专利名称:一种网络设备防攻击的方法以及网络设备的制作方法
技术领域:
本发明涉及网络安全技术,尤指 一种网络设备防攻击的方法以及网络设备。
背景技术:
随着网络技术的不断发展,网络的攻击技术也随之越来越多。对于网络 中的路由器、交换机等设备来说,由于需要处理大量的业务流量,因此防止 其受到攻击,保证设备的正常运行显得尤其重要。在网络中,如路由器、交换机这类网络设备由于需要计算路径或维护转 发表项,以及处理一些设备本地的服务,因此这类网络设备的控制面会从网 络设备的转发面收到这些协议或服务的报文并对其进行处理。在本文中,将 这类报文称为上送报文。从网络设备的转发面发送所述上送报文给控制面处理,需要经过上送通 道。从具体实现来说,这些上送通道的带宽是有限的,当上送报文过多时, 就会造成上送通道堵塞,丢弃部分报文。同时,被上送至控制面的攻击报文 也会占用系统的资源,因此,这些实现上的特点容易被攻击者利用。攻击者 可以构造大量上送报文,如协议报文、设备本地报文等发送给网络设备,如 果转发面将这些报文上送至控制面,上送通道的带宽则会被这些攻击报文所 耗尽,其他正常的上送报文就会被丟弃,严重的影响了网络设备的正常运行。目前,现有技术中通常使用访问控制列表(ACL )和承诺访问速率(CAR) 这两种技术实现对上送报文的控制,防止网络设备遭受攻击。ACL技术和 CAR技术分别通过如下的技术实现网络设备的防攻击。在ACL技术中通过 设置关键字,根据关键字对需要上送的报文进行匹配,根据匹配的结果确定对当前报文是执行上送还是丟弃;而CAR技术则是得到当前所需上送的报 文的组号,根据得到的组号将当前报文发送至对应的漏洞或令牌桶,对该组 号所对应的报文进行流量控制。在现有技术中,当CAR表从属于ACL表时, 则CAR技术中所使用到的组号是根据当前报文匹配ACL表得到的;当CAR 表独立使用不从属于ACL表时,则根据当前报文的上送标识(ID)确定对 应的组号。由于ACL表项是关键字与其对应动作的对应关系,进而此时所 指的CAR表从属与ACL表是指,CAR表项的组号被设置在ACL表项中动 作参数。报文首先匹配ACL表项,得到对应的动作参数;再根据动作参数 中包含的组号,将当前报文发送至该组号对应的漏洞或令牌桶中进行流量控 制。这两种控制手段,就其技术本身虽然可以对上送的报文进行控制、防止 网络设备遭受攻击。但由于ACL表和CAR表在现有技术中均是采用手工、 静态配置的方式存在于网络设备上,因此攻击者可以通过学习网络设备配置 的ACL表和CAR表,从而避开ACL技术以及CAR技术对报文的限制,使 攻击报文能够以正常报文的身份通过转发面发送至控制面,使网络设备遭受 攻击。因而,现有技术中静态配置的ACL表以及CAR表已经达不到预期的 对报文进行限制、避免网络设备遭受攻击的目的。发明内容有鉴于此,本发明实施例的主要目的在于提供一种网络设备防攻击的方 法,应用该方法能够动态更新需要限制上送的报文类型,从而防止网络设备 遭受攻击。为达到上述目的,本发明实施例的技术方案是这样实现的 一种网络设备防攻击的方法,包括以下步骤 获得当前需要被限制上送至网络设备内控制面的报文类型; 针对所述获得的报文类型设置动作为限制的上送控制表项; 根据所述上送控制表项,限制所述报文类型对应的报文上送至所述控制面。另夕卜,本发明实施例的又一主要目的在于提供一种网络设备,该网络设 备能够防止自身遭受攻击。为达到上述目的,本发明实施例的技术方案是这样实现的 一种网络设备,该网络设备至少包括控制单元、处理单元和上送单元; 所述控制单元获得当前需要被限制上送至网络设备内控制面的报文类型, 并将所述获得的"l艮文类型发送给所述处理单元;所述处理单元接收所述报文类型,并针对所述接收的报文类型设置动作为 限制的上送控制表项;并将所述上送控制表项下发至上送单元;所述上送单元接收所述上送控制表项,根据所述上送控制表项限制所述报 文类型对应的报文上送至所述控制面。