专利名称::一种数据报文处理方法及数据报文处理装置的制作方法
技术领域:
:本发明涉及通讯领域,尤其涉及一种数据报文处理方法及数据报文处理装置。
背景技术:
:随着互联网的不断发展,组网的环境也日趋复杂,随之网络攻击也日益频繁,尤其以拒绝服务(DoS,DenialofService)攻击、分布式拒绝服务(DDoS,DistributeDenialofService)攻击尤为常见,对网络设备的危害性也最大。DOS攻击的主要攻击原理为攻击者短时间内使用大量数据包或非法报文向网络设备不断发起连接或请求响应,致使服务器负荷过重而不能处理合法任务,从而导致设备业务异常甚至设备瘫痪。网络设备通常使用TELNET、安全外壳程序(SSH,SecureShell)等协议进行远程管理,若攻击者通过这些管理类的协议发起DOS攻击或DDOS攻击将直接导致设备的管理流量过大,从而造成设备的脱管甚至瘫痪,因此设备的远程管理安全已成为当前安全技术的一个重点。现有技术中一种数据安全管理的方式为采用复杂流分类配置限定管理流量该方案通过在接口上使能复杂流分类来实现对管理报文的DENY处理,能够防止管理报文DOS攻击。但是现有技术中采用复杂流分类配置的方法工作量非常大,网络设备存在众多的接口都需要配置,后续新增接口也需要进行重配置,所以可维护性差。
发明内容本发明提供了一种数据报文处理方法及数据报文处理装置,能够提高数据才艮文处理的效率并有效防止DoS攻击以及DDoS攻击。本发明实施例提供的数据报文处理方法,包括接收数据报文;获取所述数据报文的类型以及所述数据报文的源端口;在报文类型与绑定端口的对应关系中查询所述数据报文的类型对应的绑定端口;判断所述源端口与所述绑定端c是否对应,若对应,则上送所述数据报文。本发明实施例提供的数据报文处理装置,包括报文接收单元,用于接收数据报文;绑定端口查询单元,用于报文类型与绑定端口的对应关系中查询所述数据报文的类型对应的绑定端口;端口匹配单元,用于判断所述数据报文的源端口与所述绑定端口是否对应;上送单元,用于当所述数据报文的源端口与所述绑定端口对应时,上送所述数据报文。从以上技术方案可以看出,本发明实施例具有以下优点本发明实施例可以使得网络设备只对特定的端口接收到的数据报文进行上送,而不会对所有端口接收到的报文都上送,因此能够有效地防止DoS攻击以及DDoS攻击;而且本发明实施例仅需要在接收到报文时使用绑定端口对报文的源端口进行匹配,不需要对网络设备的所有接口进行配置,因此可以提高可维护性,进而提高数据报文处理的效率。图1为本发明实施例中数据报文处理方法第一实施例流程图;图2为本发明实施例中数据报文处理方法第二实施例流程图;图3为本发明实施例中数据报文处理装置实施例示意图。具体实施方式本发明实施例提供了一种数据报文处理方法及数据报文处理装置,用于提高数据报文处理的效率并有效防止DoS攻击以及DDoS攻击。本发明实施例中,在接收数据报文之后,会首先获取所述数据报文的类型以及所述数据报文的源端口,并在预置的报文类型与绑定端口的对应关系中查询所述数据报文的类型对应的绑定端口,然后判断所述源端口与所述绑定端口是否对应,若对应,才会上送所述数据报文。则可以使得网络设备只对特定的端口接收到的数据报文进行上送,而不会对所有端口接收到的报文都进行上送,因此能够有效地防止DoS攻击以及DDoS攻击;其次,由于本发明实施例中,建立有报文类型与绑定端口的对应关系,所以仅需要在接收到报文时使用绑定端口对报文的源端口进行匹配即可,而不需要对网络设备的所有接口进行配置,因此可以提高可维护性,进而提高数据报文处理的效率。