专利名称:一种对交换路由设备中央处理器进行安全保护的方法
技术领域:
本发明属于计算机网络通信技术领域,具体涉及一种通过对协议报文的处理来对交换路 由设备中央处理器进行安全保护的方法。
背景技术:
随着网络技术的高速发展,网络的结构和层次越来越复杂,在网络中传输的报文信息流 也越来越密集,这就需要对网络设备进行更加严格的保护,如果网络交换路由设备出现问题 可能就会导致整个网络服务的异常。
现有的中高端网络交换路由设备基本都采用硬件转发底层与CPU (中央处理单元)软件 上层相结合的架构。设备的CPU基本上不参与交换和路由过程,主要完成管理控制和维护交
换芯片的功能,主要处理各种协议报文、中断、消息,响应命令行命令,对系统的任务调度 和维护,对硬件转发芯片和外围设备的维护等等,这样在网络流量大,运行的协议特性较多
时CPU就经常处于高负荷的状态,从而出现响应慢,协议报文丢失等一系列问题。报文对网 络设备的攻击主要就是对CPU软件层面的攻击,因此如何对CPU进行保护,有效利用CPU资
源是网络设备需要解决的重要问题。
目前对CPU保护,优化CPU资源利用率主要是通过控制CPU接收报文来实现的,现有技
术主要有
一、 采用CPU流控技术,控制硬件向软件平面上交报文的绝对速率,保证CPU不会因为
过载而完全瘫痪。但在异常数据流量较大的情况下,异常报文会抢占上交软件平面的通道带
宽,消耗有限的CPU资源而使正常报文被大量丢弃,最终导致网络设备的响应速度大大降低,
正常用户的服务无法得到保证。
二、 采用流分类的方法来控制报文流量,该方法是设置ACL表(访问控制列表),通过将 数据报文中的一些关键字段和ACL定义的规则进行匹配,根据规则将报文按照ACL对应的动 作进行处理。要支持较多的协议特性需要添加较多的ACL表项,这对硬件流分类资源占用太
大,而且这种方法不能有效防止伪造合法数据报文格式进行攻击的情况,如正常的ARP (地 址解析协议)报文,这些报文的格式内容虽然正常,但在异常大流量的情况下也会导致设备 异常。
由上分析可知,现有的技术还不能完全有效的充分利用CPU资源,在系统遭受黑客攻击 时还不能有效的对CPU进行保护。
发明内容
本发明的目的在于克服现有技术的不足,提供一种对交换路由设备中央处理器进行安全 保护的方法。该方法通过对硬件上送的已经经过限速处理的报文再进行过滤和监控处理,降 低可能存在的非法报文对设备的影响,预防可能存在的网络攻击,从而提高CPU资源的有效 利用率,并在系统受到报文攻击时对CPU起到保护作用。
为解决上述技术问题,本发明是通过以下技术方案实现的 一种对交换路由设备中央处理器进行安全保护的方法,包括如下步骤 对硬件上送经过限速处理后的报文进行过滤;
对过滤处理后的报文进行监控,上送经监控处理后通过的报文给中央处理器。 进一步地,所述过滤的步骤如下
预先设定不合理报文的条件,对不合理报文进行分类,每一类为一个阶段; 对每个阶段的报文进行筛选。
进一步地,所述对每个阶段的报文进行筛选的步骤如下
A、 根据报文头部的信息对该阶段的报文进行预过滤;
B、 不符合预先设定条件的报文,预过滤通过,执行步骤D;否则,预过滤未通过,执行 步骤C;
C、 预先设定过滤规则,按照过滤规则对预过滤未通过的报文进行过滤,不符合过滤规则 的报文,过滤通过,执行步骤D;否则,过滤未通过,丢弃过滤未通过的报文;
D、 判断接下来是否还有下一阶段过滤,若有,则执行步骤A进行下一阶段的操作;否则, 过滤过程结束。
所述信息包括地址、类型等信息中至少一种。 进一步地,所述监控的步骤如下-
E、 对每一类的报文预先设定匹配规则,解析过滤处理后的报文并根据匹配规则进行匹配;
F、 若匹配成功,则根据报文是否有用户配置的丢弃标识进行判断,若有,则对报文进行 丢弃,否则,对报文上送端口的该类报文数量增加计数,执行步骤G;若匹配不成功,则对 报文进行上送;
G、 通过令牌桶方法对报文进行限速,在报文到来时判断令牌桶中是否有剩余令牌,若有, 对报文进行上送;否则,对报文进行丢弃。
在步骤F中还可以包括步骤
设置定时器检测每个端口每一类报文的数量; . 判断报文数量是否超过设定的阈值,若超过,则发出告警信息;否则,更新端口报文数 量的计数。
使用本发明的对交换路由设备中央处理器进行安全保护的方法具有以下有益效果 本发明通过对硬件上送的已经经过限速处理的报文再进行过滤和监控处理,降低了可能
存在的非法报文对设备的影响,预防了可能存在的网络攻击,从而提高了 CPU资源的有效利
用率,并在系统受到报文攻击时对CPU起到保护作用。
图l是本发明的报文处理流程图; 图2是本发明的报文过滤整体结构图; 图3是本发明的报文某一阶段的过滤流程图; 图4是本发明的报文监控处理过程流程图。
具体实施例方式
为了更好地理解本发明,下面结合附图和具体实施例对本发明作进一步地描述。 请参阅图1,为了更好的预防报文攻击和CPU保护,本发明是对硬件上送的经过限速处
理后的报文进行过滤和监控,对通过的报文再上送给CPU。
请参阅图2,本发明把不合理报文分为几大类,每一类为一个阶段,每个阶段进行预过
