WO2008141584A1

WO2008141584A1 - Message processing method, system, and equipment

Info

Publication number: WO2008141584A1
Application number: PCT/CN2008/071043
Authority: WO
Inventors: Xuefei Tan
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2007-05-22
Filing date: 2008-05-22
Publication date: 2008-11-27
Also published as: CN101060495A; CN100586106C

Description

报文处理方法、系统和设备技术领域

本发明涉及网络通信技术领域，尤其涉及一种报文处理方法、系统和设备。背景技术

随着网络规模的扩大和网络复杂度的提高，网络配置越来越复杂，经常出现计算机位置变化和计算机数量超过可分配 IP ( Internet Protocol , 因特网协议）地址的情况，现有技术通常釆用 DHCP ( Dynamic Host Configuration Protocol , 动态主机西己置协议 ) , 来解决 IP地址动态分配的问题， DHCP具有对重新使用的网络地址进行自动分配和附加配置选项的功能。

DHCP 在应用过程中遇到很多安全方面的问题，攻击者利用 DHCP进行攻击的主要手段包括： DoS ( Denial of Service,拒绝服务）攻击、 DHCP Server 仿冒攻击以及中间人攻击和 IP/MAC ( Media Access Control, 媒体接入控制）欺骗攻击等。其中，中间人攻击和 IP/MAC欺骗攻击主要是由攻击者向受害者发送带有欺骗信息的虚假报文，让受害者学习到该欺骗信息，并根据该欺骗信息进行报文的转发，从而使得受害者无法正常接收或发送报文。

现有技术通常釆用在接入用户终端的网络设备处使能 DHCP Snooping ( Dynamic Host Configuration Protocol Snooping, 动态主机配置协议监听）功能， DHCP Snooping协议栈通过监听 DHCP报文，建立 IP、 MAC, 端口和 VLAN ( Virtual Local Area Network, 虚拟局域网）绑定表；在转发报文时，利用绑定表对 ARP( Address Resolution Protocol, 地址解析协议）文、 IP ^艮文进行检查，解决上述的欺骗攻击安全问题。

图 1是现有技术中釆用 DHCP Snooping解决欺骗攻击安全问题的示意图。如图 1所示，在接入用户终端的网关交换机上，使能 DHCP Snooping功能，则无论是正常用户终端，如用户终端 B, 还是其它可能有攻击行为的用户终端，如用户终端 C, 首先必须通过 DHCP 进行首次 IP地址申请。网关交换机监听申请过程中的所有 DHCP报文，通过分析往来的 DHCP 4艮文，建立图 1所示的 DHCP Snooping 绑定表。那么，当攻击者发起欺骗攻击时，如用户终端 C发起一个免费 ARP报文给 B欺骗用户终端 B说， IP地址为 10.1.1.1网关路由器的 MAC为 C, 那么在网关交换机处将对此 ARP报文进行检测，该 ARP报文携带的信息，包括其源 MAC地址，源 IP地址以及入接口信息，如图 1所示， MAC地址为 C、 IP地址为 10.1.1.1、 PORT (端口）为 E2、 VLAN ( Virtual Local Area Network, 虚拟局域网）为 3 , 去查找绑定表，由于没有对应的表项，因此网关交换机将该报文丟弃，则此欺骗 ARP报文将无法到达其它任何用户终端，包括用户终端 B , 从而制止了用户终端 C的攻击行为。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：现有技术中釆用 DHCP Snooping解决攻击者攻击的方法中，由于对攻击者的行为没有任何记录，因此，无法有效跟踪攻击者的具体行为和信息，从而导致故障的定位和排除非常困难。发明内容

本发明实施例提供一种报文处理方法、系统和设备，以解决现有技术中釆用 DHCP Snooping解决报文攻击安全问题时，对攻击者的行为没有跟踪记录，故障定位排除困难的缺陷。

