一种记录攻击来源的方法及交换的制造方法

一种记录攻击来源的方法及交换的制造方法
【专利摘要】本发明适用于通信领域，提供了一种记录攻击来源的方法及交换机。所述方法包括：接收攻击报文；将所述攻击报文发送至交换机CPU；CPU解析所述攻击报文得到所述攻击报文的信息，所述攻击报文的信息包括攻击报文的内容和攻击来源信息；CPU将所述攻击来源信息和/或攻击报文的内容以简单网络管理协议陷阱SNMP?Trap消息发送到SNMP网络管理系统的主机上进行告警。本发明实现了对ARP欺骗攻击和IP源攻击进行告警以及攻击报文记录，为网络管理员排查网络中的恶意攻击带来方便。
【专利说明】一种记录攻击来源的方法及交换机
【技术领域】
[0001]本发明属于通信领域，尤其涉及一种记录攻击来源的方法及交换机。
【背景技术】
[0002]网络中经常会存在恶意的地址解析协议(Address Resolut1n Protocol, ARP)欺骗攻击和IP源攻击，网络管理员必须为网络设备做好相应的防护措施，才能避免设备受到攻击。
[0003]以太网交换机ARP欺骗防护功能:ARP协议为IP地址到MAC地址提供了一种动态映射的机制，在网络主机中形成ARP表，这是以太网络通信可以正常进行的前提条件。但是由于ARP协议过于简易，网络主机不区分所收到的ARP报文是否为自己请求的ARP报文，就根据ARP报文的发送端IP和发送端MAC地址来修改缓存中的ARP表，该机制使其容易受到ARP欺骗攻击导致ARP表被篡改进而影响正常通信。以太网交换机的ARP欺骗防护功能可以有效的杜绝ARP欺骗攻击，为每一台接入以太网的主机在接入层交换机中绑定一个四元表条目(由主机IP、主机MAC地址、所属VLAN、与交换机相连的端口号四项构成的绑定条目)，只有符合四元表条目的ARP报文才能通过交换机转发到网络中，这样就可以把ARP欺骗攻击源杜绝在源头上。
[0004]以太网交换机IP源防护功能:以太网上的网络设备往往不对转发报文的源地址进行检查，攻击者可以利用大量不存在的IP地址对网络中的服务器进行请求，使服务器无法响应正常的服务请求，造成拒绝服务(Denial of Service, DoS)攻击。以太网交换机的IP源防护功能可以有效的确保接入网络中的主机的合法性，只有符合绑定条目(主机IP、主机MAC地址、与交换机相连的端口三项绑定而成的条目)的主机发送的IP数据包才能被交换机转发。
[0005]以太网交换机现有的ARP欺骗防护功能和IP源防护功能可以有效的对网络中ARP欺骗攻击和IP源攻击进行防护，但是这两个功能只是简单将非法报文进行丢弃处理，没有记录任何有关于攻击报文的信息，网络管理员无法定位攻击的来源，从而无法排查网络中的恶意攻击。

【发明内容】

[0006]本发明的目的在于提供一种记录攻击来源的方法及交换机，旨在解决现有的ARP欺骗防护功能和IP源防护功能没有记录任何有关于攻击报文的信息，网络管理员无法定位攻击的来源,从而无法排查网络中的恶意攻击的问题。
[0007]第一方面，本发明提供了一种记录攻击来源的方法，所述方法包括:
[0008]接收攻击报文；
[0009]将所述攻击报文发送至交换机CPU ；
[0010]CPU解析所述攻击报文得到所述攻击报文的信息，所述攻击报文的信息包括攻击报文的内容和攻击来源信息；[0011]CPU将所述攻击来源信息和/或攻击报文的内容以简单网络管理协议陷阱SNMPTrap消息发送到SNMP网络管理系统的主机上进行告警。
[0012]第二方面，本发明提供了一种交换机，所述交换机包括:
[0013]接收模块，用于接收攻击报文；
[0014]第一发送模块，用于将所述攻击报文发送至交换机CPU ；
[0015]解析模块，用于CPU解析所述攻击报文得到所述攻击报文的信息，所述攻击报文的信息包括攻击报文的内容和攻击来源信息；
[0016]第二发送模块，用于CPU将所述攻击来源信息和/或攻击报文的内容以SNMP Trap消息发送到SNMP网络管理系统的主机上进行告警。
[0017]在本发明中，由于接收到攻击报文后发送至交换机CPU，CPU解析所述攻击报文得到所述攻击报文的信息，CPU将所述攻击来源信息和/或攻击报文的内容以SNMP Trap消息发送到SNMP网络管理系统的主机上进行告警。因此实现了对ARP欺骗攻击和IP源攻击进行告警以及攻击报文记录，为网络管理员排查网络中的恶意攻击带来方便。
