CN117439947A - 异常路由处理方法、装置及可读存储介质 - Google Patents
异常路由处理方法、装置及可读存储介质 Download PDFInfo
- Publication number
- CN117439947A CN117439947A CN202311560270.3A CN202311560270A CN117439947A CN 117439947 A CN117439947 A CN 117439947A CN 202311560270 A CN202311560270 A CN 202311560270A CN 117439947 A CN117439947 A CN 117439947A
- Authority
- CN
- China
- Prior art keywords
- route
- target
- analyzed
- prefix
- routing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 97
- 238000003672 processing method Methods 0.000 title abstract description 15
- 238000012545 processing Methods 0.000 claims abstract description 83
- 238000000034 method Methods 0.000 claims abstract description 30
- 238000004891 communication Methods 0.000 claims abstract description 26
- 238000013507 mapping Methods 0.000 claims description 25
- 230000015654 memory Effects 0.000 claims description 20
- 230000002547 anomalous effect Effects 0.000 claims 1
- 238000004458 analytical method Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 12
- 238000013461 design Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/741—Routing in networks with a plurality of addressing schemes, e.g. with both IPv4 and IPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/748—Address table lookup; Address filtering using longest matching prefix
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种异常路由处理方法、装置及可读存储介质,涉及通信技术领域,用于提高通信网络的安全性,该方法包括:确定待分析路由是否为异常路由,待分析路由用于转发目标数据;异常路由为路由前缀被篡改路由;在待分析路由为异常路由的情况下,根据待分析路由的路由前缀生成目标路由前缀,目标路由前缀所指向的目标节点为正常节点,且目标路由前缀的优先级大于待分析路由的路由前缀的优先级;向待分析路由对应的路由设备发送目标路由前缀,以使得路由设备基于目标路由前缀转发目标数据。
Description
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种异常路由处理方法、装置及可读存储介质。
背景技术
边界网关协议(Border Gateway Protocol,BGP)劫持是指非法终端通过欺骗因特网(Internet)路由协议,将向目标终端发送的目标数据重定向到非法终端或者其他非目标终端,从而造成目标终端的网络异常等问题。
相关技术中,在路由被劫持的情况下,只要路由器的路由表正常,路由器依然会向非法终端转发目标数据,导致通信网络的安全性较差。
发明内容
本申请提供了一种异常路由处理方法、装置及可读存储介质,用于提高通信网络的安全性。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供了一种异常路由处理方法,该方法包括:确定待分析路由是否为异常路由,待分析路由用于转发目标数据;异常路由为路由前缀被篡改路由;在待分析路由为异常路由的情况下,根据待分析路由的路由前缀生成目标路由前缀,目标路由前缀所指向的目标节点为正常节点,且目标路由前缀的优先级大于待分析路由的路由前缀的优先级;向待分析路由对应的路由设备发送目标路由前缀,以使得路由设备基于目标路由前缀转发目标数据。
