一種交換機cpu的二級保護方法
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡環(huán)境保護領域,尤其涉及一種交換機CPU的二級保護方法�。
【背景技術】
[0002]在網(wǎng)絡環(huán)境中,由于網(wǎng)絡攻擊者的存在��,交換機CPU需要處理大量數(shù)據(jù)流,這會造成交換機CPU的鏈路擁塞���,資源耗盡�,從而無法正常工作�。同時在交換機所處的網(wǎng)絡環(huán)境中,主要攻擊手段是對CPU的流量沖擊���,因為交換機的CPU是用來接收協(xié)議報文并處理協(xié)議狀態(tài)機以及處理用戶配置的��,相對于PC和手機的CPU來說性能有限����,短時間大量的報文攻擊CPU會使得其他協(xié)議和數(shù)據(jù)報文的接收�����,造成交換機所處的網(wǎng)絡癱瘓����。
【發(fā)明內(nèi)容】
[0003]針對現(xiàn)有技術中網(wǎng)絡環(huán)境的保護不足,本發(fā)明提供了一種交換機CPU的二級保護方法��,增加交換機的保護機制���,以保護交換機所處的網(wǎng)絡安全��。
[0004]本發(fā)明采用如下技術方案:
[0005]—種交換機CPU的二級保護方法����,所述方法包括:通過硬件收包隊列與軟件收包隊列的二級保護方法,以阻止攻擊流量�����,其中�����,
[0006]所述交換機對接收的部分報文進行硬件收包處理��,以對所述交換機的CPU進行硬件保護����;
[0007]對硬件收包處理后的報文進行軟件收包處理���,以對所述交換機的CPU進行軟件保護�。
[0008]優(yōu)選的�,所述方法具體包括:
[0009]對硬件收包處理后��,所述CPU報文進入所述軟件收包隊列��,所述軟件收包隊列根據(jù)所述CPU報文的特征發(fā)送至不同的協(xié)議模塊處理�����,進行軟件防護���。
[0010]優(yōu)選的,所述硬件包括:交換芯片�����,所述交換芯片包括硬件收包隊列���。
[0011]優(yōu)選的�����,所述硬件保護采用預先設置的硬件訪問控制列表規(guī)則對所述CPU報文進行過濾����。
[0012]優(yōu)選的,所述軟件防護通過分析報文速率對所述CPU報文進行過濾��。
[0013]優(yōu)選的�����,所述硬件收包隊列包括:MSTP報文����、ARP報文、DHCP報文�、IGMP報文。
[0014]優(yōu)選的����,所述硬件收包隊列還包括:IPMC報文、L3DstMiss報文�����、廣播報文�。
[0015]優(yōu)選的��,所述硬件收包隊列中的每個隊列的速率小于200PPS�����。
[0016]優(yōu)選的,所述硬件收包隊列的隊列總速率小于1000PPS�。
[0017]優(yōu)選的,所述軟件收包隊列包括多個協(xié)議模塊���。
[0018]優(yōu)選的����,各個所述協(xié)議模塊的總速率小于1000PPS�����。
[0019]本發(fā)明的有益效果是:
[0020]在交換機中采用硬件收包隊列和軟件收包隊列相結(jié)合的二級保護策略提供一種網(wǎng)絡攻擊CPU的防護方法交換機的端口接收各種報文����,其中需要上送CPU的報文送至硬件收包隊列中;硬件收包完成后���,進入軟件收包隊列�,軟件根據(jù)報文特征把報文送至不同的協(xié)議模塊處理��。本發(fā)明運用硬件收包隊列以及軟件收包隊列的二級保護機制最大限度的阻止攻擊流量����,保護交換機所處的網(wǎng)絡安全����,對CPU的二級保護機制解決單一性的問題�。
【附圖說明】
[0021]圖1為本發(fā)明一種交換機CPU的二級保護方法的方法示意圖;
[0022]圖2為本發(fā)明一種交換機CPU的二級保護方法硬件收包隊列的結(jié)構(gòu)示意圖����;
[0023]圖3為本發(fā)明一種交換機CPU的二級保護方法中軟件收包隊列的結(jié)構(gòu)示意圖。
【具體實施方式】
[0024]需要說明的是�,在不沖突的情況下,下述技術方案��,技術特征之間可以相互組合��。
