国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      防范無效報文攻擊的方法和網絡設備的制作方法

      文檔序號:7659060閱讀:232來源:國知局
      專利名稱:防范無效報文攻擊的方法和網絡設備的制作方法
      技術領域
      本發(fā)明涉及通信領域,特別涉及一種防范無效報文攻擊的方法和網絡設備。
      背景技術
      現有的網絡設備通常包含轉發(fā)引擎層、業(yè)務處理層。轉發(fā)引擎層主要完成報文的上送與 轉發(fā),業(yè)務處理層根據轉發(fā)引擎上送的報文完成相關的業(yè)務處理。通常,網絡設備需處理哪 些類型報文,網絡設備究竟開啟了哪些服務,在網絡設備的業(yè)務層面都有明確的記錄,網絡 設備對需上送業(yè)務處理層進行處理的相關業(yè)務都非常明確。
      隨著Internet的發(fā)展,組網環(huán)境日趨復雜,隨之網絡攻擊、病毒攻擊也日益頻繁,對網絡 設備的危害性也日趨嚴重。DOS (Denial of Service,拒絕服務)攻擊指攻擊者短時間內使用 大量數據包或畸形報文向網絡設備不斷發(fā)起連接或請求響應,致使服務器負荷過重而不能處 理合法任務,從而導致網絡設備業(yè)務異常。針對DOS攻擊,網絡設備通常使用流量限制功能 進行DOS攻擊防范,流量限制功能主要是限制單位時間內上送網絡設備的報文字節(jié)數,采用 此方法可以有效地緩解DOS攻擊對網絡設備帶來的影響。
      在實現本發(fā)明的過程中,發(fā)明人發(fā)現單純地使用流量限制功能不能盡早阻止無效報文上 送給網絡設備,仍然存在通道(帶寬)的浪費。

      發(fā)明內容
      為了有效地防范無效報文的攻擊,本發(fā)明實施例提供了一種防范無效報文攻擊的方法和 網絡設備。所述技術方案如下-
      一種防范無效報文攻擊的方法,所述方法包括
      網絡設備的轉發(fā)引擎層收到報文后,在業(yè)務特征狀態(tài)表中查找所述報文的匹配信息,根 據查找的結果判斷所述報文是否有效,如果無效,丟棄所述報文。 本發(fā)明實施例還提供了一種網絡設備,所述設備包括
      轉發(fā)引擎模塊,用于接收報文,在業(yè)務特征狀態(tài)表中査找所述報文的匹配信息,根據査 找的結果判斷所述報文是否有效,如果無效,丟棄所述報文。
      本發(fā)明實施例提供的技術方案的有益效果是
      轉發(fā)引擎層通過業(yè)務特征狀態(tài)表判斷報文是否有效,根據判斷提前丟棄無效報文,防范 了無效報文對設備帶寬的浪費,提高了設備防攻擊的性能和安全性能。


      圖1是本發(fā)明實施例1提供的防范無效報文攻擊的方法流程圖; 圖2是本發(fā)明實施例2提供的網絡設備的結構示意圖。
      具體實施例方式
      為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚,下面將結合附圖對本發(fā)明實施方式作進 一步地詳細描述。
      本發(fā)明實施例采用網絡設備的業(yè)務處理層與轉發(fā)引擎層聯動的方法,在轉發(fā)引擎層判斷 出報文是否有效,將無效報文在網絡設備的轉發(fā)引擎層丟棄。 實施例1
      本實施例提供了一種防范無效報文攻擊的方法,該方法包括
      網絡設備的轉發(fā)引擎層收到報文后,在業(yè)務特征狀態(tài)表中査找報文的匹配信息,根據查 找的結果判斷該報文是否有效,如果無效,丟棄該報文。
      網絡設備轉發(fā)引擎層中的業(yè)務特征狀態(tài)表可以通過業(yè)務處理層下發(fā),也可以通過人工配 置,如由管理員根據網絡設備處理業(yè)務的情況,為轉發(fā)引擎層配置業(yè)務特征狀態(tài)表。