可选的,根据待分析路由的路由前缀生成目标路由前缀,包括:确定目标掩码值和目标节点的IP地址;目标掩码值大于待分析路由的路由前缀中的掩码值;在待分析路由为内网路由的情况下,目标节点为非黑洞节点;当待分析路由为外网路由的情况下,目标节点为黑洞节点;内网路由对应的目标掩码值与外网路由对应的目标掩码值不同;将目标掩码值和目标节点的IP地址进行组合,得到目标路由前缀。
可选的,方法还包括:获取待分析路由的对应的路由设备标识;根据路由设备标识和第一映射关系确定待分析路由的路由类型;路由类型包括内网路由和外网路由;第一映射关系包括多个路由设备标识以及多个路由类型的对应关系。
可选的,确定待分析路由为异常路由,包括:获取待分析路由的路由信息;路由信息包括路由前缀以及自治系统AS路径;根据路由前缀和第二映射关系确定目标AS路径,在AS路径与目标AS路径不同的情况下,确定待分析路由为异常路由;第二映射关系包括多个路由前缀以及多个AS路径的对应关系。
基于本申请提供的技术方案,异常路由处理装置可以在待分析路由为异常路由的情况下,根据待分析路由的路由前缀生成目标路由前缀,以使得待分析路由基于目标路由前缀转发目标数据。由于目标路由前缀所指向的目标节点为正常节点,且目标路由前缀的优先级大于待分析路由的路由前缀,这样,可以将异常路由优先从目标路由前缀进行转发,避免了异常路由向非法终端转发目标数据,提高了通信网络的安全性。另外,相比于手动处理异常路由,本申请通过上述自动处理流程可以缩短路由异常导致的网络故障时长,降低路由异常造成的影响。
第二方面,提供了一种异常路由处理装置,装置包括:确定单元、处理单元、发送单元;确定单元,用于确定待分析路由是否为异常路由,待分析路由用于转发目标数据;异常路由为路由前缀被篡改路由;处理单元,用于在待分析路由为异常路由的情况下,根据待分析路由的路由前缀生成目标路由前缀,目标路由前缀所指向的目标节点为正常节点,且目标路由前缀的优先级大于待分析路由的路由前缀的优先级;发送单元,用于向待分析路由对应的路由设备发送目标路由前缀,以使得路由设备基于目标路由前缀转发目标数据。
可选的,处理单元,具体用于:确定目标掩码值和目标节点的IP地址;目标掩码值大于待分析路由的路由前缀中的掩码值;在待分析路由为内网路由的情况下,目标节点为非黑洞节点;当待分析路由为外网路由的情况下,目标节点为黑洞节点;内网路由对应的目标掩码值与外网路由对应的目标掩码值不同;将目标掩码值和目标节点的IP地址进行组合,得到目标路由前缀。
可选的,装置还包括获取单元;获取单元,用于获取待分析路由的对应的路由设备标识;确定单元,还用于根据路由设备标识和第一映射关系确定待分析路由的路由类型;路由类型包括内网路由和外网路由;第一映射关系包括多个路由设备标识以及多个路由类型的对应关系。
可选的,确定单元,具体用于:获取待分析路由的路由信息;路由信息包括路由前缀以及自治系统AS路径;根据路由前缀和第二映射关系确定目标AS路径,在AS路径与目标AS路径不同的情况下,确定待分析路由为异常路由;第二映射关系包括多个路由前缀以及多个AS路径的对应关系。
第三方面,提供了一种异常路由处理装置,该异常路由处理装置可以实现上述各方面或者各可能的设计中异常路由处理装置所执行的功能,功能可以通过硬件实现,如:一种可能的设计中,该异常路由处理装置可以包括:处理器和通信接口,处理器可以用于支持异常路由处理装置实现上述第一方面或者第一方面的任一种可能的设计中所涉及的功能。
在又一种可能的设计中,异常路由处理装置还可以包括存储器,存储器用于保存异常路由处理装置必要的计算机执行指令和数据。当该异常路由处理装置运行时,该处理器执行该存储器存储的该计算机执行指令,以使该异常路由处理装置执行上述第一方面或者第一方面的任一种可能的异常路由处理方法。
第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质可以为可读的非易失性存储介质,该计算机可读存储介质存储有计算机指令或者程序,当其在计算机上运行时,使得计算机可以执行上述第一方面或者上述方面的任一种可能的异常路由处理方法。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行上述第一方面或者上述方面的任一种可能的设计的异常路由处理方法。
第六方面,提供了一种电子设备,该电子设备包括一个或者多个处理器以及和一个或多个存储器。一个或多个存储器与一个或多个处理器耦合,一个或多个存储器用于存储计算机程序代码,计算机程序代码包括计算机指令,当一个或多个处理器执行计算机指令时,使得电子设备执行如上述第一方面或者第一方面的任一可能的设计的异常路由处理方法。
第七方面,提供了一种芯片系统,该芯片系统包括处理器以及通信接口,该芯片系统可以用于实现上述第一方面或第一方面的任一可能的设计中异常路由处理装置所执行的功能。在一种可能的设计中,芯片系统还包括存储器,存储器,用于保存程序指令和/或数据。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件,不予限制。
附图说明
图1为本申请实施例提供的一种异常路由处理系统的结构示意图;
图2为本申请实施例提供的一种异常路由处理装置的结构示意图;
图3为本申请实施例提供的一种异常路由处理方法的流程示意图;
