专利名称:基于网络处理器的dslam设备防止协议包攻击的方法
技术领域:
本发明涉及计算机网络和宽带接入,具体涉及的是一种基于网络处理器 的DSLAM设备防止协议包攻击的方法。
背景技术:
当前,由于宽带业务的多样化需求,宽带接入设备需要支持更多的功能, 为此,需要处理多种协议报文,如点对点协议The Point-to-Point Protocol Over Ethernet,简称PPPOE协i义,动态主才几配置协i义Dynamic Host Configuration Protocol ,简称DHCP协议,组管理协议Internet Group Management Protocol,简称IGMP协议,等等协议,来提供各种业务。然而,由于网络 用户的增加和网络规模的扩大,宽带接入设备的转发能力和系统稳定性受到 了日益严酷的挑战,如果网络协议报文被用于恶意攻击,当进行高速的协议 包沖击时,宽带接入设备需要持续处理大量的协议报文,占用了大量的cpu 资源和带宽,导致其它正常的业务功能受到很大影响,性能大大下降,并且 一个异常用户会影响到同 一设备上的其它用户,导致正常用户无法上线等故 障,这给用户乃至运营商带来了极大的不便。
目前,协议报文在DSLAM系统中的处理流程大致如图1所示,线卡2 获取协议报文后通过业务通道31上传给主控板1,由上层服务器进行进一 步处理,主控板1将相应的应答消息通过业务通道31下发给线卡2,网络 处理器设置在线卡2内,网络处理器可以是定制的ASIC芯片或FPGA芯片, 线卡2还通过管理通道32向网管系统发送信息或接收参数设置。为了支持 更多安全策略的实现,在线卡侧获取协议报文后,也需要进行一些信息提取 工作,为此,线卡需要对一些协议报文进行捕获,并且发送给cpu进行处理。 所以,在协议包攻击发生时,线卡的cpu,线卡到主控板的业务通道带宽, 以及上层设备等资源都将受到沖击,导致系统性能下降。
目前,针对协议包攻击问题,已有的处理方法主要有以下几种
1、 在线卡侧,或称用户/业务板侧,采用多种算法对发送给主控板的报 文进行限速,比如采用令牌桶算法进行限速。该方法只能有限的保障线卡到 主控板之间的业务通道,但是无法保护线卡的cpu资源,同时,不能区别协 议报文类型,也不能做到端口级的其它正常用户保护;
2、 在线卡收发报文任务中,对上报给CPU的报文进行限制,即CPU 接收报文限速,在CPU接收到的报文超过预定的报文数量时,通过对超标 的报文进行流量限制或者流量整形,来保护CPU资源;该方法可以在一定 程度上包括系统的CPU,但是由于无法对特定协议报文进行分类处理,无 法在抑制某种恶意协议4艮文攻击的同时,保证其它正常业务的进行,并且不 能区分问题端口和正常端口,导致连坐效应;同时上层设备不能获知受攻击 的相关信息,不利于运营商的管理工作;
由以上分析可知,现有的技术存在以下缺点1)、不能有效保证线卡 cpu资源和带宽资源;2)、无法对不同的协议报文区别限速;3)、无法基 于用户端口进行限速, 一个异常用户会导致同一个用户板上其它用户的宽带 业务;
随着网络技术的发展,目前各主流网络处理器Network Processor,简称 NP,可以是定制的ASIC芯片或FPGA芯片,均提供了以下功能,据此DSLAM 设备可以用来对数据流进行更多控制;
1、 支持数据报文的捕获功能,可以捕获需要特殊处理的数据类型并进 一步进行处理;
2、 加强了数据流的分类功能,并且支持自定义数据流,用户可以通过 指定数据帧特定数据段进行分类定义;
3、 支持对数据流进行限速,包括对特定数据流,例如广播数据流,单 播数据流,以及组播数据流进行限速,同时支持对自定义的数据流进行限速。
发明内容
本发明需要解决的技术问题是提供一种DSLAM设备防止协议包攻击