为达上述目的，本发明实施例提供了一种报文处理方法，包括：接收用户终端发送的报文，所述报文携带标识信息；

根据所述标识信息确定是否命中正常绑定表项；

当未命中时，将所述标识信息存储在黑名单绑定表项中。

本发明实施例还提供了一种报文处理系统，包括：

用户终端，用于向网络设备发送报文，所述报文携带标识信息；网络设备，用于判断所述报文是否命中正常绑定表项，当未命中时，将所述标识信息存储在黑名单绑定表项中。

本发明实施例还提供了一种网络设备，包括：

报文判断单元，用于判断所接收的报文是否命中正常绑定表项；信息存储单元，用于当所述报文未命中所述正常绑定表项时，将所述报文的标识信息进行存储。

与现有技术相比，本发明实施例增加了黑名单绑定表项，可以有效跟踪攻击者的具体行为和信息，方便了故障的定位和排除。附图说明

图 1是现有技术中釆用 DHCP Snooping解决欺骗攻击安全问题的示意图；

图 2是本发明实施例一的报文处理方法流程图；

图 3是本发明实施例二的报文处理方法流程图；

图 4是本发明实施例绑定表信息异常丟失的示意图；

图 5是本发明实施例设置黑名单绑定表项的示意图；

图 6是本发明实施例重新建立绑定表项的示意图；

图 7是本发明实施例三的报文处理方法流程图；

图 8是本发明实施例一种报文处理系统的示意图。具体实施方式

本发明实施例提供了一种报文处理方法。现有技术中的绑定表只包括有 KEY, 如图 1中所示的源 MAC、源 IP、 PORT和 VLAN, 本发明的实施例在保持现有技术 KEY不变的基础上，增加了两个字段，其中一个字段用来表示该绑定表项的类型，一类是正常 DHCP Snooping绑定表项，另一类是非正常 DHCP Snooping绑定表项，由于某报文没有命中正常绑定表项而从该报文中提取相关信息创建的绑定表项，也称为黑名单绑定表项；另一个字段用来表示该黑名单绑定表项被命中的频率。通过对用户终端 100的信息在黑名单绑定表项被命中频率的统计，从而有效监控攻击者的行为和信息。本发明实施例釆用一个字段来标识同一绑定表中的正常绑定表项和黑名单绑定表项，当然，在实绑定表项的信息。

本发明实施例一的报文处理方法的流程图，如图 2所示，包括以下步骤：

步骤 S201 , 网络设备 200接收用户终端 100发送的报文，该报文中携带标识信息。该报文包括用户终端 100的正常上网报文，当然也可能存在攻击者发送的攻击报文。

步骤 S202, 网络设备 200根据该标识信息确定是否命中正常绑定表项。

网络设备 200所接收的报文中包括用户终端 100 的正常上网报文，但是也可能存在攻击者发送的攻击报文，网络设备 200需要对所接收的报文进行辨别。

由于在网络设备 200的入端口使能了 DHCP Snooping功能，因此，网络设备 200需要对所有接收到的报文进行分析判断，解析所接收才艮文的标识信息，该标识信息包括^艮文的：源 MAC地址、源 IP 地址、 PORT和 VLAN, 然后将该源 MAC地址、源 IP地址、 PORT 和 VLAN与网络设备 200正常绑定表项中对应的源 MAC地址、源 IP 地址、 PORT和 VLAN信息进行匹配。也就是说，网络设备 200根据所接收报文的标识信息，查找正常绑定表项中有无对应的信息，若查找到对应信息，则信息匹配成功；若没有查找到对应信息，则信息匹配不成功。若信息匹配成功，则称命中正常绑定表项；若信息匹配不成功，则称没有命中正常绑定表项。本发明实施例中是将报文标识信息中的源 MAC地址、源 IP地址、 PORT和 VLAN进行匹配，当然，在实际应用中，用来进行匹配的标识信息也可根据具体需要，在源 MAC地址、源 IP地址、 PORT和 VLAN之间进行任意搭配。

