本发明专利技术公开了一种宽带接入设备的网络攻击防护方法,在接入设备上设置黑名单列表、黑名单判断阈值和黑名单受控功能开关;黑名单列表为存放用户报文的发送速率超过黑名单判断阈值的介质访问控制层MAC地址的列表;黑名单受控功能开关用于打开或者关闭所述黑名单列表;黑名单判断阈值是以MAC地址标识的用户单位时间送往CPU的用户报文的个数;接入设备CPU接收用户报文,当用户报文的发送速率超过黑名单判断阈值时,提取出用户报文的源MAC地址;当源MAC地址不属于上联设备,并且源MAC地址存在于所述黑名单列表中时,丢弃所述黑名单列表中的MAC地址对应的用户报文。本发明专利技术能够有效应对通讯设备上CPU可能受到的网络攻击。
【技术实现步骤摘要】
本专利技术涉及一种通讯技术,尤其涉及一种宽带接入网络设备的网络攻击 防护方法。
技术介绍
随着网络扁平化的发展趋势,接入网设备也在向扁平化发展,从原来的 单纯的两层功能扩充到了能处理一些基本的三层功能,在增强处理功能的同时,也对设备的中央处理器(CPU, Central Processor Unit)的处理能力提出 了考验。目前网上攻击日益频繁,使得接入网络设备在网络使用中出现了较 多问题。为了增强网络设备特别是接入网设备的防攻击能力,使其具备更强 的网络适应性,需要对网络设备的抗攻击性能进一 步加强。网络攻击的类型主要分为对网络设备CPU的流量攻击、对网络协i义 的攻击、对设备的表项的攻击等几种类型。不过目前在网络上比较常见的是 对网络设备CPU的流量攻击,包括阻绝服务攻击(DoS, Denial of Service )、 扫描窺探攻击、协议报文攻击等,这些攻击都表现为可以在短时间内用大量 报文攻击CPU,因为CPU处理能力有限,会影响其他协议和用户报文的接 收,同时影响到网络的连通性、业务的连续性和可管理性。随着网络身见模的 扩大、接入用户增多,各地组网和应用情况各异,病毒、恶意用户攻击网络 的案例不断增加,网络安全问题对我们接入设备的应用影响越来越大。对于 接入设备,由于处理能力的限制,如果有大量的报文涌向主控板,贝'j CPU 占有率太高,影响到正常的业务处理。因此,加强对CPU的保护对提高网 络设备特别是接入网络产品的稳定性有着重要意义。目前对于CPU抗攻击方法主要分为硬件和软件两种类型。对于硬件防 护方法, 一般是采用预先设置硬件访问控制列表(ACL, Access Control List) 规则来对报文进行过滤;对于软件防护方法, 一般是采用在网络设备中设置5专门的软件,用该软件限制报文速率,从而实现对网络设备接收的报文进行过滤,以抵抗对CPU的攻击。对于硬件预先设置ACL规则的方法,以数字 用户线接入复用i殳备(DSLAM, Digital subscriber line access multiplexer)为 例,在DSLAM正常工作时,也占用ACL的规则,消耗硬件资源。同时缺 少自动分析和防御CPU攻击的能力,无法自动完成对芯片的i殳置,或是只 有在使用者干预下才能完成芯片的设置,因而无法及时对攻击报文进行响 应。对于软件限制报文速率的方法,需要使用软件对报文特征进行分析,对 超速率的报文进行限速。但在受到大流量报文攻击的时候,软件限制报文速 率的方法需要对CPU接收到的所有报文进行分析,会占用较多的CPU资源, 且攻击报文仍然会占用端口正常业务报文的硬件队列的带宽,无法避免与攻 击报文在同一个硬件接收队列的其他业务报文被攻击报文淹没的情形,导致 软件分析的效率低下。
技术实现思路
本专利技术要解决的技术问题是提供一种宽带接入设备的网络攻击防护方 法,能够有效应对通讯设备上CPU可能受到的网络攻击。技术方案如下一种,步骤包括(1) 在接入设备上设置黑名单列表、黑名单判断阈值和黑名单受控功 能开关;所述黑名单列表为存放用户报文的发送速率超过所述黑名单判断阈 值的介质访问控制层MAC地址的列表;所述黑名单受控功能开关用于打开 或者关闭所述黑名单列表;黑名单判断阈值是以MAC地址标识的用户单位 时间送往CPU的用户报文的个数;(2) 所述接入设备CPU接收用户报文,当所述用户报文的发送速率超 过所述黑名单判断阈值时,提取出所述用户报文的源MAC地址;(3) 当所述源MAC地址不属于上联设备时,所述接入设备CPU判断 所述源MAC地址是否存在于黑名单列表中;当所述黑名单受控功能开关打 开,并且所述源MAC地址存在于所述黑名单列表中时,丟弃所述黑名单列表中的MAC地址对应的用户报文。进一步,步骤(3 )中,如果所述源MAC地址是上联设备的MAC地址, 将所述用户报文送往上联设备继续处理。进一步,步骤(3)中,当所述源MAC地址不在黑名单列表中时,查 找所述源MAC地址是否在于MAC统计表中;如果不存在,将所述源MAC 地址插入到所述MAC统计表中,然后更新MAC统计值;所述MAC统计 表为送往所述CPU处理的以用户报文的源MAC地址区分不同用户报文的 统计值列表;所述MAC统计值用于统计所有送入所述接入设备CPU的MAC 地址对应用户寺艮文的个数。进一步,步骤(3)中,当统计周期到时,对黑名单列表进行更新,步 骤包括(31)轮询所述黑名单列表,当所述MAC统计值大于设定阈值时轮询 所迷MAC统计表,所述设定阈值为所述黑名单判断阈值和统计周期的乘积;(32 )将所述MAC统计值超过所述设定阈值的MAC地址加入到所述 黑名单列表中,同时向网管服务器发送黑名单告警TRAP消息;(33)当所述MAC统计表轮询完成,清空所述MAC统计表中存放的 各个表项,进入下一统计周期的统计处理工作。进一步,步骤(31)中,将所述MAC统计值与所述设定阈值进行比较, 以决定黑名单列表中MAC地址的增加或者删除;如果所述MAC统计值小 于所述设定阈值,则向网管服务器发送黑名单告警TRAP消息,同时置黑名 单列表该项标志为未J吏用。进一步,步骤(3)中,如黑名单列表存满,则结束对MAC统计表的 轮询;当所述MAC统计表或黑名单表存满时,对新的MAC地址用户或者 黑名单用户不作处理,留待下一次的统计周期到来时识别。进一步,步骤(3)中,当所述黑名单受控功能开关关闭时,对送入所 述接入设备CPU的用户报文不做安全防护,对进入黑名单列表的用户报文 送往上联:设备继续处理。进一步,步骤(3)中,在用户进入所述黑名单列表或者离开所述黑名单列表时,分别对应发送告警信息或者告警恢复信息给网管。进一步,步骤(3)中,当丢弃所述黑名单列表中的MAC地址对应的 用户报文后,更新丟包统计值;所述丟包统计值是送入所述接入设备CPU信息或者告警恢复信息中携带有所述丟包统计值。、、进一步,步骤(3)中,当所述源MAC地址不在黑名单列表中时,所 述告警信息或者告警恢复信息中携带有所述MAC统计值。本专利技术以简单高效的处理方法来应对通讯设备上CPU可能受到的网络 攻击行为。与现有4支术相比,本专利技术基于MAC地址来识别攻击者,可以减 少系统对各种协议报文分别进行识别及过滤所消耗的CPU处理时间和复杂 度,同时,相对于ACL硬件过滤丢弃的方法,增加了防攻击处理的灵活性, 减少了对ACL资源的占用。附图说明图l是本专利技术中的流程图2是本专利技术中统计周期到期(定时器超时)时的黑名单列表和mac 统计表的处理流程图。具体实施例方式本专利技术在接入设备上,对送往CPU处理的各种报文以源介质访问控制 层(MAC, MediaAccess Control)地址为特征进行统计,提供对基于MAC 地址的数据包分析,判别用户设备是否存在威胁网元安全或严重影响性能的 异常,以此进行决策。在接入设备的主用控制板上,每收到一个以太网数据 包,则提取其源MAC地址,以源MAC地址为关4建字对用户净艮文进行统计; 底层转发平面正常转发用户报文。在进行安全防护之前,在接入设备中还需要设置以下参数预置黑名单 判断阈值、统计周期、黑名单受控功能开关、安全防护的总开关等。当安全 防护总开关本文档来自技高网...
【技术保护点】
一种宽带接入设备的网络攻击防护方法,步骤包括: (1)在接入设备上设置黑名单列表、黑名单判断阈值和黑名单受控功能开关;所述黑名单列表为存放用户报文的发送速率超过所述黑名单判断阈值的介质访问控制层MAC地址的列表;所述黑名单受控功能开关 用于打开或者关闭所述黑名单列表;黑名单判断阈值是以MAC地址标识的用户单位时间送往CPU的用户报文的个数; (2)所述接入设备CPU接收用户报文,当所述用户报文的发送速率超过所述黑名单判断阈值时,提取出所述用户报文的源MAC地址; (3)当所述源MAC地址不属于上联设备时,所述接入设备CPU判断所述源MAC地址是否存在于黑名单列表中;当所述黑名单受控功能开关打开,并且所述源MAC地址存在于所述黑名单列表中时,丢弃所述黑名单列表中的MAC地址对应的用户报文。
【技术特征摘要】
1、一种宽带接入设备的网络攻击防护方法,步骤包括(1)在接入设备上设置黑名单列表、黑名单判断阈值和黑名单受控功能开关;所述黑名单列表为存放用户报文的发送速率超过所述黑名单判断阈值的介质访问控制层MAC地址的列表;所述黑名单受控功能开关用于打开或者关闭所述黑名单列表;黑名单判断阈值是以MAC地址标识的用户单位时间送往CPU的用户报文的个数;(2)所述接入设备CPU接收用户报文,当所述用户报文的发送速率超过所述黑名单判断阈值时,提取出所述用户报文的源MAC地址;(3)当所述源MAC地址不属于上联设备时,所述接入设备CPU判断所述源MAC地址是否存在于黑名单列表中;当所述黑名单受控功能开关打开,并且所述源MAC地址存在于所述黑名单列表中时,丢弃所述黑名单列表中的MAC地址对应的用户报文。2、 根据权利要求1所述的宽带接入设备的网络攻击防护方法,其特 征在于,步骤(3)中,如果所述源MAC地址是上联设备的MAC地址,将 所述用户报文送往上联设备继续处理。3、 根据权利要求1所述的宽带接入设备的网络攻击防护方法,其特 征在于,步骤(3)中,当所述源MAC地址不在黑名单列表中时,查找所 述源MAC地址是否在于MAC统计表中;如果不存在,将所述源MAC地 址插入到所述MAC统计表中,然后更新MAC统计值;所述MAC统计表 为送往所述CPU处理的以用户才艮文的源MAC地址区分不同用户净艮文的统地址对应用户净艮文的个^:。4、 根据权利要求3所述的宽带接入设备的网络攻击防护方法,其特 征在于,步骤(3)中,当统计周期到时,对黑名单列表进行更新,步骤包 括(31)轮询所述黑名单列表,当所述MAC统计值大于设定阈值时轮询所述MAC统计表,所述设定阈值为所述黑名单判断阈值和统计周期的乘积;(32 )将所述MAC统计值超过所述设定阈值的MAC地址...
【专利技术属性】
技术研发人员:刘建基,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。