下面对本发明实施例中的数据报文处理方法实施例进行详细描述,请参阅图1,本发明实施例中数据报文处理方法第一实施例包括101、接收数据报文;102、获取数据报文的类型以及数据报文的源端口;本实施例中,在数据报文的协议字段中包含该数据报文所使用的协议类型,在系统构建时可以约定某些特定协议的数据报文为管理类报文,例如TELNET协议,简单网络管理协议(SNMP,SimpleNetworkManagementProtocol)或SSH协议等等;约定某些特定协议的数据>1艮文为业务类报文,例如边界网关协i义(BGP,BorderGatewayProtocol),开i文式最短^各径优先协议(OSPF,OpenShortestPathFirstProtocol),路由信息协议(RIP,RoutingInformationProtocol),标签分发协i义(LDP,LabelDistributionProtocol),互联网组管理协议(IGMP,InternetGroupManagementProtocol)等等。具体的协议类型还可以根据实际情况进行变更,此处不做限定。根据所述接收到的数据报文中的协议字段判断该数据报文的类型,例如管理类报文或者业务类报文等;并获取发送该数据报文的源端口的相关信息,例如端口号等。本实施例中,以管理类报文作为数据报文的例子进行说明,实际应用中,业务类报文等其他类型的报文同样可以按照本实施例所述的流程进行处理。103、在预置的报文类型与绑定端口的对应关系中查询该数据报文的类型对应的绑定端口;若存在与所述才艮文类型相对应的绑定端口,^M于104;若不存在与所述^l艮文类型相对应的绑定端口,则直接上送所述数据报文。本实施例中,该对应关系用于指示不同的报文类型对应的绑定端口,该对应关系可以在系统建构时设定,若对应关系在系统建构时没有设定,也可以从其他网元获取该对应关系。具体的对应关系以下表为例进行说明表1<table>tableseeoriginaldocumentpage8</column></row><table>由上表可以看出,管理类报文的绑定端口为1111,2222以及3333,即允许从这三个端口上送管理类报文,这三个端口作为管理类报文的绑定端口。可以理解的是,在系统的运行过程中,可以对所述报文类型与绑定端口的对应关系进行更新,根据实际情况调整具体的绑定端口,调整绑定端口的原则可以为选择安全性相对较高的端口作为绑定端口,例如若发现端口1111的安全性大幅下降(比如该端口对应的主机感染病毒),则可以将该端口从绑定端口中删除,需要说明的是,调整绑定端口的原则还可以为用户或管理端根据当前端口的活动状态选择绑定端口,即选取开启时间相对比较长的端口作为绑定端口,或者是根据历史记录选取绑定端口,即选取之前成功上送过管理类报文的端口作为绑定端口,可以理解的是,在实际应用中还可以采用其他的依据对绑定端口进行调整。本实施例中,接收到的数据报文为管理类报文,则在报文类型与绑定端口的对应关系中查询到管理类才艮文的绑定端口为1111,2222以及3333。104、判断源端口与绑定端口是否对应,若对应,则执行105,若不对应,则执行106;本实施例中,由于在接收数据报文时即获知发送该数据报文的源端口,则此时比较该源端口以及查询到的绑定端口。例如,若获取到所述数据报文(即所述管理类报文)的源端口号为1111,由103中查询结果可知管理类报文的绑定端口号为1111,2222以及3333,则该源端口1111与管理类才艮文的绑定端口号中的一个端口号相同,即确定源端口与绑定端口对应;若获取到所述数据报文的源端口为1234,则源端口与绑定端口不对应。上述描述的情况是绑定端口中包含若干个端口的情况,若绑定端口只有一个,则直接判断源端口与绑定端口是否一致,若一致,则确定源端口与绑定端口对应,若不一致,则确定源端口与绑定端6不一致。上述描述的端口可以为物理端口也可以为一个物理端口在不同的网络中映射的逻辑端口,对端口比较可以针对物理端口也可以针对逻辑端口,以逻辑端口为例进行说明,假设端口1234与端口llll为逻辑端口,它们分别是物理端口6666在不同的虚拟局域网中映射的逻辑端口,而端口1111为绑定端口,端口1234不是绑定端口。105、上送所述数据报文;若源端口与绑定端口对应,则向网络设备上送该管理类报文。106、执行异常处理流程。若源端口与绑定端口不对应,则需要进行异常处理,具体的异常处理可以为丢弃所述数据报文;和/或向网络设备上报告警信息,并等待网络设备的指示。具体的异常处理流程还可以是其他情况,此处不做限定。