国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      防止攻擊的網(wǎng)絡(luò)的配置方法、防止攻擊的方法和裝置的制作方法

      文檔序號(hào):7688262閱讀:164來源:國(guó)知局
      專利名稱:防止攻擊的網(wǎng)絡(luò)的配置方法、防止攻擊的方法和裝置的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及通信領(lǐng)域,尤其涉及一種防止攻擊的網(wǎng)絡(luò)的配置方法、防止 攻擊的方法和裝置。
      背景技術(shù)
      ARP (Address Resolution Protocol,地址解析協(xié)議)攻擊是針對(duì)網(wǎng)絡(luò)設(shè)備 的一種常見攻擊形式,具體的攻擊方式有(1)向網(wǎng)關(guān)設(shè)備發(fā)送大量的ARP 請(qǐng)求/應(yīng)答報(bào)文,此攻擊方式會(huì)占用設(shè)備端口帶寬、網(wǎng)關(guān)設(shè)備忙于處理ARP報(bào) 文,占用設(shè)備的CPU資源,引起網(wǎng)絡(luò)能力下降,中斷等故障;(2)向網(wǎng)關(guān)設(shè) 備發(fā)送目的地址連續(xù)變化的掃描報(bào)文,如PING包;此攻擊方式會(huì)引起網(wǎng)關(guān)設(shè) 備產(chǎn)生大量的ARPmiss報(bào)文(表示ARP表項(xiàng)不存在的消息),占用設(shè)備CPU 資源,引起網(wǎng)絡(luò)能力下降、中斷等故障?,F(xiàn)有技術(shù)中,在網(wǎng)絡(luò)設(shè)備上使用訪問控制列表(Access Control List, ACL ) 可以按照源、目的地址過濾進(jìn)入網(wǎng)絡(luò)設(shè)備的報(bào)文。當(dāng)ARP攻擊發(fā)生時(shí),通過 人工干預(yù)識(shí)別出攻擊來源,再按照攻擊報(bào)文的特征配置ACL規(guī)則將攻擊報(bào)文 過濾掉。該方案需要人工干預(yù),難以實(shí)現(xiàn)在攻擊發(fā)生時(shí)自動(dòng)保護(hù);而且攻擊 者變換報(bào)文的源、目的地址后即可避開ACL規(guī)則的過濾。另一種現(xiàn)有技術(shù)是按源、目的地址限制ARP報(bào)文的速率。網(wǎng)絡(luò)管理員按照 網(wǎng)絡(luò)的實(shí)際情況配置一個(gè)合理的ARP報(bào)文的速率上限,當(dāng)某個(gè)源地址或目的 地址的ARP報(bào)文速率超過了設(shè)置的速率上限時(shí)認(rèn)為發(fā)生了ARP攻擊,這時(shí)超過限制速率上限部分的報(bào)文將被丟棄,其他的ARP報(bào)文不受影響。由于此方 案必須要保留所有的ARP報(bào)文的訪問時(shí)間,因此消耗的資源較大,而且在攻 擊者的地址頻繁變化的時(shí)候可能失效。發(fā)明內(nèi)容本發(fā)明的實(shí)施方式提供防止攻擊的網(wǎng)絡(luò)的配置方法、防止攻擊的方法和 裝置,解決目前通信網(wǎng)絡(luò)中防止特定類型報(bào)文攻擊的問題。為解決上述技術(shù)問題,本發(fā)明的一個(gè)實(shí)施方式提供了一種防止攻擊的網(wǎng) 絡(luò)的配置方法,該網(wǎng)絡(luò)包括路由設(shè)備和用戶設(shè)備,所述用戶設(shè)備通過所述路 由設(shè)備與接入運(yùn)營(yíng)商網(wǎng)絡(luò)通信,配置該網(wǎng)絡(luò)的方法包括為所述用戶設(shè)備配 置用戶VLAN ID;在所述路由設(shè)備的用戶接入接口為所述用戶設(shè)備配置QinQ 方式接入;該用戶設(shè)備報(bào)文封裝為QinQ報(bào)文后發(fā)送;根據(jù)QinQ報(bào)文內(nèi)層的用 戶VLAN ID配置特定類型的報(bào)文的抑制速率和缺省行為。