步骤 S203 , 当未命中时，网络设备 200将该标识信息存储在黑名单绑定表项中。

当网络设备 200接收到的报文未命中正常绑定表项时，网络设备 200从没命中正常绑定表项的报文中提取源 MAC地址、源 IP地址、 PORT和 VLAN信息，并将该些源 MAC地址、源 IP地址、 PORT和 VLAN信息存储在黑名单绑定表项的对应各表项中。并且网络设备 200记录该没命中正常绑定表项报文的接收时间和命中次数，通过记录的接收时间和命中次数计算出该非正常报文的发送频率，并将计算出的发送频率存储在黑名单绑定表项中用来存储频率信息的字段中。

上述本发明的实施例，在现有绑定表的基础上增加黑名单绑定表项类型，用来存储没命中正常绑定表项的报文的相关信息，并且通过对报文命中黑名单绑定表项的频率进行统计，从而可实现对攻击者的攻击行为和信息进行有效跟踪和监控。

在实际应用中，也会出现用户终端 100发送的正常报文无法命中网络设备 200正常绑定表项的情况，例如：网络设备 200中正常绑定表项信息的异常丟失。网络设备 200正常绑定表项信息异常丟失的原因有很多种，包括：

由于一个网络设备 200上要接入大量的用户终端 100,而用于存放正常绑定表项的空间有限，因此，需要对长期没有命中的正常绑定表项项进行删除；

或者，由于使能 DHCP Snooping功能的网络设备 200重新启动，而原正常绑定表项保存恢复过程中发生部分数据丟失；

或者，使能 DHCP Snooping功能的网络设备 200由于自身内部通信原因，而造成的正常绑定表项中的数据丟失；

再或者，网络设备 200的一个端口上一旦使能 DHCP Snooping功能，那么在使能前已经通过 DHCP获得 IP地址的用户终端 100将在网络设备 200中没有 DHCP绑定表项，此时也可以理解为该用户终端 100的绑定表数据异常丟失。

现有技术中釆用 DHCP Snooping对报文进行监听，一旦用户终端 100通过 DHCP动态申请 IP地址成功以后，能否上网，完全取决于用户终端 100报文的相关信息能否与网络设备 200正常绑定表项中某一项匹配，如果不匹配，用户终端 100 ^艮文将被丟弃，用户终端 100将无法上网。在由于上述正常绑定表项异常丟失，导致用户终端 100无法正常上网的情况下，如果用户终端 100需要继续上网，则只能通过手工触发用户终端 100重新通过 DHCP进行 IP地址申请，或者等目前申请的 IP地址过期后再上网。

所谓手工触发用户终端 100重新通过 DHCP进行 IP地址申请，是指用户终端 100释放现有的 IP地址，然后向网络设备 200重新发送 IP地址申请请求；通过重新发送 IP地址申请，用户终端 100重新获得新的 IP地址，同时在网络设备 200上建立新的绑定表信息。手工触发用户终端 100重新进行 IP地址申请，需要用户终端 100首先感知到已无法正常上网的情况，但是在实际应用中，从用户终端 100 无法正常上网到用户终端 100感知到无法正常上网的时间会比较长，因此会导致较长时间的用户终端 100上网中断。

所谓等目前申请的 IP地址过期后再上网，是指等用户终端 100 目前申请的 IP地址过期后，用户终端 100会检测到 IP地址过期，然后自动向网络设备 200发送 IP地址申请请求；通过重新发送 IP地址申请，用户终端 100重新获得新的 IP地址，同时在网络设备 200上建立新的绑定表信息。等目前申请的 IP地址过期后再上网，显然更需要用户终端 100等待较长的时间，从而会导致用户终端 100长时间的上网中断。

针对上述的问题，本发明实施例二在网络设备 200接收到用户终端 100发送的报文无法命中正常绑定表项的情况下，主动向用户终端 100发送 IP地址不可用信息，触发用户终端 100向网络设备 200重新发送 IP地址申请请求，立即申请新的 IP地址，快速恢复上网。如图 3所示，为本发明实施例二的报文处理方法流程图，包括以下步骤：

