专利名称:动态调整网络地址转换策略的方法及系统的制作方法
技术领域:
本发明涉及通信领域,更具体地涉及一种动态调整网络地址转 才灸策略的方法及系统。
背景技术:
目前,随着网络的快速发展,IPv4地址面临着地址耗尽的问题, 而网络地址转4奂冲支术(Network Address Translation,简称NAT)的 应用能够延緩IPv4地址的耗尽。NAT技术是一种地址映射技术, 通常用于内部私有网全各中。具有私有IPv4地址的主枳j访问外部爿>共 网络的主才几时,将该主冲几的私有IPv4地址映射为一个外部唯一可识 別的乂>网IPv4i也址;同时,将外部主才几返回#会内部主才几的乂>网IPv4 地址转4灸成内部标志来标识该主才几的私有IPv4地址,佳_得返回的#: 才居包能够正确到达内部主才几。另外,除了能够节省IPv4;l也址的fC点 外,NAT还有防止网络攻击,内部网络管理者可以根据需要搭建内 部网络环境等优点。这些优点使得NAT得到了普遍的应用,很多企 业、学4交等都才艮才居NAT应用来4荅建内部网主备环境。然而,伴随着网络的快速发展,计算才几网络安全也受到方方面 面的威胁,各种各样的病毒和攻击普遍存在于网络中。其中,很多 攻击采用泛洪才几制,对净艮文处理和转发的中间i殳备进4亍攻击,以影 响网络带宽,消耗中央处理单元(CPU)的使用为目的,严重影响 了设备的正常报文的处理,甚至可能导致局部网络运行的瘫痪。而 启用NAT功能的路由器也存在这种威胁。存在于内部私有网络或外部/>共网络的攻击者通过发送大量的特殊才艮文,这些才艮文对于NAT 处理来说比较特殊,孩t码或软转发进程不能直接处理,需要上送协 议进程进行处理,这样就会导致协议进程特别忙,CPU利用率很高, 从而影响正常的需要上送协议进程的报文处理。对于这种大量发送 需要NAT协议进程处理的特殊报文,以消耗CPU的使用为目的的 攻击,需要一种特别的机制来防止这种攻击,保证正常的NAT业务 和其它业务不受影响。发明内容本发明提供了 一种动态调整网络地址转换策略的方法及系统, 以在CPU忙的时候及时关闭一些可能存在攻击的特殊报文的NAT 处理,降4氐CPU利用率,乂人而^f呆i正基本的NAT业务和其他正常业 务的实现。根据本发明实施例的动态调整网络地址转换策略的方法,包括 设置用于界定中央处理单元的繁忙程度的第一门限值和第二门限 值;在网《各地址转换过程中,每隔特定时间自动4全测一次中央处理 单元的利用率;以及当中央处理单元的利用率高于第一门限值时, 通知微码或软转发进程将协议进程在特定时间内处理最多的需要协 议进程直4妄进4亍网络地址转换处理的净艮文关闭,当中央处理单元的 利用率低于第二门限值时,通知微码或软转发进程恢复对需要协议 进程直接进行网络地址转换处理的报文的处理。其中,需要协议进程直接进行网络地址转换处理的报文包括以 下才艮文中的一种或多种分片才艮文、选项才艮文、网际控制信息协议 4晉误才艮文、TTL为0或1的々艮文、需要进4亍网络地址转换ALG处 理的4艮文。其中,可以通过命令配置或默i人配置i殳置第一门限值和 第二门限值。其中,对于需要协议进程直接进行网络地址转换处理的报文, 预先对各个报文分别设定每秒处理报文数目的最大值。当超过预先i殳定的每秒处理才艮文凄t目的最大值时,中央处理单元通知樣i码或库欠转发进程将协议进程在特定时间内处理最多的需要协议进程直接进 4亍网络地址转换处理的才艮文关闭。才艮据本发明实施例的动态调整网络地址转换策略的系统,包括 门限i殳置单元,用于i殳置界定中央处理单元的繁忙程度的第 一 门限 值和第二门限值;自动才企测单元,用于在网络地址转换过程中,每 隔特定时间自动;险测一次中央处理单元的利用率;以及策略调整单 元,用于在中央处理单元的利用率高于第一门限值时,通知樣i码或 软转发进程将协议进程在特定时间内处理最多的需要协议进程直接 进行网络地址转换处理的报文关闭,在中央处理单元的利用率低于 第二门限值时,通知孩i码或软转发进程恢复对需要协议进程直接进 行网络地址转换处理的才艮文的处理。