图4为本申请实施例提供的又一种异常路由处理方法的流程示意图;
图5为本申请实施例提供的又一种异常路由处理方法的流程示意图;
图6为本申请实施例提供的又一种异常路由处理装置的结构示意图。
具体实施方式
为了使本领域普通人员更好地理解本公开的技术方案,下面将结合附图,对本申请实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请实施例的一些方面相一致的装置和方法的例子。
还应当理解的是,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其他特征、整体、步骤、操作、元素和/或组件的存在或添加。
下面对本申请中涉及的名词进行解释。
1、边界网关协议(Border Gateway Protocol,BGP):BGP是一种用来在路由选择域之间交换网络层可达性信息(Network Layer Reachability Information,NLRI)的路由选择协议。由于不同的管理机构分别控制着他们各自的路由选择域,因此,路由选择域经常被称为自治系统(Autonomous System,AS)。现在的Internet是一个由多个自治系统相互连接构成的大网络,BGP作为Internet外部路由协议标准,被广泛应用于互联网服务供应商(Internet Service Provider,ISP)之间。
2、AS:在互联网中,一个自治系统(AS)是一个有权自主地决定在本系统中应采用各种路由协议的小型单位。这个网络单位可以是一个简单的网络也可以是一个由一个或多个普通的网络管理员来控制的网络群体,它是一个单独的可管理的网络单元(例如一所大学,一个企业或者一个公司个体)。一个自治系统有时也被称为是一个路由选择域(routingdomain,RD)。一个自治系统将会分配一个全局的唯一的16位号码,有时我们把这个号码叫做自治系统号(ASN)。
3、路由前缀:也被称为目的网络/掩码,这是路由条目所关联的目的网络地址及网络掩码。一条完整的路由前缀由:目的网络地址+前缀长度(或者网络掩码)构成,两者缺一不可。例如192.168.1.0/24与192.168.1.0/25,虽然目的网络地址相同,都是192.168.1.0,但是两者是两条不同的路由,因为他们的前缀长度24和25不相同。
4、黑洞路由:实际是一种特殊的静态路由,可以将所有无关路由吸入其中,使它们有来无回的路由,一般是admin主动建立的路由条目。它使目的地址为该网段的数据报文到达设备之后,将被丢弃。
BGP劫持是指非法终端通过欺骗因特网路由协议,将向目标终端发送的目标数据重定向到非法终端或者其他非目标终端,从而造成目标终端的网络异常等问题。
网络故障:为正常的数据流量可能被重定向到错误的目的地。这可能会影响目标终端用户的在线体验,使网络变得不可用。
数据泄露:非法终端可能会利用BGP劫持窃取敏感信息,例如登录凭证、信用卡信息等,这些信息可能被用于未授权访问、恶意攻击和其他欺诈行为。
恶意攻击:非法终端可能利用BGP劫持将网络流量重定向到非法服务器,从而发起其他类型的网络攻击,例如分布式拒绝服务(Distributed Denial of Service,DDoS)攻击、中间人攻击等,这些攻击可能会导致网络瘫痪和数据丢失。
假冒网站:非法终端可能利用BGP劫持欺骗用户进入假冒的网站,从而窃取用户的敏感信息,或者,在用户计算机上安装恶意软件。
路由在AS内通告可以通过BGP或者内部网关协议(Interior Gateway Protocol,IGP)来实现,但是在AS间的路由通告通常采用BGP,BGP可以通过调整自身的属性值来灵活调整路由选路,在运营商和大型互联网厂商中使用广泛。BGP路由器在通告路由时只会通告最佳路由给对等体,不利于路由分析,且路由器不存储历史的路由信息,网内发生BGP劫持时,路由器无法立即发现,只要路由器的路由表正常,数据包会正常转发。
相关技术中,在路由被劫持的情况下,只要路由器的路由表正常,路由器依然会向非法终端转发目标数据,导致通信网络的安全性较差。
鉴于此,本申请实施例提供一种异常路由处理方法,该方法包括:确定待分析路由为异常路由;待分析路由用于转发目标数据;异常路由为边界网关协议BGP被劫持路由;根据待分析路由的路由前缀生成目标路由前缀,以使得待分析路由基于目标路由前缀转发目标数据;目标路由前缀所指向的目标节点为正常节点,且目标路由前缀的优先级大于待分析路由的路由前缀。
下面结合说明书附图对本申请实施例提供的方法进行详细说明。
需要说明的是,本申请实施例描述的网络系统是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络系统的演变和其他网络系统的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
图1示出的是本申请实施例提供的一种异常路由处理系统10的结构示意图。如图1所示,该异常路由处理系统10可以包括软件定义网络(Software Defined Network,SDN)控制器11、边界网关监控协议(BGP Monitoring Protocol,BMP)采集分析系统12、以及路由器13。SDN控制器11、BMP采集分析系统12、以及路由器13相连接。例如,SDN控制器11、BMP采集分析系统12、以及路由器13之间可以通过无线的方式进行连接。