本发明实施例所提供的 一种网络设备防攻击的方法,获得当前需要被限 制上送至网络设备内控制面的报文类型;针对获得的报文类型设置动作为限 制的上送控制表项;根据上送控制表项,限制报文类型对应的报文上送至控 制面,实现了网络设备防攻击的目的。另外,本发明实施例还提供了一种网 络设备。本发明实施例所提供的方法以及网络设备,通过动态配置上送控制 表项,实现了网络设备能够根据当前上送报文的情况,调整上送控制表项, 限制可能的攻击报文,因此实现了网络设备防攻击的目的,保证了网络设备 的正常运行。
下面将通过参照附图详细描述本发明的示例性实施例,使本领域的普通 技术人员更清楚本发明的上述及其它特征和优点,附图中 图1为本发明实施例方法的示例性流程图; 图2为本发明第一较佳实施例方法的流程图; 图3为本发明第二较佳实施例方法的流程图; 图4为本发明实施例网络设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案及优点更加清楚明白,以下参照附 图并举实施例,对本发明实施例做进 一 步的详细说明。在本发明实施例中,根据当前网络设备处理报文的情况,确定需要限制上送的报文类型;在确定需要限制上送的报文类型之后,针对该报文类型设 置动作为限制的上送控制表项;然后,根据设置的上送控制表项限制需要限 制上送的报文类型。在本发明实施例的技术方案中,由于是根据当前网络设 备处理报文的情况确定需要限制上送的报文,因此能够有效的根据网络设备 处理报文的情况设置需要限制上送的报文,从而有效的保护了网络设备免遭 攻击。参见图1,图1为本发明方法的示例性流程图。该流程的具体步骤如下 在步骤101中,获得当前需要被限制上送至网络设备内控制面的报文类型; 在步骤102中,针对获得的报文类型设置动作为限制的上送控制表项;在步 骤103中,根据上送控制表项,限制报文类型对应的报文上送至控制面。在本发明实施例中,所提到的上送控制表项可以是ACL表项,也可以 是CAR表项。以下针对上送控制表项为ACL表项、以及为CAR表项时, 分别列举较佳实施例,对本发明的技术方案进行详细说明。参见图2,图2为本发明第一较佳实施例方法的流程图。该较佳实施例 针对的是上送控制表项为ACL表项的情况。具体流程如下在步骤201中,控制面获得需要限制上送的报文类型。这里,控制面获得需要限制上送的报文类型可以根据网络设备当前需要 处理的报文类型,获得网络设备当前不需要处理的报文类型。具体的实现方 法可以是扫描网络设备中当前的保存配置文件,获得网络设备当前需要处 理的报文类型;进而根据当前需要处理的报文类型,获得网络设备当前不需 要处理的报文类型。这里的配置文件主要用于记录网络设备中的一些配置信 息,如配置的路由协议、配置的IP地址等信息。网络设备依据配置文件中的内容实现网络设备的正常运行。因此在本实施例中可以利用设置的配置文 件,获得网络设备当前需要处理的报文类型,从而获得需要限制从转发面限 制上送至控制面的报文类型。例如,扫描配置文件得到网络设备当前需要使用OSPF协议进行路由的维护,则控制面当前确定需要限制上送的报文类型 为除OSPF协议之外的路由协议,例如RIP协议报文。在网络设备中,设置配置文件的具体操作主要由管理员来完成。由于管 理员设置配置文件的时机不确定,因此本较佳实施例中触发控制面获得需要 限制上送的报文类型的操作可以有两种实现方法。其中一种是当增加、或 删除、或更新配置文件时,控制面执行获得需要限制上送的报文类型的操作。 而另一种是预先设置限制定时器,当定时器到时控制面执行获得需要限制 上送的报文类型的操作。在步骤202中,控制面在确定了需要限制上送的报文类型之后,将该报 文类型对应的ACL表项的动作设置为丢弃(deny),并将该ACL表项下发 至转发面。