本申请提供一种VXLAN报文防攻击的方法和装置,应用于VXLAN隧道终点的VTEP,所述方法包括:统计接收到的携带非本地VNI的VXLAN报文的异常数量,判断统计出的在预设的第一单位时间内的所述异常数量是否大于预设的第一阈值,当所述异常数量大于所述第一阈值时,将本设备每秒处理VXLAN报文的最大数量降低至预设值。在本实施例中,通过在确定出可能存在VXLAN报文攻击时,限制每秒处理VXLAN报文的最大数量,使得在这种情况下,VTEP设备还可以处理正常报文,从而解决了当存在大量仿冒的VXLAN报文时,VTEP设备一直处理仿冒的VXLAN报文,导致VXLAN报文以外的报文无法处理的问题。
【技术实现步骤摘要】
本申请涉及通信
,特别涉及一种VXLAN报文防攻击的方法和装置。
技术介绍
随着云计算的快速发展,数据中心的虚拟化程度越来越高,对物理网络的要求也越来越苛刻,比如TOR交换机需要支持大规格MAC地址表;4094个VLAN(VirtualLocalAreaNetwork,虚拟局域网)无法划分海量虚拟机;需要支持多租户的网络隔离等。正是这些需求使得叠加网络技术VXLAN(VirtualExtensibleLocalAreaNetwork,虚拟可扩展局域网)应运而生。然而,在实际应用中,可能会存在仿冒的VXLAN报文的攻击,攻击者通过仿冒大量VXLAN报文发送至VTEP(VXLANTunnelingEndPoint,VXLAN隧道终端),仿冒的VXLAN报文会占用VTEP设备的处理资源,使得VTEP设备没有足够的处理资源来处理接收到的VXLAN报文以外的其它报文。
技术实现思路
有鉴于此,本申请提供一种VXLAN报文防攻击的方法和装置,用于解决当存在大量仿冒的VXLAN报文时,仿冒的VXLAN报文占用VTEP设备的处理资源,导致VTEP设备没有足够的处理资源来处理VXLAN报文以外的报文的问题。具体地,本申请是通过如下技术方案实现的:一种VXLAN报文防攻击的方法,应用于VXLAN隧道终点的VTEP设备,所述VTEP设备与其所在网络中的其它VTEP设备互为邻居,所述方法包括:统计接收到的携带非本地VNI的VXLAN报文的异常数量;判断统计出的在预设的第一单位时间内的所述异常数量是否大于预设的第一阈值;当所述异常数量大于所述第一阈值时,将本设备每秒处理VXLAN报文的最大数量降低至预设值。在所述VXLAN报文防攻击的方法中,还包括:当所述异常数量小于或等于所述第一阈值时,正常处理VXLAN报文。在所述VXLAN报文防攻击的方法中,还包括:在将本设备每秒处理VXLAN报文的最大数量降低至预设值后,判断统计出的在预设的第二单位时间内的所述异常数量是否小于预设的第二阈值;当该异常数量小于所述第二阈值时,将本设备每秒处理VXLAN报文的最大数量恢复为初始值。在所述VXLAN报文防攻击的方法中,还包括:当该异常数量大于或等于所述第二阈值时,停止处理VXLAN报文;或者,停止处理VXLAN报文N秒,并在N秒后重新正常处理VXLAN报文。在所述VXLAN报文防攻击的方法中,还包括:当停止处理VXLAN报文时,发出告警提示;所述告警提示用于提示用户排查攻击源。一种VXLAN报文防攻击的装置,应用于VXLAN隧道终点的VTEP设备,所述VTEP设备与其所在网络中的其它VTEP设备互为邻居,所述装置包括:统计单元,用于统计接收到的携带非本地VNI的VXLAN报文的异常数量;判断单元,用于判断统计出的在预设的第一单位时间内的所述异常数量是否大于预设的第一阈值;设置单元,用于当所述异常数量大于所述第一阈值时,将本设备每秒处理VXLAN报文的最大数量降低至预设值。在所述VXLAN报文防攻击的装置中,还包括:处理单元,用于当所述异常数量小于或等于所述第一阈值时,正常处理VXLAN报文。在所述VXLAN报文防攻击的装置中,还包括:所述判断单元,进一步用于在将本设备每秒处理VXLAN报文的最大数量降低至预设值后,判断统计出的在预设的第二单位时间内的所述异常数量是否小于预设的第二阈值;恢复单元,用于当该异常数量小于所述第二阈值时,将本设备每秒处理VXLAN报文的最大数量恢复为初始值。在所述VXLAN报文防攻击的装置中,还包括:终止单元,用于当该异常数量大于或等于所述第二阈值时,停止处理VXLAN报文;或者,停止处理VXLAN报文N秒,并在N秒后重新正常处理VXLAN报文。在所述VXLAN报文防攻击的装置中,还包括:告警单元,用于当停止处理VXLAN报文时,发出告警提示;所述告警提示用于提示用户排查攻击源。本申请实施例中,VTEP设备通过统计接收到的携带非本地VNI的VXLAN报文的异常数量,并判断统计出的在预设的第一单位时间内的所述异常数量是否大于预设的第一阈值,如果所述异常数量大于所述第一阈值,则将本设备每秒处理VXLAN报文的最大数量降低至预设值。实现了通过统计接收到的携带非本地VNI的VXLAN报文的异常数量,来确定可能存在的VXLAN报文攻击,并在确定出可能存在VXLAN报文攻击时,限制每秒处理VXLAN报文的最大数量,从而解决了当存在大量仿冒的VXLAN报文时,仿冒的VXLAN报文占用VTEP设备的处理资源,导致VTEP设备没有足够的处理资源来处理VXLAN报文以外的报文的问题。