其中,本申请的实施例中涉及的SDN控制器11,用于在确定待分析路由为异常路由的情况下,根据待分析路由的路由前缀生成目标路由前缀,以使得待分析路由基于目标路由前缀转发所述目标数据。
BMP采集分析系统12可以用于确定异常路由。
一些实施例中,BMP采集分析系统12还可以用于将异常路由的详细信息在BMP采集分析系统12的显示界面中显示。
一些实施例中,BMP采集分析系统12还可以用也向维护人员发送异常告警信息。
其中,异常告警信息用于指示路由器存在异常。
本申请的实施例中涉及的SDN控制器11和BMP采集分析系统12可以为服务器,该服务器可以是单独的一个服务器,或者,也可以是由多个服务器构成的服务器集群。部分实施方式中,服务器集群还可以是分布式集群。本申请实施例对服务器具体技术、具体数量和具体设备形态不做限定。本申请的实施例对BMP采集分析系统12所采用的具体技术、具体数量和具体设备形态不做限定。
路由器13用于转发网络数据。例如,路由器13可以为业务发布路由器。本申请的实施例中,对路由器13,所采用的具体技术和具体设备形态不做限定。
需要说明的是,图1仅为示例性框架图,图1中包括的各个设备的名称不受限制,且除图1所示功能节点外,还可以包括其他节点,本申请实施例对此不进行限定。
具体实现时,图1中的各个设备均可以采用图2所示的组成结构,或者包括图2所示的部件。图2为本申请实施例提供的一种异常路由处理装置200的组成示意图,该异常路由处理装置200可以为服务器,或者,该异常路由处理装置200可以为服务器中的芯片或者片上系统。如图2所示,该异常路由处理装置200包括处理器201,通信接口202以及通信线路203。
进一步的,该异常路由处理装置200还可以包括存储器204。其中,处理器201,存储器204以及通信接口202之间可以通过通信线路203连接。
其中,处理器201是CPU、通用处理器、网络处理器(network processor,NP)、数字信号处理器(digital signal processing,DSP)、微处理器、微控制器、可编程逻辑器件(programmable logic device,PLD)或它们的任意组合。处理器201还可以是其它具有处理功能的装置,例如电路、器件或软件模块,不予限制。
通信接口202,用于与其他设备或其它通信网络进行通信。通信接口202可以是模块、电路、通信接口或者任何能够实现通信的装置。
通信线路203,用于在异常路由处理装置200所包括的各部件之间传送信息。
存储器204,用于存储指令。其中,指令可以是计算机程序。
其中,存储器204可以是只读存储器(read-only memory,ROM)或可存储静态信息和/或指令的其他类型的静态存储设备,也可以是随机存取存储器(random accessmemory,RAM)或可存储信息和/或指令的其他类型的动态存储设备,还可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或其他磁存储设备等,不予限制。
需要指出的是,存储器204可以独立于处理器201存在,也可以和处理器201集成在一起。存储器204可以用于存储指令或者程序代码或者一些数据等。存储器204可以位于异常路由处理装置200内,也可以位于异常路由处理装置200外,不予限制。处理器201,用于执行存储器204中存储的指令,以实现本申请下述实施例提供的异常路由处理方法。
在一种示例中,处理器201可以包括一个或多个CPU,例如,图2中的CPU0和CPU1。
作为一种可选的实现方式,异常路由处理装置200包括多个处理器,例如,除图2中的处理器201之外,还可以包括处理器205。
需要指出的是,图2中示出的组成结构并不构成对该图1中的各个设备的限定,除图2所示部件之外,图1中的各个设备可以包括比图2更多或更少的部件,或者组合某些部件,或者不同的部件布置。
本申请实施例中,芯片系统可以由芯片构成,也可以包括芯片和其他分立器件。
此外,本申请的各实施例之间涉及的动作、术语等均可以相互参考,不予限制。本申请的实施例中各个设备之间交互的消息名称或消息中的参数名称等只是一个示例,具体实现中也可以采用其他的名称,不予限制。
为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
下面结合图1所示异常路由处理系统,对本申请实施例提供的异常路由处理方法进行描述。
图3为本申请实施例提供了一种异常路由处理方法,应用于异常路由处理装置,也可以应用于异常路由处理装置中的器件,如芯片等。例如,该异常路由处理装置可以为图1中的SDN控制器11。
本申请实施例以应用于异常路由处理装置为例进行说明,如图3所示,该方法包括下述S301-S303:
S301、确定待分析路由是否为异常路由。
其中,待分析路由用于转发目标数据;异常路由为异常路由为路由前缀被篡改路由(也可以为边界网关协议BGP被劫持路由)。例如,目标数据可以为图像数据、音频数据、视频数据、文本数据等。
