专利名称:为中央处理器提供负载保护的拒绝服务方法
技术领域:
本发明涉及计算机网络通信领域的互联网协议IP网络通信设备中央处理器的负载保护 方法,具体涉及在网络设备中提供一种DoS (Denial of service,拒绝服务)的方法,从而
实现对中央处理器的保护。
背景技术:
在IP网络通信中,高端路由器、三层交换机等网络设备通常通过高效的硬件转发引擎来 转发报文,通过软件来对设备进行管理维护。硬件转发引擎处理报文通常有以下几种情况 (l)正常转发,根据路由表信息将报文发到下一网络设备或终端;(2)丢弃;(3)转交软件处理, 对于路由信息不充分、或需由本网络设备处理的报文转交由软件处理。由于硬件转发引擎的 处理速度远远大于软件的处理速度,因此可能在某一瞬间出现大量的报文交由软件处理,从 而导致中央处理器负荷过载,软件处理效率降低,影响系统的正常运行。
在某些情况下,会出现大量的人为恶意制造的报文,此类报文经由硬件引擎处理后需要 交由软件处理,从而造成中央处理器负载过重,性能下降。DoS攻击就是利用合理的服务请 求来占用过多的服务资源,从而使合法用户无法得到正常的服务响应。DoS针对路由器或交 换机中央处理器的攻击可以分为以下两种类型
1、 利用网络自身的广播功能进行攻击,例如ARP (地址解析)请求等。当网络中的一个 或多个主机发送广播报文时,路由器或交换机需要对收到的广播报文上送CPU进行处理。当 广播报文很多时,就会占用大量的CPU处理资源,使中央处理器负荷过载。
2、 网络中的一个或多个主机向路由器或者交换机发送大量必须由路由器或者交换机中央 处理器处理的报文,如ARP、 DHCP (动态主机配置协议)、RIP (路由信息协议)、OSPF (开放 最短路由)、BGP (边界网关协议)、ICMP (国际消息控制协议)等等,或者是路由器或交换机 无法找到下一跳的报文,这些报文将会耗尽中央处理器的资源,使其无法提供正常的服务。
当需要处理报文大量涌入中央处理器造成过载时,中央处理器通常会随机丢弃部分报文, 使得夹杂在数据报文之间的控制报文被随机丢弃,只有少量被中央处理器处理,从而导致路 由器或交换机部分协议功能、管理功能失效。
中国专利CN1411230A提出针对无路由上送的报文,生成一条新的抛弃路由,通过抛弃无 路由上送报文,达到减小中央处理器负载的效果,但对人为恶意制造的ICMP、 ARP、广播等
报文造成的DoS攻击缺少有效的防范。
发明内容
为了克服上述缺陷,本发明的目的在于提供一种为中央处理器提供负载保护的拒绝服务 的方法,该方法对涌入中央处理器的报文进行分类,限制大量涌入中央处理器的数据报文, 保证了中央处理器能够响应正常的服务请求。
为达到上述目的,本发明为中央处理器提供负载保护的拒绝服务方法,包括
(1) 对硬件转发引擎转发给中央处理器的报文进行分类;
(2) 根据报文分类的类别对将要进入中央处理器的报文进行限速处理。 其中,所述的步骤(2)之后还包括-
(3) 对将要进入中央处理器的报文进行限速处理后再次进行分类,根据再次分类后报文 的类别对进入中央处理器的报文再次进行限速处理。
其中,所述的限速处理具体为
(21) 根据报文分类的类别设定承诺允许转交中央处理器报文的带宽或速率;
(22) 通过对分类后的报文的监控和分析,将分析出来的当前报文所占用的带宽或者包 速率与步骤(21)中设定的承诺带宽或包速率进行比较,若当前报文所占用的带宽或者包速 率小于步骤(21)中预先设定的承诺带宽或包速率,则允许转交给中央处理器处理,否则进 行丢弃。
其中,所述对报文进行分类的方式为基于流进行分类。 其中,所述对报文进行分类的方式为基于流的属性进行分类。
其中,所述流的属性包括源IP地址、目标IP地址、协议类型、优先级别中的任一属 性或它们的组合。
其中,所述步骤(21)中,设定承诺允许转交中央处理器报文的带宽或速率的设定方式 为静态设置方式,该静态设置方式具体为基于流的带宽值或单位时间的包个数进行速率设 置。
其中,所述步骤(21)中,设定承诺允许转交中央处理器报文的带宽或速率的设定方式 为动态设置方式,该动态设置方式具体为当中央处理器利用率高时,则减小允许转交中央 处理器处理的报文速率的设定值;当中央处理器利用率低时,则增加允许转交中央处理器处 理的报文速率值。
本发明提出的为中央处理器提供负载保护的拒绝服务的方法,利用CAR (承诺接入速率)200610098566.8
说明书第3/5页
算法对交由中央处理器的报文进行分类,对报文分类后进行限速,可以有效地防范DoS攻击, 限制了大量涌入中央处理器的数据报文,有选择的控制进入中央处理器的报文速率,保证路 由器或交换机等设备的正常运行,同时也保证了中央处理器能够响应正常的服务请求;该方 法设计简单、容易实现、实施成本低,无需改动现有的硬件引擎,有很好的实用效果;在IPV4、 IPV6网络设备(如路由器、交换机、IP网关等)中都可以获得较好的应用。
图1为现有的网络拓扑结构图2为本发明的转交中央处理器的报文进行间级CAR限速示例图; 图3为本发明的转交中央处理器的报文进行多级CAR限速示例图。
具体实施例方式
下面结合附图和具体实施例对本发明的技术方案进行详细说明 图1是路由器、交换机等网络设备应用的一种网络拓扑图。
各终端之间通过路由器或交换机交换报文进行通信。在DoS攻击中,某个或者某些终端 在某一瞬间同时发送大量的需由路由器或交换机中央处理器处理的报文,造成中央处理器过载。
本发明方法的应用如图2和图3所示,在DoS拒绝服务中,通过对报文分类、使用CAR 算法进行限速来抑制送入中央处理器的报文。
图2所示的是对转交中央处理器的报文进行单级CAR限速的实施例。 其中终端可以是多种不同的设备,如PC、 IP网关等等,每个终端向路由器或者交换机发 送多种不同的报文。硬件引擎对这些报文进行处理,丢弃、转发这些报文,或者转交由中央 处理器进行处理。通常情况下,由病毒或者黑客等人为形成的大量报文,都具有一定的规律 性。因此在将报文转发中央处理器之前先按照某种流或某个流进行分类,或是按照某些属性 对报文进行分类,如按照源IP、源MAC、协议类型等,甚至可以进一步细化为根据4层端口、 某段IP域、MAC群组等。分类的原则是将可能导致中央处理器过载的DoS攻击的报文进行归 类限速,从而保证中央处理器能够对正常的功能、服务进行处理。假设来自某个终端或者某 些终端的ARP请求报文单位时间内不能超过N个,那么在单位时间内,低于N个的ARP请求 报文将会被转交给中央处理器处理,而超出N个的ARP请求报文将会被丢弃,从而降低中央 处理器的负荷。
在CAR限速部分,包含一个令牌桶机制,用于判断来自某个分类的报文是否超过了预先 设定的速率。在令牌桶机制中通常包含三个参数时间间隔P,即每隔时间段P就向令牌桶 内添加单位令牌;令牌桶大小M,即包的最大突发量;当前的令牌量T,即当前允许的突发量。
假定按照包个数对转发中央处理器的报文进行限速。当收到一个报文时,如果令牌桶中
有令牌,该报文被转发,同时从令牌桶中取走一个令牌,T=T-1,如果令牌桶中的令牌为零, 则丢弃该报文。与此同时,令牌桶中的令牌每过时间段P进行积累,T=T+1。当令牌桶中的令
牌丁=\1时,积累的新令牌溢出。下面的伪代码说明了当一个报文来临时的处理情况 If T〉0
T=T-1;
Pass packet; Else
Drop packet; End if
同时,每过时间段P: If T〈M
T=T+1; End if
如上所述,每一个令牌桶对应一个定义的流分类。如果定义了多个流分类,则需要设置 多个令牌桶与之对应。针对每一个终端,或者针对报文的每一个属性设置一个令牌桶与之对 应,将会为限制转交中央处理器处理的报文提供更好的可控性和灵活性,但需要较多的令牌 桶,设置的复杂性也比较高。而针对多个终端,或报文的多个属性,或多个终端的报文的多 个属性设置对应的令牌桶,则需要少量的令牌桶,设置简单。在DoS攻击中,大部分攻击的 报文具有许多共性,通过预先的分析和判断,针对该部分报文设置相应的令牌桶,抑制此类 报文对中央处理器资源的消耗,就可以达到对中央处理器负载的保护。
在DoS攻击中,有时候由于攻击源的分散性或者攻击报文的多样性,通过单级限速并不 能很好的对攻击报文进行限制。在这种情况下,采用分级限速可以更好的实现对中央处理器 很好的保护。如图3所示,报文分类A对经由硬件引擎处理需要转交中央处理器的报文分类 进行初步限速,此时可以是针对某个终端的报文按照报文的某个或某些属性进行分类,允许 通过的报文汇总进入报文分类B,再次针对所有终端报文的某个或某些属性进行分类,并对 再次分类后的报文进行限速,从而为中央处理器提供更好的保护。
当路由器或交换机中央处理器在收到每秒2万个以上的报文(ARP请求报文)需要处理 时,CPU占用率100%。其他正常的业务功能与管理功能几乎失效。在设置了针对该分类(ARP 请求报文)的令牌桶进行限速,允许其的通过率为每秒1000个,CPU占用率显著下降,正常 的业务功能与管理功能恢复正常使用,测试结果表明,使用该方法具有显著的效果。。
本发明提出的为中央处理器提供负载保护的DoS拒绝服务方法,对交由中央处理器的报
文进行分类,对报文分类后进行限速,可以有效地防范DoS攻击,限制了大量涌入中央处理
器的数据报文,有选择的控制进入中央处理器的报文速率,保证路由器或交换机等设备的正 常运行,同时也保证了中央处理器能够响应正常的服务请求;该方法设计简单、容易实现、 实施成本低,无需改动现有的硬件引擎,有很好的实用效果;在IPV4、 IPV6网络设备(如路 由器、交换机、IP网关等)中都可以获得较好的应用。
权利要求
1、一种为中央处理器提供负载保护的拒绝服务方法,包括(1)对硬件转发引擎转发给中央处理器的报文进行分类;(2)根据报文分类的类别对将要进入中央处理器的报文进行限速处理。
2、 如权利要求l所述的为中央处理器提供负载保护的拒绝服务方法,其特征在于,所述 的步骤(2)之后还包括(3) 对将要进入中央处理器的报文进行限速处理后再次进行分类,根据再次分类后报文 的类别对进入中央处理器的报文再次进行限速处理。
3、 如权利要求1或2所述的为中央处理器提供负载保护的拒绝服务方法,其特征在于, 所述的限速处理具体为-(21 )根据报文分类的类别设定承诺允许转交中央处理器报文的带宽或速率; (22)通过对分类后的报文的监控和分析,将分析出来的当前报文所占用的带宽或者包 速率与步骤(21)中设定的承诺带宽或包速率进行比较,若当前报文所占用的带宽或者包速 率小于步骤(21)中预先设定的承诺带宽或包速率,则允许转交给中央处理器处理,否则进 行丢弃。
4、 如权利要求1或2所述的为中央处理器提供负载保护的拒绝服务方法,其特征在于, 所述对报文进行分类的方式为基于流进行分类。
5、 如权利要求1或2所述的为中央处理器提供负载保护的拒绝服务方法,其特征在于,所述对报文进行分类的方式为基于流的属性进行分类。
6、 如权利要求5所述的为中央处理器提供负载保护的拒绝服务方法,其特征在于,所述 流的属性包括源ip地址、目标:[p地址、协议类型、优先级别中的任一属性或它们的组合。
7、 如权利要求3所述的为中央处理器提供负载保护的拒绝服务方法,其特征在于,所述 步骤(21)中,设定承诺允许转交中央处理器报文的带宽或速率的设定方式为静态设置方式, 该静态设置方式具体为基于流的带宽值或单位时间的包个数进行速率设置。
8、 如权利要求3所述的为中央处理器提供负载保护的拒绝服务方法,其特征在于,所述 步骤(21)中,设定承诺允许转交中央处理器报文的带宽或速率的设定方式为动态设置方式,该动态设置方式具体为当中央处理器利用率高时,则减小允许转交中央处理器处理的报文速率的设定值;当中央处理器利用率低时,则增加允许转交中央处理器处理的报文速率值。
全文摘要
本发明公开一种为中央处理器提供负载保护的拒绝服务方法,涉及计算机网络通信领域。为解决现有IP网络中大量报文涌入路由器或交换机导致中央处理器的处理性能下降甚至使中央处理器无法提供正常服务的问题而发明。本发明的方法对路由器或交换机转发给中央处理器的报文进行分类;然后根据报文分类的类别对将要进入中央处理器的报文进行限速处理或再次进行限速处理。本发明的方法有选择的对进入中央处理器的报文进行限速,保证了路由器或交换机等设备的正常运行,同时也保证了中央处理器能够响应正常的服务请求。
文档编号H04L12/26GK101106518SQ20061009856
公开日2008年1月16日 申请日期2006年7月10日 优先权日2006年7月10日
发明者浩 于, 通 冷, 叶志宁, 原 曲 申请人:中兴通讯股份有限公司