【技术实现步骤摘要】
一种交换机的中央处理器防攻击的方法、装置、设备及存储介质
本专利技术实施例涉及通信
,尤其涉及一种交换机的中央处理器防攻击的方法、装置、设备及存储介质。
技术介绍
交换机通过交换芯片将协议报文上送给中央处理器(CentralProcessingUnit,CPU),以使CPU根据上送的协议报文来进行协议状态维护、转发表项配置以及其它需求的业务类型,但是在网络中可能会存在大量的恶意攻击报文导致CPU业务繁忙,使得处理的正常业务中断,从而出现交换机的失联。针对上述出现的问题,目前通常采用硬件限速或软件限速的方式。其中,硬件限速通常配置交换芯片针对CPU队列和CPU端口进行限速,但采用这种方式会存在多个协议报文共用一个队列不能精确区分的问题,另外如果限速不合理,会出现无法保护CPU或者将正常协议报文淹没的情况;而软件限速通过软件分析确定CPU收到的报文为攻击报文则通过下发整机内容匹配引擎(ContentAwareProcessor,CAP)规则进行攻击报文的丢弃,但同时也会将其他端口进入的正常协议报文进行丢弃,...
【技术保护点】
1.一种交换机的中央处理器CPU防攻击的方法,其特征在于,包括:/n获取交换芯片所上传的协议报文集合中所包含的攻击报文以及所述攻击报文的属性信息,其中,所述属性信息中至少包含攻击报文的协议类型和接收所述攻击报文的源端口对应的源端口号;/n根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令,以使所述交换芯片根据所述拦截指令丢弃从所述源端口接收的所述协议类型的攻击报文。/n
【技术特征摘要】
1.一种交换机的中央处理器CPU防攻击的方法,其特征在于,包括:
获取交换芯片所上传的协议报文集合中所包含的攻击报文以及所述攻击报文的属性信息,其中,所述属性信息中至少包含攻击报文的协议类型和接收所述攻击报文的源端口对应的源端口号;
根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令,以使所述交换芯片根据所述拦截指令丢弃从所述源端口接收的所述协议类型的攻击报文。
2.根据权利要求1所述的方法,其特征在于,所述根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令,以使所述交换芯片根据所述拦截指令丢弃从所述源端口接收的所述协议类型的攻击报文,包括:
根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令,其中,所述拦截指令包括内容匹配引擎CAP规则修改指令或CAP规则创建指令;
以使所述交换芯片根据所述拦截指令修改或创建CAP规则,并根据所述CAP规则丢弃从所述源端口接收的所述协议类型的攻击报文,其中,所述CAP规则中包括协议类型、源端口号和处理动作。
3.根据权利要求2所述的方法,其特征在于,每一条所述CAP规则用于为一种协议类型的报文建立与交换机多个源端口号的匹配关系,在所述CAP规则中,如果所述源端口号的标识位有效,则表示所述协议类型的报文在通过所述源端口接收到时,采用所述CAP规则中所包含的处理动作处理所述协议类型的报文,如果所述源端口号的标识位无效,则表示所述协议类型的报文在通过所述源端口接收到时,不采用所述CAP规则中所包含的处理动作处理所述协议类型的报文;
或者,每一条所述CAP规则用于为一种协议类型的报文建立与交换机一个源端口号的匹配关系,并且所述CAP规则表示,所述协议类型的报文在通过所述源端口接收到时,采用所述CAP规则中所包含的处理动作处理所述协议类型的报文。
4.根据权利要求3所述的方法,其特征在于,所述获取交换芯片所上传的协议报文集合中所包含的攻击报文以及所述攻击报文的属性信息之前,还包括:
向所述交换芯片下发每个预设类型的协议报文所对应的CAP规则,以使所述交换芯片根据每个预设类型的协议报文所对应的CAP规则对所述预设类型的协议报文进行上报,并获得所述协议报文集合;
所述根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令,包括:
向所述交换芯片发送拦截指令,其中,所述拦截指令包括攻击报文的协议类型和接收所述攻击报文的源端口对应的源端口号;
以使所述交换芯片根据所述拦截指令确定所述攻击报文所对应的CAP规则,并将所述CAP规则中接收所述攻击报文的源端口对应的源端口号的标识位修改为无效,其中,所述CAP规则中所包含的处理动作为上送CPU。
5.根据权利要求3所述的方法,其特征在于,所述根据所述攻击报文的协议类型和所述源端口号向所述交换芯片发送拦截指令,包括:
根据所述攻击报文的协议类型判断是否存在针对所述攻击报文的历史CAP规则;
若是,则向所述交换芯片发送拦截指令,其中,所述拦截指令包括攻击报文...
【专利技术属性】
技术研发人员:王小军,王倩,
申请(专利权)人:北京东土军悦科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。