专利名称:单向链路检测保护的方法及系统的制作方法
技术领域:
本发明涉及数据通信领域,特别地涉及一种单向链路检测保护的方法及系统。
背景技术:
在以太技术被广泛应用的今天,网络对以太网的可靠性要求越来越高,各种以保证以太网络正常运行的技术相继诞生,UDLD (Unidirection Link Detection,单向链路检测)也是其中的一种协议。UDLD是一种工作于LLC (Logical Link Control,逻辑链路控制)之上的二层协议,用来检测以太链路单通故障的出现,避免由于以太链路单通引发的以太网络环回和路由黑洞等问题的出现。UDLD通过建立邻居、检测与邻居间二层逻辑互通性来检测以太接口是否存在单通问题。UDLD协议与工作在物理层的端口检测协议(如FEFI (Far End Fault hdication,远端故障指示)、自动协商协议)一起运行,可以验证一条以太链路在物理层和逻辑链路层的完整性。此外,因为UDLD是进行逻辑检测,所以具有物理层端口检测协议不具有的一些功能,可以检测出一些人为的配置、连接错误而引发的故障。UDLD是一个二层逻辑链路检测协议,可以检测以太链路的逻辑连通性,并对物理连通性进行了验证。与物理连通性检测不同,UDLD是基于邻居进行检测,第一层设备对 UDLD是透明的。UDLD检测首先是要与相邻二层设备建立邻居关系。当一个状态启用(UP)的以太接口开启UDLD功能时,该接口发送一个邻居加入的Hello报文通知其相邻的相关设备。相邻的相关设备开启UDLD功能的接口收到该Hello报文,回送一个Echo报文。收到该Echo 报文后,就在本设备建立了与对端设备的邻居关系。双方邻居关系建立后,开始进行单向链路的检测。开启UDLD的以太接口定时发送Hello报文,等待邻居设备回应Echo报文。如果收到正常的Echo报文,表示该接口上的以太链路是双向畅通的。如果收不到Echo报文或根据收到报文认为链路单通,那么UDLD会根据所处的工作模式进行不同的处理。UDLD有两种工作模式普通模式和激进模式。普通模式下,只有当收到Echo报文确认链路单通,才会将该接口关闭(Down)掉,对于收不到Echo报文或无法确认链路单通的情况,并不会对接口进行操作;在激进模式下,只要不能确认链路是双向畅通的,就将接口 Down掉。两种模式的共同点就是不管什么情况下,只要不能确认链路正常工作,就要打印告警。当接口 Down或其他导致该接口不能使用的情况发生时,本设备需要发送一个flush (清除)报文通知相邻的二层设备删除该设备的信息。DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS 攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。传统上,攻击者所面临的主要问题是网络带宽,由于较小的网络规模和较慢的网络速度的限制,攻击者无法发出过多的请求。虽然类似“the ping of death”的攻击类型只需要较少量的包就可以摧毁一个没有打过补丁的UNIX系统,但大多数的DoS攻击还是需要相当大的带宽的,而以个人为单位的黑客们很难使用高带宽的资源。为了克服这个缺点, DoS攻击者开发了分布式的攻击。攻击者简单利用工具集合许多的网络带宽来同时对同一个目标发动大量的攻击请求,这就是DDoS攻击。无论是DoS攻击还是DDoS攻击,简单的看,都只是一种破坏网络服务的黑客方式, 虽然具体的实现方式千变万化,但都有一个共同点,就是其根本目的是使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。其具体表现方式有以下几种 (1)制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信;( 利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求;C3)利用被攻击主机所提供服务程序或传输协议的本身实现缺陷,反复发送畸形的攻击数据引发系统错误的分配大量系统资源,使主机处于挂起状态甚至死机。ACL访问控制列表(Access Control List, ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。ACL的作用=(I)ACL可以限制网络流量、提高网络性能;(2) ACL提供对通信流量的控制手段。(3)ACL是提供网络安全访问的基本手段。G)ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。在网络上对UDLD进行DOS攻击时,如何保证网络安全成为设备厂商待解决的难题。
发明内容