[0025]下面結(jié)合附圖對本發(fā)明的【具體實施方式】作進一步的說明:
[0026]本實施例主要采用的CPU抗攻擊包括:硬件和軟件的防護方法兩種類型��。對于硬件防護方法�,一般是采用預先設置硬件訪問控制列表(ACL,Access Control List)規(guī)則來對報文進行過濾�����;對于軟件防護方法��,主要是分析報文速率進行過濾�����,如果只采用上述中的一種防護方式需要消耗硬件資源�����,同時單一防護模式也不能夠起到較好的防護效果����,本實施例中,主要在于解決在復雜的網(wǎng)絡環(huán)境中和有惡意流量攻擊的環(huán)境中交換機的CPU (Central Processing Unit��,中央處理器)性能問題��,通過硬件和軟件相結(jié)合的方式實現(xiàn)對CPU的二級保護機制���。本實施例旨在交換機中采用硬件收包隊列和軟件收包隊列相結(jié)合的二級保護機制提供一種網(wǎng)絡攻擊CPU的防護方法�����,訪問控制列表簡即為ACL���,訪問控制列表使用包過濾技術��,在路由器上讀取第三層及第四層包頭中的信息如源地址��,目的地址���,源端口,目的端口等��,根據(jù)預先定義好的規(guī)則進行過濾�����,從而達到訪問控制的目的�����。
[0027]圖1為本發(fā)明一種交換機CPU的二級保護方法的方法示意圖���,如圖1所示����,本實施例中����,主要包括兩級保護機制��,兩級保護機制分別是硬件收包隊列����、軟件收包隊列����,在第一級保護機制��,硬件收包隊列中�,可以對設置ACL規(guī)則的端口,啟動采樣機制���,進而對該端口按一定間隔進行采樣�����,并將采樣得到的報文特征與報文模板中存儲的報文特征進行比較�����。本實施例中的采樣功能可以對ACL規(guī)則限制的異常報文進行采樣��,且可以將采樣報文劃分為一個單獨的硬件隊列��,防止影響其他硬件隊列的報文的正常接收��。由于使用的是采樣機制�����,不會占用過多CPU資源��,保證了 CPU對其他報文的正常處理�。
[0028]對于硬件預先設置ACL規(guī)則的方法,以交換機為例�,在交換機正常工作時,利用一些ACL的規(guī)則����,對報文自動分析和防御CPU攻擊的能力,可以自動完成對芯片的設置����,或是在使用者干預下完成芯片地設置。
[0029]圖2為本發(fā)明一種交換機CPU的二級保護方法硬件收包隊列的結(jié)構(gòu)示意圖��,如圖2所示���,本實施例中���,硬件收包隊列工作在交換芯片內(nèi)部�����,低檔的交換芯片有4個硬件收包隊列���,大多數(shù)交換芯片是8個硬件收包隊列���,本實施例以8個硬件收包隊列為例說明�,每個隊列限速200PPS (Packets Per Second���,數(shù)據(jù)包每秒)����,所有隊列加起來最大1000PPS����,隊列調(diào)度算法可靈活配置。
[0030]圖3為本發(fā)明一種交換機CPU的二級保護方法中軟件收包隊列的結(jié)構(gòu)示意圖�����,如圖3所示,第二級保護機制為軟件收包隊列�����,軟件收包隊列采用軟件限制報文速率的方法�,使用軟件對報文特征進行分析,對超速率的報文進行限速�。但在受到大流量報文攻擊的時候,軟件限制報文速率的方法需要對CPU接收到的所有報文進行分析��,以阻止攻擊流量��。在硬件收包隊列后通過軟件的保護方法進行速率的過濾����,可以有效的避免與攻擊報文在同一個硬件接收隊列的其他業(yè)務報文被攻擊報文淹沒的情形,導致軟件分析的效率低這種情況����。它傳輸時延小,可避免某些大數(shù)據(jù)引起的阻塞��,有更高的傳輸效率和可靠性�,有更高的重發(fā)效率,具有更好的安全性。
[0031]本實施例中��,通過硬件收包隊列上送CPU的包�����,需要經(jīng)過第二級保護機制軟件收包隊列����,該隊列主要功能根據(jù)報文的特征細分各種協(xié)議包(協(xié)議模塊),對每種協(xié)議包進行分析處理�,總的隊列可以是1000PPS,即限制流量的傳輸速度����,以防止大流量攻擊���。