其中,需要协议进程直冲妻进行网络地址转换处理的报文包括以 下才艮文中的一种或多种分片才艮文、选项报文、网际控制信息协议 4晉误才艮文、TTL为0或1的才艮文、需要进行网络地址转冲灸ALG处 理的报文。其中,对于需要协议进程直接进行网络地址转换处理的报文, 预先对各个报文分别设定每秒处理报文数目的最大值。当超过预先 设定的每秒处理l艮文数目的最大值时,策略调整单元通知樣t码或软 转发进程将协议进程在特定时间内处理最多的需要协议进程直接进 行网络地址转换处理的才艮文关闭。其中,门限设置单元通过命令配置或默认配置设置第一门限值 和第二门限值。与现有技术相比,由于本发明能够在CPU忙的时候及时关闭一些可能存在攻击的特殊报文的NAT处理,所以降低了 CPU利用率, 保证了基本的NAT业务和其他正常业务的实现,有效防止了网络攻 击。在CPU不忙的时候,能自动恢复该类报文的处理。同时,本发 明是系统自动进行纟佥测和处理,不需要人工操作,避免了在管理人 员不在时,CPU利用率高居不下,NAT基本业务和其它正常业务得 不到及时处理的情况。而且本发明原理简单,容易实现。
此处所-说明的附图用来提供对本发明的进一步理解,构成本申 请的一部分,本发明的示意性实施例及其说明用于解释本发明,并 不构成对本发明的不当限定。在附图中图1是根据本发明实施例的NAT的应用环境图;图2是根据本发明实施例的路由器上的NAT的处理图;图3是根据本发明实施例的动态调整网络地址转换策略的方法 的流禾呈图;以及图4是4艮据本发明实施例的动态调整网络地址转换策略的系统 的框图。
具体实施方式
在本发明中,拟通过才艮据CPU利用率动态调整NAT的处理策 略,来防止网绍^丈击。本发明在CPU利用率高的情况下,自动统计一段时间内NAT 协议进程处理比4交多的特殊寺艮文,并通知孩i码或软转发进程不上送这类报文,从而降低了协议进程的CPU利用率,保证了正常的NAT 业务和其他业务的报文能得到及时的处理,达到了防止网络攻击的目的。另夕卜,本发明在CPU降到不忙的情况下,能重新恢复这些报文 的处理。所以,本发明避免了在网络攻击时需手动设置来降低CPU 利用率的情况,达到了能根据CPU利用率实时和自动地调整NAT 处理策略的目的。本发明4是供了 一种才艮据CPU利用率动态调整NAT处理策略的 方法及系统。在启用NAT的路由器上,其NAT实现机制大部分是 孩吏码或软转发进程处理已经有转换条目的NAT报文,对于没有生成 对应转换条目或一些特殊的报文,则上送给协议进程处理。协议进 程生成转换条目,并维护转换条目表,包括转换条目表的老化、删 除,更新等。对于一些对NAT处理而言特殊的报文,如分片报文、 选项才艮文、网际4空制4言息十办i义(Internet Control Message Protocol, 简称ICMP )错误报文、21端口的传输控制协议(Transmission Control Protocol,简称TCP )才艮文、53端口的用户凄史据协i义(User Datagram Protocol,简称UDP)报文等,这些报文微码或软转发进程不处理, 发现要做NAT转换后,即使对应的转换条目存在,也会上送协议进 禾呈进4于NAT处理。如果攻击者大量发送这些报文,那么在启用NAT的路由器收到 这些报文,发现要做NAT转换时,会直接上送给协议进程,造成协 议进程的CPU 4艮忙,从而使得一些正常的基本的NAT报文就不能 得到处理。