滤和过滤两过程,提高了过滤的效率。本发明通过报文过滤可以把一些不合理的报文筛选出
来并丢弃。
请参阅图3,某一个阶段报文过滤过程如下
步骤31,报文进行某一阶段的预过滤,根据报文头部的地址、类型等信息筛选出这一类 的特定类型的报文;
步骤32,判断报文是否通过预过滤,通过执行步骤36,否则执行步骤33;这时满足某 一类特定类型条件的报文会被过滤出,而其余报文会通过;
步骤33,按照预先设定的过滤规则对预过滤出来的报文进行过滤; 歩骤34,判断报文是否通过过滤,通过执行步骤36,否则执行步骤35; 步骤35,对过滤出的报文丢弃;
步骤36,判断接下来是否还有下一阶段过滤,有的话执行步骤31进行下一阶段的过滤 过程,否则执行步骤37;
步骤37,过滤过程结束,通过的报文进行下一步处理。
除了对报文进行过滤外,还要对报文进行监控,以保证CPU资源合理利用。报文监控就 是对某个特定端口的特定报文数量进行监控, 一旦超过了给定的阈值就发出告警信息,并对 此报文进行限速或者丢弃。
请参阅图4,报文监控处理过程如下
步骤41,对每一类的报文预先设定匹配规则,解析过滤处理后的报文并根据匹配规则进 行匹配;
步骤42,判断报文是否匹配上,匹配成功则执行步骤44,不成功则执行步骤43; 步骤43,对报文进行上送;
步骤44,根据用户配置的丢弃标识进行判断,配置了丢弃标识执行步骤45,否则执行歩 骤46;
步骤45,对报文进行丢弃;
步骤46,对报文上送端口的该类报文数量增加计数;
步骤47,通过令牌桶方法对报文限速,在某一个报文到来时判断令牌桶中是否有剩余令 牌,有则执行步骤49,没有则执行步骤48; 步骤48,对报文进行丢弃; 步骤49,报文上送软件处理;
步骤410,设置一个定时器每间隔一段时间检测下每个端口每一类报文的数量;
步骤411,判断报文数量是否超过设定的阈值,超过则执行步骤413,否则执行步骤412;
步骤412,更新端口报文数量的计数,返回;
步骤413,发出告警信息提醒用户某端口的某类型报文流量过大。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,应当指出,对于本领域的普 通技术人员来说,凡是本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应 包含在本发明的保护范围之内。
权利要求
1.一种对交换路由设备中央处理器进行安全保护的方法,其特征在于,包括如下步骤对硬件上送经过限速处理后的报文进行过滤;对过滤处理后的报文进行监控,上送经监控处理后通过的报文给中央处理器。
2. 根据权利要求1所述的对交换路由设备中央处理器进行安全保护的方法,其特征在于, 所述过滤的步骤如下预先设定不合理报文的条件,对不合理报文进行分类,每一类为一个阶段; 对每个阶段的报文进行筛选。
3. 根据权利要求2所述的对交换路由设备中央处理器进行安全保护的方法,其特征在于, 所述对每个阶段的报文进行筛选的步骤如下A、 根据报文头部的信息对该阶段的报文进行预过滤;B、 不符合预先设定条件的报文,预过滤通过,执行步骤D;否则,预过滤未通过,执行 步骤C;C、 预先设定过滤规则,按照过滤规则对预过滤未通过的报文进行过滤,不符合过滤规则 的报文,过滤通过,执行步骤D;否则,过滤未通过,丢弃过滤未通过的报文;D、 判断接下来是否还有下一阶段过滤,若有,则执行步骤A进行下一阶段的操作;否则, 过滤过程结束。
4. 根据权利要求3所述的对交换路由设备中央处理器进行安全保护的方法,其特征在于, 所述信息包括地址、类型信息中至少一种。
5. 根据权利要求1 4任一项所述的对交换路由设备中央处理器进行安全保护的方法,其特征在于,所述监控的步骤如下E、 对每一类的报文预先设定匹配规则,解析过滤处理后的报文并根据匹配规则进行匹配;F、 若匹配成功,则根据报文是否有用户配置的丢弃标识进行判断,若有,则对报文进行丢弃,否则,对报文上送端口的该类报文数量增加计数,执行步骤G;若匹配不成功,则对 报文进行上送;G、 通过令牌桶方法对报文进行限速,在报文到来时判断令牌桶中是否有剩余令牌,若有, 对报文进行上送;否则,对报文进行丢弃。
6. 根据权利要求5所述的对交换路由设备中央处理器进行安全保护的方法,其特征在于,在步骤F中还包括步骤设置定时器检测每个端口每一类报文的数量;判断报文数量是否超过设定的阈值,若超过,则发出告警信息;否则,更新端口报文数 量的计数。
全文摘要
本发明公开了一种对交换路由设备中央处理器进行安全保护的方法,其包括如下步骤对硬件上送经过限速处理后的报文进行过滤;对过滤处理后的报文进行监控,上送经监控处理后通过的报文给中央处理器。本发明通过对硬件上送的已经经过限速处理的报文再进行过滤和监控处理,降低了可能存在的非法报文对设备的影响,预防了可能存在的网络攻击,从而提高了CPU资源的有效利用率,并在系统受到报文攻击时对CPU起到保护作用。
文档编号H04L12/26GK101355567SQ20081021600
公开日2009年1月28日 申请日期2008年9月3日 优先权日2008年9月3日
发明者芳 秦 申请人:中兴通讯股份有限公司