      本實施例優(yōu)選由網絡設備的業(yè)務處理層下發(fā)業(yè)務特征狀態(tài)表,由業(yè)務處理層統(tǒng)一管理設 備開啟的業(yè)務信息,并定義這些業(yè)務信息的報文的業(yè)務信息特征碼以及開啟狀態(tài)。
      例如SNMP (Simple Network Management Protocol,簡單網絡管理協(xié)議)報文的業(yè)務信 息特征碼為UDP (User Datagram Protocol,用戶數據報協(xié)議)端口號,即161; DHCP(Dynamic Host Configuration Protocol,動態(tài)主機分配協(xié)議)報文的業(yè)務信息特征碼為UDP端口號,即 67或68。
      網絡設備業(yè)務處理層將業(yè)務特征狀態(tài)表下發(fā)到該網絡設備的轉發(fā)引擎層中;網絡設備轉 發(fā)引擎層收到業(yè)務特征狀態(tài)表后,將業(yè)務特征狀態(tài)表保存在本層內。 參見圖l,上述防范無效報文攻擊的方法具體包括以下步驟 步驟101:轉發(fā)引擎層收到報文后,提取報文的業(yè)務信息特征碼;
      步驟102:在業(yè)務特征狀態(tài)表中查找是否有與所提取的業(yè)務信息特征碼匹配的表項,如
      果有,執(zhí)行步驟103,否則,執(zhí)行步驟105。
      步驟103:檢查所匹配表項中的開啟狀態(tài)是否為開啟,如果是,執(zhí)行步驟104;否則執(zhí)行 步驟105。
      步驟104:對該報文進行上送。 步驟105:在轉發(fā)引擎層丟棄該報文。
      通過上述方法,轉發(fā)引擎層只對匹配了業(yè)務信息特征碼,且開啟狀態(tài)為開啟的報文進行
      上送,對不匹配業(yè)務信息特征碼的報文進行丟棄,不上送處理;對匹配了業(yè)務信息特征但開 啟狀態(tài)為關閉的報文在轉發(fā)引擎直接進行丟棄,不上送處理。
      網絡設備的業(yè)務處理層通過配置命令可以感知業(yè)務的開啟狀態(tài)是否發(fā)生變化,可以實時 或每隔一段時間(一天或者一周)對配置命令進行檢查,當得知某一業(yè)務的開啟狀態(tài)發(fā)生變 化后,將對業(yè)務特征狀態(tài)表中的該業(yè)務的開啟狀態(tài)進行更新,并將更新的后的業(yè)務特征狀態(tài) 表及時下發(fā)到網絡設備的轉發(fā)引擎層,轉發(fā)引擎層更新業(yè)務特征狀態(tài)表,并根據更新后的業(yè) 務特征狀態(tài)表對接收到的報文進行判斷。
      業(yè)務特征狀態(tài)表的更新也可以通過管理員實現,即通過管理員每隔一段時間(一天或者 一周)對網絡設備處理業(yè)務的情況進行調整,人工修改業(yè)務特征狀態(tài)表中的信息。
      本發(fā)明實施例提到的網絡設備可以是防火墻、路由器、以太網交換機、寬帶接入網絡設 備,但不局限于上述網絡設備,也可以在其他網絡設備。
      本實施例通過轉發(fā)引擎層對報文是否有效進行判斷,進而提前丟棄無效報文,防止了無 效報文對網絡設備帶寬的浪費,提高了網絡設備防攻擊的性能和安全性能。
      實施例2
      參見圖2,本實施例提供了一種網絡設備,包括
      轉發(fā)引擎模塊201,用于接收報文,在業(yè)務特征狀態(tài)表中査找該報文的匹配信息,根據
      查找的結果判斷該報文是否有效,如果無效,丟棄該報文。
      其中,轉發(fā)引擎模塊201包括
