本公开涉及一种报文转发方法、装置、转发系统、存储介质及电子设备,所述方法包括:在确定转发系统遭受到攻击的情况下,若接收到的报文为syn类型,确定接收到的报文是否为潜在的攻击报文;在确定所述报文为潜在的攻击报文时,将所述报文发送至所述转发系统中的防攻击CPU,以由所述防攻击CPU对所述报文进行转发。在上述技术方案中,在确定转发系统遭受到攻击的情况下,将潜在的攻击报文发送至防攻击CPU进行处理,由此,当确定整个转发系统遭受到攻击时,可以保证由防攻击CPU对攻击报文进行处理的同时,转发CPU也可以处理正常报文,且保证转发CPU性能不受影响,提高转发系统的健壮性。
【技术实现步骤摘要】
报文转发方法、装置、转发系统、存储介质及电子设备
本公开涉及网络安全领域,具体地,涉及一种报文转发方法、装置、转发系统、存储介质及电子设备。
技术介绍
对于安全厂商而言,防火墙针对于攻击防御的功能都是在开启了对应的攻击检测后才能起到防范攻击的效果。换句话讲,只有防火墙开启攻击防御模式,才能将攻击报文丢弃。但是对于没有开启攻击防御模式的防火墙而言,在其遭受攻击时,需要处理超负荷的攻击报文,很有可能因为资源耗尽而瘫痪,影响正常报文的转发。用户可以手动设置是否开启防火墙的syn攻击防御模式。防火墙作为一个转发设备,如果在遭受到synflood攻击、但没有开启syn攻击防御模式时,防火墙可能会因为遭受synflood攻击而使得其资源耗尽,无法处理正常报文,防火墙由于遭受到synflood攻击而导致其功能瘫痪。对于防火墙转发设备而言,基本上都是基于报文的五元组(源ip地址,源端口号,目的ip地址,目的端口号,传输协议)建立会话表并基于该会话表对报文进行转发。当synflood攻击发生时,由于防火墙未开启syn攻击防御模式,防火墙会将这种攻击报文与正常报文用相同的处理逻辑进行处理,从而导致会话表迅速满载而无法建立新的连接;在攻击报文没有停止的情况下,正常报文基本上也无法保证正常转发,就失去了一个防火墙的基本功能。针对上述场景,用户可以手动开启防火墙的syn攻击防御模式,以应对synflood攻击。然而,一旦用户忘记开启防火墙的syn攻击防御模式,就会导致系统在受到synflood攻击时出现上面所提到的问题。另外,在很多场景下,syn攻击报文也可能需要进行正常转发。例如,有一些学校、科研机构或者军方,当需要做一些基于synflood攻击的实验时,要求攻击报文可以通过防火墙转发设备发送出去。在这种情况下,如果防火墙开启了syn攻击防御模式,那么syn攻击报文会被丢弃,从而导致无法做成实验;而如果防火墙没有开启syn攻击防御模式,则可能会导致防火墙处于瘫痪状态,进而导致防火墙无法正常工作。
技术实现思路
本公开的目的是提供一种可以在防火墙未开启攻击防御模式时,能够对攻击报文进行转发的同时,不影响对正常报文进行处理的报文转发方法、装置、转发系统、介质及电子设备。为了实现上述目的,本公开提供一种报文转发方法,应用于转发系统中的转发CPU,所述方法包括:在确定所述转发系统遭受到攻击的情况下,若接收到的报文为syn类型,确定接收到的报文是否为潜在的攻击报文;在确定所述报文为潜在的攻击报文时,将所述报文发送至所述转发系统中的防攻击CPU,以由所述防攻击CPU对所述报文进行转发。可选地,所述确定接收到的报文是否为潜在的攻击报文,包括:确定所述报文的源ip地址是否在ip地址白名单中;在所述报文的源ip地址不在所述ip地址白名单中时,确定所述报文为潜在的攻击报文;在所述报文的源ip地址在所述ip地址白名单中时,确定所述报文为正常报文。可选地,所述方法还包括:在确定所述报文为正常报文时,将所述报文发送至所述转发系统中、与所述转发CPU相对应的逻辑CPU,以由所述逻辑CPU按照匹配策略对所述报文进行匹配;响应于所述逻辑CPU对所述报文匹配成功,在所述转发CPU内创建针对所述报文的普通会话表,并基于所创建的普通会话表对所述报文进行转发。可选地,所述方法还包括:若接收到的报文为非syn类型,根据所述报文查询在所述转发CPU内建立的普通会话表;当查询到与所述报文相对应的普通会话表时,基于查询到的所述普通会话表对所述报文进行转发;当未查询到与所述报文相对应的普通会话表时,根据所述报文查询在所述防攻击CPU内建立的简易会话表,其中,所述简易会话表内所包含的信息为所述普通会话表内所包含的信息中的一部分;当查询到与所述报文相对应的简易会话表时,根据所述报文的类型,对所述报文进行相应的转发处理。可选地,所述当查询到与所述报文相对应的简易会话表时,根据所述报文的类型,对所述报文进行相应的转发处理,包括:当查询到与所述报文相对应的简易会话表时,若接收到的报文为syn-ack类型,则基于查询到的所述简易会话表对所述报文进行转发;若接收到的报文为ack类型,则将所述报文发送至所述转发系统中、与所述转发CPU相对应的逻辑CPU,以由所述逻辑CPU按照匹配策略对所述报文进行匹配;响应于所述逻辑CPU对所述报文匹配成功,在所述转发CPU内创建针对所述报文的普通会话表,并基于所创建的普通会话表对所述报文进行转发。