【专利附图】

【附图说明】
[0018]图1是本发明实施例一提供的记录攻击来源的方法的流程图。
[0019]图2是本发明实施例一提供的记录攻击来源的方法中，S104的流程图。
[0020]图3是本发明实施例二提供的交换机的结构示意图。
【具体实施方式】
[0021]为了使本发明的目的、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0022]为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。
[0023]实施例一:
[0024]请参阅图1，本发明实施例一提供的记录攻击来源的方法包括以下步骤:
[0025]S101、接收攻击报文；
[0026]在本发明实施例一中，攻击报文可以是ARP欺骗攻击报文和/或IP源攻击报文。
[0027]S102、将所述攻击报文发送至交换机CPU ；
[0028]在本发明实施例一中，S102具体可以包括以下步骤:
[0029]对所述攻击报文进行限速处理；其中，限速是为了保护CPU在高速收到报文时不会超负荷；
[0030]将限速处理后的攻击报文发送至交换机CPU。
[0031]S103、CPU解析所述攻击报文得到所述攻击报文的信息，所述攻击报文的信息包括攻击报文的内容和攻击来源信息；
[0032]在本发明实施例一中，攻击报文内容包含:报文的源MAC地址和源IP地址，还可以根据需要后续添加其他报文内容信息。攻击来源信息就是报文从交换机进入的端口号信
肩、O
[0033]在本发明实施例一中，S103之前，所述方法还可以包括以下步骤:[0034]CPU将所述攻击报文以消息的方式发送到报文处理任务中；
[0035]判断是否收到攻击报文，如果是，则执行S103，否则返回判断是否收到攻击报文。
[0036]在本发明实施例一中，S103之后，所述方法还可以包括:
[0037]CPU记录所述攻击报文的信息，具体为将所述攻击报文的信息保存在报文从交换机进入的端口号对应的内存池中，所述端口号对应的内存池只保存最近一次攻击报文的信息；
[0038]CPU置位攻击标志，即将攻击标志设置为I ;
[0039]CPU丢弃所述攻击报文。
[0040]S104、CPU将所述攻击来源信息和/或攻击报文的内容以简单网络管理协议(Simple Network Management Protocol, SNMP)陷讲(Trap)消息发送到 SNMP 网络管理系统的主机上进行告警。
[0041]在本发明实施例一中，S104具体可以包括以下步骤:
[0042]S1041、判断CPU是否置位了攻击标志，如果是，则执行S1042，否则返回判断CPU是否置位了攻击标志；
[0043]S1042、读取所述攻击报文的信息；
[0044]S1043、将所述攻击来源信息和/或攻击报文的内容封装为SNMP Trap消息；
[0045]S1044、将所述SNMP Trap消息发送到SNMP网络管理系统的主机上进行告警，从而网络管理员可以通过SNMP Trap消息中的攻击来源信息定位到发起攻击的主机。
[0046]在本发明实施例一中，S1041具体可以为:定时判断CPU是否置位了攻击标志，如果是，则执行S1042，否则返回判断CPU是否置位了攻击标志。
[0047]S1042具体可以为:读取最近一次攻击报文的信息，具体为从每个报文从交换机进入的端口号对应的内存池中读取最近一次攻击报文的信息。
[0048]S1043具体可以为:将所述最近一次攻击报文的攻击来源信息和/或攻击报文的内容封装为SNMP Trap消息，所述最近一次攻击报文的攻击来源信息和/或攻击报文的内容具体是指从每个报文从交换机进入的端口号对应的内存池中读取的最近一次攻击报文的信息中的攻击来源信息和/或攻击报文的内容。
[0049]由于交换机内存限制，无法预留足够的空间去保存每一个攻击报文的信息，特别是持续收到攻击报文的时候，所以只保存每个端口接收到的最近一次攻击报文的信息，来源不同端口的攻击报文的信息不会相互覆盖。此种记录攻击报文信息的方式结合定时查询攻击标志发送SNMP Trap消息的方式一起工作，可以有效的避免持续收到攻击报文时频繁发送SNMP Trap消息，还可以确保网络管理员收到定时间隔内最新的攻击报文信息，不至于被过多的报文信息干扰。
