专利名称:一种防御网络攻击的方法及其装置的制作方法
技术领域:
本发明涉及数据通信领域的网络安全技术,尤其涉及一种防御网络攻击的 方法及其装置。
背景技术:
随着互联网技术的高速发展和互联网应用程度的日益深入,网络用户的规 模也在日益壮大,很多人的工作和生活已经离不开网络,与此同时,网络安全 问题也变得越来越重要。由于互联网协议(IP)网络的开放性特点,互联网中
的各种网络设备,譬如路由器、三层交换机等,也成为网络黑客和各种网络 病毒攻击的对象。由于具有复杂、高级功能的网络设备需要对用户报文进行较 深入的分析处理,因此,更容易受到来自网络的攻击。以路由器为例,此类网 络设备在网络层级中所处的地位较高, 一旦遭受攻击出现故障,将会造成较大 范围的不良影响或一定的破坏性损失,若网络核心遭到攻击,譬如路由协议, 甚至可能导致整个网络瘫痪。
目前,对网络设备进行攻击的方式主要是拒绝服务(DoS, Deny of Service ) 攻击。DoS攻击的原理是利用服务请求来占用过多的服务资源,从而使合法用 户无法得到有效的服务响应。尽管Dos攻击的方法很多,但它们都具有一些共 同的典型特征,例如使用欺骗的源地址、使用网络协议的缺陷、使用操作系 统或软件的漏洞、在网络上产生大量的无用数据报文消耗服务资源等。
所述DoS攻击,通常可以分为两大类
一类是针对性的DoS攻击;这种攻击首先通过对网络设备进行服务端口扫 描或采用公认开^L的各种服务端口,采用传输控制协议同步洪流(TCP SYN flood )、传输控制协议重设洪流(TCP RST flood )、 Ping指令洪流(Ping flood)
等各种具有明确的攻击目标地址的报文对网络设备的指定端口发起大量的攻击 报文,致使网络设备的系统资源被大量消耗,无法再对正常的用户提供服务, 导致用户无法正常通信。
另一类是利用各种规范机制中的漏洞,如,利用生存时间(TTL)-1的报 文、地址解析协议/反向地址解析协议(ARP/RARP)广播报文、ping广播、IP 分片包、组播报文上送等协议机制漏洞,发起大量不具有明确的攻击目标的数 据报文,同样也能造成路由器的中央处理器(CPU)等资源被大量消耗,从而 降低对正常报文的处理速度影响正常服务的提供。
由于网络设备的嵌入式特点,使得它对DoS攻击等网络攻击的识别和防御 能力较弱。
图1为现有网络设备的功能结构示意图,如图1所示,网络设备的处理功 能通常分布在三个层面,即转发层面、控制层面以及管理层面,所述转发层面 通过内部通信接口与所述管理层面和控制层面进行数据通信以及协议报文的传 递;所述控制层面和管理层面分别包含有多个业务服务模块,网络管理者通过 相应的配置,可使其用于为网络提供远程登录服务、路由协议服务等。其中
转发层面,负责网络数据报文的处理和转发。该层面通常采用专用集成电 路(ASIC)或网络处理器(NP)等高性能硬件处理单元以实现对网络链路的流 量的线速处理,由于该层面主要对网络数据报文进行转发处理,通常不存在受 网络攻击影响的问题。
控制层面,负责网络链路拓朴、路由等信息的计算和维护。该层面通常采 用基于CPU的软件处理单元来实现其功能,由于该层面涉及路由协议等报文的 深层处理,且处理性能有限,因此存在遭受网络攻击的可能。
管理层面,负责网络设备的管理和维护(OAM)。该层面通常也采用基于 CPU的软件处理单元来实现其功能,由于该层面涉及管理等报文的深层处理, 且该层面的处理性能有限,因此也存在遭到网络攻击的风险。
这里,所迷对网络设备的控制层面和管理层面的DoS攻击等网络攻击数据 报文,首先需要在转发层面进行处理,当识别出所述数据报文为需要上送到控 制层面的数据报文,如路由协议报文,或者为上送到管理层面的数据报文,如 远程登录报文之后,再由转发层面分别通过上送通道上送到相应的控制层面或
管理层面进行相关处理。当DoS等网络攻击的数据报文成功到达上层软件层面 后,即形成了对上层软件的攻击。由于现有网络设备的转发层面均采用ASIC 或NP等高性能、逻辑相对简单的硬件处理单元进行处理,不能在这一层面实 现复杂的检测和防御网络攻击的功能。
发明内容