附图说明图1是本申请示出的一种VXLAN报文防攻击的方法的流程图;图2是本申请示出的一种VXLAN报文防攻击的装置的逻辑框图;图3是本申请示出的一种VXLAN报文防攻击的装置的硬件结构图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对现有技术方案和本专利技术实施例中的技术方案作进一步详细的说明。VXLAN使用UDP(UserDatagramProtocol,用户数据报协议)封装完整的内层以太帧,将普通以太网报文封装在UDP报文内传输。由于VXLAN使用24位VXLAN网络标识符,因此VXLAN最大支持16000000个逻辑地址,远大于VLAN最大支持的4094个逻辑地址,可以在一些应用环境下(例如:大规模云计算中心),更好地满足需求。在VXLAN网络中,根据VXLAN的封包方式,可以将其视为一种隧道模式的网络覆盖技术,隧道端点VTEP用于将VXLAN报文封装及解封装,在一端封装报文后通过隧道向另一端VTEP发送封装的报文。VTEP设备在接收到报文后,判断该报文报头的目的UDP端口号与本地配置的VXLAN专用端口号是否一致,如果该报文报头的目的UDP端口号与本地配置的VXLAN专用端口号一致,则确定该报文是VXLAN报文。VTEP设备进而解析VXLAN报头中的VNI(VXLANNetworkIdentifier,虚拟可扩展局域网网络身份),如果报头中的VNI与本地的VNI相同,则正常处理该VXLAN报文;如果报头中的VNI与本地的VNI不同,则丢弃该VXLAN报文。然而,在实际应用中,网络上可能存在仿冒的VXLAN报文的攻击,攻击者会仿冒大量VXLAN报文,将仿冒的报文发送至VTEP设备,仿冒的VXLAN报文会占用VTEP设备的处理资源,导致VTEP设备没有足够的处理资源来处理VXLAN报文以外的其它报文。为解决上述问题,本申请实施例的技术方案,通过在确定出可能存在VXLAN报文攻击时,限制每秒处理VXLAN报文的最大数量,使得在这种情况下,VTEP设备的处理资源不会被仿冒的VXLAN报文占用,还有处理资源用于处理正常报文,从而解决了当存在大量仿冒的VXLAN报文时,仿冒的VXLAN报文占用VTEP设备的处理资源,导致VTEP设备没有足够的处理资源来处理VXLAN报文以外的报文的问题。参见图1,为本申请VXLAN报文防攻击的方法的一个实施例流程图,该实施例的执行主体是VTEP设备,该VTEP设备与其所在网络中的其它VTEP设备互为邻居;所述方法包括以下步本文档来自技高网...
【技术保护点】
一种VXLAN报文防攻击的方法,应用于VXLAN隧道终点的VTEP设备,所述VTEP设备与其所在网络中的其它VTEP设备互为邻居,其特征在于,所述方法包括:统计接收到的携带非本地VNI的VXLAN报文的异常数量;判断统计出的在预设的第一单位时间内的所述异常数量是否大于预设的第一阈值;当所述异常数量大于所述第一阈值时,将本设备每秒处理VXLAN报文的最大数量降低至预设值。
【技术特征摘要】
1.一种VXLAN报文防攻击的方法,应用于VXLAN隧道终点的VTEP设备,所述VTEP设备与其所在网络中的其它VTEP设备互为邻居,其特征在于,所述方法包括:统计接收到的携带非本地VNI的VXLAN报文的异常数量;判断统计出的在预设的第一单位时间内的所述异常数量是否大于预设的第一阈值;当所述异常数量大于所述第一阈值时,将本设备每秒处理VXLAN报文的最大数量降低至预设值。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当所述异常数量小于或等于所述第一阈值时,正常处理VXLAN报文。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:在将本设备每秒处理VXLAN报文的最大数量降低至预设值后,判断统计出的在预设的第二单位时间内的所述异常数量是否小于预设的第二阈值;当该异常数量小于所述第二阈值时,将本设备每秒处理VXLAN报文的最大数量恢复为初始值。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:当该异常数量大于或等于所述第二阈值时,停止处理VXLAN报文;或者,停止处理VXLAN报文N秒,并在N秒后重新正常处理VXLAN报文。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:当停止处理VXLAN报文时,发出告警提示;所述告警提示用于提示用户排查攻击源。6.一种VXLAN报文防攻击的装置,应用于VXLAN隧道终点的...
【专利技术属性】
技术研发人员:王洋,王琳,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。