对于这种大量发送需要协议进程处理的NAT报文的攻击,可以 根据CPU的利用率来动态调整NAT的处理策略,如在CPU忙的情 况下,自动把选项报文、ICMP错误报文、分片报文等关闭,并通知微码或软转发进程不上送这些报文到协议进程进行NAT处理。也 可以在CPU忙的时候,自动检测一段时间内协议进程处理比较多的 才艮文类型,并关闭这种4艮文的f办i义处理。例如,发现在一,爻时间内, 协议NAT处理了大量的ICMP错误报文,那么就可以自动把ICMP 错误报文的NAT处理关闭。这些关闭的报文类型一般在实际中不常 用,而且处理特 朱,所以关闭这些l艮文类型的处理,对基本的NAT 应用不会有太大的影响。等CPU不忙的时候,再自动把这些关闭的 才艮文处理打开。当然,CPU忙和不忙的界限,可以通过命令配置来 界定,也可以默认设置,具体可以根据需要来决定。另夕卜,CPIJ忙 和不忙的对应的处理时间不能太短,不然会出现反复震荡的情况,如才全测到CPU忙,则关闭某些类型纟艮文的NAT处理,这时候CPU 就不忙了,这时候又打开该报文的NAT处理,CPU又忙,这样反 复执行,也会影响CPU的使用效率。防治这种震荡可以通过在CPU 不忙时恢复才艮文处理的时间逐渐加大来实现。才艮据本发明实施例的动态调整网络地址转换策略的方法包括以 下步骤第一步,在3各由器上i殳置对于NAT而言,CPU忙和不忙的界 限。如设置CPU利用率在90%或95%以上为忙的状态,设置CPU 利用率在85%或80%以下为恢复NAT处理的状态,这些i殳置可以 通过命令配置来设置,也可以根据经验默认设置。第二步,路由器在进行NAT处理的过程中,会每隔一段时间就 自动检测CPU的利用率,发现CPU利用率超过设置的忙的限定, 则通知微码或软转发进程把这段时间内协议进程处理比较多的特殊 报文关闭,这类特殊报文直接在微码或软转发处丢弃。第三步,当关闭一些NAT处理特殊的报文后,会定时冲企测CPU 的利用率,如果发现CPU利用率降到第一步设置的不忙的状态,则恢复这些《艮文的处理,并通知孩t码或软转发进程允许这些报文的上送。进一步的,对于需要协议进程直接进行网络地址转换处理的报 文,可以预先对各个报文分别设定每秒处理报文数目的最大值。当超过预先设定的每秒处理报文数目的最大值时,CPU通知微码或软转发进程将协议进程在特定时间内处理最多的需要协议进程直4妻进 行网络地址转换处理的才艮文关闭。下面结合附图,对本发明的具体实施方式
作进一步的详细描述。图1是NAT的应用环i竟图。主才几A在内部网全各,主才几B在外 部/>共网络,主才几A通过NAT访问外部7>共网络。图2是路由器上的NAT的处理图。大部分的路由器都是微码或 软转发进程处理已经有NAT转换条目的报文,没有转换条目的报文 或特殊报文则需要上送协议进程进行NAT处理。其中,图中的弯曲 虛线表示需要进行NAT处理的特殊报文,这类报文不管转换条目是 否存在,都要上送协议进程进行处理,这很容易被攻击者利用。攻 击者通过发送大量的这些报文,这些报文到达路由器后,发现需要 做NAT转换,则直接上送CPU,就容易造成CPU忙。这些报文主 要有分片报文、选项报文、ICMP错误报文、TTL为0或1的报 文、需要进4亍NAT ALG处理的才艮文。图3是根据本发明实施例的动态调整网络地址转换策略的方法 的处理流程图。如图3所示,当启动NAT模块的时候,会创建并启 动一个循环定时器,用来检测CPU的利用率。当CPU的利用率高 于CPU忙的限定时,就统计一4史时间内协议进程NAT处理的才艮文 和类型。如果发现在该段时间内协议进程处理的某类特殊报文比较 多,则通知软转发进程或微码关闭这类报文的上送,同时启动一个循环定时器来检测CPU不忙的状态,用来恢复这报文的处理。当然,上面^是到的CPU忙和不忙的限定,循环定时器触发时间间隔,CPU 忙时统计报文的时间段,该段时间内各种NAT处理报文允许的数目 等,都需要根据经验进行命令配置或默认设置。石更件部分由两台以上的主才几(一台主才几A在IPv4内部私有网 纟备,IP ;也址为192.168.1.2,另外一台主才几B在外部乂>共网络,IP 地址为100.1.1.2)、 一台i 各由器R、和双绞线若干等组成,组网关系 图如图1所示。库欠件部分的处理步冬聚如下第一步,在路由器R上进行NAT的相关配置。(1 )启用NAT功能ip nat start(2)设置与IPv4内部私有网全各相连的4妄口的IP地址和NAT属性interface fei—l/lip address 192.168.1.1 255.255.255.0 ip nat inside(3 )设置与外部公共网络相连的接口的IP地址和NAT属性 interface fei—2/1ip address 100.1.1.1 255.255.255.0ip nat outside(4 )配置NAT转换规则(为了叙述方便,这个地方用静态规 则来实现)ip nat inside source static 192.168.1.2 100.1.1.200第二步,IPv4内部私有网络的主才几A向主才几B发送大量的特殊 报文,如ICMP ,晉误报文,发现路由器CPU —段时间内忙,后CPU 降为正常。察看统计才支术,发现这些冲艮文都在孩i码:帔丢弃。第三步,IPv4内部私有网络的主机A向主才几B发送少量的特殊 报文,如ICMP错误报文,发现报文被上送到协议进程处理,没有 被微码丢弃。第四步,主才几B也类似上面的步-骤向主才几A转纟奂后的i也址 100.1.1.200发起攻击,也能看到类似的处理。图4是4艮据本发明实施例的动态调整网络地址转换策略的系统 的框图。如图4所示,该系统包括门限设置单元,用于设置界定 中央处理单元的繁忙程度的第 一 门限值和第二门限值;自动检测单 元,用于在网络地址转换过程中,每隔特定时间自动冲企测一次中央 处理单元的利用率;以及策略调整单元,用于在中央处理单元的利 用率高于第 一 门限值时,通知樣i码或软转发进程将协议进程在特定 时间内处理最多的需要协议进程直接进行网络地址转换处理的报文 关闭,在中央处理单元的利用率低于第二门限值时,通知微码或软 转发进程恢复对需要协i义进程直4妻进行网络地址转换处理的才艮文的 处理。其中,对于需要协议进程直接进行网络地址转换处理的才艮文, 预先对各个才艮文分别设定每秒处理净艮文数目的最大值。当超过预先i殳定的每秒处理才艮文数目的最大值时,策略调整单元通知樣l码或软 转发进程将协议进程在特定时间内处理最多的需要协议进程直4妄进 行网络地址转换处理的报文关闭。其中,门限设置单元通过命令配 置或默认配置设置第一门限值和第二门限值。综上所述,与现有技术相比,由于本发明能够在CPU忙的时候 及时关闭一些可能存在攻击的特殊报文的NAT处理,所以降低了 CPU利用率,保证了基本的NAT业务和其他正常业务的实现,有 效防止了网络攻击。在CPU不忙的时候,能自动恢复该类才艮文的处 理。同时,本发明是系统自动进行才全测和处理,不需要人工才喿作, 避免了在管理人员不在时,CPU利用率高居不下,NAT基本业务和 其它正常业务得不到及时处理的情况。而且本发明原理简单,容易 实现。以上所述仅为本发明的实施例而已,并不用于限制本发明,对 于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本 发明的精神和原则之内,所作的任何修改、等同替换、改进等,均 应包含在本发明的片又利要求范围之内。
权利要求