因此根据配置文件确定的需要限制上送的报文类型,均能对应到ACL表项 中的一个关键字、或多个关键字的组合。ACL表项中的关键字通常包括源 目的IP地址、源目的端口、以及协议号, 一般情况下还能根据实际的情况 进行扩展。在本发明实施例的技术方案中,还可以将CAR表项中使用的上送ID应 用到ACL表项中来。其中,上送ID是转发面在上送报文时,为即将上送的 报文分配的标识。在本发明实施例中,可以将上送ID作为扩展关键字设置 对应的ACL表项。这里,由于上送ID是转发面分配的,因此为了使控制面 能够设置关键字为上送ID的ACL表项,需要在控制面设置转发面分配上送 ID的规则。控制面根据上送ID的分配规则,确定当前需要限制上送的报文 类型所对应的上送ID,然后再将该上送ID对应的ACL表项的动作设置为 丢弃。这里,控制面将设置好的ACL表项下发至转发面的操作可以是,控制 面将设置完成的ACL表项下发至转发面,由转发面根据收到的ACL表项执 行整个网络设备ACL表的更新;也可以是,控制面自身根据设置完成的ACL 表项,更新整个网络设备的ACL表,然后,再将更新后的ACL表下发至转 发面。在步骤203中,转发面在上送报文的过程中,将与动作设置为丢弃的 ACL表项对应匹配的报文丢弃。通过以上的介绍可知,在上送控制表项为ACL表项时,转发面主要通 过将需要限制上送的报文执行丢弃,对该ACL表项对应的一类报文执行丟 弃的限制操作。实现了根据网络设备当前处理报文的情况,动态配置ACL 表项的目的,能够有效的防止网络设备遭受攻击。参见图3,图3为本发明第二较佳实施例方法的流程图。该较佳实施例 针对的是上送控制表项为CAR表项的情况。具体流程如下在步骤301中,控制面获得需要限制上送的报文类型。这里,控制面获得需要限制上送的报文类型可以根据网络设备当前需要 处理的报文类型,获得网络设备当前不需要处理的报文类型。具体的实现方 法可以是扫描网络设备中当前的保存配置文件,获得网络设备当前需要处 理的报文类型;进而根据当前需要处理的报文类型,获得网络设备当前不需 要处理的报文类型。这里的配置文件主要用于记录网络设备中的一些配置, 如配置的路由协议、配置的IP地址等信息。网络设备依据配置文件中的内 容实现网络设备的正常运行。因此在本实施例中可以利用设置的配置文件, 获得网络设备当前需要处理的报文类型,从而获得需要限制从转发面限制上 送至控制面的报文类型。例如,扫描配置文件得到网络设备当前需要使用 OSPF协议进行路由的维护,则控制面当前确定需要限制上送的报文类型为 除OSPF协议之外的路由协议,例如RIP协议报文。在网络设备中,设置配置文件的具体操作主要由管理员来完成。由于管 理员设置配置文件的时机不确定,因此本较佳实施例中触发控制面获得需要限制上送的报文类型的操作可以有两种实现方法。其中一种是当增加、或 删除、或更新配置文件时,控制面执行获得需要限制上送的报文类型的操作。 而另一种是预先设置限制定时器,当定时器到时控制面执行获得需要限制 上送的报文类型的操作。在步骤302中,控制面在确定了需要限制上送的报文类型之后,调整该 报文类型对应的CAR表项中限制速率,并根据报文类型和所述限制速率设 置对应的CAR表项;将该CAR表项下发至转发面。这里,CAR表项对应的限制速率确定了对应报文从转发面上送至控制 面的速率,因此调整CAR表项的限制速率能够实现对报文进行限制的目的。当该报文对应CAR表项的限制速率仅包括承诺速率(CIR)时,则可 以直接调整该承诺速率。这里,CIR-基本速率x邻居数xS,其中基本速率 为每个网络设备需要占用的最小速率,邻居数为在一定域内通过路由协议与 本网络设备互联的结点数,S为调整系数。此时,调整该CIR的方法可以是 调整基本速率、S、邻居数中的一个或多个。