设备及计算机可读存储介质
CN112887317A (zh) 一种基于vxlan网络对数据库的防护方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant