本发明专利技术提供了一种地址解析协议报文的处理方法及装置,其中,该方法包括:接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。通过本发明专利技术,解决了相关技术中在出现ARP报文攻击时影响上送正常报文的技术问题。
【技术实现步骤摘要】
地址解析协议报文的处理方法及装置
本专利技术涉及通信领域,具体而言,涉及一种地址解析协议报文的处理方法及装置。
技术介绍
对网络通信设备而言,控制处理器对转发处理器上送的协议报文处理具有一定的带宽限制,一旦出现了某类协议报文攻击或风暴,会耗尽控制平面处理器带宽资源,影响其他协议报文的正常交互。ARP(AddressResolutionProtocol)报文,是根据IP地址获取物理地址的地址解析协议,对PTN设备IP数据包转发到下一跳设备前进行正确的链路层封装过程起到决定性的作用。一旦ARP报文无法正常上送到CPU进行处理,业务就很大可能会产生中断,这对PTN(PacketTransportNetwork,分组传送网)这类通信设备来说是致命的。因此保证正常的ARP报文顺利上送到控制处理器进行协议交互的技术,对PTN设备非常重要。影响正常ARP报文顺利上送到PTN设备的控制处理器主要有两类原因,一是其他类型协议报文将CPU带宽耗尽,二是出现风暴的ARP报文将CPU带宽耗尽导致。在相关解决上述协议报文风暴导致ARP报文无法正常上送CPU的技术中,有通过静态配置合法ARP缓存表对ARP报文进行一一检验后合法的才上送CPU、有直接将协议报文上送控制处理器之前进行整体限速,有根据ARP报文中用户地址分配不同限速队列资源来进行报文限速等方法来实现ARP攻击的防御。前两种方法分别存在限制动态ARP学习、攻击ARP报文影响正常ARP报文上送的缺点;根据ARP报文中用户地址分别配置限速队列资源方法,虽然能够有效地识别出攻击流量的用户地址,但耗费大量的限速队列资源,如从一个24位掩码的ip地址接口进来最大需要254个限速队列资源,对于一块具有32个接口单板的PTN设备就需要8000多个限速队列资源,这个对于限速资源整体不到8K的PTN设备是不可取的。针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
技术实现思路
本专利技术实施例提供了一种地址解析协议报文的处理方法及装置,以至少解决相关技术中在出现ARP报文攻击时影响上送正常报文的技术问题。根据本专利技术的一个实施例,提供了一种地址解析协议报文的处理方法,包括:接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。可选地,所述信任等级信息包括:攻击源名单,白名单,灰名单,其中,所述攻击源名单包括低信任等级的ARP报文,所述白名单内包括高信任等级的ARP报文,所述灰名单包括信任等级未知的ARP报文。可选地,获取所述ARP报文的信任等级信息包括:提取所述ARP报文的源IP地址和入向接口;使用所述源IP地址和所述入向接口在所述信任等级信息查找匹配项,将命中的匹配项作为所述ARP报文的信任等级。可选地,根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器包括:按照与确定的所述信任等级对应的传输速率将所述ARP报文上送到处理器。可选地,按照与确定的所述信任等级对应的传输速率将所述ARP报文上送到处理器包括:按照与确定的所述信任等级对应的传输速率将所述ARP报文从第一区段上送进入第二区段;在上送所述处理器的所有报文队列中为所述ARP报文单独划分专用队列;为所述专用队列分配预定的CPU带宽后在所述第二区段将所述ARP报文上送到所述处理器。可选地,在根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器之前,所述方法还包括:接收路由报文;在所述路由报文的下一跳出接口为3层接口的路由配置时,判断所述路由报文的目标IP地址与下一跳IP地址是否一致;在所述目标IP地址与所述下一跳IP地址一致时,将所述下一跳出接口和所述下一跳IP地址配置到所述白名单的表项。可选的,在根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器之后,所述方法还包括:接收所述处理器在预定周期内统计的第一ARP报文和第二ARP报文;将所述第一ARP报文从所述攻击源名单中解除,以及将第二ARP报文添加到所述攻击源名单;其中,所述第一ARP报文是在所述预定周期内统计数目低于第一门限的报文,所述第二ARP报文是在所述预定周期内统计数目高于第二门限的报文。根据本专利技术的另一个实施例,提供了一种地址解析协议报文的处理装置,包括:接收模块,用于接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;上送模块,用于根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。