本发明解决的技术问题在于提供了一种单向链路检测保护的方法及系统,以解决了网络上对UDLD进行DoS攻击的问题,提高了网络的安全性、协议的鲁棒性。为解决上述问题,本发明提供了一种单向链路检测UDLD保护的方法,用于应对 DoS攻击,包括,网络设备UDLD接口在第一时间内收到大于特定数目的UDLD报文,则写入访问控制列表ACL条目进行过滤,在第二时间内不接受UDLD报文。上述的方法,具体为,网络设备UDLD接口启动第一时间定时器,判断在第一时间内接收到的UDLD报文是否大于特定数目,若大于特定数目,则发送消息通知项目驱动管理接口写端口拒绝的ACL 条目,开启第二时间定时器,在第二时间定时器到后,则通知项目驱动管理接口写端口的允许的ACL条目。进一步地,其中,在网络设备UDLD接口启动第一时间定时器之前,还包括,网络设备端口收到UDLD报文后,若此端口是允许,上报UDLD报文至收发包模块, 收发包模块根据目的MAC将所述UDLD报文分发至UDLD接口,否则丢弃所述UDLD报文。进一步地,所述方法还包括,项目驱动管理接口接收到UDLD接口下发的写端口的ACL条目的通知消息后,下发相应的ACL条目。 上述方法中,其中,所述特定数目是根据UDLD接口最多支持的邻居进行设定。本发明还提供了一种单向链路检测UDLD保护的系统,用于DoS攻击,包括,UDLD模块,用于在网络设备UDLD接口在第一时间内收到大于特定数目的UDLD报文,则写入访问控制列表ACL条目进行过滤,在第二时间内不接受UDLD报文。进一步地,所述UDLD模块具体用于网络设备UDLD接口启动第一时间定时器,判断在第一时间内接收到的UDLD报文是否大于特定数目,若大于特定数目,则发送消息通知项目驱动管理接口写端口拒绝的ACL条目,开启第二时间定时器,在第二时间定时器到后,则通知项目驱动管理接口写端口的允许的ACL条目。进一步地,还包括,接收端口模块,用于在网络设备端口收到UDLD报文后,若此端口是允许,上报 UDLD报文至收发包模块,否则丢弃所述UDLD报文;收发包模块,用于根据目的MAC将所述UDLD报文分发至UDLD接口。进一步地,还包括,项目驱动管理接口,用于在接收到UDLD模块下发的写端口的ACL条目的消息通知后,下发相应的ACL条目。上述系统中,其中,所述特定数目根据UDLD接口最多支持的邻居进行设定。采用本发明的技术方案,在UDLD基础上,提出一种对UDLD进行DoS攻击的应对方法,扩展并改进UDLD协议的安全性;通过支持防DoS攻击功能,解决了网络上对UDLD进行 DoS攻击的安全问题;通过软件实现防DoS攻击功能功能的目的,节省了为了防止DoS攻击增加的硬件成本。此种方法还可以应用至其他以太协议防DoS攻击。
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是本发明一种单向链路检测UDLD保护的方法流程图;图2是本发明实施例应用的组网示意图;图3是本发明第一实施例方法流程图;图4是本发明第二实施例系统结构图。
具体实施例方式为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。如图1所示,是本发明一种单向链路检测UDLD保护的方法流程图,提供了一种单向链路检测UDLD保护的方法,以应对DoS攻击,包括,步骤S101,本端网络设备的物理接口和对端的网络设备物理接口通过光纤作物理连接;本端网络设备的物理接口和对端的网络设备物理接口各自做相应的配置,并启用物理接口协议(使物理接口协议UP);
步骤S102,本端网络设备的物理接口上和对端的网络设备物理接口上分别开启 UDLD接口的功能使能;步骤S103,本端网络设备的物理接口上和对端的网络设备物理接口上分别开启 UDLD接口的防DoS攻击功能使能。具体地,UDLD接口在第一时间,比如1秒内收到大于特定数目,比如16个(根据 UDLD端口最多可以支持的邻居进行设定)UDLD报文,则写一条ACL条目(或者UDLD自行下发一个过滤表),在第二时间,比如5秒内不再接受UDLD报文,防止有恶意用户进行攻击。若第二时间后,重新开始接受报文,接口第一时间内不满足第一时间内收到大于特定数目的UDLD报文,UDLD模块正常处理报文,生成或更新邻居信息;若第二时间后,接口第一时间内满足收到大于特定数目的UDLD报文,则继续第二时间的ACL过滤。如图2所示,是本发明实施例应用的组网示意图,交换机1上的fei-0/1/0/1和交换机2上的fei-O/2/O/l相连。交换机1和交换机2之间通过网线接收和发送报文,交换机1和交换机2分别生成自己的邻居表项。如图3所示,是本发明第一实施例方法流程图,提供了一种单向链路检测UDLD保护的方法,以应对DoS攻击,包括,步骤301,设备端口收到UDLD报文后,先查ACL条目(或者UDLD自行下发的一个过滤表),如果此端口是允许PERMIT的,则上送报文至收发包模块,否则丢弃从这个端口上送的UDLD报文;步骤302,收发包模块收到UDLD报文发包后,根据目的MAC分发至UDLD模块;步骤303,UDLD模块分析收到的收发包模块上送的报文,对收到的报文做端口的计数;步骤S304,UDLD模块启动1秒定时器,UDLD模块判断这个端口 1秒内收到的UDLD 报文是否大于16个;若不大于16个,则进行其他判断;若大于16个,则将相关的端口信息打包,发送消息,通知项目驱动管理接口写端口的DENY的ACL条目,项目驱动管理接口接收到UDLD模块下发的写端口的ACL条目的通知消息后,下发相应的ACL条目;步骤S305,发送消息通知项目驱动管理接口写端口的DENY的ACL条目的同时,开启一个5秒定时器,若5秒定时器到,则通知项目驱动管理接口写端口的PERMIT的ACL条目,项目驱动管理接口接收到UDLD模块下发的写端口的ACL条目的通知消息后,下发相应的ACL条目。