[0050]SNMP是TCP/IP协议簇中的应用层协议，使用UDP端口 161/162进行数据传送，它提供了一种从网络上的设备中收集网络管理信息的方法。基于SNMP协议的网络管理系统由于具有很好的平台兼容性而被普遍用于网络设备的管理。SNMP协议有三个版本，在v2和v3版本中提供了 SNMP Trap消息的功能。
[0051]在本发明中，由于接收到攻击报文后发送至CPU，CPU解析所述攻击报文得到所述攻击报文的信息，CPU将所述攻击来源信息和/或攻击报文的内容以SNMP Trap消息发送到SNMP网络管理系统的主机上进行告警。因此实现了对ARP欺骗攻击和IP源攻击进行告警以及攻击报文记录，为网络管理员排查网络中的恶意攻击带来方便。
[0052]实施例二:
[0053]请参阅图3，本发明实施例二提供的交换机包括:接收模块11、第一发送模块12、解析模块13和第二发送模块14，其中，
[0054]接收模块11，用于接收攻击报文；
[0055]在本发明实施例二中，攻击报文可以是ARP欺骗攻击报文和/或IP源攻击报文。
[0056]第一发送模块12,用于将所述攻击报文发送至交换机CPU ；
[0057]解析模块13，用于CPU解析所述攻击报文得到所述攻击报文的信息，所述攻击报文的信息包括攻击报文的内容和攻击来源信息；
[0058]在本发明实施例二中，攻击报文内容包含:报文的源MAC地址和源IP地址，还可以根据需要后续添加其他报文内容信息。
[0059]攻击来源信息就是报文从交换机进入的端口号信息。
[0060]第二发送模块14，用于CPU将所述攻击来源信息和/或攻击报文的内容以简单网络管理协议陷阱SNMP Trap消息发送到SNMP网络管理系统的主机上进行告警。
[0061]在本发明实施例二中，所述第一发送模块12具体可以包括:
[0062]限速模块，用于对所述攻击报文进行限速处理；
[0063]第三发送模块，用于将限速处理后的攻击报文发送至交换机CPU。
[0064]在本发明实施例二中，所述交换机还可以包括:
[0065]第四发送模块，用于CPU将所述攻击报文以消息的方式发送到报文处理任务中；
[0066]第一判断模块，用于判断是否收到攻击报文，如果是，则由所述解析模块执行所述CPU解析所述攻击报文得到所述攻击报文的信息的步骤，否则返回判断是否收到攻击报文；
[0067]记录模块，用于CPU记录所述攻击报文的信息，具体为将所述攻击报文的信息保存在报文从交换机进入的端口号对应的内存池中，所述端口号对应的内存池只保存最近一次攻击报文的信息；
[0068]设置模块，用于CPU置位攻击标志；
[0069]丢弃模块，用于CPU丢弃所述攻击报文。
[0070]在本发明实施例二中，所述第二发送模块具体可以包括:
[0071]第二判断模块，用于判断CPU是否置位了攻击标志，如果是，则直接由读取模块读取所述攻击报文的信息，否则返回判断CPU是否置位了攻击标志；
[0072]读取模块，用于读取所述攻击报文的信息；
[0073]封装模块，用于将所述攻击来源信息和/或攻击报文的内容封装为SNMP Trap消息；
[0074]第五发送模块，用于将所述SNMP Trap消息发送到SNMP网络管理系统的主机上进
行告警。
[0075]在本发明实施例二中，第二判断模块具体可以用于定时判断CPU是否置位了攻击标志，如果是，则由所述读取模块读取最近一次攻击报文的信息，否则返回判断是否收到攻击报文；
[0076]所述读取模块具体用于读取最近一次攻击报文的信息，具体为从每个报文从交换机进入的端口号对应的内存池中读取最近一次攻击报文的信息；
[0077]所述封装模块具体用于将所述最近一次攻击报文的攻击来源信息和/或攻击报文的内容封装为SNMP Trap消息，所述最近一次攻击报文的攻击来源信息和/或攻击报文的内容具体是指从每个报文从交换机进入的端口号对应的内存池中读取的最近一次攻击报文的信息中的攻击来源信息和/或攻击报文的内容。
[0078]由于交换机内存限制，无法预留足够的空间去保存每一个攻击报文的信息，特别是持续收到攻击报文的时候，所以只保存每个端口接收到的最近一次攻击报文的信息，来源不同端口的攻击报文的信息不会相互覆盖。此种记录攻击报文信息的方式结合定时查询攻击标志发送SNMP Trap消息的方式一起工作，可以有效的避免持续收到攻击报文时频繁发送SNMP Trap消息，还可以确保网络管理员收到定时间隔内最新的攻击报文信息，不至于被过多的报文信息干扰。
