【技术实现步骤摘要】
本申请涉及通信技术,具体地将是一种协议报文防攻击方法及设备。
技术介绍
1、通信设备的交换芯片根据依据协议类型、网络场景、业务需求等因素,将需要软件处理的协议报文发送至指定队列,通过指定队列发往处理器cpu执行软件转发和软件处理。
2、为避免上送cpu处理的协议报文占用过多cpu计算资源,导致cpu不能及时处理器不同的服务请求,网络设备通过协议报文限速功能通过对上送cpu的报文基于协议进行分类并加以限速处理,避免上送cpu的指定协议报文过多,通信设备受到泛洪攻击等网络安全风险。
3、网络设备执行协议限速时,针对每个协议单独限定上送速率,不同端口的收到同种协议报文上送速率不得超出分配的协议上送速率。
4、但是,一旦某个端口收到的大量泛洪攻击报文,泛洪攻击报文占用了经由其他端口收到的正常协议报文的带宽,虽然同种协议的协议上送速率未变,保护了cpu被泛洪攻击报文冲击,但是其他指定端口收到的正常协议报文因超出协议上送速率被丢弃。
技术实现思路
1、本申请的目的在于提供一种协议报文防攻击方法及设备,避免泛洪攻击报文占用将相同协议类型的合法协议报文上送处理器的带宽。
2、为实现上述目的,本申请提供了一种协议报文防攻击方法,该方法包括,在指定协议报文的多个接收端口中识别抑制端口;从交换芯片的指定协议报文的协议报文限速表项的匹配项中删除抑制端口;为交换芯片设置关联于抑制端口的单端口协议报文限速表项;接收交换芯片基于单端口协议报文限速表项的防攻击上送速
3、上述方法还进一步包括,启动软件定时器;软件定时器的设置时间到达时,统计软件定时器的设置时间内指定协议报文的已收包总数;基于协议上送速率,计算软件定时器的设置时间内的指定协议报文的收包总数阈值。
4、上述方法还进一步包括,比较判断已收包总数与收包总数阈值;当已收包总数不大于收包总数阈值,将第一计数器的计数值加1。
5、上述方法还进一步包括,确定第一计数器的计数值到达预设计数值,则删除单端口协议报文限速表项;在协议报文限速表项的匹配项中添加抑制端口;将第一计数器的计数值清零;删除软件定时器。
6、上述方法还进一步包括,当已收包总数大于收包总数阈值,将第一计数器的计数值清零。
7、上述方法中,在指定协议报文的多个接收端口中识别抑制端口包括,丢包检查定时器的设置时间到达时,统计丢包检查定时器设置时间内交换芯片基于协议报文限速表项丢弃的指定协议报文的丢包数;当丢包数不为零,获取多个接收端口的每个接收端口收到的指定协议报文的数量;将收到最多指定协议报文的接收端口的抑制端口计数值加1。
8、上述方法中,当抑制端口计数值到达最大抑制端口计数值,将收到最多指定协议报文的接收端口识别为抑制端口。
9、上述方法还进一步包括,丢包检查定时器的设置时间内,交换芯片基于协议报文限速表项丢弃的指定协议报文的数量为零,将已记录的抑制端口计数值清零。
10、为实现上述目的,本申请提供了一种协议报文防攻击设备,该设备包括处理器和存储器;其中,处理器通过运行存储器中的处理器可执行指令用以执行以下操作,在指定协议报文的多个接收端口中识别抑制端口;从交换芯片的指定协议报文的协议报文限速表项的匹配项中删除抑制端口;为交换芯片设置关联于抑制端口的单端口协议报文限速表项;接收交换芯片基于单端口协议报文限速表项的防攻击上送速率上送的指定协议报文;接收交换芯片基于协议报文限速表项的协议上送速率上送的指定协议报文。
11、处理器通过运行存储器中的处理器可执行指令,还执行以下操作,启动软件定时器;软件定时器的设置时间到达时,统计软件定时器的设置时间内指定协议报文的已收包总数;基于协议上送速率,计算软件定时器的设置时间内的指定协议报文的收包总数阈值。
12、处理器通过运行存储器中的处理器可执行指令,还执行以下操作,比较判断已收包总数与收包总数阈值;当已收包总数不大于收包总数阈值,将第一计数器的计数值加1。
13、处理器通过运行存储器中的处理器可执行指令还执行以下操作,确定第一计数器的计数值到达预设计数值,则删除单端口协议报文限速表项;在协议报文限速表项的匹配项中添加抑制端口;将第一计数器的计数值清零;删除软件定时器。
14、处理器通过运行存储器中的处理器可执行指令,还执行以下操作,当已收包总数大于收包总数阈值,将第一计数器的计数值清零。
15、处理器通过运行存储器中的处理器可执行指令,执行在指定协议报文的多个接收端口中识别抑制端口的操作包括,丢包检查定时器的设置时间到达时,统计丢包检查定时器设置时间内交换芯片基于协议报文限速表项丢弃的指定协议报文的丢包数;当丢包数不为零,获取多个接收端口的每个接收端口收到的指定协议报文的数量;将收到最多指定协议报文的接收端口的抑制端口计数值加1,当抑制端口计数值到达最大抑制端口计数值,将收到最多指定协议报文的接收端口识别为抑制端口。
16、处理器通过运行存储器中的处理器可执行指令,进一步执行以下操作,确定丢包检查定时器的设置时间内,统计基于协议报文限速表项丢弃的指定协议报文的数量为零,将已记录的抑制端口计数值清零。
17、本申请的有益效果在于,对协议报文的多个接收端口的抑制端口上送处理器的上送速率进行单独控制,避免正常协议报文上送处理器的带宽被泛洪攻击报文侵占。
本文档来自技高网...【技术保护点】
1.一种协议报文防攻击方法,其特征在于,所述方法包括,
2.根据权利要求1所述的方法,其特征在于,所述方法还包括,
3.根据权利要求2所述的方法,其特征在于,所述方法还包括,
4.根据权利要求3所述的方法,其特征在于,所述方法还包括,
5.根据权利要求3所述的方法,其特征在于,所述方法还包括,
6.根据权利要求1所述的方法,其特征在于,所述在指定协议报文的多个接收端口中识别抑制端口包括,
7.根据权利要求6所述的方法,其特征在于,所述方法还包括,
8.一种协议报文防攻击设备,其特征在于,所述设备至少包括处理器和存储器;其中,所述处理器通过运行所述存储器中的处理器可执行指令用以执行权1-权7所述的任意一项方法。
【技术特征摘要】
1.一种协议报文防攻击方法,其特征在于,所述方法包括,
2.根据权利要求1所述的方法,其特征在于,所述方法还包括,
3.根据权利要求2所述的方法,其特征在于,所述方法还包括,
4.根据权利要求3所述的方法,其特征在于,所述方法还包括,
5.根据权利要求3所述的方法,其特征在于,所述方法还包括,
...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。