专利名称:一种在网络设备上防止用户特定包攻击的方法
技术领域:
本发明涉及通讯技术领域中的宽带接入技术,尤其涉及宽带接入中网络 设备上防止用户攻击的方法。
背景技术:
目前,宽带接入设备中防火墙技术应用日益广泛,但这些防火墙技术都 是局限于对某类报文作绝对的限制,即禁止该类报文通过,而不能为特定类 的报文分配一定的带宽,也不能针对特定用户的特定包进行带宽限制,尤其 是需要协议栈进行复杂处理的报文。在一些病毒爆发或某些用户对设备进行 恶意攻击时,设备需要正常处理的报文过多,就会对业务的正常运行造成严 重的影响,甚至造成设备瘫痪,或者攻击报文占用正常用户的正常净艮文的带 宽,从而使正常用户的业务受到影响。因此,针对特定包或特定用户的特定包,既要防止用户发送大量特定包 进行攻击,又要允许用户特定包进行发送,则需要一种能防止用户特定包攻 击、同时也能限制该特定包占用带宽的方法。发明内容本发明所要解决的技术问题在于,提供一种在网络设备上防止用户特 定包攻击的方法,既防止用户特定包的攻击,又能允许特定包以限定的带宽 进行传送。本发明提供一种在网络设备上防止用户特定包攻击的方法,所述网络设 备具有控制平面、以及将用户报文转发到控制平面的转发平面,所述方法包括如下步骤(1)控制平面接收用户特定包,定时检测并记录所述用户特定包的流
量;(2) 当定时检测发现所述特定包的流量超过设定阀值时,控制平面以 源MAC地址为关键字、以限制带宽和报文类型为参数增加带宽限制表;(3) 转发平面收到需要上送控制平面的特定包后,提取特定包中的源 MAC地址和报文类型,并依据源MAC地址查找带宽限制表,如果查到, 则才艮据报文类型获取带宽限制表中相应的限制带宽信息;(4) 转发平面才艮据限制带宽信息对用户特定包进行带宽限制,将所述 特定包转发到控制平面。进一步地,所述特定包是ARP、或RIP、或OSPF、或IGMP、或PPP-ECHO、 或PPPOE-DISCOVERY、或UDP报文。进一步地,所述带宽限制表至少包括源MAC地址、报文类型、和限制 带宽信息,其由控制平面生成,存储在控制平面和转发平面都能访问的共享 存储区。进一步地,步骤(l)中是利用一个定时器进行定时,在定时到达时开 始检测用户特定包的流量。进一步地,步骤(2)中所述阈值,是根据控制平面硬件的处理能力和 具体业务的需求,由管理人员根据情况预先设定。本发明利用控制面板通过检测特定用户包流量是否超过阈值,对超过阈 值的特定包建立带宽限制表,转发模块转发时,对特定包查表,如果能查到, 则以相应带宽限制信息,对带宽进行限制。本发明既可以避免对特定包的绝 对限制,允许特定包接入,又能够较好地解决用户特定包攻击的问题。
图l是本发明实施例中涉及的网络设备的结构原理图;图2是本发明实施例中控制平面增加带宽限制表的流程图;图3是本发明实施例中转发平面进行带宽限制处理的流程图。
具体实施方式
下面结合附图及具体实施例对本发明所述的防止用户特定包攻击的方 法,作进一步详细说明。如图l所示,显示了网络设备中通常的结构原理图,通常网络设备上包 括有控制平面和转发平面,所述转发平面能够将接收到的用户报文转发到控 制平面进行处理。在本发明中,为了防止用户特定包攻击,控制平面主要实 现对用户特定包的流量检测,而转发平面实现对用户报文的带宽限制,将限 制带宽的用户特定包转发到控制平面。在本发明所述的防止用户特定包攻击的方法中,分别包括在控制平面和 转发平面的流程。如图2所示,显示了控制平面增加带宽限制表的流程图,主要包括如下 步骤(1) 控制平面设置定时器,定时检测用户特定包流量,并可以记录所 述的特定包流量,例如可以设置定时器的定时时间为l秒,每一秒钟进行一 次^L文流量检测,该定时器定时时间是可以改变的,也可以是0.5秒或2秒;(2) 根据检测结果,判断用户特定包流量是否超过设定阀值;(3) 如果检测流量超过阈值,则以源MAC地址为关键字、以限制带 宽和l艮文类型为参数,增加带宽限制表;(4) 如果检测流量未超过阈值,则结束。