作为一种可能的实现方式,异常路由处理装置可以根据将待分析路由的路由信息与BGP路由标准库中的路由信息作对比,得到对比结果,并根据对比结果确定待分析路由是否为异常路由。
其中,对比结果用于指示待分析路由是否为异常路由。确定对比结果包括第一对比结果和第二对比结果。第一对比结果为待分析路由的路由信息与BGP路由标准库中的路由信息不同;第二对比结果为待分析路由的路由信息与BGP路由标准库中的路由信息相同。
异常路由处理装置可以在对比结果为第一对比结果的情况下,确定待分析路由为异常路由;在对比结果为第二对比结果的情况下,确定待分析路由为正常路由。
需要说明的,BGP路由标准库预先存储在异常路由处理装置中。BGP路由标准库包含BGP路由前缀信息和AS_PATH(AS路径)信息。
S302、在待分析路由为异常路由的情况下,根据待分析路由的路由前缀生成目标路由前缀。
其中,目标路由前缀所指向的目标节点为正常节点,且目标路由前缀的优先级大于待分析路由的路由前缀的优先级。
作为一种可能的实现方式,异常路由处理装置可以根据待分析路由的类型生成不同的目标路由前缀。
其中,待分析路由的类型可以包括内网路由(标准库中路由AS起源为本AS的路由)和外网路由(标准库中路由AS起源不为本AS的路由)。
一种示例中,在待分析路由为内网路由的情况下,目标节点为第一目标节点,第一目标节点为非黑洞路由节点,异常路由处理装置可以确定第一掩码值和第一目标节点的IP地址,并将第一掩码值和第一目标节点的IP地址进行组合,得到目标路由前缀。
其中,第一掩码值大于第二掩码值,第二掩码值为待分析路由的路由前缀中的掩码值。
例如,在劫持的路由为10.1.0.0/16的情况下,也即,第一目标节点的IP地址为10.1.0.0,第二掩码值为16,异常路由处理装置可以将第一掩码值设置为大于16的掩码值,如17;此时,目标路由前缀可以为10.1.0.0/17和10.1.1.0/17。
可以理解的,通过将第一掩码值和第一目标节点的IP地址进行组合,可以将将目标数据牵引至正常节点,提高了通信网络的安全性。
又一种示例中,在待分析路由为外网路由的情况下,目标节点为第二目标节点,第二目标节点为黑洞路由节点;异常路由处理装置可以确定第三掩码值和第二目标节点的IP地址,并将第三掩码值和第二目标节点的IP地址进行组合,得到目标路由前缀。
其中,第三掩码值大于第二掩码值,第三掩码值与第一掩码值不同。黑洞路由节点指向Nill0接口。
可以理解的,通过将第三掩码值和第二目标节点的IP地址进行组合,得到目标路由前缀,可以将外网路由进行封堵,避免目标数据转发至非法终端,提高了通信网络的安全性。
例如,目标路由前缀可以为32位的明细路由。
需要说明的,异常路由处理装置中的路由标准库可以包括多个属于本网的内网路由的路由标识。异常路由处理装置可以将待分析路由的路由标识与多个内网路由的路由标识进行匹配,以确定待分析路由的类型。
例如,在待分析路由的路由标识与多个内网路由的路由标识中的一个路由标识相匹配的情况下,异常路由处理装置可以确定待分析路由为内网路由;在待分析路由的路由标识与多个内网路由的路由标识中的任一个路由标识均不匹配的情况下,异常路由处理装置可以确定待分析路由为外网路由。
实际应用中,待分析路由可以为第4版网际协议(InternetProtocolversion4,IPv4)路由,也可以为第6版网际协议(Internet Protocol Version 6,IPV6)路由。
S303、向待分析路由对应的路由设备发送目标路由前缀,以使得路由设备基于目标路由前缀转发目标数据。
作为一种可能的实现方式,异常路由处理装置可以从网络日志获取待分析路由对应的路由设备的地址,并根据待分析路由对应的路由设备的地址向待分析路由发送目标路由前缀,以使得路由设备基于目标路由前缀转发目标数据。
基于本申请提供的技术方案,异常路由处理装置可以在待分析路由为异常路由的情况下,根据待分析路由的路由前缀生成目标路由前缀,以使得待分析路由基于目标路由前缀转发目标数据。由于目标路由前缀所指向的目标节点为正常节点,且目标路由前缀的优先级大于待分析路由的路由前缀,这样,可以将异常路由优先从目标路由前缀进行转发,避免了异常路由向非法终端转发目标数据,提高了通信网络的安全性。另外,相比于手动处理异常路由,本申请通过上述自动处理流程可以缩短路由异常导致的网络故障时长,降低路由异常造成的影响。
一种可能的实施例,如图4所示,为了确定待分析路由为异常路由,本申请的异常路由处理方法还可以包括下述S401-S402。
S401、获取待分析路由的路由信息。
其中,路由信息包括路由前缀以及自治系统AS路径。还可以包括AS起源(ORIGIN)、下一条节点的地址(NEXT_HOP)、多出口标识符(MULTI_EXIT_DISC)、团体属性(COMMUNITY)等。
作为一种可能的实现方式,异常路由处理装置可以从核心网获取待分析路由的路由日志,并解析待分析路由的路由日志获取待分析路由的路由信息。
S402、根据路由前缀和第二映射关系确定目标AS路径,在AS路径与目标AS路径不同的情况下,确定待分析路由为异常路由。