      報文特征提取單元201a,用于接收報文,并提取報文的業(yè)務信息特征碼; 報文丟棄單元201b,用于在業(yè)務特征狀態(tài)表中査找與報文特征提取單元201a提取的業(yè)
      務信息特征碼匹配的表項,如果沒有匹配表項或所匹配的表項的開啟狀態(tài)為關閉,該報文無
      效,丟棄該報文。
      進一步地,轉發(fā)引擎模塊201還包括
      報文上送單元,用于上送報文的業(yè)務信息特征碼在業(yè)務特征狀態(tài)表中有匹配表項,且所
      匹配表項中的開啟狀態(tài)為開啟的報文; 相應地,上述設備還包括
      業(yè)務處理模塊,用于對轉發(fā)引擎模塊201上送的報文進行處理。 其中,業(yè)務處理模塊還包括-
      業(yè)務特征狀態(tài)表生成單元,用于根據處理業(yè)務信息生成業(yè)務特征狀態(tài)表,該業(yè)務特征狀 態(tài)表包括業(yè)務信息特征碼和開啟狀態(tài);
      業(yè)務特征狀態(tài)表下發(fā)單元,用于將業(yè)務特征狀態(tài)表生成單元生成的業(yè)務特征狀態(tài)表下發(fā) 給轉發(fā)引擎模塊201。
      進一步地,業(yè)務處理模塊還包括
      業(yè)務特征狀態(tài)表更新單元,用于根據配置命令更新所述業(yè)務特征狀態(tài)表,并通知業(yè)務特 征狀態(tài)表下發(fā)單元下發(fā)更新后的業(yè)務特征狀態(tài)表。
      上述實施例通過在網絡設備的轉發(fā)引擎層提前丟棄了無效報文,解決了無效報文對網絡 設備帶寬的浪費,提高了網絡設備防攻擊的性能和安全性能;
      網絡設備的轉發(fā)引擎層通過與業(yè)務處理層進行實時聯動,不但可感知網絡設備是否可處 理此類業(yè)務報文,而且可感知此類業(yè)務的配置狀態(tài),只有在配置狀態(tài)開啟的情況下才上送報 文,進一步提高了網絡設備防攻擊的性能和安全性能。
      本領域普通技術人員可以理解實現上述實施例方法中的全部或部分步驟是可以通過程序 來指令相關的硬件來完成,所述的程序可以存儲于一計算機可讀取存儲介質中,該程序在執(zhí) 行時,包括如下步驟102中的査找與報文的業(yè)務信息特征碼匹配的表項和步驟103中檢査所 匹配的表項中的開啟狀態(tài)等,所述的存儲介質,如ROM/RAM、磁碟、光盤等。
      以上所述僅為本發(fā)明的較佳實施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之 內,所作的任何修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內。
      權利要求
      1.一種防范無效報文攻擊的方法,其特征在于,所述方法包括網絡設備的轉發(fā)引擎層收到報文后,在業(yè)務特征狀態(tài)表中查找所述報文的匹配信息,根據查找的結果判斷所述報文是否有效,如果無效,丟棄所述報文。
      2. 如權利要求1所述的防范無效報文攻擊的方法,其特征在于,所述業(yè)務特征狀態(tài)表包括業(yè)務信息特征碼和開啟狀態(tài)。
      3. 如權利要求2所述的防范無效報文攻擊的方法,其特征在于,所述在業(yè)務特征狀態(tài)表中查找所述報文的匹配信息,根據査找的結果判斷所述報文是否有效的步驟包括提取所述報文的業(yè)務信息特征碼,在業(yè)務特征狀態(tài)表中査找與所述報文的業(yè)務信息特征 碼匹配的表項,如果沒有匹配表項或所匹配的表項的開啟狀態(tài)為關閉,所述報文無效。