本发明实施例中,建立有报文类型与绑定端口的对应关系,所以仅需要在接收到报文时使用绑定端口对报文的源端口进行匹配即可,而不需要对网络设备的所有接口进行配置,因此可以提高可维护性,进而提高数据报文处理的效率。上述描述了本发明实施例中数据报文处理方法第一实施例,在上述实施例描述的绑定端口中,若所有的绑定端口都处于关闭状态(例如该端口对应的主机正在维修等情况),则无法上传管理类报文,可能会造成网络设备的脱管情况,所以可以在实际应用中加入可靠性保障机制,具体请参阅图2,本发明实施例中数据报文处理方法第二实施例包括201、接收数据报文;202、获取数据报文的类型以及数据报文的源端口;本实施例中,在数据报文的协议字段中包含该数据报文所使用的协议类型,在系统构建时可以约定某些特定协议的数据报文为管理类报文,例如TELNET协议,SNMP或SSH协议等等;约定某些特定协议的数据报文为业务类报文,舌'J如BGP,OSPF,RIP,LDP,IGMP等等。具体的协议类型还可以根据实际情况进行变更,此处不做限定。根据所述数据报文中的协议字段判断该数据报文的类型,并获取发送该数据报文的源端口的相关信息,例如端口号。本实施例中,以管理类报文作为数据l艮文的例子进行说明,可以理解的是,在实际应用中,该数据报文还可以是其他类型的报文,此处不做限定。203、在预置的报文类型与绑定端口的对应关系中查询该数据报文的类型对应的绑定端口;若存在与所述报文类型相对应的绑定端口,执行204;若不存在与所述报文类型相对应的绑定端口,则直接上送所述数据报文。本实施例中,该对应关系可以在系统建构时设定,若对应关系在系统建构时没有设定,也可以从其他网元获取该对应关系。具体的对应关系如上一实施例中表1所示。由表l可以看出,管理类报文的绑定端口为1111,2222以及3333,即允许从这三个端口上送管理类报文,这三个端口作为管理类报文的绑定端口。可以理解的是,在系统的运行过程中,对所述报文类型与绑定端口的对应关系进行更新,根据实际情况调整具体的绑定端口,调整绑定端口的原则可以为选择安全性相对较高的端口作为绑定端口,例如若发现端口llll的安全性大幅下降(比如该端口对应的主才几感染病毒),则可以将该端口从绑定端口中删除,需要说明的是,调整绑定端口的原则还可以为用户或管理端根据当前端口的活动状态选择绑定端口,即选取开启时间相对比较长的端口作为绑定端口,或者是根据历史记录选取绑定端口,即选取之前成功上送过管理类报文的端口作为绑定端口,可以理解的是,在实际应用中还可以采用其他的依据对绑定端口进行调整。本实施例中,获知接收到的数据报文为管理类报文,则查询到管理类报文的绑定端口为llll,2222以及3333。204、判断绑定端口是否全部关闭,若全部关闭,则执行206,若未全部关闭,则执行205;本实施例中,查询到管理类报文对应的绑定端口之后,需要判断绑定端口是否全部关闭,具体的检测手段可以为向绑定端口发送连接请求,判断在预置的时间内是否能够接收到该端口反馈的连接响应,若无法接收到连接响应,则确定该端口关闭,若绑定端口所包括的端口全部关闭,则执行206,若未全部关闭,即至少有一个端口开启,则执行205;205、判断源端口与开启的绑定端口是否对应,若对应,则执行206,若不对应,则执行207;本实施例中,由于在接收数据报文时即获知发送该数据报文的源端口,则此时比4交该源端口以及开启的绑定端口。例如,若获取到的所述数据^R文的源端口为1111,而开启的绑定端口为1111以及2222,则该源端口1111与开启的绑定端口中的一个端口号相同,即确定源端口与绑定端口对应;若获取到的所述数据报文的源端口为1234,则源端口与绑定端口不对应。上述描述的情况是绑定端口中包含若干个端口的情况,若绑定端口只有一个,则直接判断源端口与绑定端口是否一致,若一致,则确定源端口与绑定端口对应,若不一致,则确定源端口与绑定端口不一致。上述描述的端口可以为物理端口也可以为一个物理端口在不同的网络中映射的逻辑端口,对端口比较可以针对物理端口也可以针对逻辑端口,以逻辑端口为例进行说明,假设端口1234与端口1111为逻辑端口,它们分别是物理端口6666在不同的虚拟局域网中映射的逻辑端口,而端口1111为绑定端口,端口1234不是绑定端口。