為解決上述技術(shù)問題,本發(fā)明的另一個(gè)實(shí)施方式提供了一種防止攻擊的 方法,該方法用于配置QinQ接入的網(wǎng)絡(luò)中,根據(jù)QinQ內(nèi)層的用戶VLANID 來識(shí)別用戶,該方法包括判斷收到的特定類型的報(bào)文是否已經(jīng)配置了報(bào)文 限速,如果是,則判斷該特定類型的報(bào)文的速率是否達(dá)到速率上限,如果是, 則丟棄該報(bào)文;如果收到的特定類型的報(bào)文沒有配置報(bào)文限速,則執(zhí)行缺省 動(dòng)作。為解決上述技術(shù)問題,本發(fā)明的另一個(gè)實(shí)施方式提供了一種一種防止攻 擊的裝置,包括配置單元、限速判斷單元、限速上限判斷單元、執(zhí)行單元, 其中,所述配置單元,用于在路由設(shè)備的用戶接入接口配置QinQ方式接入, 根據(jù)QinQ報(bào)文內(nèi)層的用戶VLANID配置特定類型報(bào)文的速率上限和缺省動(dòng)作;所述限速判斷單元,用于判斷收到的特定類型報(bào)文是否已經(jīng)配置了報(bào)文 限速,如果已經(jīng)配置了報(bào)文的所述速率上限,則交由所述限速上限判斷單元 判斷該特定類型的報(bào)文的速率是否達(dá)到所述速率上限,所述執(zhí)行單元根據(jù)所述限速上限判斷單元的判斷結(jié)果執(zhí)行動(dòng)作;如果所述限速判斷單元確定收到 的特定類型報(bào)文沒有配置報(bào)文的所述速率上限,則轉(zhuǎn)執(zhí)行單元執(zhí)行所述缺省 動(dòng)作。與現(xiàn)有技術(shù)相比,采用本發(fā)明的實(shí)施方式,組網(wǎng)配置完成后可以自動(dòng)防 護(hù)特定類型報(bào)文攻擊,不需人工干預(yù);即使發(fā)生攻擊,也可以將攻擊影響的 范圍縮小到特定用戶,不會(huì)影響到同 一接口下其他擁有不同VLAN ID的用戶 或用戶群的正常網(wǎng)絡(luò)連接;攻擊者變換源、目的IP地址也難以規(guī)避安全策略 的防護(hù),同時(shí)不會(huì)帶來額外的性能開銷;才艮據(jù)連接的用戶配置防護(hù)策略,系 統(tǒng)資源的消耗有限,減小對(duì)硬件性能的壓力;防止特定類型^^艮文攻擊的同時(shí) 可以阻斷網(wǎng)^a掃描攻擊。


      圖l為本發(fā)明一個(gè)實(shí)施方式的組網(wǎng)圖; 圖2為本發(fā)明一個(gè)實(shí)施方式防止攻擊的配置方法流程圖; 圖3為本發(fā)明另 一 實(shí)施方式防止攻擊的方法流程圖; 圖4為本發(fā)明另一實(shí)施方式防止攻擊的裝置流程圖;具體實(shí)施方式
      以下結(jié)合具體實(shí)施方式
      來說明本發(fā)明的實(shí)現(xiàn)過程。在IEEE 802.1Q標(biāo)準(zhǔn)中,對(duì)Ethernet幀格式進(jìn)行了修改,在源MAC地址(Source Address)字段和協(xié)議長(zhǎng)度/類型字段(Length/Typee )之間加入了4 字節(jié)的802.1Q Tag ,其中 <吏用了 12bit標(biāo)識(shí)不同的VID ( Virtual Local Area Network Identifier,虛擬局域網(wǎng)標(biāo)識(shí)符),如表l中陰影部分報(bào)文字段所示。802.1 Q TagDestination AddressSource AddressTypePRI/ CFI/ VIDLength/T ypeDataFCS (CRC-32)6 bytes6 bytes4 bytes2 bytes46-1517 bytes4 bytes表1基于802.1 Q的VLAN幀格式隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,4K的VLANID已經(jīng)不能滿足現(xiàn)在的組網(wǎng)應(yīng)用, 為了實(shí)現(xiàn)更多的用戶接入,各廠家都推出自己的解決方案,QinQ是其中的一 種。