步骤 S301 ,网络设备 200接收用户终端 100发送的报文无法命中正常绑定表项。

在网络设备 200上由于前述的某种原因，或者其它原因，导致网络设备 200的正常绑定表项信息丟失，则一般用户终端 100无法感知此情况的发生，甚至很有可能都不知道在网络设备 200上使能了 DHCP Snooping功能。此时，用户终端 100会继续正常上网，并向网络设备 200发送 ^艮文，该发送的^艮文包括两种类型：一种是用户终端 100正常上网的数据报文，如 IP报文或 ARP报文等；另一种是由于 IP租约期将至，用户终端 100发送的租期续约请求报文。

网络设备 200从所接收的报文中提取源 MAC地址、源 IP地址、 PORT和 VLAN信息，然后将该源 MAC地址、源 IP地址、 PORT和 VLAN

PORT和 VLAN信息进行匹配，无法匹配成功，也即用户终端 100发送的报文没有命中网络设备 200的正常绑定表项。

例如，如图 4所示的本发明实施例绑定表信息异常丟失示意图。用户终端 100B向网关交换机发送报文，该报文中携带有用户终端 100 的源 IP地址和源 MAC地址信息，源 IP地址信息为： 10.1.1.2, 源 MAC 地址信息为： B。网关交换机接收到该报文后，从中提取源 MAC地址信息和源 IP地址信息，再加上网关交换机的端口信息，也即网关交换机的端口号和 VLAN信息，去查找绑定表中的对应信息。但是，由于网关交换机中对应用户终端 100B的绑定表信息丟失，因此无法查找到绑定表中的对应信息，也就无法命中绑定表。

步骤 S302, 网络设备 200将没命中正常绑定表项的报文标识信息存储在黑名单绑定表项中。源 IP地址、 PORT和 VLAN信息，并将该些源 MAC地址、源 IP地址、 PORT和 VLAN信息存储在黑名单绑定表项中。并且网络设备 200在黑名单绑定表项中，记录该没命中正常绑定表项报文的接收时间和命中次数，通过记录的接收时间和命中次数计算出该没命中正常绑定表项的报文发送频率，并将计算出的发送频率存储在黑名单绑定表项中用来存储频率信息的字段中。

仍以步骤 S301中的举例为例，用户终端 100B发送的报文没能命中网关交换机的绑定表，因此该报文被网关交换机判定为非正常报文。网关交换机会对应绑定表中的存储表项，从该报文中提取源 IP 地址、源

MAC地址信息、端口号和 VLAN等信息，将该些信息存入绑定表的对应表项中。网关交换机还会记录该报文的接收时间和当前命中次数，通过记录的接收时间和命中次数计算出该没命中正常绑定表项的报文发送频率，并将计算出的发送频率存储在黑名单绑定表项中用来存储频率信息的字段中。在黑名单绑定表项中建立一个字段来标识该段绑定表信息的类型，即非正常报文。举例来说，该黑名单绑定表项如图 5中所示，在绑定表中建立 BLK字段，在该 BLK字段中设置不同的标识，代表该段绑定表的不同类型。 Y代表该段绑定表为正常绑定表项， N代表该段绑定表为黑名单绑定表项；并在绑定表中建立一个 RATE (频率）字段，将计算出没命中正常绑定表项的报文发送频率存储在 RATE字段中。

步骤 S303 , 网络设备 200向用户终端 100发送 IP地址不可用信息。网络设备 200向用户终端 100发送 IP地址不可用信息，以告知该用户终端 100当前的 IP地址已经不可用。用户终端 100接收到网络设备 200发送的 IP地址不可用信息后，得知当前的 IP地址已经不能再使用，用户终端 100若再使用当前的 IP地址已不能再上网。若用户终端 100需要继续上网，可以向网络设备 200重新发送 IP地址申请请求，重新申请新的 IP地址。

接续步骤 S302中的举例，网关交换机将该没命中正常绑定表项的报文重定向到 DHCP Snooping功能模块，并由 DHCP Snooping功能模块向用户终端 100B发送一个 DHCPNAK报文，仿冒 DHCP服务器告知用户终端 100B其 IP地址不可用。 DHCPNAK, 是 DHCP服务器用来告诉用户终端 100其 IP地址已经不正确，或租约期时间过期，而向用户终端 100发送的报文。如果用户终端 100B收到 DHCPNAK消息后，它将不再使用原有的 IP地址，而重新启动 DHCP配置流程来重新申请新的 IP地址。步骤 S304 , 用户终端 100接收到 IP地址不可用信息后，向网络设备 200重新发送 IP地址申请请求。