      4. 如權利要求2所述的防范無效報文攻擊的方法,其特征在于,所述在業(yè)務特征狀態(tài)表中査找所述報文的匹配信息,根據查找的結果判斷所述報文是否有效的步驟包括提取所述報文的業(yè)務信息特征碼,在業(yè)務特征狀態(tài)表中査找是否有與所述報文的業(yè)務信息特征碼匹配的表項;如果沒有匹配表項,所述報文無效;如果有匹配表項,檢查所匹配的表項中的開啟狀態(tài)是否為開啟,如果是開啟,所述報文 有效,如果是關閉,所述報文無效。
      5. 如權利要求1所述的防范無效報文攻擊的方法,其特征在于,所述方法還包括 所述網絡設備的業(yè)務處理層根據配置命令更新業(yè)務特征狀態(tài)表,并將更新后的業(yè)務特征狀態(tài)表下發(fā)給所述轉發(fā)引擎層;所述轉發(fā)引擎層收到所述更新后的業(yè)務特征狀態(tài)表后,更新所述轉發(fā)引擎層的業(yè)務特征 狀態(tài)表。
      6. —種網絡設備,其特征在于,所述設備包括 轉發(fā)引擎模塊,用于接收報文,在業(yè)務特征狀態(tài)表中査找所述報文的匹配信息,根據査 找的結果判斷所述報文是否有效,如果無效,丟棄所述報文。
      7. 如權利要求6所述的網絡設備,其特征在于,所述轉發(fā)引擎模塊包括-報文特征提取單元,用于接收報文,并提取所述報文的業(yè)務信息特征碼; 報文丟棄單元,用于在業(yè)務特征狀態(tài)表中查找與所述報文特征提取單元提取的業(yè)務信息特征碼匹配的表項,如果沒有匹配表項或所匹配的表項的開啟狀態(tài)為關閉,所述報文無效, 丟棄所述報文。
      8. 如權利要求6所述的網絡設備,其特征在于,所述轉發(fā)引擎模塊還包括 報文上送單元,用于上送報文的業(yè)務信息特征碼在所述業(yè)務特征狀態(tài)表中有匹配表項,且所匹配表項中的開啟狀態(tài)為開啟的報文; 相應地,所述設備還包括業(yè)務處理模塊,用于對所述轉發(fā)引擎模塊上送的報文進行處理。
      9. 如權利要求8所述的網絡設備,其特征在于,所述業(yè)務處理模塊還包括 業(yè)務特征狀態(tài)表生成單元,用于根據處理業(yè)務信息生成業(yè)務特征狀態(tài)表,所述業(yè)務特征狀態(tài)表包括業(yè)務信息特征碼和開啟狀態(tài);業(yè)務特征狀態(tài)表下發(fā)單元,用于將所述業(yè)務特征狀態(tài)表生成單元生成的業(yè)務特征狀態(tài)表 下發(fā)給所述轉發(fā)引擎模塊。
      10. 如權利要求9所述的網絡設備,其特征在于,所述業(yè)務處理模塊還包括 業(yè)務特征狀態(tài)表更新單元,用于根據配置命令更新所述業(yè)務特征狀態(tài)表,并通知所述業(yè)務特征狀態(tài)表下發(fā)單元下發(fā)更新后的業(yè)務特征狀態(tài)表。
      全文摘要
      本發(fā)明公開了一種防范無效報文攻擊的方法和網絡設備,屬于通信領域。所述方法包括網絡設備的轉發(fā)引擎層收到報文后,在業(yè)務特征狀態(tài)表中查找所述報文的匹配信息,根據查找的結果判斷所述報文是否有效,如果無效,丟棄所述報文。所述網絡設備包括轉發(fā)引擎模塊。本發(fā)明的轉發(fā)引擎層通過業(yè)務特征狀態(tài)表判斷報文是否有效,根據判斷提前丟棄無效報文,防范了無效報文對設備帶寬的浪費,提高了設備防攻擊的性能和安全性能。
      文檔編號H04L12/56GK101102183SQ20071013756
      公開日2008年1月9日 申請日期2007年8月8日 優(yōu)先權日2007年8月8日
      發(fā)明者趙志旺 申請人:華為技術有限公司
      網友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1