QinQ就是在原來的802.1Q標(biāo)簽之外再添加一個(gè)802.1Q標(biāo)簽,用兩層VLAN ID標(biāo)識(shí)一個(gè)用戶,即802.1Qin802.1Q,在802.1Q標(biāo)簽報(bào)文的基礎(chǔ)上再增加一 層802.1 Q的標(biāo)簽頭來達(dá)到擴(kuò)展VLAN空間的功能。最早的QinQ是為了實(shí)現(xiàn)一種類似VPN ( Virtual Private Network,虛擬專 用網(wǎng))的應(yīng)用,即才艮文內(nèi)層為用戶VLAN ID, 外層為運(yùn)營(yíng)商的VLAN ID。 報(bào)文使用外層VLANID穿越運(yùn)營(yíng)商網(wǎng)絡(luò),用內(nèi)層VLANID實(shí)現(xiàn)用戶互通?,F(xiàn) 在QinQ技術(shù)已經(jīng)更多的成為對(duì)用戶的標(biāo)識(shí)。在本發(fā)明實(shí)施方式的技術(shù)方案中 就是使用QinQ的這一特點(diǎn)作為接入用戶的身份標(biāo)識(shí),并根據(jù)不同的用戶 VLAN ID進(jìn)行ARP報(bào)文的限制以達(dá)到保護(hù)的目的。本發(fā)明一個(gè)實(shí)施方式的組網(wǎng)圖如圖l所示。該網(wǎng)絡(luò)包括接入運(yùn)營(yíng)商網(wǎng)絡(luò)、 邊纟彖^^由器、二層交換纟凡和用戶A、用戶B、用戶C。用戶A、用戶B、用戶C 通過交換機(jī)和邊緣路由器與接入運(yùn)營(yíng)商網(wǎng)絡(luò)通信?!┲гO(shè)用戶A的IP地址為 192.168.0.10,所屬的VLAN編號(hào)(即用戶A的VLAN ID)為100;用戶B的IP 地址為192.168.0.11,所屬的VLAN編號(hào)(即用戶B的VLANID)為101;用戶C的IP地址為192.168.0.12,所屬的VLAN編號(hào)(即用戶C的VLAN ID )為102; 與用戶A、 B、 C和邊緣路由器通信的二層交換機(jī)中與用戶A、 B、 C通信的端 口為Trunk100 110,邊緣路由器的IP地址為192.168.0.1, QinQ接入的外層 VLANID為IO。其中用戶A、 B、 C中的任何一個(gè)可以是單一用戶,也可以是 一個(gè)用戶網(wǎng)絡(luò)的出口,下面有多個(gè)用戶設(shè)備,只要用戶網(wǎng)絡(luò)出口下面的這些 用戶設(shè)備都在一個(gè)安全策略域內(nèi)即可。圖1中標(biāo)出的IP地址和VLAN編號(hào)是為 了說明組網(wǎng)方式而舉的例子,并不作為對(duì)本實(shí)施方式或本發(fā)明的限制。此處 的二層交換機(jī)也可以是能夠?qū)崿F(xiàn)QinQ接入功能的三層交換機(jī)、路由設(shè)備或其 它網(wǎng)絡(luò)設(shè)備。配置邊緣路由器的流程如圖2所示,包括步驟20、為用戶配置用戶VLANID以圖l所示的組網(wǎng)圖為例,是為所有用戶A、 B、 C配置用戶VLAN ID, 這一步驟和普通的接入配置基本相同。 -假設(shè)此處用戶A的IP地址為 192.168.0.10,配置用戶A的VLAN編號(hào)(即用戶A的VLANID)為100;用戶 B的IP地址為192.168.0.11,配置用戶B的VLAN編號(hào)為lOl (即用戶B的VLAN ID);用戶C的IP地址為192.168.0.12,配置用戶C的VLAN編號(hào)為102 (即用 戶C的VLANID)。為所有用戶A、 B、 C配置用戶VLAN ID的工作可以由網(wǎng) 絡(luò)管理員手工配置完成,或者由系統(tǒng)設(shè)置完成。