用户终端 100接收到网络设备 200发送的 IP地址不可用信息后，得知当前的 IP地址已经不能再使用，用户终端 100若再使用当前的 IP地址已不能再上网。若用户终端 100需要继续上网，则可以向网络设备 200重新发送 IP地址申请请求，重新申请新的 IP地址。网络设备 200按照正常的 DHCP Snooping流程，通过监听用户终端 100发送的 DHCP报文，重新建立针对该用户终端 100的绑定表，则该用户终端 100在申请 IP地址成功之后可以照常上网了。

接续步骤 S303中的举例，用户终端 100B接收到网关交换机发送的 DHCPNAK报文后，得知当前的 IP地址已经不能再使用，于是按照 DHCP流程，用户终端 100B向网关交换机重新发起首次 IP地址申请的请求。网关交换机按照正常的 DHCP Snooping流程，通过监听用户终端 100B发送的 DHCP报文，重新建立针对用户终端 100B的绑定表项，如图 6所示，图 6是本发明实施例重新建立绑定表项的示意图，该重新建立的绑定表项包括源 IP地址、源 MAC地址、端口号、 VLAN和 BLK 等信息，由于用户终端 100B在网关交换机上重新建立的绑定表项属于正常绑定表项，绑定表项中的 BLK标识为 Y, 而 RATE表项是用来记录没命中正常绑定表项的报文的频率信息，因此该重新建立的绑定表项中也就不存在 RATE信息，也可认为 RATE信息为空。用户终端 100B 在申请新的 IP地址成功之后即可照常上网了。

上述本发明的实施例，在网络设备 200接收到的报文无法命中正常绑定表项的情况下，主动向用户终端 100发送 IP地址不可用信息，从而能够触发因网络异常导致无法正常上网的用户终端 100重新发起 IP地址申请流程，即可快速恢复上网功能，大大提高了网络服务质量。

但是，考虑到实际应用中，攻击者会向网络设备 200频繁发送无法通过 DHCP Snooping认证的报文，由于该报文无法命中正常绑定表项，按照本发明实施例二的流程，网络设备 200则会频繁向用户终端 100发送 IP地址不可用信息，从而会增加网络设备 200的处理工作量，降低系统性能。

针对上述问题，本发明实施例三对前述的实施例进行改进，在网络设备 200中设定一个阀值，将黑名单绑定表项中的报文发送频率和该阀值进行比较，当报文发送频率大于阀值的时候，网络设备 200则停止向发送该文的用户终端 100发送 IP地址不可用信息。当然，上述阀值可以预先在网络设备 200上设定好，也可在实际应用中根据具体情况进行修改，重新设定。

如图 7所示，是本发明实施例三的报文处理方法流程图，具体包括以下步骤：

步骤 S701 ,网络设备 200接收用户终端 100发送的报文无法命中正常绑定表项。该步骤的具体实施过程与前述相同，在此不再多述。

步骤 S702, 网络设备 200将没命中正常绑定表项的报文标识信息存储在黑名单绑定表项中。该步骤的具体实施过程与前述相同，在此也不再多述。

步骤 S703，网络设备 200根据黑名单绑定表项中的频率信息判断是否向用户终端 100发送 IP地址不可用信息。

该频率信息是网络设备 200根据记录报文的发送时间和命中次数计算出来的，网络设备 200每收到一次该没命中正常绑定表项的报文，则记录该报文的发送时间和命中次数，然后根据记录的发送时间和命中次数计算出该报文的频率信息。网络设备 200将该频率和设定的阀值进行比较，若该频率小于阀值，则网络设备 200向用户终端 100发送 IP地址不可用信息；若该频率大于阀值，则网络设备 200停止向用户终端 100发送 IP地址不可用信息。网络设备 200将发送频率大于阀值的报文判定为攻击报文，网络设备 200对该攻击报文直接丟弃，不做再任何处理。