206、上送所述数据报文;若源端口与绑定端口对应,则向网络设备上送该管理类报文。需要说明的是,若所有的绑定端口全部关闭,则直接上送所述数据报文以防出现网络设备脱管的情况。207、执行异常处理流程。若源端口与绑定端口不对应,则需要进行异常处理,具体的异常处理可以为丢弃所述数据报文;和/或向网络设备上报告警信息,并等待网络设备的指示。具体的异常处理流程还可以是其他情况,此处不做限定。本发明实施例中,在接收数据报文之后,会首先获取所述数据报文的类型以及所述数据报文的源端口,并在预置的报文类型与绑定端口的对应关系中查询所述数据报文的类型对应的绑定端口,然后判断所述源端口与所述绑定端口是否对应,若对应,才会上送所述数据报文。则可以使得网络设备只对特定的端口接收到的数据报文进行上送,而不会对所有端口接收到的报文都进行上送,因此能够有效地防止DoS攻击以及DDoS攻击;其次,由于本发明实施例中,建立有报文类型与绑定端口的对应关系,所以仅需要在接收到报文时使用绑定端口对报文的源端口进行匹配即可,而不需要对网络设备的所有接口进行配置,因此可以提高可维护性,进而提高数据报文处理的效率;再次,由于现有技术中的复杂流分类表为非线性表,所以需要占用三态内容寻址存储器(TCAM,TernaryContentAddressableMemory)表,浪费了大量系统资源,而本发明实施例中的对应关系不需要占用TCAM表,因此能够节省系统资源。下面介绍本发明实施例中数据报文处理装置实施例,请参阅图3,本发明实施例中的数据报文处理装置实施例包括报文接收单元301,用于接收数据报文;绑定端口查询单元302,用于在预置的报文类型与绑定端口的对应关系中查询所述数据报文的类型对应的绑定端口;端口匹配单元303,用于判断所述数据报文的源端口与所述绑定端口是否对应;上送单元304,用于当所述凄t据^^艮文的源端口与所述绑定端口对应时,上送所述数据>^艮文。本实施例中的数据报文处理装置还可以包括对应关系管理单元307,用于管理所述报文类型与绑定端口的对应关系;所述对应关系管理单元307具体包括设置单元3071,用于设置报文类型与绑定端口的对应关系;以及更新单元3072,用于更新报文类型与绑定端口的对应关系。其中,所述对应关系可以在系统建构时设定,也可以从其他网元获取所述对应关系。本实施例中的数据报文处理装置还可以包括端口检测单元305,用于判断所述查询到的绑定端口是否全部关闭,若至少一个绑定端口没有关闭,则触发所述端口匹配单元303进行端口匹配,若全部关闭,则触发所述上送单元304上送所述数据报文。本实施例中的数据报文处理装置还可以包括异常处理单元306,用于当所述数据报文的源端口与所述绑定端口不对应时,丟弃所述数据报文和/或向网络设备上报告警信息等待网络设备的指示。本发明实施例中,在接收数据报文之后,会首先获取所述数据报文的类型以及所述数据报文的源端口,并在预置的报文类型与绑定端口的对应关系中查询所述数据报文的类型对应的绑定端口,然后判断所述源端口与所述绑定端口是否对应,若对应,才会上送所述数据报文。则可以使得网络设备只对特定的端口接收到的数据报文进行上送,而不会对所有端口接收到的报文都上送,因此能够有效地防止DoS攻击以及DDoS攻击。是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括如下步骤接收数据报文;获取所述数据报文的类型以及所述数据报文的源端口;在预置的报文类型与绑定端口的对应关系中查询所述数据报文的类型对应的绑定端口;判断所述源端口与所述绑定端口是否对应,若对应,则上送所述数据报文。上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上对本发明所提供的一种数据报文处理方法及数据报文处理装置进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。