The embodiment of the application provides a method and device for preventing message attack to accurately identify attack message, which relates to the technical field of network security. In this method, for any protocol type, if the number of protocol type target messages sent by the switch chip to the processor within the unit time is greater than the speed limit value corresponding to the protocol type, and there is an abnormal port corresponding to the target message in multiple external ports of the switch chip, the number of abnormal messages sent by the abnormal port corresponding to the target message is reduced, and the abnormal port corresponding to the target message is within the unit time When the number of received target messages exceeds the threshold value of the external port, the number of sent messages is the maximum value that the switching chip will send the target messages received through the abnormal port to the processor in unit time. In this way, the attack message can be identified more accurately according to the message type and the flow of the external port message, reducing the false identification of the normal business message, and isolating the attack port message, so that the normal business processing is not affected.
【技术实现步骤摘要】
一种防报文攻击的方法和装置
本申请涉及网络安全
,尤其涉及一种防报文攻击的方法和装置。
技术介绍
目前,交换设备采取的防攻击策略较为简单,主要方法有以下几种:1、软件防攻击:由于CPU处理报文的性能是固定的,因此在CPU接收到报文后,对报文进行统计。超过CPU处理性能的报文直接丢弃,防止占用更多的CPU资源。2、队列限速:可以通过配置限速值,对每一类报文的总速率进行限制,超过该总速率的报文直接丢弃。3、基于报文流的防攻击:报文流是指报文的源目的MAC、源目的IP相同的一系列报文。该方案通过检测报文的内容,判断出某一条报文流存在攻击的可能,通过策略资源将该报文流对应的报文的速率降低。上述三种防攻击方法存在如下缺陷:第1、第2种方法由于报文丢弃是随机的,无法保证业务不受影响。第3种方法中,由于每一条攻击报文流都需要占用1个单元的策略资源,在实际环境中攻击报文的报文流类型庞大,超过策略资源的攻击报文将不能被隔离处理,并且第3种方法无法将正常的业务报文和攻击报文区分开,在一些情况下仍然无法保证业务的稳定性。
技术实现思路
本申请实施例提供一种防报文攻击的方法和装置,用以准确识别攻击报文。第一方面,本申请实施例提供一种防报文攻击的方法,该方法包括:对交换芯片发送给处理器的报文进行监控;针对任一协议类型,若单位时长内所述交换芯片发送给所述处理器的所述协议类型的目标报文的数量大于所述协议类型对应的限速值,且所述交换芯片的多个外部端口中有所述目标报文对应的异常端口,其 ...
【技术保护点】
1.一种防报文攻击的方法,其特征在于,所述方法包括:/n对交换芯片发送给处理器的报文进行监控;/n针对任一协议类型,若单位时长内所述交换芯片发送给所述处理器的所述协议类型的目标报文的数量大于所述协议类型对应的限速值,且所述交换芯片的多个外部端口中有所述目标报文对应的异常端口,其中所述目标报文对应的异常端口为所述单位时长内接收到所述目标报文的数量超过阈值的外部端口,则降低所述异常端口的发送报文数量,其中所述发送报文数量为所述交换芯片将通过异常端口接收到的目标报文在单位时长内发送给所述处理器的最大值。/n
【技术特征摘要】
1.一种防报文攻击的方法,其特征在于,所述方法包括:
对交换芯片发送给处理器的报文进行监控;
针对任一协议类型,若单位时长内所述交换芯片发送给所述处理器的所述协议类型的目标报文的数量大于所述协议类型对应的限速值,且所述交换芯片的多个外部端口中有所述目标报文对应的异常端口,其中所述目标报文对应的异常端口为所述单位时长内接收到所述目标报文的数量超过阈值的外部端口,则降低所述异常端口的发送报文数量,其中所述发送报文数量为所述交换芯片将通过异常端口接收到的目标报文在单位时长内发送给所述处理器的最大值。
2.根据权利要求1所述的方法,其特征在于,所述降低所述异常端口的发送报文数量之前,还包括:
确定当前使用的外部端口的数量大于或等于预设个数。
3.根据权利要求1所述的方法,其特征在于,所述降低所述异常端口的发送报文数量之后,还包括:
监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量;
若监控到的所述接收数量大于所述限速值,则确定当前使用的步进值;
根据确定的所述当前使用的步进值,降低所述异常端口的发送报文数量,并返回监控单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量的步骤。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量小于所述限速值,则将所述异常端口的发送报文数量恢复为初始值。
5.根据权利要求3所述的方法,其特征在于,所述确定当前使用的步进值,包括:
根据所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量确定所述当前使用的步进值;
其中,所述单位时长内所述交换芯片通过所述异常端口接收到的所述协议类型的报文的接收数量越大,所述步进值越大。
6.一种防报文攻击的装置,其特征在...
【专利技术属性】
技术研发人员:黄伟山,
申请(专利权)人:锐捷网络股份有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。