上述本发明的实施例，将发送频率大于设定的阀值的报文判定为攻击 4艮文，并停止向发送攻击文的用户终端 100发送 IP地址不可用信息，可有效避免攻击者的频繁攻击。

本发明的实施例还提供了一种报文处理系统，如图 8所示，包括：用户终端 100和网络设备 200。其中，用户终端 100 , 用于向网络设备 200发送报文。

网络设备 200 , 用于将所接收报文中，没命中正常绑定表项的报文标识信息存储在黑名单绑定表项中。

其中，网络设备 200包括： 4艮文判断单元 210和信息存储单元 220。文判断单元 210 , 用于获取接收的^艮文携带的标识信息，以该标识信息为关键字查找绑定表，确定接收的报文是否命中正常绑定表项。报文判断单元 210根据所接收报文的标识信息，查找正常绑定表项中有无对应的信息，若查找到对应信息，则信息匹配成功；若没有查找到对应信息，则信息匹配不成功。若信息匹配成功，则命中正常绑定表项；若信息匹配不成功，则没有命中正常绑定表项。信息存储单元 220 , 用于在所述绑定表中的黑名单绑定表项中，存储没命中正常绑定表项的报文标识信息。网络设备 200从没命中正常绑定表项的报文中提取相关信息，并将该些信息存入信息存储单元 220的对应表项中。

信息存储单元 220包括：标识信息存储子单元 221、记录子单元

222、频率计算子单元 223和频率存储子单元 224。标识信息存储子单元 221 , 用于存储没命中绑定表报文的标识信息。记录子单元 222, 连接标识信息存储子单元 221 , 用于记录没命中绑定表报文的接收时间和命中次数。频率计算子单元 223 , 连接记录子单元 222, 用于根据记录子单元 222 中所记录报文的接收时间和命中次数计算没命中绑定表报文的发送频率。频率存储子单元 224, 连接频率计算子单元

223 , 用于存储没命中绑定表报文的发送频率。

本发明另一实施例在上述网络设备 200的基础上，增设了信息发送单元 230和频率比较单元 240。信息发送单元 230, 连接信息存储单元 220,用于向用户终端 100发送 IP地址不可用信息。频率比较单元 240, 连接信息存储单元 220, 用于将信息存储单元 220中没命中绑定表报文的发送频率和设定的阀值进行比较，作为是否向用户终端 100发送 IP地址不可用信息的依据，当报文的发送频率小于设定的阀值时，通知信息发送单元 230向用户终端 100发送 IP地址不可用信本发明的实施例增加了一种黑名单绑定表项类型，可以有效跟踪攻击者的具体行为和信息，了解攻击者的攻击频率，以及主要攻击对象。本发明的实施例中，在用户终端 100的报文无法命中绑定表，从而导致用户终端 100无法正常上网的情况下，可以主动触发用户终端 100重新发起地址申请流程，即可快速恢复上网功能，大大提高了网络服务质量。本发明实施例中的网络设备 200包括交换机、路由器等具有报文处理能力的网络设备 200。且本发明实施例中对应的软件可以存储在一个计算机可读取存储介质中。

以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims

权利要求

1、一种报文处理方法，其特征在于，包括：

接收（201 )用户终端发送的报文，所述报文携带标识信息；获取 ( 202 )所述标识信息，以所述标识信息为关键字查找（ 202 ) 绑定表；

当未命中所述绑定表中的正常绑定表项时，将所述标识信息存储 ( 203 , 302, 702 )在所述绑定表中的黑名单绑定表项中。

2、如权利要求 1所述方法，其特征在于，所述将所述标识信息存储（203 , 302, 702 )在所述绑定表中的黑名单绑定表项之后，还包括：向用户终端发送（303 ) IP地址不可用信息。