如图3所示,显示了转发平面进行带宽限制处理的流程图,主要包括如 下步骤(1) 转发平面接收到送往控制平面的用户特定包;(2) 转发平面从所述特定包中提取源MAC地址,查找带宽限制表;(3) 如果查到表,则根据特定包的报文类型对应的带宽信息,对该特 定包进行带宽限制;(4)如果查不到,则结束。在发明中,带宽限制表是本发明新设计的表,存放在控制平面和转发平 面都可以访问的共享存储区。控制平面在增加带宽限制表时,MAC地址是 关键字,报文类型是参数, 一张MAC表是由不同报文类型的带宽限制信息 组成的,以报文类型作偏移定位到特定报文类型的信息;在转发平面查表时, 以MAC地址查表,用净艮文类型作偏移得到相应才艮文的带宽限制信息。在本发明所述的方法中,所述特定包可以具体是某一类报文,例如可以 是ARP、 RIP、 OSPF、 IGMP、 PPP-ECHO、 PPPOE-DISCOVERY、 ICMP消 息(如ping)或UDP报文等网糾艮文。控制平面中流量限制的阀值,是根据控制平面石更件的处理能力和具体业 务的需求,由管理人员根据情况预先设定。应当指出的是,本发明方法对本领域普通技术人员来说,可以根据本发 明的技术方案及其有益效果进行改变或替换,而所有这些改变或替换都应属 于本发明的权利要求的保护范围。
权利要求
1、一种在网络设备上防止用户特定包攻击的方法,所述网络设备具有控制平面、以及将用户报文转发到控制平面的转发平面,其特征在于,所述方法包括如下步骤(1)控制平面接收用户特定包,定时检测并记录所述用户特定包的流量;(2)当定时检测发现所述特定包的流量超过设定阀值时,控制平面以源MAC地址为关键字、以限制带宽和报文类型为参数增加带宽限制表;(3)转发平面收到需要上送控制平面的特定包后,提取特定包中的源MAC地址和报文类型,并依据源MAC地址查找带宽限制表,如果查到,则根据报文类型获取带宽限制表中相应的限制带宽信息;(4)转发平面根据限制带宽信息对用户特定包进行带宽限制,将所述特定包转发到控制平面。
2、 如权利要求1所述的方法,其特征在于,所述特定包是ARP、或RIP、 或OSPF、或IGMP、或PPP-ECHO、或PPPOE-DISCOVERY、或UDP报文。
3、 如权利要求l所述的方法,其特征在于,所述带宽限制表至少包括 源MAC地址、报文类型、和限制带宽信息,其由控制平面生成,存储在控 制平面和转发平面都能访问的共享存储区。
4、 如权利要求1所述的方法,其特征在于,步骤(1)中是利用一个定 时器进行定时,在定时到达时开始检测用户特定包的流量。
5、 如权利要求l所述的方法,其特征在于,步骤(2)中所述阈值,是 才艮据控制平面硬件的处理能力和具体业务的需求,由管理人员根据情况预先 设定。
全文摘要
本发明公开了一种在网络设备上防止用户特定包攻击的方法,首先,控制平面定时检测用户特定包的流量,在超过设定阈值时,控制平面以源MAC地址为关键字、以限制带宽和报文类型为参数增加带宽限制表;转发平面收到需要上送控制平面的特定包后,提取特定包中的源MAC地址和报文类型,并依据源MAC地址查找带宽限制表,如果查到,则根据报文类型获取带宽限制表中相应的限制带宽信息,根据限制带宽信息对用户特定包进行带宽限制,将所述特定包转发到控制平面。本发明既防止用户特定包的攻击,又能允许特定包以限定的带宽进行传送。
文档编号H04L9/36GK101155034SQ20061015966
公开日2008年4月2日 申请日期2006年9月30日 优先权日2006年9月30日
发明者军 王 申请人:中兴通讯股份有限公司