可选地,所述信任等级信息包括:攻击源名单,白名单,灰名单,其中,所述攻击源名单包括低信任等级的ARP报文,所述白名单内包括高信任等级的ARP报文,所述灰名单包括信任等级未知的ARP报文。可选地,所述接收模块包括:提取单元,用于提取所述ARP报文的源IP地址和入向接口;查找单元,用于使用所述源IP地址和所述入向接口在所述信任等级信息查找匹配项,将命中的匹配项作为所述ARP报文的信任等级。根据本专利技术的又一个实施例,还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码:接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。通过本专利技术,通过ARP报文的信任等级信息来上送ARP报文,达到不同信任级别的ARP报文互不影响,保证正常ARP报文在出现攻击的情况下也能达到处理器,解决了相关技术中在出现ARP报文攻击时影响上送正常报文的技术问题,且本方案无需任何硬件升级,且提高了攻击出现时CPU进行协议报文业务交互的处理能力。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的地址解析协议报文的处理方法的流程图;图2是根据本专利技术实施例的地址解析协议报文的处理装置的结构框图;图3是本专利技术实施例转发面和控制面处理器对ARP报文协作示意图;图4是本专利技术实施例对ARP报文进行分类识别和限速流程图;图5本专利技术实施例对ARP报文攻击源名单抑制和解除流程图。具体实施方式下文中将参考附图并结合实施例来详细说明本专利技术。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。实施例1在本实施例中提供了一种地址解析协议报文的处理方法,图1是根据本专利技术实施例的地址解析协议报文的处理方法的流程图,如图1所示,该流程包括如下步骤:步骤S102,接收从物理链路接口进入的地址解析协议ARP报文,并获取ARP报文的信任等级信息;步骤S104,根据ARP报文的信任等级信息将ARP报文上送到处理器。通过上述步骤,通过ARP报文的信任等级信息来上送ARP报文,达到不同信任级别的ARP报文互不影响,保证正常ARP报文在出现攻击的情况下也能达到处理器,解决了相关技术中在出现ARP报文攻击时影响上送正常报文的技术问题,且本方案无需任何硬件升级,且提高了攻击出现时CPU进行协议报文业务交互的处理能力。可选本文档来自技高网...
【技术保护点】
1.一种地址解析协议报文的处理方法,其特征在于,包括:接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。
【技术特征摘要】
1.一种地址解析协议报文的处理方法,其特征在于,包括:接收从物理链路接口进入的地址解析协议ARP报文,并获取所述ARP报文的信任等级信息;根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。2.根据权利要求1所述的方法,其特征在于,所述信任等级信息包括:攻击源名单,白名单,灰名单,其中,所述攻击源名单包括低信任等级的ARP报文,所述白名单内包括高信任等级的ARP报文,所述灰名单包括信任等级未知的ARP报文。3.根据权利要求1所述的方法,其特征在于,获取所述ARP报文的信任等级信息包括:提取所述ARP报文的源IP地址和入向接口;使用所述源IP地址和所述入向接口在所述信任等级信息查找匹配项,将命中的匹配项作为所述ARP报文的信任等级。4.根据权利要求3所述的方法,其特征在于,根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器包括:按照与确定的所述信任等级对应的传输速率将所述ARP报文上送到处理器。5.根据权利要求4所述的方法,其特征在于,按照与确定的所述信任等级对应的传输速率将所述ARP报文上送到处理器包括:按照与确定的所述信任等级对应的传输速率将所述ARP报文从第一区段上送进入第二区段;在上送所述处理器的所有报文队列中为所述ARP报文单独划分专用队列;为所述专用队列分配预定的CPU带宽后在所述第二区段将所述ARP报文上送到所述处理器。6.根据权利要求2所述的方法,其特征在于,在根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器之前,所述方法还包括:接收路由报文;在所述路由报文的下一跳出接口为3层接口的路由配置时,判断所述路由报文的目标IP地址与下一跳IP地址是否一致;在所述目...
【专利技术属性】
技术研发人员:彭少丽,向奇敏,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。