3、如权利要求 1所述方法，其特征在于，所述将所述将标识信息存储（203 , 302, 702 )在所述绑定表中的黑名单绑定表项中之后，还包括：记录（703 )所述报文的发送频率，将所述发送频率与阀值进行比较（ 703 ) ,当所述发送频率小于阀值时，向用户终端发送（703 ) IP地址不可用信息。

4、如权利要求 3所述方法，其特征在于，所述记录（703 )所述报文的发送频率具体包括：

记录所述报文的接收时间和命中次数；

根据所述接收时间和命中次数计算所述报文的发送频率；将所述发送频率存储在所述黑名单绑定表项中。

5、如权利要求 4所述方法，其特征在于，将所述发送频率存储 ( 702 )在所述黑名单绑定表项中具体为：将所述发送频率存储（ 304 ) 在黑名单绑定表项的频率字段中。

6、如权利要求 1所述方法，其特征在于，所述绑定表包含绑定表项类型字段，标识正常绑定表项和黑名单绑定表项。

7、如权利要求 1所述方法，其特征在于，所述标识信息包括：所述报文的源媒体接入控制 MAC地址、源 IP地址、端口 PORT和虚拟局域网 VLAN。

8、一种报文处理系统，其特征在于，所述系统包括网络设备 ( 200 ) , 用于与用户终端（100 )通信，具体为：

接收用户终端（100 )发送的报文，所述报文携带标识信息；获取所述标识信息，以所述标识信息为关键字查找绑定表；当未命中所述绑定表中的正常绑定表项时，将所述标识信息存储在所述绑定表中的黑名单绑定表项中。

9、如权利要求 8所述报文处理系统，其特征在于，所述网络设备（200 )还用于在将所述标识信息存储在所述绑定表中的黑名单绑定表项之后，向用户终端（100 )发送 IP地址不可用信息。

10、如权利要求 8所述报文处理系统，其特征在于，所述网络设备（200 )还用于在将所述将标识信息存储在所述绑定表中的黑名单绑定表项中之后，记录所述报文的发送频率，将所述发送频率与阀值进行比较，当所述发送频率小于阀值时，向用户终端（ 100 )发送 IP 地址不可用信息。

11、一种网络设备（200 ) , 其特征在于，包括：

报文判断单元（210 ) , 用于获取接收的报文携带的标识信息，以所述标识信息为关键字查找绑定表，确定所述报文是否命中正常绑定表项；

信息存储单元（220 ) , 用于当所述报文未命中所述正常绑定表项时，将所述报文的标识信息存储在所述绑定表中的黑名单绑定表项中。

12、如权利要求 11所述网络设备（200 ) , 其特征在于，所述信息存储单元（ 220 ) 包括：

标识信息存储子单元（221 ) , 用于存储所述 "^文的标识信息；记录子单元（222 ) , 用于记录所述报文的接收时间和命中次数；频率计算子单元（223 ) ，与所述记录子单元（222 )通信，用于根据所述接收时间和命中次数计算所述报文的发送频率；

频率存储子单元（224 ) ，与所述频率计算子单元（223 )通信，用于将所述发送频率存储在所述黑名单绑定表项中。

13、如权利要求 11所述网络设备（200 ) , 其特征在于，所述网络设备 ( 200 )还包括：信息发送单元（ 230 ) , 用于向用户终端（ 100 ) 发送 IP地址不可用信息。

14、如权利要求 13所述网络设备（200 ) , 其特征在于，所述网络设备（ 200 )还包括频率比较单元（ 240 ) ,与所述信息存储单元（ 220 ) 通信，用于将所述报文的发送频率和设定的阀值进行比较，当所述报文的发送频率小于所述阀值时，通知所述信息发送单元（230 ) 向用户终端（ 100 )发送 IP地址不可用信息。

15、一种网关交换机，其特征在于，包括：

16、一种计算机程序，其特征在于，包括若干指令用以执行前述权利要求 1-7任意一项所述的报文处理方法。

17、一种存储介质，其特征在于，存储权利要求 16所述的计算机程序。

18、一种计算机设备，其特征在于，包括用以执行权利要求 16 所述的计算机程序的软件及与软件配合的硬件。