的方法,能够在lt字用户线接入复用器Digital Subscribe Loop Access Multiplexer,简称DSLAM上,利用网络处理器对协议报文进行捕获,并以 此为基础对用户报文的通过进行限制和过滤以阻止高速的协议包冲击 DSLAM导至丈系统'l"生能下降。
本发明的上述技术问题这样解决,提供一种DSLAM设备防止协议包攻 击的方法,利用网络处理器对端口数据流进行捕获和限速,包括以下步骤
U)依协议报文国际/国内标准分析制定不同协议报文各自的限速门限;
1.2) 定义独立的端口对应规则按协议报文特征分类捕获数据流,并按 各自的与不同协议对应的限速门限进行限速处理;
1.3) 网络处理器按所述对应规则处理流经该端口的数据报文。
按照本发明提供的方法,所述协议报文特征可以是协议头特征字段,包 括协议字段,TCP和UDP包端口号,以太包协议类型,IP包的协议类型和 特定IP等。
按照本发明提供的方法,所述规则还包括监测到攻击发生时,网络处理 器给网管系统发送包含攻击报文类型和攻击端口的信息。
按照本发明提供的方法,所述端口可以是DSLAM设备的各个网络层数 据流端口 。
按照本发明提供的方法,所述端口包括但不限制于线卡用户侧的用户端 口、桥端口和网绍"则的网口。
按照本发明提供的方法,所述限速处理是针对超过所述限速门限速度的 协议报文发送给cpu进一步分析处理,或者直接将该超速的协议报文丢弃。
按照本发明提供的方法,所述限速处理是针对低于所述限速门限速度的 协议报文允许通过并发送给cpu进一步分析处理。
按照本发明提供的方法,所述限速包括但不限制于采用SR2CM、 TRTCM和令牌桶中的任一种限速算法进行限速。
按照本发明提供的方法,所述限速门限包括但不限制于平均限速门限和 突发数据包门限。
按照本发明提供的方法,所述网络处理器可以是定制的ASIC芯片或 FPGA芯片。
按照本发明提供的方法,所述协议包括但不限制于PPPOE、 DHCP和 IGMP协议。
按照本发明提供的方法,所述定义端口对应规则可以通过人机界面进行设置。
本发明提供的基于网络处理器的DSLAM设备防止协议包攻击的方法, 自定义捕获和处理规则,利用网络处理器进行数据流捕获和数据流限速,较 现有方法具有以下优点'.1、可以基于用户端口级对恶意协议报文攻击行为 进行抑制,使恶意攻击不会影响同 一个线卡上其他未发起协议^R文攻击的正 常用户;2、对各种不同的协议报文分别抑制, 一种协议报文的恶意攻击不 会影响其它协议业务;3、在DSLAM设备的底层设备线卡line card上就对 恶意攻击协议报文进行终结,最大限度上保护了线卡line card上的cpu资源 和上联的带宽资源;4、 一旦线卡line card某个用户口受到恶意协议报文攻 击,可以快速向上层设备报告受攻击的用户口信息以及攻击的报文信息,上 层设备可以根据这些信息采取不同的措施,为网络运营监控提供有效的数 据。5、 DSLAM设备中的上层设备不需要对多余的协议报文做处理,更有 利于其稳定性,并且可以将更多的资源用于优质的服务;6、通过主控板配 置,可以根据组网和业务要求,灵活配置对各种协议报文配置不同的抑制门 限,以适应丰富多样的实际需求;因此,线卡和上层设备都可以减少了报文 处理量,并可以专注于其它安全策略的实现,从而降低了整个宽带接入系统 的开发难度并提高了其可靠性。
下面结合附图和具体实施例进一步对本发明进行详细说明。 图1是DSLAM设备处理协议报文模块。 图2是实现本发明的实施例的配置流程图。 图3是实现本发明的实施例的数据流示意图。
具体实施例方式
首先,说明本发明核心关键利用网络处理器进行数据流捕获和数据流 限速,即对宽带接入设备上多种协议报文(包括PPPOE, DHCP, IGMP等 协议)分别进行数据报文捕获,针对不同协议数据流,实现用户端口级的不 同协议报文独立流量控制功能,对用户报文的通过进行限制和过滤。