[0079]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可读取存储介质中，所述的存储介质，如R0M/RAM、磁盘、光盘等。
[0080]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种记录攻击来源的方法，其特征在于，所述方法包括: 接收攻击报文； 将所述攻击报文发送至交换机CPU ； CPU解析所述攻击报文得到所述攻击报文的信息，所述攻击报文的信息包括攻击报文的内容和攻击来源信息； CPU将所述攻击来源信息和/或攻击报文的内容以简单网络管理协议陷阱SNMP Trap消息发送到SNMP网络管理系统的主机上进行告警。
2.如权利要求1所述的方法，其特征在于，所述将所述攻击报文发送至交换机CPU具体包括: 对所述攻击报文进行限速处理； 将限速处理后的攻击报文发送至交换机CPU。
3.如权利要求1或2所述的方法，其特征在于，所述CPU解析所述攻击报文得到所述攻击报文的信息之前，所述方法还包括: CPU将所述攻击报 文以消息的方式发送到报文处理任务中； 判断是否收到攻击报文，如果是，则执行所述CPU解析所述攻击报文得到所述攻击报文的信息的步骤，否则返回判断是否收到攻击报文。
4.如权利要求1或2所述的方法，其特征在于，所述CPU解析所述攻击报文得到所述攻击报文的信息之后，所述方法还包括: CPU记录所述攻击报文的信息； CPU置位攻击标志； CPU丢弃所述攻击报文。
5.如权利要求1或2所述的方法，其特征在于，所述CPU将所述攻击来源信息和/或攻击报文的内容以简单网络管理协议陷阱SNMP Trap消息发送到SNMP网络管理系统的主机上进行告警具体包括: 判断CPU是否置位了攻击标志，如果是，则直接读取所述攻击报文的信息，否则返回判断所述CPU是否置位了攻击标志； 将所述攻击来源信息和/或攻击报文的内容封装为SNMP Trap消息； 将所述SNMP Trap消息发送到SNMP网络管理系统的主机上进行告警。
6.如权利要求5所述的方法，其特征在于，所述判断CPU是否置位了攻击标志具体为:定时判断CPU是否置位了攻击标志； 所述读取所述攻击报文的信息具体为:读取最近一次攻击报文的信息； 所述将所述攻击来源信息和/或攻击报文的内容封装为SNMP Trap消息具体为:将所述最近一次攻击报文的攻击来源信息和/或攻击报文的内容封装为SNMP Trap消息。
7.一种交换机，其特征在于，所述交换机包括: 接收模块，用于接收攻击报文； 第一发送模块，用于将所述攻击报文发送至交换机CPU ； 解析模块，用于CPU解析所述攻击报文得到所述攻击报文的信息，所述攻击报文的信息包括攻击报文的内容和攻击来源信息； 第二发送模块，用于CPU将所述攻击来源信息和/或攻击报文的内容以简单网络管理协议陷阱SNMP Trap消息发送到SNMP网络管理系统的主机上进行告警。
8.如权利要求7所述的交换机，其特征在于，所述第一发送模块具体包括: 限速模块，用于对所述攻击报文进行限速处理； 第三发送模块，用于将限速处理后的攻击报文发送至交换机CPU。
9.如权利要求7或8所述的交换机，其特征在于，所述交换机还包括: 第四发送模块，用于CPU将所述攻击报文以消息的方式发送到报文处理任务中； 第一判断模块，用于判断是否收到攻击报文，如果是，则由所述解析模块执行所述CPU解析所述攻击报文得到所述攻击报文的信息的步骤，否则返回判断是否收到攻击报文； 记录模块，用于CPU记录所述攻击报文的信息； 设置模块，用于CPU置位攻击标志； 丢弃模块，用于CPU丢弃所述攻击报文。
10.如权利要求7或8所述的交换机，其特征在于，所述第二发送模块具体包括: 第二判断模块，用于判断CPU是否置位了攻击标志，如果是，则直接由读取模块读取所述攻击报文的信息，否则返回判断CPU是否置位了攻击标志； 读取模块，用于读取所述攻击报文的信息； 封装模块，用于将所述攻击来源信息和/或攻击报文的内容封装为SNMP Trap消息； 第五发送模块，用于将所述SNMP Trap消息发送到SNMP网络管理系统的主机上进行告m目O
【文档编号】H04L12/24GK104038494SQ201410259074
【公开日】2014年9月10日 申请日期:2014年6月11日 优先权日:2014年6月11日
【发明者】钟弈涛, 陈慧, 陈伟章 申请人:普联技术有限公司