一種交換機(jī)cpu的二級(jí)保護(hù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)環(huán)境保護(hù)領(lǐng)域�,尤其涉及一種交換機(jī)CPU的二級(jí)保護(hù)方法���。
【背景技術(shù)】
[0002]在網(wǎng)絡(luò)環(huán)境中�����,由于網(wǎng)絡(luò)攻擊者的存在����,交換機(jī)CPU需要處理大量數(shù)據(jù)流,這會(huì)造成交換機(jī)CPU的鏈路擁塞����,資源耗盡,從而無(wú)法正常工作����。同時(shí)在交換機(jī)所處的網(wǎng)絡(luò)環(huán)境中,主要攻擊手段是對(duì)CPU的流量沖擊�,因?yàn)榻粨Q機(jī)的CPU是用來(lái)接收協(xié)議報(bào)文并處理協(xié)議狀態(tài)機(jī)以及處理用戶配置的,相對(duì)于PC和手機(jī)的CPU來(lái)說(shuō)性能有限���,短時(shí)間大量的報(bào)文攻擊CPU會(huì)使得其他協(xié)議和數(shù)據(jù)報(bào)文的接收,造成交換機(jī)所處的網(wǎng)絡(luò)癱瘓��。
【發(fā)明內(nèi)容】
[0003]針對(duì)現(xiàn)有技術(shù)中網(wǎng)絡(luò)環(huán)境的保護(hù)不足��,本發(fā)明提供了一種交換機(jī)CPU的二級(jí)保護(hù)方法����,增加交換機(jī)的保護(hù)機(jī)制�,以保護(hù)交換機(jī)所處的網(wǎng)絡(luò)安全����。
[0004]本發(fā)明采用如下技術(shù)方案:
[0005]—種交換機(jī)CPU的二級(jí)保護(hù)方法,所述方法包括:通過(guò)硬件收包隊(duì)列與軟件收包隊(duì)列的二級(jí)保護(hù)方法�����,以阻止攻擊流量�����,其中����,
[0006]所述交換機(jī)對(duì)接收的部分報(bào)文進(jìn)行硬件收包處理,以對(duì)所述交換機(jī)的CPU進(jìn)行硬件保護(hù)�����;
[0007]對(duì)硬件收包處理后的報(bào)文進(jìn)行軟件收包處理����,以對(duì)所述交換機(jī)的CPU進(jìn)行軟件保護(hù)�����。
[0008]優(yōu)選的�,所述方法具體包括:
[0009]對(duì)硬件收包處理后�,所述CPU報(bào)文進(jìn)入所述軟件收包隊(duì)列,所述軟件收包隊(duì)列根據(jù)所述CPU報(bào)文的特征發(fā)送至不同的協(xié)議模塊處理�,進(jìn)行軟件防護(hù)。
[0010]優(yōu)選的���,所述硬件包括:交換芯片�,所述交換芯片包括硬件收包隊(duì)列�。
[0011]優(yōu)選的,所述硬件保護(hù)采用預(yù)先設(shè)置的硬件訪問(wèn)控制列表規(guī)則對(duì)所述CPU報(bào)文進(jìn)行過(guò)濾�。
[0012]優(yōu)選的,所述軟件防護(hù)通過(guò)分析報(bào)文速率對(duì)所述CPU報(bào)文進(jìn)行過(guò)濾�。
[0013]優(yōu)選的,所述硬件收包隊(duì)列包括:MSTP報(bào)文�����、ARP報(bào)文��、DHCP報(bào)文�、IGMP報(bào)文。
[0014]優(yōu)選的����,所述硬件收包隊(duì)列還包括:IPMC報(bào)文、L3DstMiss報(bào)文��、廣播報(bào)文����。
[0015]優(yōu)選的,所述硬件收包隊(duì)列中的每個(gè)隊(duì)列的速率小于200PPS����。
[0016]優(yōu)選的,所述硬件收包隊(duì)列的隊(duì)列總速率小于1000PPS�。
[0017]優(yōu)選的,所述軟件收包隊(duì)列包括多個(gè)協(xié)議模塊�����。
[0018]優(yōu)選的��,各個(gè)所述協(xié)議模塊的總速率小于1000PPS��。
[0019]本發(fā)明的有益效果是:
[0020]在交換機(jī)中采用硬件收包隊(duì)列和軟件收包隊(duì)列相結(jié)合的二級(jí)保護(hù)策略提供一種網(wǎng)絡(luò)攻擊CPU的防護(hù)方法交換機(jī)的端口接收各種報(bào)文��,其中需要上送CPU的報(bào)文送至硬件收包隊(duì)列中;硬件收包完成后���,進(jìn)入軟件收包隊(duì)列�����,軟件根據(jù)報(bào)文特征把報(bào)文送至不同的協(xié)議模塊處理����。本發(fā)明運(yùn)用硬件收包隊(duì)列以及軟件收包隊(duì)列的二級(jí)保護(hù)機(jī)制最大限度的阻止攻擊流量�����,保護(hù)交換機(jī)所處的網(wǎng)絡(luò)安全���,對(duì)CPU的二級(jí)保護(hù)機(jī)制解決單一性的問(wèn)題���。
【附圖說(shuō)明】
[0021]圖1為本發(fā)明一種交換機(jī)CPU的二級(jí)保護(hù)方法的方法示意圖;
[0022]圖2為本發(fā)明一種交換機(jī)CPU的二級(jí)保護(hù)方法硬件收包隊(duì)列的結(jié)構(gòu)示意圖����;
[0023]圖3為本發(fā)明一種交換機(jī)CPU的二級(jí)保護(hù)方法中軟件收包隊(duì)列的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0024]需要說(shuō)明的是�����,在不沖突的情況下��,下述技術(shù)方案�,技術(shù)特征之間可以相互組合。
[0025]下面結(jié)合附圖對(duì)本發(fā)明的【具體實(shí)施方式】作進(jìn)一步的說(shuō)明:
[0026]本實(shí)施例主要采用的CPU抗攻擊包括:硬件和軟件的防護(hù)方法兩種類型����。對(duì)于硬件防護(hù)方法,一般是采用預(yù)先設(shè)置硬件訪問(wèn)控制列表(ACL��,Access Control List)規(guī)則來(lái)對(duì)報(bào)文進(jìn)行過(guò)濾��;對(duì)于軟件防護(hù)方法�����,主要是分析報(bào)文速率進(jìn)行過(guò)濾��,如果只采用上述中的一種防護(hù)方式需要消耗硬件資源�,同時(shí)單一防護(hù)模式也不能夠起到較好的防護(hù)效果,本實(shí)施例中����,主要在于解決在復(fù)雜的網(wǎng)絡(luò)環(huán)境中和有惡意流量攻擊的環(huán)境中交換機(jī)的CPU (Central Processing Unit�����,中央處理器)性能問(wèn)題�,通過(guò)硬件和軟件相結(jié)合的方式實(shí)現(xiàn)對(duì)CPU的二級(jí)保護(hù)機(jī)制��。本實(shí)施例旨在交換機(jī)中采用硬件收包隊(duì)列和軟件收包隊(duì)列相結(jié)合的二級(jí)保護(hù)機(jī)制提供一種網(wǎng)絡(luò)攻擊CPU的防護(hù)方法���,訪問(wèn)控制列表簡(jiǎn)即為ACL�,訪問(wèn)控制列表使用包過(guò)濾技術(shù)����,在路由器上讀取第三層及第四層包頭中的信息如源地址,目的地址�����,源端口��,目的端口等����,根據(jù)預(yù)先定義好的規(guī)則進(jìn)行過(guò)濾,從而達(dá)到訪問(wèn)控制的目的。
[0027]圖1為本發(fā)明一種交換機(jī)CPU的二級(jí)保護(hù)方法的方法示意圖�����,如圖1所示���,本實(shí)施例中,主要包括兩級(jí)保護(hù)機(jī)制���,兩級(jí)保護(hù)機(jī)制分別是硬件收包隊(duì)列����、軟件收包隊(duì)列�����,在第一級(jí)保護(hù)機(jī)制����,硬件收包隊(duì)列中,可以對(duì)設(shè)置ACL規(guī)則的端口�����,啟動(dòng)采樣機(jī)制��,進(jìn)而對(duì)該端口按一定間隔進(jìn)行采樣,并將采樣得到的報(bào)文特征與報(bào)文模板中存儲(chǔ)的報(bào)文特征進(jìn)行比較����。本實(shí)施例中的采樣功能可以對(duì)ACL規(guī)則限制的異常報(bào)文進(jìn)行采樣,且可以將采樣報(bào)文劃分為一個(gè)單獨(dú)的硬件隊(duì)列���,防止影響其他硬件隊(duì)列的報(bào)文的正常接收���。由于使用的是采樣機(jī)制,不會(huì)占用過(guò)多CPU資源��,保證了 CPU對(duì)其他報(bào)文的正常處理����。