有鉴于此,本发明的主要目的在于提供一种防御网络攻击的方法及其装置, 以提高网络设备防御网络攻击的能力。
为达到上述目的,本发明的技术方案是这样实现的 一种防御网络攻击的方法,包括
通过管理层面对网络设备的上送业务数据报文设置上送业务过滤规则; 根据所述上送业务过滤规则对转发层面的上送业务过滤器进行规则配置; 上送业务数据报文通过转发层面的上送业务过滤器进行处理,并将通过所
述上送业务过滤器的数据报文按照优先级转发给内部通信接口中对应的优先级
通道;
将通过优先级通道的数据报文传送给控制层面和/或管理层面进行处理。
其中,所述设置上送业务过滤规则,是按照发送业务数据流者的身份进行 制定的,具体为对可信合法的用户访问给予高优先级、对非法的用户访问进 行拒绝、对临时的用户访问给予低优先级以及拒绝非指定的访问。
其中,管理层面和控制层面的业务服务模块根据自身状态,对上送业务过 滤器配置模块进行过滤规则的设置。
其中,将数据报文通过转发层面的上送业务过滤器进行处理,包括对非 法的用户访问的数据报文做丢弃处理,以及对设置上送优先级的用户的数据报 文按照设定的上送优先级进入内部通信接口中对应的优先级通道。
其中,数据报文按照优先级转发给对应的优先级通道,具体为对设置上
送优先级用户的数据报文按照预先设定的上送优先级进入相应的上送优先级通 道、对允许的未设置优先级的数据报文按照默认的优先级进入相应的上送优先 级通道。
其中,将通过优先级通道的数据报文传送给控制层面和/或管理层面进行处
理,具体为将所述数据报文分别传送给控制层面和/或管理层面中对应的业务 服务模块进行处理。
一种防御网络攻击的装置,包括转发层面、控制层面、管理层面以及连接 所述转发层面与所述控制层面和所述管理层面的内部通信接口;其中,所述控 制层面和所述管理层面中包含有用于处理本地网络服务的业务服务模块;所述 管理层面包括上送业务过滤器配置模块;所述转发层面包括上送业务过滤器以 及所述内部通信接口中包括多个优先级通道;其中
上送业务过滤器配置模块,用于通过内部通信接口对上送业务过滤器进行 过滤规则的配置和对上送业务数据报文的优先级进行设定;
上送业务过滤器,用于对经转发层面上送到控制层面和管理层面的数据报 文进行过滤处理以及对上送业务数据报文按照预设的优先级进行处理;以及
优先级通道,用于将通过上送业务过滤器上传的不同等级的数据报文按照 对应的优先级进行处理,并将通过所述优先级通道的数据报文传送到对应的控 制层面和/或管理层面的业务服务模块。
本发明所提供的防御网络攻击的方法及其装置,具有以下优点
本发明通过对访问网络设备的用户身份进行区分,并通过边界网关协议 (BGP)对上送业务过滤器进行数据报文优先级和过滤规则的设置,使网络设 备能够区分合法访问和非法访问以及普通临时用户的数据报文,通过过滤非法 用户的数据报文以及按照优先级对其他用户的数据报文进行区别处理,有效地 降低了网络攻击的数据报文对网络设备的影响,从而提高了网络设备防御网络 攻击的能力。
图1为现有网络设备的功能结构示意图2为本发明实施例中网络设备的功能结构及工作过程示意图; 图3为本发明实施例中网络设备防御网络攻击的实现过程流程图。
具体实施例方式
下面结合附图及本发明的实施例对本发明的方法作进一步详细的说明。 图2为本发明实施例中网络设备的功能结构及工作过程示意图,如图2所 示,该网络设备包括转发层面-A、控制层面-B、管理层面-C三个处理层以及内 部通信接口-D;所述转发层面-A,包括网络接口 201、上送业务过滤器202; 所述控制层面-B,包括多个不同的业务服务模块203;所述管理层面-C,包括 多个业务服务模块203和上送业务过滤器配置模块204;所述转发层面-A通过 内部通信接口-D分别与所述控制层面-B和管理层面-C进行数据通信以及相关 协议报文的传递;所述内部通信接口-D中包括多个不同等级的优先级通道205。 转发层面-A,负责网络数据流的处理以及将待上送的数据报文通过内部通 信接口-D上送到控制层面-B及管理层面-C;其中,
网络接口 201,用于为网络数据流的接收和发送提供传输通道; 上送业务过滤器202,用于对经转发层面上送到控制层面和管理层面的数
