本公开涉及网络通信技术领域,尤其涉及一种防攻击方法以及装置,用以在对协议报文进行防攻击统计时,将一层VLAN统计和二层VLAN统计结合,在基于一层VLAN进行粗略统计达到一定阈值后,再基于二层VLAN进行精确统计,实现对待统计协议报文的精确统计。防攻击方法包括:在接收到待统计协议报文后,检测与待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值;如果未达到第一统计阈值,则对待统计协议报文进行一层VLAN统计;如果达到第一统计阈值,则对待统计协议报文进行二层VLAN统计,并在二层VLAN的统计报文数量达到第二统计阈值时,将待统计协议报文作为攻击报文进行防攻击处理。
【技术实现步骤摘要】
一种防攻击方法以及装置
本公开涉及网络通信
,尤其涉及一种防攻击方法以及装置。
技术介绍
宽带远程接入服务器(BroadbandRemoteAccessServer,BRAS)是一种面向宽带网络应用的接入网管,是宽带接入网和骨干网之间的桥梁,为宽带接入网提供基本的接入手段和管理功能;不论是宽带接入网中的用户向骨干网侧发送数据包,还是骨干网侧的用户向宽带接入网中发送数据包,都会被汇聚至BRAS,通过BRAS进行转发,导致BRAS很容易遭受到攻击。双层虚拟局域网(DoubleVirtualLocalAreaNetwork,QINQ)实现将用户私网虚拟局域网(VirtualLocalAreaNetwork,VLAN)标签封装在公网VLAN标签中,使报文带着两层VLAN标签穿越运营商的骨干网络。其中,用户私网VLAN又称二层VLAN,公网VLAN又称一层VLAN。VLAN是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。一种能够精确识别攻击报文的防攻击方法成为目前亟待解决的问题。
技术实现思路
本公开实施例提供一种防攻击方法以及装置,能够精确识别攻击报文。第一方面,提供一种防攻击方法,应用于宽带远程接入服务器BRAS,该方法包括:在接收到主机发送的待统计协议报文后,检测与所述待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值;如果未达到所述第一统计阈值,则对所述待统计协议报文进行一层VLAN统计;所述一层VLAN连接有多个二层VLAN;每个二层VLAN连接有多个主机;如果达到所述第一统计阈值,则对所述待统计协议报文进行二层VLAN统计,并在二层VLAN的统计报文数量达到第二统计阈值时,将所述待统计协议报文作为攻击报文进行防攻击处理。第二方面,提供一种防攻击装置,应用于宽带远程接入服务器BRAS,该装置包括:检测模块,用于在接收到主机发送的待统计协议报文后,检测与所述待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值;一层VLAN统计模块,用于在所述检测模块的检测结果为未达到所述第一统计阈值时,对所述待统计协议报文进行一层VLAN统计;所述一层VLAN连接有多个二层VLAN;每个二层VLAN连接有多个主机;二层VLAN统计模块,用于在所述检测模块的检测结果为达到所述第一统计阈值时,对所述待统计协议报文进行二层VLAN统计;防攻击处理模块,用于在二层VLAN的统计报文数量达到第二统计阈值时,将所述待统计协议报文作为攻击报文进行防攻击处理。本公开实施例中,在接收到待统计协议报文后,检测与待统计协议报文对应的一层VLAN的统计报文数量是否达到第一统计阈值,如果达到,则对待统计协议报文进行一层VLAN统计;如果未达到,则对待统计协议报文进行二层VLAN统计,并在对待统计协议报文进行二层VLAN统计的统计报文数量达到第二统计阈值时,将待统计协议报文作为攻击报文进行防攻击处理,从而将一层VLAN统计和二层VLAN统计结合,在基于一层VLAN进行粗略统计达到一定阈值后,再基于二层VLAN进行精确统计,能够实现对待统计协议报文的精确统计。另外,由于在对协议报文进行一层VLAN粗略统计达到一定阈值后,才会对其进行二层VLAN精确统计,而在同一时刻大部分用户所发起的协议报文为攻击报文的概率是非常小的,因此不需要为每一个用户都建立对应的防攻击统计表项,仅仅为部分进行一层VLAN统计达到一定阈值的用户建立防攻击统计表项,较之只对协议报文进行二层VLAN统计,大大减小了基于二层VLAN进行统计时所生成的防攻击统计表项的数量,使得精确化的防攻击统计得以实现。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。图1示出现有技术一种BRAS认证的接入组网示意图;图2示出本公开实施例所提供的一种防攻击方法的流程示意图;图3示出本公开示例三提供的防攻击方法的流程示意图;图4示出本公开实施例所提供的一种防攻击装置的结构示意图;图5示出本公开实施例所提供的另外一种防攻击装置的结构示意图。具体实施方式由于在宽带接入网中的用户和骨干网侧的用户在进行数据通信的时候,数据包会被汇聚至BRAS,通过BRAS对数据包进行转发,导致BRAS很容易遭受到攻击。例如在宽带接入网中的某个非法用户拨号上网的时候,由于该非法用户一直无法成功连接骨干网,会持续向BRAS发起请求;该连接请求不断以数据包的形式被汇聚到BRAS,BRAS需要不断的基于该请求判定该非法用户的合法性,计算资源会被大量占用,影响BRAS对其它合法用户所发送的协议的响应能力。为了防攻击,BRAS需要配套支持很多防攻击特性,使得BRAS能够对接收到的协议报文进行筛选,将其中的攻击报文过滤掉。在相关技术中,多采用QINQ对用户进行隔离,同时在BRAS上配置使能支持两层虚拟局域网(VirtualLocalAreaNetwork,VLAN)识别功能,并基于其中一层VLAN或者基于两层VLAN,建立防攻击临时统计表项,以实现对攻击报文的筛选。在上述过程中,基于一层VLAN对攻击报文的筛选不能对BRAS接收到的攻击报文进行精细化的识别,无法达到精确识别攻击报文以防止攻击的目的。基于两层VLAN对攻击报文进行筛选,虽然解决了基于一层VLAN筛选时无法精细化识别的问题,但随着宽带接入网中的用户不断增加,所生成的防攻击统计表项会成非常庞大,基于数量庞大的表项来对协议报文进行统计筛选显然是不现实的。如图1所示的BRAS认证的接入组网中,用户(personalcomputer,PC)1和PC2通过局域网交换机(LocalAreaNetworkSwitch,LSW)接入BRAS;其中PC1通过LSW1和LSW3接入BRAS,PC2通过LSW2和LSW3接入BRAS;LSW3为双层虚拟局域网中的一层VLAN,LSW1和LSW2分别为双层虚拟局域网中的两个二层VLAN;两个二层VLAN均通过一层VLAN与BRAS隔离。BRAS如果采用二层VLAN统计对协议报文中的攻击报文进行识别,假设BRAS连接有2000个一层VLAN;通过该一层VLAN隔离的二层VLAN又连接有3000个用户,那么最终所形成的二层防攻击临时统计表项的数量有2000乘以3000,达到6000000个,数量非常庞大,基于数量如此庞大的表项进行统计显然是不现实的。如果采用一层VLAN统计对协议报文中的攻击报文进行识别,BRAS在接收到主机所发送的协议报文后,会根据协议报文中所携带的LSW3的标识、用户的MAC地址、以及接收到该协议报文的报文接收端口,从当前已经创建的防攻击临时统计表中查找是否有与该待统计协议报文对应的防攻击临时统计表项;如果无,则创建防攻击临时统计表项;如果有,则将当前防攻击临时统计表项中的第一统计位加1;然后并判断当前第一统计位的数值是否达到预设的阈值,如果达到,则将该待统计本文档来自技高网...
【技术保护点】
一种防攻击方法,应用于宽带远程接入服务器BRAS,其特征在于,该方法包括:在接收到主机发送的待统计协议报文后,检测与所述待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值;如果未达到所述第一统计阈值,则对所述待统计协议报文进行一层VLAN统计;所述一层VLAN连接有多个二层VLAN;每个二层VLAN连接有多个所述主机;如果达到所述第一统计阈值,则对所述待统计协议报文进行二层VLAN统计,并在二层VLAN的统计报文数量达到第二统计阈值时,将所述待统计协议报文作为攻击报文进行防攻击处理。
【技术特征摘要】
1.一种防攻击方法,应用于宽带远程接入服务器BRAS,其特征在于,该方法包括:在接收到主机发送的待统计协议报文后,检测与所述待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值;如果未达到所述第一统计阈值,则对所述待统计协议报文进行一层VLAN统计;所述一层VLAN连接有多个二层VLAN;每个二层VLAN连接有多个所述主机;如果达到所述第一统计阈值,则对所述待统计协议报文进行二层VLAN统计,并在二层VLAN的统计报文数量达到第二统计阈值时,将所述待统计协议报文作为攻击报文进行防攻击处理。2.根据权利要求1所述的方法,其特征在于,检测与所述待统计协议报文对应的一层VLAN的统计报文数量,具体包括:根据所述待统计协议报文携带的介质访问控制MAC地址和一层VLAN标识,以及所述待统计协议报文的接收端口标识,检测具有所述MAC地址、一层VLAN标识、以及所述接收端口标识的已统计协议报文的数量;将检测出的已统计协议报文的数量确定为与所述待统计协议报文对应的一层VLAN的统计报文数量。3.根据权利要求1或2所述的方法,其特征在于,所述对所述待统计协议报文进行一层VLAN统计,具体包括:根据所述待统计协议报文携带的MAC地址和一层VLAN标识,以及所述待统计协议报文的接收端口标识,获取具有相同MAC地址、一层VLAN标识、以及所述接收端口标识的已统计协议报文的数量;将所述已统计协议报文的数量加1。4.根据权利要求1或2所述的方法,其特征在于,所述对所述待统计协议报文进行二层VLAN统计,具体包括:根据所述待统计协议报文携带的MAC地址、一层VLAN标识和二层VLAN标识,以及所述待统计协议报文的接收端口标识,获取具有所述MAC地址、一层VLAN标识、二层VLAN标识以及所述接收端口标识的已统计协议报文的数量;将所述已统计协议报文的数量加1。5.根据权利要求1所述的方法,其特征在于,将所述待统计协议报文作为攻击报文进行防攻击处理,具体包括:根据所述待统计协议报文中携带的MAC地址、一层VLAN标识、二层VLAN标识以及接收到该待统计协议报文的接收端口标识,生成防攻击表项,以使得所述BRAS基于所述防攻击表项精确识别所述攻击报文。6.一...
【专利技术属性】
技术研发人员:王阳,廖以顺,章靠,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。