[0032]綜上所述�����,本發(fā)明的關鍵點和欲保護點是通過硬件收包隊列和軟件收包隊列的報文分類以及兩種隊列結(jié)合起來的對CPU形成的二級保護機制����。
[0033]通過說明和附圖,給出了【具體實施方式】的特定結(jié)構(gòu)的典型實施例��,基于本發(fā)明精神�����,還可作其他的轉(zhuǎn)換��。盡管上述發(fā)明提出了現(xiàn)有的較佳實施例�,然而,這些內(nèi)容并不作為局限��。
[0034]對于本領域的技術人員而言�,閱讀上述說明后,各種變化和修正無疑將顯而易見�。因此,所附的權(quán)利要求書應看作是涵蓋本發(fā)明的真實意圖和范圍的全部變化和修正���。在權(quán)利要求書范圍內(nèi)任何和所有等價的范圍與內(nèi)容����,都應認為仍屬本發(fā)明的意圖和范圍內(nèi)����。
【主權(quán)項】
1.一種交換機CPU的二級保護方法�����,其特征在于�,所述方法包括: 所述交換機對接收的部分報文進行硬件收包處理���,以對所述交換機的CPU進行硬件保護��; 對硬件收包處理后的報文進行軟件收包處理�,以對所述交換機的CPU進行軟件保護���。2.根據(jù)權(quán)利要求1所述的交換機CPU的二級保護方法�,其特征在于����,所述方法中: 對硬件收包處理后�,所述CPU報文進入所述軟件收包隊列,所述軟件收包隊列根據(jù)所述CPU報文的特征發(fā)送至不同的協(xié)議模塊處理���,進行軟件防護����。3.根據(jù)權(quán)利要求1所述的交換機CPU的二級保護方法,其特征在于��,所述硬件包括:交換芯片��,所述交換芯片包括硬件收包隊列���。4.根據(jù)權(quán)利要求2所述的交換機CPU的二級保護方法�����,其特征在于���,所述硬件保護采用預先設置的硬件訪問控制列表規(guī)則對所述CPU報文進行過濾。5.根據(jù)權(quán)利要求2所述的交換機CPU的二級保護方法���,其特征在于��,所述軟件防護通過分析報文速率對所述CPU報文進行過濾�����。6.根據(jù)權(quán)利要求1所述的交換機CPU的二級保護方法�,其特征在于���,所述硬件收包隊列包括:MSTP報文���、ARP報文����、DHCP報文�、IGMP報文。7.根據(jù)權(quán)利要求6所述的交換機CPU的二級保護方法�����,其特征在于�,所述硬件收包隊列還包括:IPMC報文、L3DstMiss報文�����、廣播報文�����。8.根據(jù)權(quán)利要求6或7任意一個所述的交換機CPU的二級保護方法�,其特征在于�,所述硬件收包隊列中的每個隊列的速率小于200PPS���。9.根據(jù)權(quán)利要求6或7所述的交換機CPU的二級保護方法,其特征在于����,所述硬件收包隊列的隊列總速率小于1000PPS。10.根據(jù)權(quán)利要求1所述的交換機CPU的二級保護方法����,其特征在于,所述軟件收包隊列包括多個協(xié)議模塊�。11.根據(jù)權(quán)利要求10所述的交換機CPU的二級保護方法,其特征在于�,各個所述協(xié)議模塊的總速率小于1000PPS。
【專利摘要】本發(fā)明涉及網(wǎng)絡環(huán)境保護領域��,尤其涉及一種交換機CPU的二級保護方法���。一種交換機CPU的二級保護方法�,方法包括:通過硬件收包隊列與軟件收包隊列的二級保護方法����,以阻止攻擊流量,其中����,交換機對接收的部分報文進行硬件收包處理�,以對交換機的CPU進行硬件保護�;對硬件收包處理后的報文進行軟件收包處理,以對交換機的CPU進行軟件保護��。本發(fā)明運用硬件收包隊列以及軟件收包隊列的二級保護機制最大限度的阻止攻擊流量��,保護交換機所處的網(wǎng)絡安全���,對CPU的二級保護機制解決單一性的問題����。
【IPC分類】H04L12/933, H04L29/06
【公開號】CN105357184
【申請?zhí)枴緾N201510646617
【發(fā)明人】黃小飛
【申請人】上海斐訊數(shù)據(jù)通信技術有限公司
【公開日】2016年2月24日
【申請日】2015年10月8日