可选地,所述方法还包括:若接收到的报文为ack类型,则所述方法还包括:向所述防攻击CPU发送删除指令,所述删除指令用于删除所述防攻击CPU中的与所述报文相对应的简易会话表;和/或将所述报文的源ip地址添加至ip地址白名单中。可选地,当出现以下情况之一时,确定所述转发系统遭受到攻击:由所述转发CPU已建立的普通会话表的个数占所述转发CPU中的可创建普通会话表总数的占比达到第一预设比例、且所述转发CPU中异常状态的普通会话表的个数占所述转发CPU中的已建立普通会话表的个数的占比达到第二预设比例;由所述转发CPU在当前时段内已建立的普通会话表的个数占历史同时段内的全部转发CPU中的普通会话表的总数平均值的占比到达第三预设比例、且所述转发CPU中异常状态的普通会话表的个数占所述转发CPU中已建立的普通会话表的个数的占比达到第四预设比例。根据本公开的第二方面,提供一种报文转发方法,应用于转发系统中的防攻击CPU,所述方法包括:在确定所述转发系统遭受到攻击的情况下,接收所述转发系统中的转发CPU发送的syn类型的报文,其中,所述syn类型的报文被所述转发CPU确定为潜在的攻击报文;在所述防攻击CPU内创建针对所述报文的简易会话表,其中,所述简易会话表内所包含的信息为由所述转发CPU创建的普通会话表内所包含的信息中的一部分;基于所创建的简易会话表对所述报文进行转发。可选地,所述方法还包括:接收所述转发CPU发送的删除指令,所述删除指令用于删除所述防攻击CPU中的与所述报文相对应的简易会话表;响应于所述删除指令,删除与所述报文相对应的简易会话表。根据本公开的第三方面,提供一种报文转发装置,应用于转发系统中的转发CPU,所述装置包括:第一确定模块,用于在确定所述转发系统遭受到攻击的情况下,若接收到的报文为syn类型,确定接收到的报文是否为潜在的攻击报文;第一发送模块,用于在确定所述报文为潜在的攻击报文时,将所述报文发送至所述转发系统中的防攻击CPU,以由所述防攻击CPU对所述报文进行转发。可选地,所述第一确定模块包括:第一确定子模块,用于确定所述报文的源ip地址是否在ip地址白名单中;第二确定子模块,用于在所述报文的源ip地址不在所述ip地址白名单中时,确定所述报文为潜在的攻击报文;在所述报文的源ip地址在所述ip地址白名单中时,确定所述报文为正常报文。可选地,所述装置还包括:第二发送模块,用于在确定所述报文为正常报文时,将所述报文发送至所述转发系统中、与所述转发CPU相对应的逻辑CPU,以由所述逻辑CPU按照匹配策略对所述报文进行匹配;第一转发模块,用于响应于所述逻辑CPU对所述报文匹配成功,在所述转发CPU内创建针对所述报文的普通会话表,并基于所创建的普通会话表对所本文档来自技高网...
【技术保护点】
1.一种报文转发方法,应用于转发系统中的转发CPU,其特征在于,所述方法包括:在确定所述转发系统遭受到攻击的情况下,若接收到的报文为syn类型,确定接收到的报文是否为潜在的攻击报文;在确定所述报文为潜在的攻击报文时,将所述报文发送至所述转发系统中的防攻击CPU,以由所述防攻击CPU对所述报文进行转发。
【技术特征摘要】
1.一种报文转发方法,应用于转发系统中的转发CPU,其特征在于,所述方法包括:在确定所述转发系统遭受到攻击的情况下,若接收到的报文为syn类型,确定接收到的报文是否为潜在的攻击报文;在确定所述报文为潜在的攻击报文时,将所述报文发送至所述转发系统中的防攻击CPU,以由所述防攻击CPU对所述报文进行转发。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若接收到的报文为非syn类型,根据所述报文查询在所述转发CPU内建立的普通会话表;当查询到与所述报文相对应的普通会话表时,基于查询到的所述普通会话表对所述报文进行转发;当未查询到与所述报文相对应的普通会话表时,根据所述报文查询在所述防攻击CPU内建立的简易会话表,其中,所述简易会话表内所包含的信息为所述普通会话表内所包含的信息中的一部分;当查询到与所述报文相对应的简易会话表时,根据所述报文的类型,对所述报文进行相应的转发处理。3.一种报文转发方法,应用于转发系统中的防攻击CPU,其特征在于,所述方法包括:在确定所述转发系统遭受到攻击的情况下,接收所述转发系统中的转发CPU发送的syn类型的报文,其中,所述syn类型的报文被所述转发CPU确定为潜在的攻击报文;在所述防攻击CPU内创建针对所述报文的简易会话表,其中,所述简易会话表内所包含的信息为由所述转发CPU创建的普通会话表内所包含的信息中的一部分;基于所创建的简易会话表对所述报文进行转发。4.一种报文转发装置,应用于转发系统中的转发CPU,其特征在于,所述装置包括:第一确定模块,用于在确定所述转发系统遭受到攻击的情况下,若接收到的报文为syn类型,确定接收到的报文是否为潜在的攻击报文;第一发送模块,用于在确定所述报文为潜在的攻击报文时,将所述报文发送至所述转发系统中的防攻击CPU,以...
【专利技术属性】
技术研发人员:刘健男,党丽娜,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。