WO2009018769A1

WO2009018769A1 - Procédé et dispositif réseau de défense contre une attaque par message invalide

Info

Publication number: WO2009018769A1
Application number: PCT/CN2008/071881
Authority: WO
Inventors: Zhiwang Zhao
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2007-08-08
Filing date: 2008-08-05
Publication date: 2009-02-12
Also published as: EP2154813A4; EP2154813A1; US20100107239A1; CN101102183A; CN100579004C

Description

防范无效报文攻击的方法和网络设备技术领域

本发明涉及通信领域，特别涉及一种防范无效报文攻击的方法和网络设备。背景技术

说

现有的网络设备通常包含网络处理器和业务处理层。网络处理器主要完成报文的上送与转发，业务处理层根据网络处理器上送的报文完成相关的业务处理。通常，网络设备需处理哪些类型的报文，网络设备究竟开启了哪些服务，在网络设备的业务层面都有明确的记录，网络设备对需上送业务处理层进行处理的相关业务都非常明确。

书

随着 Internet的发展，组网环境日趋复杂，随之网络攻击、病毒攻击也日益频繁，对网络设备的危害性也日趋严重。 DOS (Denial of Service, 拒绝服务）攻击指攻击者短时间内使用大量数据包或畸形报文向网络设备不断发起连接或请求响应，致使网络设备负荷过重而不能处理合法任务，从而导致网络设备业务异常。针对 DOS攻击，网络设备通常使用流量限制功能进行 DOS攻击防范，流量限制功能主要是限制单位时间内上送网络设备的报文字节数，采用此方法可以有效地缓解 DOS攻击对网络设备带来的影响。

在实现本发明的过程中，发明人发现单纯地使用流量限制功能不能尽早阻止将无效报文上送给网络设备，因而不能有效地方范无效报文对网络设备的攻击。发明内容

为了有效地防范无效报文的攻击，本发明实施例提供了一种防范无效报文攻击的方法和网络设备。所述技术方案如下：

一种防范无效报文攻击的方法，所述方法包括：

网络处理器收到报文后，在业务特征状态表中查找所述报文的匹配信息，根据查找的结果判断所述报文是否有效，如果无效，丢弃所述报文。

本发明实施例还提供了一种网络设备，所述网络设备包括：

网络处理器（201 )，用于接收报文，在业务特征状态表中查找所述报文的匹配信息，根据查找的结果判断所述报文是否有效，如果无效，丢弃所述报文。

本发明实施例提供的技术方案的有益效果是：网络处理器通过业务特征状态表判断报文是否有效，根据判断的结果提前丢弃无效报文，防范了无效报文对网络设备带宽的浪费，提高了网络设备防攻击的性能和安全性能。附图说明

图 1是本发明实施例 1提供的防范无效报文攻击的方法流程图;

图 2是本发明实施例 2提供的网络设备的结构示意图；

图 3是本发明实施例 2提供的另一种网络设备的结构示意图。具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明实施方式作进一步地详细描述。

本发明实施例采用网络设备的业务处理层与网络处理器联动的方法，由网络处理器判断出报文是否有效，将无效报文提前丢弃，提高了网络设备防攻击的性能。

实施例 1

本实施例提供了一种防范无效报文攻击的方法，该方法包括：

网络处理器收到报文后，在业务特征状态表中查找报文的匹配信息，根据查找的结果判断该报文是否有效，如果无效，丢弃该报文。

业务特征状态表可以由业务处理层根据网络设备的业务处理信息生成后再下发给网络处理器，也可以通过人工配置，如由管理员根据网络设备处理业务的情况，为网络处理器配置业务特征状态表。

本实施例优选由网络设备的业务处理层向网络处理器下发业务特征状态表，由业务处理层统一管理网络设备开启的业务信息，并定义携带这些业务信息的报文的业务信息特征码以及开启状态。

例如： S MP ( Simple Network Management Protocol, 简单网络管理协议）报文的业务信息特征码为 UDP (User Datagram Protocol, 用户数据报协议）端口号，即 161 ; DHCP (Dynamic Host Configuration Protocol, 动态主机分配协议）报文的业务信息特征码为 UDP 端口号，即 67或 68。

网络设备的业务处理层将业务特征状态表下发到该网络设备的网络处理器中；网络设备的网络处理器收到业务特征状态表后，保存该业务特征状态表。

参见图 1，上述防范无效报文攻击的方法具体包括以下步骤：

步骤 101 : 网络处理器收到报文后，提取报文的业务信息特征码；步骤 102: 在业务特征状态表中查找是否有与所提取的业务信息特征码匹配的表项，如果有，执行步骤 103，否则，执行步骤 105。

步骤 103 : 检查所匹配表项中的开启状态是否为开启，如果是，则执行步骤 104; 否则，执行步骤 105。

步骤 104: 将该报文上送到业务处理层。

步骤 105 : 网络处理器丢弃该报文。

通过上述方法，网络处理器只对匹配了业务信息特征码，且开启状态为开启的报文进行上送，对不匹配业务信息特征码的报文或匹配了业务信息特征但开启状态为关闭的报文直接进行丢弃，不上送处理。

网络设备的业务处理层通过配置命令可以感知业务的开启状态是否发生变化，可以实时或每隔一段时间（一天或者一周）对配置命令进行检查，当得知某一业务的开启状态发生变化后，将对业务特征状态表中的该业务的开启状态进行更新，并将更新后的业务特征状态表及时下发到网络设备的网络处理器，网络处理器收到更新后的业务特征状态表后，更新自己原有的业务特征状态表，并根据更新后的业务特征状态表对接收到的报文进行判断。

业务特征状态表的更新也可以通过管理员实现，即通过管理员每隔一段时间（一天或者一周）对网络设备处理业务的情况进行调整，人工修改业务特征状态表中的信息。

本发明实施例提到的网络设备可以是防火墙、路由器、以太网交换机或者宽带接入网络设备，但不局限于上述网络设备，也可以为其它网络设备。

本实施例通过网络处理器对报文是否有效进行判断，进而提前丢弃无效报文，防止了无效报文对网络设备带宽的浪费，提高了网络设备防攻击的性能和安全性能。

实施例 2

参见图 2，本实施例提供了一种网络设备，包括：

网络处理器 201，用于接收报文，在业务特征状态表中查找该报文的匹配信息，根据查找的结果判断该报文是否有效，如果无效，丢弃该报文。

其中，网络处理器 201可以包括：

报文特征提取单元 201a，用于接收报文，并提取报文的业务信息特征码；

报文丢弃单元 201b，用于在业务特征状态表中查找与报文特征提取单元 201a提取的业务信息特征码匹配的表项，如果没有匹配表项或所匹配的表项的开启状态为关闭，该报文无效，丢弃该报文。

进一步地，网络处理器 201还可以包括：报文上送单元 201c，用于上送报文的业务信息特征码在业务特征状态表中有匹配表项，且所匹配表项中的开启状态为开启的报文；

相应地，参见图 3，上述网络设备还可以包括：

业务处理模块 202，用于对网络处理器 201上送的报文进行处理。

其中，业务处理模块 202还可以包括：

业务特征状态表生成单元 202a，用于根据网络设备的业务处理信息生成业务特征状态表，该业务特征状态表包括业务信息特征码和开启状态；

业务特征状态表下发单元 202b，用于将业务特征状态表生成单元 202a生成的业务特征状态表下发给网络处理器 201。

进一步地，业务处理模块 202还可以包括：

业务特征状态表更新单元 202c，用于根据配置命令更新业务特征状态表，并通知业务特征状态表下发单元 202b下发更新后的业务特征状态表。

上述实施例通过在网络处理器 201 提前丢弃无效报文，解决了无效报文对网络设备带宽的浪费，提高了网络设备防攻击的性能和安全性能；

网络处理器 201通过与业务处理模块 202进行实时联动，不但可感知网络设备是否可处理某类业务报文，而且可感知此类业务的配置状态，只有在配置状态开启的情况下才上送报文，进一步提高了网络设备防攻击的性能和安全性能。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，所述的存储介质，包括： ROM/RAM、磁碟、光盘等。以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1.一种防范无效报文攻击的方法，其特征在于，所述方法包括：

2.如权利要求 1所述的防范无效报文攻击的方法，其特征在于，所述业务特征状态表包括：

业务信息特征码和开启状态。

3. 如权利要求 2所述的防范无效报文攻击的方法，其特征在于，所述在业务特征状态表中查找所述报文的匹配信息，根据查找的结果判断所述报文是否有效的步骤包括：

提取所述报文的业务信息特征码，在业务特征状态表中查找与所述报文的业务信息特征码匹配的表项，如果没有匹配表项或所匹配的表项的开启状态为关闭，所述报文无效。

4. 如权利要求 2所述的防范无效报文攻击的方法，其特征在于，所述在业务特征状态表中查找所述报文的匹配信息，根据查找的结果判断所述报文是否有效的步骤包括：

提取所述报文的业务信息特征码，在业务特征状态表中查找是否有与所述报文的业务信息特征码匹配的表项；

如果没有匹配表项，所述报文无效；

如果有匹配表项，检查所匹配的表项中的开启状态是否为开启，如果是开启，所述报文有效，上送所述报文；如果是关闭，所述报文无效。

5. 如权利要求 2-4 中任意一项所述的防范无效报文攻击的方法，其特征在于，所述方法还包括：

业务处理层根据配置命令更新业务特征状态表，并将更新后的业务特征状态表下发给所述网络处理器；

所述网络处理器收到所述更新后的业务特征状态表后，更新所述网络处理器的业务特征状态表。

6.—种网络设备，其特征在于，所述网络设备包括: 网络处理器（201 )，用于接收报文，在业务特征状态表中查找所述报文的匹配信息，根据查找的结果判断所述报文是否有效，如果无效，丢弃所述报文。

7. 如权利要求 6所述的网络设备，其特征在于，所述网络处理器（201 ) 包括：报文特征提取单元（201a)，用于接收报文，并提取所述报文的业务信息特征码；报文丢弃单元（201b)，用于在业务特征状态表中查找与所述报文特征提取单元（201a) 提取的业务信息特征码匹配的表项，如果没有匹配表项或所匹配的表项的开启状态为关闭，所述报文无效，丢弃所述报文。

8.如权利要求 6所述的网络设备，其特征在于，所述网络处理器（201 ) 还包括：报文上送单元（201c)，用于上送报文的业务信息特征码在所述业务特征状态表中有匹配表项，且所匹配表项中的开启状态为开启的报文；

相应地，所述网络设备还包括：

业务处理模块（202)，用于对所述网络处理器（201 ) 上送的报文进行处理。

9.如权利要求 8所述的网络设备，其特征在于，所述业务处理模块（202) 还包括：业务特征状态表生成单元（202a)，用于根据所述网络设备的业务处理信息生成业务特征状态表，所述业务特征状态表包括业务信息特征码和开启状态；

业务特征状态表下发单元 (202b)，用于将所述业务特征状态表生成单元（202a) 生成的业务特征状态表下发给所述网络处理器（201 )。

10.如权利要求 9所述的网络设备，其特征在于，所述业务处理模块（202) 还包括：业务特征状态表更新单元（202c)，用于根据配置命令更新所述业务特征状态表，并通知所述业务特征状态表下发单元（202b) 下发更新后的业务特征状态表。