当该报文对应CAR表项的限制速率包括CIR和峰值速率(PIR)时, 则可以调整CIR和/或PIR。对于CIR-基本速率x邻居数x se, PIR-基本速 率x邻居数xSp时,其中Sc为CIR的调整系数、Sp为PIR的调整系数,调 整限制速率的方法可以是调整基本速率、邻居数、Se和Sp中的任意一个、 两个或全部。但不论采用何种方式,由于CAR技术的实现需要CIR小于PIR, 因此在调整限制速率的过程中需要保证Sc小于Sp。同时,无论CAR技术采用何种实现机制,均可以采用将限制速率降至 0的方式。在限制速率仅为CIR的时候,将CIR降至0;当限制速率包括 CIR和PIR时,将CIR和PIR均降至O。另外,需要注意的是在本实施例中, 为了到达网络设备防攻击的目的,对限制速率的调整不限于仅将限制速率降 低,在一定的应用场景中将CAR表项的限制速率提高,也能够实现防攻击另外,在本实施例中控制面根据报文类型和调整后的限制速率设置对应10的CAR表项,可根据现有技术中依据报文类型和调整后的限制速率设置 CAR表项的方法执行,具体执行过程在此不再详述。其中将上送ID作为组 号的、设置CAR表项的方法,可以参考本发明第一较佳实施例中将上送ID 作为关键字设置ACL表项的方法,在此不再详述。这里,控制面将设置好 的CAR表项下发至转发面的操作可以是,控制面将设置完成的CAR表项下 发至转发面,由转发面根据收到的CAR表项执行整个网络设备CAR表的更 新;也可以是,控制面自身根据设置完成的CAR表项,更新整个网络设备 的CAR表,然后,再将更新后的CAR表下发至转发面。在步骤303中,转发面在处理上送报文的过程中,通过匹配控制面下发 的CAR表项"艮据调整后的限制速率对该CAR表项所对应的一类报文进行 流量控制,从而实现了网络设备防攻击的目的。通过本发明上述的介绍可知,在第 一较佳实施例中对报文的限制主要是 根据与对应ACL表项的匹配结果对需要限制上送的报文执行丢弃操作;在 第二较佳实施例中对报文的限制主要是利用CAR表项所对应的限制速率, 对超过所述限制速率的报文进行限制上送的操作。这里,由于都是阻止网络 不需要处理的报文的上送,因此能够有效的防止网络遭受攻击。以上介绍的是本发明实施例方法的流程,以下介绍本发明实施例网络设 备的结构。参见图4,图4为本发明实施例网络设备一较佳实施例的结构图。该网络设备至少包括控制单元41、处理单元42和上送单元43。其中,控制单元41获得当前需要被限制上送至网络设备内控制面的报文类型,并将获得的报文类型发送给处理单元42。处理单元42接收报文类型,并针对接收的报文类型设置动作为限制的上送控制表项;并将上送控制表项下发至上送单元43。上送单元43接收上送控制表项,根据上送控制表项限制报文类型对应的报文上送至控制面。这里,控制单元41和处理单元42可以位于网络设备的控制面,上送单元43位于网络设备的转发面。其中,控制单元41确定需要限制上送的报文类型,以及处理单元42设置上送控制表项、下发上送控制表项的具体操作,均可以按照第一、二较佳 实施例所描述的方法执行。另外,在本发明实施例中如果利用配置文件获得当前需要限制上送的报文类型,在如图4所示的组成结构还可以进一步包括配置单元44。该配置 单元44主要用于存储网络设备配置文件,对本实施例来说,配置文件就是 记录网络设备配置信息文件。相应的,控制单元41根据配置单元44中存储 的配置文件,获得网络设备当前不需要处理的报文类型。这里配置单元44 位于网络设备的控制面。本发明实施例的技术方案,由于根据网络设备当前处理报文的情况确定 需要限制上送的报文,而在确定了上送报文之后就向转发面下发限制该报文 的上送控制表项,因此打破了原上送控制表项静态配置, 一旦匹配就不再更 新的格局,实现了根据上送报文情况控制表项的动态下发,有效的阻止了对 网络设备的攻击,提到了网络设备防攻击能力。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本 发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在 本发明的保护范围之内。