其中,第二映射关系包括不同路由前缀以及对应的目标AS路径。第二映射关系存储在异常路由处理装置中的标准库中。
作为一种可能的实现方式,异常路由处理装置可以根据路由前缀确定目标路由前缀,并根据从第二映射关系中确定与目标路由前缀具有映射关系的目标AS路径在AS路径与目标AS路径不同的情况下,确定待分析路由为异常路由。
其中,目标路由前缀可以与路由前缀相同,也可以为掩码值小于路由前缀掩码值的路由前缀。
一种示例中,异常路由处理装置可以在目标路由前缀与路由前缀相同、AS路径与目标AS路径不同(如AS路径起源不同)的情况下,确定待分析路由为异常路由。
例如,在待分析路由前缀为10.1.0.0/16(掩码值为16)、AS路径为(300,200,250)的情况下(也即,该AS路径起源为250),若目标路由前缀为10.1.0.0/16,但AS路径为(300,200,100),也即目标AS路径中的AS起源为100,待分析路由的路由前缀的AS路径起源与标准库中该路由的AS路径起源不一致,则该路由发生了路由劫持,异常路由处理装置可以确定待分析路由为异常路由。
又一种示例中,异常路由处理装置可以在目标路由前缀小于路由前缀、AS路径与目标AS路径不同(如AS路径起源不同)的情况下,确定待分析路由为异常路由。
例如,在待分析路由前缀为10.1.0.0/18(掩码值为18)、AS路径为(300,200,250)的情况下(也即,该AS路径起源为250),若目标路由前缀为10.1.0.0/16(掩码值为16),但AS路径为(300,200,100),也即目标AS路径中的AS起源为100,待分析路由的路由前缀的AS路径起源与标准库中该路由的目标AS路径起源不一致,则该路由发生了路由劫持,异常路由处理装置可以确定待分析路由为异常路由。
一种可能的实施例,如图5所示,本申请的异常路由处理方法还可以包括下述S501-S507。
S501、BMP采集系统接收并解析待分析路由的路由信息。
其中,该步骤的详细说明可以参考S401,不予赘述。
S502、BMP采集系统将路由信息存入kafka系统以及数据库。
S503、BMP分析系统获取实时路由信息。
作为一种可能的实施方式,BMP分析系统可以通过kafka系统获取实时路由信息。
S504、BMP分析系统确定待分析路由是否为异常路由。
其中,该步骤的详细说明可以参考S301,不予赘述。
S505、BMP分析系统在确定待分析路由为异常路由的情况下,生成告警信息并在显示界面进行显示。
其中,告警信息的格式可以根据需要设置。例如,可以为文字,也可以为图像。
S506、BMP分析系统在确定待分析路由为正常路由的情况下,在显示界面进行显示。
一种示例中,显示界面内容可以包括待分析路由的路由信息,待分析路由的分析结果等。
S507、BMP分析系统修改路由器的路由前缀(也即修改路由器发布)。
其中,该步骤的详细说明可以参考S302,不予赘述。
本申请上述实施例中的各个方案在不矛盾的前提下,均可以进行结合。
本申请实施例可以根据上述方法示例对异常路由处理装置进行功能模块或者功能单元的划分,例如,可以对应各个功能划分各个功能模块或者功能单元,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块或者功能单元的形式实现。其中,本申请实施例中对模块或者单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用对应各个功能划分各个功能模块的情况下,图6示出了一种异常路由处理装置600的结构示意图,该异常路由处理装置可以为SDN控制器,也可以为应用于SDN控制器中的芯片,该异常路由处理装置600可以用于执行上述实施例中涉及的异常路由处理装置的功能。图6所示的异常路由处理装置600可以包括:确定单元601、处理单元602、发送单元603;确定单元601,用于确定待分析路由是否为异常路由,待分析路由用于转发目标数据;异常路由为路由前缀被篡改路由;处理单元602,用于在待分析路由为异常路由的情况下,根据待分析路由的路由前缀生成目标路由前缀,目标路由前缀所指向的目标节点为正常节点,且目标路由前缀的优先级大于待分析路由的路由前缀的优先级;发送单元603,用于向待分析路由对应的路由设备发送目标路由前缀,以使得路由设备基于目标路由前缀转发目标数据。
可选的,处理单元602,具体用于:确定目标掩码值和目标节点的IP地址;目标掩码值大于待分析路由的路由前缀中的掩码值;在待分析路由为内网路由的情况下,目标节点为非黑洞节点;当待分析路由为外网路由的情况下,目标节点为黑洞节点;内网路由对应的目标掩码值与外网路由对应的目标掩码值不同;将目标掩码值和目标节点的IP地址进行组合,得到目标路由前缀。
可选的,装置还包括获取单元604;获取单元604,用于获取待分析路由的对应的路由设备标识;确定单元601,还用于根据路由设备标识和第一映射关系确定待分析路由的路由类型;路由类型包括内网路由和外网路由;第一映射关系包括多个路由设备标识以及多个路由类型的对应关系。
可选的,确定单元601,具体用于:获取待分析路由的路由信息;路由信息包括路由前缀以及自治系统AS路径;根据路由前缀和第二映射关系确定目标AS路径,在AS路径与目标AS路径不同的情况下,确定待分析路由为异常路由;第二映射关系包括多个路由前缀以及多个AS路径的对应关系。