过滤器202位于转发层面,转发层面的上送需要通过该上送业务过滤器过滤处
理后再进行上送。所述上送业务过滤器的功能,包括
指定某个邻居/对象对某个服务的访问采用某种优先级上送数据报文; 指定禁止某个邻居/对象对某个服务的访问; 指定除特定的邻居外,禁止其他对象访问某个服务;以及 指定允许任何对象访问某个服务,并指定其上送数据报文的优先级。 这里,所述邻居/对象,是指通过BGP协议配置网络设备时,与该设备相
连的其他网络节点设备。
控制层面-B,用于网络设备的控制和本地网络控制协议净艮文的处理;其中, 业务服务模块203,位于管理层面和控制层面的功能模块,用于处理本地
相应的网络服务,如远程登录服务、路由协议服务等。
管理层面-C,用于网络设备的管理和本地管理协议报文的处理;其中,
上送业务过滤器配置模块204,用于通过内部通信接口对上送业务过滤器 进行过滤MJ'J的配置和对所上送业务的优先级进行设定;
另夕卜,管理层面-C还包括用于对网络设备进行管理的网络管理者和用于连 接网络管理者与网络设备管理层面的网管接口 。
内部通信接口-D,负责转发层面、控制层面和管理层面之间的数据通信和 协议报文的传递;其中,
优先级通道205,用于将通过上送业务过滤器上传的不同等级的数据报文 按照不同的优先级等级进行处理,并将通过所述优先级通道的数据报文传送到 对应的控制层面和/或管理层面的业务^J^莫块;所述处理过程为内部通信接 口对相应的数据"^艮文进行优先级化分,对转发层面上送到控制层面/管理层面的 数据报文提供不同的上送优先级通道,高优先级的通道的数据报文被优先上送。
图3为本发明实施例中网络设备防御网络攻击的实现过程流程图,如图3 所示,该过程包括
步骤301:通过管理层面的上送业务过滤器配置;f莫块设置上送业务过滤器 对业务数据报文的过滤规则。
这里,所述设置的过滤规则包括对可信合法的用户访问给予高优先级上送、 对非法的用户访问进行拒绝、对临时的用户访问给予低优先级、拒绝任何非指 定的访问等。
所述可信合法的、非法的、不确定的以及非指定的用户等是通过边界网关 协议(BGP, Border Gateway Protocol)设定的,具体上送业务过滤器的规则如 下
Permit 100.1.1.1 BGP high 〃设置可信的BGP邻居高优先级上送; Deny any BGP 〃禁止其他用户访问BGP;Permit 101.1.1.1 OSPF high 〃设置可信的OSPF邻居高优先级上送; Permit any RIP set middle 〃设置RIP才艮文的上送优先级为中;
Permit any ARP set low 〃设置ARP报文的上送优先级为低;
Permit llO丄l.l SNMPhigh 〃设置可信的SNMP客户端高优先级上送; Deny any SNMP 〃禁止其他用户访问SNMP;
Permit any any 〃允许其他用户的数据报文上送,即按照默
认优先级上送。
其中,所述OSPF,为最短路径优先路由协议;所迷RIP,为路由信息协议; 所述SNMP,为简单网络管理协议。
较佳地,管理层面的业务服务功能模块和控制层面的业务服务功能模块也 可以根据自身的状态,通过内部通信接口对上送业务过滤器配置模块进行配置, 实现对上送业务过滤器的过滤规则的设置。
步骤302:管理层面的上送过滤器配置模块根据管理层面和控制层面生成 的上送过滤器规则对转发层面的上送业务过滤器进行规则配置。
这里,所述对上送业务过滤器进行规则配置,是指将通过步骤301所设置 的业务数据"R文过滤规则写入上送业务过滤器的配置文件中,以便网络数据流 通过所述网络设备的转发层面时启用这些过滤规则,降低上送业务的数据流量。
步骤303:转发层面对上送业务的数据报文通过上送业务过滤器进行处理。
这里,所述上送业务过滤器的具体处理过程为将非法的用户即被拒绝访 问的用户的数据报文做丢弃处理,对设置上送优先级用户的数据报文按照设定 的上送优先级进入相应的内部通信接口的上送优先级通道、对允许的未设置优 先级的数据报文按照默认的优先级进入相应的上送内部通信接口的各个优先级 通道。