1. 一种动态调整网络地址转换策略的方法,其特征在于,包括设置用于界定中央处理单元的繁忙程度的第一门限值和第二门限值;在网络地址转换过程中,每隔特定时间自动检测一次所述中央处理单元的利用率;以及当所述中央处理单元的利用率高于所述第一门限值时,通知微码或软转发进程将协议进程在所述特定时间内处理最多的需要所述协议进程直接进行网络地址转换处理的报文关闭,当所述中央处理单元的利用率低于所述第二门限值时,通知所述微码或软转发进程恢复对所述需要所述协议进程直接进行网络地址转换处理的报文的处理。
2. 根据权利要求1所述的方法,其特征在于,所述需要所述协议 进程直接进行网络地址转换处理的才艮文包括以下报文中的一 种或多种分片报文、选项报文、网际控制信息协议错误报文、 TTL为0或1的^艮文、需要进行网络;t也址转:t灸ALG处理的才艮 文。
3. 根据权利要求2所述的方法,其特征在于,对于所述需要所述 协议进程直4妄进行网络地址转换处理的才艮文,预先对各个报文 分别i殳定每秒处理才艮文数目的最大值。
4. 根据权利要求1至3中任一所述的方法,其特征在于,当超过 预先i殳定的所述每秒处理冲艮文数目的最大^直时,所述中央处理 单元通知所述微码或软转发进程将所述协议进程在所述特定时间内处理最多的需要所述协议进程直接进4亍网络地址转换 处理的净艮文关闭。
5. 根据权利要求1所述的方法,其特征在于,通过命令配置或默 认配置i殳置所述第一 门限值和所述第二门限值。
6. —种动态调整网络地址转换策略的系统,其特^正在于,包括门限设置单元,用于设置界定中央处理单元的繁忙程度的 第一门限值和第二门限值;自动斗企测单元,用于在网络地址转换过程中,每隔特定时 间自动4企测一次所述中央处理单元的利用率;以及策略调整单元,用于在所述中央处理单元的利用率高于所 述第 一 门限值时,通知孩i码或软转发进程将协议进程在所述特 定时间内处理最多的需要所述协议进程直接进行网络地址转 换处理的才艮文关闭,在所述中央处理单元的利用率低于所述第 二门限值时,通知所述微码或软转发进程恢复对所述需要所述 十办i义进禾呈直^妄进4亍网绍d也址转换处理的才艮文的处理。
7. 根据权利要求6所述的系统,其特征在于,所述需要所述协议 进程直接进行网络地址转换处理的才艮文包括以下报文中的一 种或多种分片报文、选项报文、网际控制信息协议错误报文、 TTL为0或1的才艮文、需要进行网络地址转换ALG处理的报 文。
8. 根据权利要求7所述的系统,其特征在于,对于所述需要所述 协i义进程直4妻进4亍网络地址转换处理的报文,预先对各个报文 分别"i殳定每秒处理才艮文^:目的最大值。
9. 根据权利要求8所述的系统,其特征在于,当超过预先设定的 所述每秒处理纟艮文数目的最大值时,所述策略调整单元通知所述樣支码或软转发进程将所述协议进程在所述特定时间内处理 最多的需要所述协议进程直接进行网全各地址转换处理的才艮文 关闭。
10. 根据权利要求9所述的系统,其特征在于,所述门限设置单元 通过命令配置或默认配置设置所述第一门限值和所述第二门限值。
全文摘要
本发明公开了一种动态调整网络地址转换策略的方法及系统。其中,该方法包括设置用于界定中央处理单元的繁忙程度的第一门限值和第二门限值;在网络地址转换过程中,每隔特定时间自动检测一次中央处理单元的利用率;以及当中央处理单元的利用率高于第一门限值时,通知微码或软转发进程将协议进程在特定时间内处理最多的需要协议进程直接进行网络地址转换处理的报文关闭,当中央处理单元的利用率低于第二门限值时,通知微码或软转发进程恢复对需要协议进程直接进行网络地址转换处理的报文的处理。本发明可以在CPU忙的时候及时关闭一些可能存在攻击的特殊报文的NAT处理,降低CPU利用率,从而保证基本的NAT业务和其他正常业务的实现。
文档编号H04L29/12GK101217574SQ200810003370
公开日2008年7月9日 申请日期2008年1月17日 优先权日2008年1月17日
发明者辉 何, 张丽晖, 黄兆胜 申请人:中兴通讯股份有限公司