如图4所示,是本发明第二实施例系统结构图,提供了一种单向链路检测UDLD保护的系统,用于DoS攻击,包括,项目驱动模块401,用于在网络设备端口收到UDLD报文后,若此端口是允许,上报 UDLD报文至收发包模块,否则丢弃所述UDLD报文;项目驱动模块可以表示为以ACL条目或者UDLD自行下发到项目驱动的一个过滤表。收发包模块402,用于根据目的MAC将所述UDLD报文分发至UDLD接口。UDLD模块403,用于在网络设备UDLD接口在第一时间内收到大于特定数目的UDLD 报文,则通知项目驱动管理接口写入访问控制列表ACL条目进行过滤,在第二时间内不接受UDLD报文。所述UDLD模块具体用于网络设备UDLD接口启动第一时间定时器,判断在第一时间内接收到的UDLD报文是否大于特定数目,若大于特定数目,则发送消息通知项目驱动管理接口写端口拒绝DENY的ACL条目,开启第二时间定时器,在第二时间定时器到后,则通知项目驱动管理接口写端口的允许PERMIT的ACL条目。所述系统还包括项目驱动管理接口 404,用于在接收到UDLD模块下发的写端口的 ACL条目的消息通知后,下发相应的ACL条目。上述系统中,所述特定数目根据UDLD接口最多支持的邻居进行设定。本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。上述说明示出并描述了本发明的一个优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、 修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
权利要求
1.一种单向链路检测UDLD保护的方法,用于应对DoS攻击,其特征在于,包括,网络设备UDLD接口在第一时间内收到大于特定数目的UDLD报文,则写入访问控制列表ACL条目进行过滤,在第二时间内不接受UDLD报文。
2.根据权利要求1所述的方法,其特征在于,具体为,网络设备UDLD接口启动第一时间定时器,判断在第一时间内接收到的UDLD报文是否大于特定数目,若大于特定数目,则发送消息通知项目驱动管理接口写端口拒绝的ACL条目,开启第二时间定时器,在第二时间定时器到后,则通知项目驱动管理接口写端口的允许的ACL条目。
3.根据权利要2所述的方法,其特征在于,在网络设备UDLD接口启动第一时间定时器之前,还包括,网络设备端口收到UDLD报文后,若此端口是允许,上报UDLD报文至收发包模块,收发包模块根据目的MAC将所述UDLD报文分发至UDLD接口,否则丢弃所述UDLD报文。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括,项目驱动管理接口接收到UDLD接口下发的写端口的ACL条目的通知消息后,下发相应的ACL条目。
5.根据权利要求1至4任一所述的方法,其特征在于,所述特定数目是根据UDLD接口最多支持的邻居进行设定。
6.一种单向链路检测UDLD保护的系统,用于DoS攻击,其特征在于,包括,UDLD模块,用于在网络设备UDLD接口在第一时间内收到大于特定数目的UDLD报文,则写入访问控制列表ACL条目进行过滤,在第二时间内不接受UDLD报文。
7.根据权利要求6所述的系统,其特征在于,所述UDLD模块具体用于网络设备UDLD接口启动第一时间定时器,判断在第一时间内接收到的UDLD报文是否大于特定数目,若大于特定数目,则发送消息通知项目驱动管理接口写端口拒绝的ACL条目,开启第二时间定时器,在第二时间定时器到后,则通知项目驱动管理接口写端口的允许的ACL条目。
8.根据权利要求7所述的系统,其特征在于,还包括,接收端口模块,用于在网络设备端口收到UDLD报文后,若此端口是允许,上报UDLD报文至收发包模块,否则丢弃所述UDLD报文;收发包模块,用于根据目的MAC将所述UDLD报文分发至UDLD接口。
9.根据权利要求7所述的系统,其特征在于,还包括,项目驱动管理接口,用于在接收到UDLD模块下发的写端口的ACL条目的消息通知后, 下发相应的ACL条目。
10.根据权利要求6至9任一所述的系统,其特征在于,所述特定数目根据UDLD接口最多支持的邻居进行设定。
全文摘要
本发明涉及一种单向链路检测UDLD保护的方法,用于应对DoS攻击,包括,网络设备UDLD接口在第一时间内收到大于特定数目的UDLD报文,则写入访问控制列表ACL条目进行过滤,在第二时间内不接受UDLD报文。本发明还涉及一种单向链路检测UDLD保护的系统。采用本发明的技术方案,通过支持防DoS攻击功能,解决了网络上对UDLD进行DoS攻击的安全问题;通过软件实现防DoS攻击功能功能的目的,节省了为了防止DoS攻击增加的硬件成本。
文档编号H04L29/06GK102333010SQ20111030488
公开日2012年1月25日 申请日期2011年10月10日 优先权日2011年10月10日
发明者李绪文 申请人:中兴通讯股份有限公司