步骤304:内部通信接口按照高优先级优先上送的方式将各个上送优先级 通道的数据报文上传到对应的控制和/或管理层面,由控制层面和/或管理层面的
业务服务模块进行对应的处理。
这里,在所述内部通信接口中,包含多个不同等级的优先级通道,每个优
先级通道对应控制层面或管理层面中的一个或多个业务服务模块,当流经转发 层面的数据报文通过所述上送业务过滤器时,所述过滤器按照优先级等级将所 述数据报文传送到各自对应的优先级通道,通过这些优先级通道将所述数据报 文分别传送给控制层面和/或管理层面中对应的业务服务模块进行处理,以实现
数据报文的不同的网络服务功能,如远程登录服务、路由协议服务等。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1、一种防御网络攻击的方法,其特征在于,包括通过管理层面对网络设备的上送业务数据报文设置上送业务过滤规则;根据所述上送业务过滤规则对转发层面的上送业务过滤器进行规则配置;上送业务数据报文通过转发层面的上送业务过滤器进行处理,并将通过所述上送业务过滤器的数据报文按照优先级转发给内部通信接口中对应的优先级通道;将通过优先级通道的数据报文传送给控制层面和/或管理层面进行处理。
2、 根据权利要求1所述的方法,其特征在于,所述设置上送业务过滤规则, 是按照发送业务数据流者的身份进行制定的,具体为对可信合法的用户访问 给予高优先级、对非法的用户访问进行拒绝、对临时的用户访问给予低优先级 以及拒绝非指定的访问。
3、 根据权利要求1所述的方法,其特征在于,管理层面和控制层面的业务 服务模块根据自身状态,对上送业务过滤器配置模块进行过滤规则的设置。
4、 根据权利要求1所述的方法,其特征在于,将数据报文通过转发层面的 上送业务过滤器进行处理,包括对非法的用户访问的数据报文做丢弃处理, 以及对设置上送优先级的用户的数据报文按照设定的上送优先级进入内部通信 接口中对应的优先级通道。
5、 根据权利要求l所述的方法,其特征在于,数据报文按照优先级转发给 对应的优先级通道,具体为对设置上送优先级用户的数据报文按照预先设定 的上送优先级进入相应的上送优先级通道、对允许的未设置优先级的数据报文 按照默认的优先级进入相应的上送优先级通道。
6、 根据权利要求1所述的方法,其特征在于,将通过优先级通道的数据报 文传送给控制层面和/或管理层面进行处理,具体为将所述数据报文分别传送 给控制层面和/或管理层面中对应的业务服务模块进行处理。
7、 一种防御网络攻击的装置,包括转发层面、控制层面、管理层面以及连 接所述转发层面与所述控制层面和所述管理层面的内部通信接口;其中,所述 控制层面和所述管理层面中包含有用于处理本地网络服务的业务服务模块;其 特征在于,所述管理层面包括上送业务过滤器配置模块;所述转发层面包括上 送业务过滤器以及所述内部通信接口中包括多个优先级通道;其中上送业务过滤器配置模块,用于通过内部通信接口对上送业务过滤器进行 过滤规则的配置和对上送业务数据报文的优先级进行设定;上送业务过滤器,用于对经转发层面上送到控制层面和管理层面的数据报优先级通道,用于将通过上送业务过滤器上传的不同等级的数据报文按照 对应的优先级进行处理,并将通过所述优先级通道的数据报文传送到对应的控 制层面和/或管理层面的业务服务模块。
全文摘要
本发明公开了一种防御网络攻击的方法及其装置,在网络设备的转发层面对上送业务过滤器配置数据报文的过滤规则,按照所述规则,过滤掉禁止访问的用户的数据报文,并按照访问网络设备的用户身份的不同,将各自对应的数据报文划分不同的优先级,并使所述数据报文通过内部通信接口内不同的优先级通道传送到控制层面和/或管理层面的业务服务模块中进行处理。采用本发明,能够区分有用的数据报文与网络攻击报文,并过滤掉非法用户的数据报文,有效降低了网络攻击报文对网络设备的负荷,提高了网络设备防御网络攻击的能力。
文档编号H04L29/06GK101340440SQ20081014449
公开日2009年1月7日 申请日期2008年8月11日 优先权日2008年8月11日
发明者黎定军 申请人:中兴通讯股份有限公司