第二步,说明本发明方法,具体包括以下步骤
步骤A.利用网络处理器Network Processor,简称NP,具体可以是定 制的ASIC芯片或FPGA芯片,提供的抓包功能,根据不同的协议报文设置 协单独捕获规则,包括报文特征和报文捕获后处理行为,并将符合捕获规则 的数据流定义为特定数据流flowtype;
步骤B.创建基于流flow实现的限速器,根据该协议数据的使用标准 制定限速规则,包含限速门限,突发数据包门限等等,然后采用限速算法进 行限速,根据实际情况,可以采用单速率双色标记Single Rate Two Color Marking,简称SR2CM,双速率三色标记Two Rate Three Color Marking,简 称TRTCM,令牌桶等限速算法。
步骤C.创建报文处理行为规则,根据系统不同的组网要求,指定报文 处理行为,针对超速的协议报文可以是送给cpu进一步分析处理,或者直接 将报文丟弃;同时在控制方面,在监测到攻击发生时,给网管系统发送攻击 报文类型,攻击端口等信息,提供管理信息;
步骤D.将限速器应用到用户端口和指定的流flowtype,不同的协议报 文根据不同的限速器实例化,并且根据不同的用户需求和协议标准对端口和 协议数据流进行限速,根据NP (即定制的ASIC芯片)和FPGA所支持的 功能,可以将限速器配置到各层网络端口,根据限速器所作用的位置,超速 的报文将在各个网络层被丢弃,同时从系统资源保护的角度,越早被丟弃, 系统的性能保护越安全。
步骤E.注册协议报文限速器中断服务程序,当端口收到符合限速规则 的数据报文后,只有在协议报文速率在限速门限以下,才由中断服务程序将
报文发送给cpu进一步处理,超过限速门限的协议报文已经在限速器被丢 弃。
第三步,结合具体实例例对本发明做进一步详细的说明。
(-)限速门限
针对不同的协议报文,国内外都有相应的标准,制定协议报文交互过程 以及重发机制等规则,根据这些标准,我们可以得到正常的协议报文的发包 速率,从而制定出不同协议报文的限速门限。
(二)以线卡为例说明数据流捕获和限速
由于需要对上下行的报文进行截取、分析、过滤等操作, 一种具体的实 现方式是在DSLAM的线卡上实现数据报文捕获和数据报文限速功能。如背 景资料中所介绍,结合网络处理器的数据抓捕功能和数据流限速功能实现协 议报文限速。下面结合附图,重点对线卡上的实现方法进行说明。
如图2所示,在线卡上实现数据报文捕获并进行限速功能的步骤如下
步骤A.创建基于flow实现的限速器rate limter,制定限速规则Rate limterprofile,指定限速门限;
步骤B.创建报文处理限速行为规则rate limter action profile,指定报文 处理行为,对速率门限下的数据包允许通过,将超过限速门限的数据进行丟
弃;
步骤C.将限速器实例化,并且应用到用户端口和步骤Dfilter中将具体 定义的H据流flowtype;
步骤D.设置filter rule和subrule,设置协议^艮文捕获特征和4艮文处理 行为,根据不同的协议报文,制定不同的协议头特征字段作为捕获规则,将 报文处理行为制定为ratelimter,即发送给限速器处理,同时,将符合捕获规 则的数据流注册为限速器指定的数据流号flowtype;
步骤E.注册协议报文捕获中断服务程序,当端口收到符合数据报文捕 获规则的数据报文后,将由中断服务程序根据限速器的规则进行处理,低 于限速门限的包才提取出来交给线卡cpu进一步处理,超过限速门限的协 议报文将在数据层即被丢弃,保护了cpu的资源。
根据上述配置,协议报文在线卡中的处理流程如图3所示,线卡2内用