本申请实施例还提供了一种计算机可读存储介质。上述方法实施例中的全部或者部分流程可以由计算机程序来指令相关的硬件完成,该程序可存储于上述计算机可读存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。计算机可读存储介质可以是前述任一实施例的异常路由处理装置(包括数据发送端和/或数据接收端)的内部存储单元,例如异常路由处理装置的硬盘或内存。上述计算机可读存储介质也可以是上述终端装置的外部存储设备,例如上述终端装置上配备的插接式硬盘,智能存储卡(smart mediacard,SMC),安全数字(secure digital,SD)卡,闪存卡(flash card)等。进一步地,上述计算机可读存储介质还可以既包括上述异常路由处理装置的内部存储单元也包括外部存储设备。上述计算机可读存储介质用于存储上述计算机程序以及上述异常路由处理装置所需的其他程序和数据。上述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
需要说明的是,本申请的说明书、权利要求书及附图中的术语“第一”和“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上,“至少两个(项)”是指两个或三个及三个以上,“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种异常路由处理方法,其特征在于,所述方法包括:
确定待分析路由是否为异常路由,所述待分析路由用于转发目标数据;所述异常路由为路由前缀被篡改路由;
在所述待分析路由为所述异常路由的情况下,根据所述待分析路由的路由前缀生成目标路由前缀,所述目标路由前缀所指向的目标节点为正常节点,且所述目标路由前缀的优先级大于所述待分析路由的路由前缀的优先级;
向所述待分析路由对应的路由设备发送所述目标路由前缀,以使得所述路由设备基于所述目标路由前缀转发所述目标数据。
2.根据权利要求1所述的方法,其特征在于,所述根据所述待分析路由的路由前缀生成目标路由前缀,包括:
确定目标掩码值和所述目标节点的IP地址;所述目标掩码值大于所述待分析路由的路由前缀中的掩码值;在所述待分析路由为内网路由的情况下,所述目标节点为非黑洞节点;当所述待分析路由为外网路由的情况下,所述目标节点为黑洞节点;所述内网路由对应的目标掩码值与所述外网路由对应的目标掩码值不同;
将所述目标掩码值和所述目标节点的IP地址进行组合,得到所述目标路由前缀。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
获取所述待分析路由的对应的路由设备标识;
根据所述路由设备标识和第一映射关系确定所述待分析路由的路由类型;所述路由类型包括内网路由和外网路由;所述第一映射关系包括多个路由设备标识以及多个路由类型的对应关系。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述确定待分析路由为异常路由,包括:
获取所述待分析路由的路由信息;所述路由信息包括所述路由前缀以及自治系统AS路径;
根据所述路由前缀和第二映射关系确定目标AS路径,在所述AS路径与所述目标AS路径不同的情况下,确定所述待分析路由为异常路由;所述第二映射关系包括多个路由前缀以及多个AS路径的对应关系。
5.一种异常路由处理装置,其特征在于,所述装置包括:确定单元、处理单元、发送单元;
所述确定单元,用于确定待分析路由是否为异常路由,所述待分析路由用于转发目标数据;所述异常路由为路由前缀被篡改路由;
所述处理单元,用于在所述待分析路由为所述异常路由的情况下,根据所述待分析路由的路由前缀生成目标路由前缀,所述目标路由前缀所指向的目标节点为正常节点,且所述目标路由前缀的优先级大于所述待分析路由的路由前缀的优先级;
所述发送单元,用于向所述待分析路由对应的路由设备发送所述目标路由前缀,以使得所述路由设备基于所述目标路由前缀转发所述目标数据。
6.根据权利要求5所述的装置,其特征在于,所述处理单元,具体用于:
确定目标掩码值和所述目标节点的IP地址;所述目标掩码值大于所述待分析路由的路由前缀中的掩码值;在所述待分析路由为内网路由的情况下,所述目标节点为非黑洞节点;当所述待分析路由为外网路由的情况下,所述目标节点为黑洞节点;所述内网路由对应的目标掩码值与所述外网路由对应的目标掩码值不同;
将所述目标掩码值和所述目标节点的IP地址进行组合,得到所述目标路由前缀。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括获取单元;
所述获取单元,用于获取所述待分析路由的对应的路由设备标识;
所述确定单元,还用于根据所述路由设备标识和第一映射关系确定所述待分析路由的路由类型;所述路由类型包括内网路由和外网路由;所述第一映射关系包括多个路由设备标识以及多个路由类型的对应关系。
8.根据权利要求5-7中任一项所述的装置,其特征在于,所述确定单元,具体用于:
获取所述待分析路由的路由信息;所述路由信息包括所述路由前缀以及自治系统AS路径;
根据所述路由前缀和第二映射关系确定目标AS路径,在所述AS路径与所述目标AS路径不同的情况下,确定所述待分析路由为异常路由;所述第二映射关系包括多个路由前缀以及多个AS路径的对应关系。
9.一种计算机可读存储介质,其特征在于,所述可读存储介质中存储有指令,当所述指令被执行时,实现如权利要求1-4中任一项所述的方法。
10.一种异常路由处理装置,其特征在于,包括:处理器、存储器和通信接口;其中,通信接口用于所述异常路由处理装置和其他设备或网络通信;所述存储器用于存储一个或多个程序,该一个或多个程序包括计算机执行指令,当该异常路由处理装置运行时,处理器执行该存储器存储的该计算机执行指令,以使该基于异常路由处理装置执行权利要求1-4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311560270.3A CN117439947A (zh) | 2023-11-21 | 2023-11-21 | 异常路由处理方法、装置及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311560270.3A CN117439947A (zh) | 2023-11-21 | 2023-11-21 | 异常路由处理方法、装置及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117439947A true CN117439947A (zh) | 2024-01-23 |
Family
ID=89547982
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311560270.3A Pending CN117439947A (zh) | 2023-11-21 | 2023-11-21 | 异常路由处理方法、装置及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117439947A (zh) |
-
2023
- 2023-11-21 CN CN202311560270.3A patent/CN117439947A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
US11757932B2 (en) | Event driven route control | |
EP2612488B1 (en) | Detecting botnets | |
US9185093B2 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
US10193907B2 (en) | Intrusion detection to prevent impersonation attacks in computer networks | |
US9338657B2 (en) | System and method for correlating security events with subscriber information in a mobile network environment | |
CN101656638B (zh) | 面向误配置的域间前缀劫持检测方法 | |
CN113452594B (zh) | 一种隧道报文的内层报文匹配方法及装置 | |
US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
CN117439947A (zh) | 异常路由处理方法、装置及可读存储介质 | |
US20130318605A1 (en) | System for detecting rogue network protocol service providers | |
CN116015876B (zh) | 访问控制方法、装置、电子设备及存储介质 | |
CN117499267B (zh) | 网络设备的资产测绘方法、设备及存储介质 | |
WO2023222028A1 (zh) | 一种网络编程技术处理方法、系统及存储介质 | |
Bykasov et al. | Trust Model for Active Scanning Methods, Ensuring Their Secure Interaction with Automated Process Control Networks | |
CN115225340A (zh) | 一种网站自动防护方法、装置、设备及存储介质 | |
Acton | Internet Protocols—Advances in Research and Application: 2013 Edition | |
KR20190005429A (ko) | 계층간 네트워크 장치 추적 관리 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |