本公开公开了一种防攻击方法和装置。所述方法应用于网络转发设备,包括:接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数;统计预设时间内所述报文的总数;若判断预设时间内所述报文的总数超过设定阈值,则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃接收由转发层面上传的命中流级防攻击表项的报文,获取报文中携带的丢包数,从而统计预设时间内该流的报文的准确总数;根据该准确的报文总数,若判断预设时间内报文总数超过设定阈值,可确认该报文为攻击报文,将转发层面的流级防攻击表项的动作设置为丢弃,可准确确定攻击流进行丢弃处理,达到防攻击的目的。
【技术实现步骤摘要】
一种防攻击方法和装置
本公开涉及通信
,特别涉及一种防攻击方法和装置。
技术介绍
随着互联网在当前的环境下应用越来越广,网络攻击也日益频繁,海量的攻击访问会导致转发设备的瘫痪,影响网络的正常运行。其中,硬转发设备包括底层的转发芯片(可称为转发层面)和控制面CPU(可称为控制层面),。转发层面处理能力强大,但其控制层面的处理能力有限。控制层面提供了转发层面转发所必须的各种网络信息和转发查询表项等。通常转发层面与控制层面间的通道转发能力不会大于控制层面处理能力,如通过GE或10GE传输速率的端口进行转发。攻击者通过向硬件转发设备发起海量的消息请求,导致转发层面与控制层面间的通道阻塞,从而导致正常业务报文不能上送到控制层面处理,既而引发正常的业务交互流程阻塞,达到拒绝服务的目的。
技术实现思路
本公开提供了一种防攻击方法和装置,以解决现有技术中转发设备受到攻击导致转发层面与控制层面通道阻塞的问题,从而避免硬件转发设备被攻击瘫痪。依据本公开的一个方面,提供了一种防攻击方法,所述方法应用于网络转发设备,包括:接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数;统计预设时间内所述报文的总数;若判断预设时间内所述报文的总数超过设定阈值,则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。依据本公开的另一个方面,提供了一种防攻击方法,所述方法应用于网络转发设备,包括:记录命中流级防攻击表项的报文丢包数;在上传给控制层面的命中所述流级防攻击表项的报文中,携带所述丢包数。依据本公开的又一个方面,提供了一种防攻击装置,所述装置应用于网络转发设备,包括:获取单元,用于接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数;统计单元,用于统计预设时间内所述报文的总数;处理单元,用于在判断预设时间内所述报文的总数超过设定阈值时,将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。依据本公开的再一个方面,提供了一种防攻击装置,所述装置应用于网络转发设备,包括:记录单元,用于记录命中流级防攻击表项的报文丢包数;上传单元,用于在上传给控制层面的命中所述流级防攻击表项的报文中,携带所述丢包数。本公开的有益效果是:应用在网络转发设备上,接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数,进而统计预设时间内所述报文的总数;若判断预设时间内所述报文的总数超过设定阈值,可确认所述报文为攻击报文,将下发到转发层面的所述流级防攻击表项的动作设置为丢弃,由于统计的报文总数包括有报文携带的报文的丢包数,因而统计更加精确,可准确确定攻击流进行丢弃处理,达到防攻击的目的。附图说明图1为本公开一个实施例的防攻击方法的流程示意图;图2为依据本公开网络转发设备在遇到网络攻击时防攻击处理过程的状态机示意图;图3为本公开一个实施例的一种防攻击装置的硬件结构示意图;图4为本公开一个实施例的防攻击装置的结构示意图。实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响用于确定”。为了防止不同协议间相互影响,各协议从转发层面上送给上层控制层面时,会通过各自的协议硬件队列上送并做限速,从而达到某种协议攻击不会将上送通道带宽占光的目的,从而各协议之间不会相互影响,但仍会影响到同一种协议的其它正常业务上送,因为该协议硬件队列自身有可能被攻击流攻击阻塞。现有技术的防攻击方法,通过控制层面的软件定时检测每个周期内收到某流的报文数,如果报文数超过设定的阀值,则认为该流为攻击流,既而下发对应的流级防攻击表项到转发层面,转发层面通过流级防攻击表项将该攻击流丢弃。然而,由于各协议硬件队列是存在限速的,所以攻击流在上送控制层面前已被限速丢弃大部分,从而导致控制层面的软件每周期检测到的攻击流报文个数低于实际值,因此可能小于设定的阈值,导致软件检测不到攻击流,无法达到防攻击的目的。