户端口 21收到符合filter中指定的数据流后,数据捕获的中断函数将根据 ratelimter中定义的门限,只将在限速门限以下的协议报文提取给线卡2的 cpu进一步处理,并将通过协议限速器22限速的协议报文经桥端口 23和 业务通道31传送给主控板2,从而减少上层设备4的报文处理量。并且在 受到攻击时,将发起攻击的用户端口 21以及攻击的协议包类型等信息通 过管理通道32发送给网管系统,以供用户管理。
以上步骤中,数据捕获规则和限速规则支持用户灵活修改,并且对不同 的用户口和PVC端口可以实现独立配置,这些创建、设备、修改等操作可 以通过宽带接入设备的配置系统的人机界面实现,从而本发明方法可以根据 组网实际情况灵活配置各种协议报文的独立的限速方案,在保证各种协议业 务的正常功能情况下,阻止各种恶意或者无意义的协议^f艮文冲击,进一步增 强二层交换设备的稳定性和转发性能,提高DSLAM整体交换性能,并且为 上层设备减少报文处理量,进一步提高网络设备整体性能。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护 范围。凡依本发明的权利要求书,所作的任何修改、等同修改、改进等,均 应包含在本发明要求保护范围之内。
权利要求
1、一种DSLAM设备防止协议包攻击的方法,其特征在于,利用网络处理器对端口数据流进行捕获和限速,包括以下步骤1.1)依协议报文国际/国内标准分析制定不同协议报文各自的限速门限;1.2)定义独立的端口对应规则按协议报文特征分类捕获数据流,并按各自的与不同协议对应的限速门限进行限速处理;1.3)网络处理器按所述对应规则处理流经该端口的数据报文。
2、 根据权利要求1所述方法,其特征在于,所述规则还包括监测到攻击发生时,网络处理器给网管系统发送包含攻击报文类型和攻击端口的信 自
3、 根据权利要求1所述方法,其特征在于,所述端口可以是DSLAM 设备的各个网络层数据流端口 。
4、 根据权利要求1所述方法,其特征在于,所述限速处理是针对超 过所述限速门限速度的协议报文发送给cpu进一步分析处理,或者直接将该 超速的协议报文丢弃。
5、 根据权利要求1或4所述方法,其特征在于,所述限速处理是针 对低于所述限速门限速度的协议报文允许通过并发送给cpu进一步分析处 理。
6、 根据权利要求1所述方法,其特征在于,所述限速可以采用 SR2CM、 TRTCM和令牌桶中的任一种限速算法进行限速。
7、 根据权利要求l所述方法,其特征在于,所述限速门限包括平均 限速门限和突发数据包门限。
8、 根据权利要求l所述方法,其特征在于,所述网络处理器可以是 定制的ASIC芯片或FPGA芯片。
9、 根据权利要求l所述方法,其特征在于,所述协议包括PPPOE、DHCP和IGMP协议中的 一种或多种。
10、 根据权利要求l所迷方法,其特征在子,所述定义端口对应规则可以通过人机界面进行设置。
全文摘要
本发明涉及一种DSLAM设备防止协议包攻击的方法,利用网络处理器进行数据流捕获和数据流限速,包括依协议报文国际/国内标准分析制定不同协议报文各自的限速门限;按协议头特征字段分类捕获数据流,并按各自的与不同协议对应的限速门限进行限速处理。这种方法自定义捕获和处理规则,利用网络处理器进行数据流捕获和数据流限速,能基于用户端口级对恶意协议报文攻击进行抑制,使恶意攻击不会影响同一个线卡上其他正常用户;对各种不同的协议报文分别抑制,使恶意攻击不会影响其它正常协议业务;使线卡和上层设备都减少了报文处理量,能专注于其它安全策略的实现,从而降低了整个宽带接入系统的开发难度并提高了可靠性。
文档编号H04L29/06GK101188607SQ20061014582
公开日2008年5月28日 申请日期2006年11月17日 优先权日2006年11月17日
发明者楠 吴, 熊文杰, 硕 王, 邢思远 申请人:中兴通讯股份有限公司