权利要求1、一种数据报文处理方法,其特征在于,包括接收数据报文;获取所述数据报文的类型以及所述数据报文的源端口;在报文类型与绑定端口的对应关系中查询所述数据报文的类型对应的绑定端口;判断所述源端口与所述绑定端口是否对应,若对应,则上送所述数据报文。2、根据权利要求1所述的方法,其特征在于,所述方法还包括在系统建构时设定所述报文类型与绑定端口的对应关系;或者,从其他网元获取所述报文类型与绑定端口的对应关系。3、根据权利要求1或2所述的方法,其特征在于,所述查询所述数据报文的类型对应的绑定端口之后包括若在所述报文类型与绑定端口的对应关系中不存在与所述报文类型相对应的绑定端口,则上送所述数据报文。4、根据权利要求1或2所述的方法,其特征在于,所述方法还包括对所述报文类型与绑定端口的对应关系进行更新。5、根据权利要求1所述的方法,其特征在于,所述判断所述源端口与所述绑定端口是否对应,具体为若所述绑定端口只有1个,且所述源端口号与所述绑定端口号相同,则所述源端口与所述绑定端口对应;若所述绑定端口只有1个,且所述源端口号与所述绑定端口号不相同,则所述源端口与所述绑定端口不对应;若所述绑定端口至少有2个,且所述源端口号与所述绑定端口中的一个端口号相同,则所述源端口与所述绑定端口对应;若所述绑定端口至少有2个,且所述源端口号与所述绑定端口号均不相同,则所述源端口与所述绑定端口不7寸应。6、根据权利要求1或5所述的方法,其特征在于,若所述源端口与所述绑定端口不对应,则丢弃所述数据报文;或者,向网络设备上报告警信息,等待网络设备的指示;或者,丟弃所述数据报文,向网络设备上报告警信息,等待网络设备的指示。7、根据权利要求1所述的方法,其特征在于,所述判断所述源端口与所述绑定端口是否对应之前,判断所述查询到的绑定端口是否全部关闭,若至少一个所述绑定端口没有关闭,则判断所述源端口与所述绑定端口是否对应;若所述绑定端口全部关闭,则上送所述数据报文。8、根据权利要求1所述的方法,其特征在于,所述源端口以及绑定端口为物理端口或逻辑端口。9、一种数据报文处理装置,其特征在于,包括报文接收单元,用于接收数据报文;绑定端口查询单元,用于报文类型与绑定端口的对应关系中查询所述数据报文的类型对应的绑定端口;端口匹配单元,用于判断所述数据报文的源端口与所述绑定端口是否对应;上送单元,用于当所述数据报文的源端口与所述绑定端口对应时,上送所述数据报文。10、根据权利要求9所述的数据报文处理装置,其特征在于,所述数据报文处理装置还包括对应关系管理单元,用于管理所述报文类型与绑定端口的对应关系;端口检测单元,用于判断所述查询到的绑定端口是否全部关闭,若至少一个端口没有关闭,则触发所述端口匹配单元进行端口匹配,若全部关闭,则触发所述执行功能单元上送所述数据报文。11、根据权利要求9或IO所述的数据报文处理装置,其特征在于,所述数据报文处理装置还包括异常处理单元,用于当所述数据报文的源端口与所述绑定端口不对应时,丢弃所述数据报文;或者,向网络设备上报告警信息,等待网络设备的指示;或者,丟弃所述数据报文,向网络设备上报告警信息,并等待网络设备的指示。12、根据权利要求IO所述的数据报文处理装置,其特征在于,所述对应关系管理单元包括设置单元,用于设置所述报文类型与绑定端口的对应关系;以及更新单元,用于更新所述报文类型与绑定端口的对应关系。13、根据权利要求12所述的数据报文处理装置,其特征在于,所述设置单元可以在系统建构时设定所述对应关系,也可以从其他网元获取所述对应关系。全文摘要本发明公开了一种数据报文处理方法及数据报文处理装置,用于提高数据报文处理的效率。本发明方法包括接收数据报文;获取所述数据报文的类型以及所述数据报文的源端口;在预置的报文类型与绑定端口的对应关系中查询所述数据报文的类型对应的绑定端口;判断所述源端口与所述绑定端口是否对应,若对应,则上送所述数据报文。本发明还提供一种数据报文处理装置。本发明可以有效地防止DoS攻击以及DDoS攻击,且提高数据报文处理的效率。文档编号H04L9/36GK101227287SQ20081000699公开日2008年7月23日申请日期2008年1月28日优先权日2008年1月28日发明者赵志旺申请人:华为技术有限公司