权利要求
1、一种网络设备防攻击的方法,其特征在于,包括以下步骤获得当前需要被限制上送至网络设备内控制面的报文类型;针对所述获得的报文类型对应设置动作为限制上送的上送控制表项;根据所述上送控制表项,限制所述报文类型对应的报文上送至所述控制面。
2、 根据权利要求1所述的方法,其特征在于,所述获得当前需要被限制上 送至网络设备内控制面的报文类型的步骤包括根据所述网络设备当前需要处 理的报文类型,获得网络设备当前不需要处理的报文类型。
3、 根据权利要求2所述的方法,其特征在于,所述根据网络设备当前需要 处理的报文类型,获得网络设备当前不需要处理的报文类型的步骤包括扫描所述网络设备中当前的保存配置文件,获得所述网络设备当前需要处 理的报文类型;进而根据当前需要处理的报文类型,获得网络设备当前不需要 处理的报文类型。
4、 根据权利要求3所述的方法,其特征在于,当增加、或删除、或更新所述配置文件时,执行所述获得当前需要被限制 上送至网络设备内控制面的报文类型的操作;或,预先设置限制定时器,当定时器到时时执行所述获得当前需要被限制 上送至网络设备内控制面的报文类型的操作。
5、 根据权利要求1所述的方法,其特征在于,所述针对所述获得的报文类 型对应设置动作为限制上送的上送控制表项的步骤包括控制面根据预先保存的上送标识的分配规则,确定当前所述报文类型所对 应的上送标识,然后再将所述确定的上送标识对应的上送控制表项的动作设置 为丢弃。
6、 根据权利要求1至4中任一权利要求所述的方法,其特征在于,所述上 送控制表项为访问控制列表ACL表项;包括设置所述报文类型对应动作为丟弃的ACL表项。
7、 根据权利要求1至4中任一权利要求所述的方法,其特征在于,所述上 送控制表项为承诺访问速率CAR表项;所述针对获得的报文类型对应设置动作为限制上送的上送控制表项包括 调整所述报文类型对应的限制速率,以设置限制所述报文类型对应报文的CAR 表项。
8、 一种网络设备,其特征在于,该网络设备至少包括控制单元、处理单元 和上送单元;所述控制单元获得当前需要被限制上送至网络设备内控制面的报文类型, 并将所述获得的报文类型发送给所述处理单元;所述处理单元接收所述报文类型,并针对所述报文类型设置动作为限制的 上送控制表项;并将所述上送控制表项下发至上送单元;所述上送单元接收所述上送控制表项,根据所述上送控制表项限制所述报 文类型对应的报文上送至所述控制面。
9、 根据权利要求8所述的网络设备,其特征在于,该网络设备内进一步包 括配置单元;所述配置单元存储记录所述网络设备配置信息的配置文件; 所述控制单元根据配置单元中存储的配置文件,获得所述当前需要被限制 上送至网络设备内控制面的报文类型。
10、 根据权利要求8或9所述的网络设备,其特征在于, 所述控制单元和处理单元位于网络设备内的控制面; 所述上送单元,位于网络设备内的转发面。
全文摘要
本发明公开了一种网络设备防攻击的方法,包括以下步骤获得当前需要被限制上送至网络设备内控制面的报文类型;针对获得的报文类型设置动作为限制的上送控制表项;根据上送控制表项,限制报文类型对应的报文上送至控制面。另外,本发明又公开了一种网络设备。通过应用本发明所提供的方法以及网络设备,实现了网络设备防攻击的目的,保证了网络设备的正常运行。
文档编号H04L12/24GK101325588SQ20071011110
公开日2008年12月17日 申请日期2007年6月11日 优先权日2007年6月11日
发明者武绍芸 申请人:华为技术有限公司