[0028]對(duì)于硬件預(yù)先設(shè)置ACL規(guī)則的方法,以交換機(jī)為例��,在交換機(jī)正常工作時(shí)��,利用一些ACL的規(guī)則����,對(duì)報(bào)文自動(dòng)分析和防御CPU攻擊的能力,可以自動(dòng)完成對(duì)芯片的設(shè)置,或是在使用者干預(yù)下完成芯片地設(shè)置�����。
[0029]圖2為本發(fā)明一種交換機(jī)CPU的二級(jí)保護(hù)方法硬件收包隊(duì)列的結(jié)構(gòu)示意圖����,如圖2所示,本實(shí)施例中�����,硬件收包隊(duì)列工作在交換芯片內(nèi)部��,低檔的交換芯片有4個(gè)硬件收包隊(duì)列�,大多數(shù)交換芯片是8個(gè)硬件收包隊(duì)列����,本實(shí)施例以8個(gè)硬件收包隊(duì)列為例說(shuō)明,每個(gè)隊(duì)列限速200PPS (Packets Per Second�����,數(shù)據(jù)包每秒)���,所有隊(duì)列加起來(lái)最大1000PPS�����,隊(duì)列調(diào)度算法可靈活配置�。
[0030]圖3為本發(fā)明一種交換機(jī)CPU的二級(jí)保護(hù)方法中軟件收包隊(duì)列的結(jié)構(gòu)示意圖,如圖3所示����,第二級(jí)保護(hù)機(jī)制為軟件收包隊(duì)列,軟件收包隊(duì)列采用軟件限制報(bào)文速率的方法��,使用軟件對(duì)報(bào)文特征進(jìn)行分析��,對(duì)超速率的報(bào)文進(jìn)行限速�����。但在受到大流量報(bào)文攻擊的時(shí)候����,軟件限制報(bào)文速率的方法需要對(duì)CPU接收到的所有報(bào)文進(jìn)行分析,以阻止攻擊流量���。在硬件收包隊(duì)列后通過(guò)軟件的保護(hù)方法進(jìn)行速率的過(guò)濾�����,可以有效的避免與攻擊報(bào)文在同一個(gè)硬件接收隊(duì)列的其他業(yè)務(wù)報(bào)文被攻擊報(bào)文淹沒(méi)的情形�,導(dǎo)致軟件分析的效率低這種情況。它傳輸時(shí)延小����,可避免某些大數(shù)據(jù)引起的阻塞,有更高的傳輸效率和可靠性����,有更高的重發(fā)效率,具有更好的安全性����。
[0031]本實(shí)施例中�����,通過(guò)硬件收包隊(duì)列上送CPU的包���,需要經(jīng)過(guò)第二級(jí)保護(hù)機(jī)制軟件收包隊(duì)列���,該隊(duì)列主要功能根據(jù)報(bào)文的特征細(xì)分各種協(xié)議包(協(xié)議模塊)�����,對(duì)每種協(xié)議包進(jìn)行分析處理�����,總的隊(duì)列可以是1000PPS���,即限制流量的傳輸速度,以防止大流量攻擊�����。
[0032]綜上所述��,本發(fā)明的關(guān)鍵點(diǎn)和欲保護(hù)點(diǎn)是通過(guò)硬件收包隊(duì)列和軟件收包隊(duì)列的報(bào)文分類以及兩種隊(duì)列結(jié)合起來(lái)的對(duì)CPU形成的二級(jí)保護(hù)機(jī)制����。
[0033]通過(guò)說(shuō)明和附圖,給出了【具體實(shí)施方式】的特定結(jié)構(gòu)的典型實(shí)施例�����,基于本發(fā)明精神�����,還可作其他的轉(zhuǎn)換。盡管上述發(fā)明提出了現(xiàn)有的較佳實(shí)施例�,然而,這些內(nèi)容并不作為局限��。
[0034]對(duì)于本領(lǐng)域的技術(shù)人員而言���,閱讀上述說(shuō)明后�����,各種變化和修正無(wú)疑將顯而易見(jiàn)�。因此���,所附的權(quán)利要求書(shū)應(yīng)看作是涵蓋本發(fā)明的真實(shí)意圖和范圍的全部變化和修正���。在權(quán)利要求書(shū)范圍內(nèi)任何和所有等價(jià)的范圍與內(nèi)容���,都應(yīng)認(rèn)為仍屬本發(fā)明的意圖和范圍內(nèi)�。
【主權(quán)項(xiàng)】