本申请技术构思是,在网络转发设备上,接收由转发层面上传的命中流级防攻击表项的报文,获取报文中携带的丢包数,从而统计预设时间内该流的报文的准确总数;根据该准确的报文总数,若判断预设时间内报文总数超过设定阈值,可确认该报文为攻击报文,将转发层面的流级防攻击表项的动作设置为丢弃,可准确确定攻击流进行丢弃处理,达到防攻击的目的。本公开所称的攻击流,通常是通过攻击报文的源IP或源MAC,及其访问业务的协议号、目的端口号来定义,上述这些字段均一致的报文,则属于同一条攻击流,否则为不同的攻击流。本文所说的流级防攻击表项,是指精确到流级别的防攻击表项,即采用上述字段匹配攻击流,每个流级防攻击表项对应一条攻击流。图1为本公开一个实施例的防攻击方法的流程示意图;如图1所示,所述方法应用于网络转发设备,包括:步骤S110,接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数。步骤S120,统计预设时间内所述报文的总数。步骤S130,若判断预设时间内所述报文的总数超过设定阈值,则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。由于获取了上传报文中携带的、命中该流级防攻击表项的报文流的丢包数,控制层面就可以准确统计属于该流的报文总数,进而判断该流在检测周期内的报文总数是否超过阈值,以确定该流是否为海量发送的攻击流,相比于现有技术仅仅依靠从转发层面接收到的报文总数来确定攻击流,本方案报文总数统计为准确值,可避免由于转发层面各协议硬件队列限速造成的漏检,从而能够更加精确地确定攻击流,以通过转发层面的流级防攻击表项,将该攻击流丢弃,达到防止攻击的目的。其中,所说的流级防攻击表项,可以是访问控制列表(AccessControlList,简写ACL),当然,其他可下发到转发层面,用于控制报文转发的流级防攻击表项也可以应用于本方案中,在此不视为对本方案的不当限定。在本公开的一些实施例中,该方法还包括:若判断预设时间内所述报文的总数未超过设定阈值,则可认为所述报文并非攻击报文,从而删除下发到转发层面的流级防攻击表项。在本公开的一些实施例中,所述流级防攻击表项通过如下方式下发到转发层面:获取转发层面上传的报文中携带的各协议硬件队列的丢包信息。根据所述各协议硬件队列的丢包信息,确定存在丢包的协议硬件队列,检测存在丢本文档来自技高网...
【技术保护点】
一种防攻击方法,其特征在于,所述方法应用于网络转发设备,包括:接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数;统计预设时间内所述报文的总数;若判断预设时间内所述报文的总数超过设定阈值,则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。
【技术特征摘要】
1.一种防攻击方法,其特征在于,所述方法应用于网络转发设备,包括:接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数;统计预设时间内所述报文的总数;若判断预设时间内所述报文的总数超过设定阈值,则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。2.根据权利要求1所述的防攻击方法,其特征在于,所述流级防攻击表项通过如下方式下发到转发层面:获取转发层面上传的报文中携带的各协议硬件队列的丢包信息;根据所述各协议硬件队列的丢包信息,确定存在丢包的协议硬件队列,检测存在丢包的协议硬件队列在限定时间内上传的报文;针对所述存在丢包的协议硬件队列在限定时间内上传的报文,创建所述流级防攻击表项,并下发到转发层面。3.根据权利要求1所述的防攻击方法,其特征在于,在将下发到转发层面的所述流级防攻击表项的动作设置为丢弃时,该方法还包括:设定定时器,当定时器定时到时时,修改下发到转发层面的流级防攻击表项的动作为限速,以检测是否仍然存在从转发层面上传的所述报文;若仍然存在从转发层面上传的所述报文,则修改下发到转发层面的流级防攻击表项的动作为丢弃,重置所述定时器,并延长所述定时器的定时时间。4.一种防攻击方法,其特征在于,所述方法应用于网络转发设备,包括:记录命中流级防攻击表项的报文丢包数;在上传给控制层面的命中所述流级防攻击表项的报文中,携带所述丢包数。5.根据权利要求4所述的防攻击方法,其特征在于,所述方法还包括:在上传给控制层面的报文中,携带各协议硬件队列的丢包信息,以使控制层面根据所述丢包信息确定存在丢包的协议硬件队列,创建对应的流级防攻击表项。6.一种防攻击装置,其特征在于,所述装置应用于网络转发设备,包括:获取单元,用于接收由转发层面上传的命中流级防攻击表项的报文,获取所述报文中携带的丢包数;统计单元,用于统计预设时间内所述报文的总数;处理单元,用于在判断预设时间内所述...
【专利技术属性】
技术研发人员:徐步正,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。