1.一種交換機(jī)CPU的二級(jí)保護(hù)方法�,其特征在于��,所述方法包括: 所述交換機(jī)對(duì)接收的部分報(bào)文進(jìn)行硬件收包處理�����,以對(duì)所述交換機(jī)的CPU進(jìn)行硬件保護(hù)��; 對(duì)硬件收包處理后的報(bào)文進(jìn)行軟件收包處理�����,以對(duì)所述交換機(jī)的CPU進(jìn)行軟件保護(hù)�。2.根據(jù)權(quán)利要求1所述的交換機(jī)CPU的二級(jí)保護(hù)方法�,其特征在于,所述方法中: 對(duì)硬件收包處理后�,所述CPU報(bào)文進(jìn)入所述軟件收包隊(duì)列,所述軟件收包隊(duì)列根據(jù)所述CPU報(bào)文的特征發(fā)送至不同的協(xié)議模塊處理�����,進(jìn)行軟件防護(hù)����。3.根據(jù)權(quán)利要求1所述的交換機(jī)CPU的二級(jí)保護(hù)方法,其特征在于�,所述硬件包括:交換芯片����,所述交換芯片包括硬件收包隊(duì)列����。4.根據(jù)權(quán)利要求2所述的交換機(jī)CPU的二級(jí)保護(hù)方法,其特征在于���,所述硬件保護(hù)采用預(yù)先設(shè)置的硬件訪問(wèn)控制列表規(guī)則對(duì)所述CPU報(bào)文進(jìn)行過(guò)濾�。5.根據(jù)權(quán)利要求2所述的交換機(jī)CPU的二級(jí)保護(hù)方法�����,其特征在于���,所述軟件防護(hù)通過(guò)分析報(bào)文速率對(duì)所述CPU報(bào)文進(jìn)行過(guò)濾���。6.根據(jù)權(quán)利要求1所述的交換機(jī)CPU的二級(jí)保護(hù)方法,其特征在于��,所述硬件收包隊(duì)列包括:MSTP報(bào)文���、ARP報(bào)文�����、DHCP報(bào)文�、IGMP報(bào)文��。7.根據(jù)權(quán)利要求6所述的交換機(jī)CPU的二級(jí)保護(hù)方法�,其特征在于,所述硬件收包隊(duì)列還包括:IPMC報(bào)文��、L3DstMiss報(bào)文���、廣播報(bào)文�����。8.根據(jù)權(quán)利要求6或7任意一個(gè)所述的交換機(jī)CPU的二級(jí)保護(hù)方法���,其特征在于,所述硬件收包隊(duì)列中的每個(gè)隊(duì)列的速率小于200PPS��。9.根據(jù)權(quán)利要求6或7所述的交換機(jī)CPU的二級(jí)保護(hù)方法�����,其特征在于,所述硬件收包隊(duì)列的隊(duì)列總速率小于1000PPS���。10.根據(jù)權(quán)利要求1所述的交換機(jī)CPU的二級(jí)保護(hù)方法����,其特征在于����,所述軟件收包隊(duì)列包括多個(gè)協(xié)議模塊。11.根據(jù)權(quán)利要求10所述的交換機(jī)CPU的二級(jí)保護(hù)方法�,其特征在于,各個(gè)所述協(xié)議模塊的總速率小于1000PPS�����。
【專利摘要】本發(fā)明涉及網(wǎng)絡(luò)環(huán)境保護(hù)領(lǐng)域�,尤其涉及一種交換機(jī)CPU的二級(jí)保護(hù)方法。一種交換機(jī)CPU的二級(jí)保護(hù)方法���,方法包括:通過(guò)硬件收包隊(duì)列與軟件收包隊(duì)列的二級(jí)保護(hù)方法����,以阻止攻擊流量,其中�����,交換機(jī)對(duì)接收的部分報(bào)文進(jìn)行硬件收包處理��,以對(duì)交換機(jī)的CPU進(jìn)行硬件保護(hù)�;對(duì)硬件收包處理后的報(bào)文進(jìn)行軟件收包處理����,以對(duì)交換機(jī)的CPU進(jìn)行軟件保護(hù)。本發(fā)明運(yùn)用硬件收包隊(duì)列以及軟件收包隊(duì)列的二級(jí)保護(hù)機(jī)制最大限度的阻止攻擊流量����,保護(hù)交換機(jī)所處的網(wǎng)絡(luò)安全,對(duì)CPU的二級(jí)保護(hù)機(jī)制解決單一性的問(wèn)題�����。
【IPC分類】H04L12/933, H04L29/06
【公開(kāi)號(hào)】CN105357184
【申請(qǐng)?zhí)枴緾N201510646617
【發(fā)明人】黃小飛
【申請(qǐng)人】上海斐訊數(shù)據(jù)通信技術(shù)有限公司
【公開(kāi)日】2016年2月24日
【申請(qǐng)日】2015年10月8日