用戶A、 B、 C的IP地址可以 由網(wǎng)絡(luò)管理員手工配置完成,或者由系統(tǒng)-沒置完成。22、在用戶接入接口配置QinQ方式接入以圖1所示的網(wǎng)絡(luò)為例,是將邊緣路由器的用戶接入接口配置為QinQ接入。24、根據(jù)用戶VLANID配置ARP報(bào)文的抑制速率,并配置缺省的行為模式根據(jù)用戶VLAN ID,在用戶接入接口配置每個(gè)接入用戶的ARP報(bào)文抑制 速率,也就是配置每個(gè)接入用戶的ARP報(bào)文的速率上限。以圖l所示的組網(wǎng)圖 為例,需要配置ARP報(bào)文抑制速率的用戶包括用戶A、 B、 C,實(shí)際組網(wǎng)中, 可能包括更多用戶或用戶終端。配置內(nèi)容舉例如-remote-host vlan 100 to 102 arp-speed-limit 15,即配置VLAN100到 VLAN102的接入用戶ARP報(bào)文的速率上限為15個(gè)/秒;對(duì)于未配置的限制用戶的ARP報(bào)文可以配置缺省的行為模式,如圖l所示 的組網(wǎng)圖中有用戶A、 B、 C,如果只對(duì)用戶A配置了限制命令,用戶B、 C的 限制就按照缺省行為進(jìn)行。缺省行為即缺省動(dòng)作可以包括丟棄或不加限制,-remote-host default pass其他用戶的ARP凈艮文允i午通過,不作限制。 -remote-host default drop其他用戶的ARP才艮文全部丟棄,不允許通過。 在本發(fā)明的一個(gè)實(shí)施方式中,二層交換機(jī)將不同安全策略域的用戶或用 戶群的報(bào)文配置不同的VLANID,即內(nèi)層VLANID,當(dāng)然也可能為具有相同 安全策略的不同用戶或用戶群配置不同的VLAN ID;邊緣路由器將同 一接口 進(jìn)入的報(bào)文封裝上外層VLANID。這樣,在邊緣路由器上就可以根據(jù)不同的 內(nèi)層VLANID識(shí)別來自不同的用戶或用戶群發(fā)來的報(bào)文。邊緣路由器按內(nèi)層 VLANID配置ARP報(bào)文速率抑制,并配置缺省動(dòng)作。實(shí)際上,當(dāng)該邊緣路由 器下的用戶或用戶群都有VLAN ID時(shí),可以不需要二層交換機(jī)來配置VLAN ID, 二層交換機(jī)用于實(shí)現(xiàn)QinQ接入。該邊緣路由器也可以替換為普通路由器。 該方法也可以用于防止其他特定類型的報(bào)文攻擊。所述的接口可以是物理接 口或邏輯接口。圖3為本發(fā)明另一實(shí)施方式防止攻擊的方法流程圖,如圖3所示,當(dāng)用戶 報(bào)文進(jìn)入邊緣路由器時(shí),邊緣路由器的處理步驟包括30、判斷收到的報(bào)文是否ARP報(bào)文,如不是ARP報(bào)文,則轉(zhuǎn)步驟36,否則 轉(zhuǎn)步驟32。32、判斷是否配置ARP報(bào)文限速邊緣路由器根據(jù)內(nèi)層VLAN ID識(shí)別針對(duì)此用戶是否配置了 ARP報(bào)文限 速,如未配置限速則轉(zhuǎn)步驟38;對(duì)于配置了ARP報(bào)文限速的用戶,轉(zhuǎn)步驟34。34、判斷ARP報(bào)文的速率是否達(dá)到限速配置的上限對(duì)于配置了 ARP報(bào)文限速的用戶,引擎記錄上一次ARP報(bào)文達(dá)到的時(shí)間 戳,比較當(dāng)前時(shí)間和上次記錄時(shí)間的差值,換算為接收到的ARP報(bào)文的速率。 比較此速率和配置的允許接收ARP報(bào)文速率上限,如未到達(dá)ARP報(bào)文的速率 上限則轉(zhuǎn)步驟36按照正常ARP報(bào)文流程處理并刷新時(shí)間戳,否則丟棄報(bào)文并 保留上次記錄的時(shí)間戳不變。36、按照正常流程處理該報(bào)文38、判斷缺省動(dòng)作,以便執(zhí)行該缺省動(dòng)作。如果缺省動(dòng)作為丟棄,則認(rèn) 為所有未配置限速的用戶ARP報(bào)文為不安全的ARP報(bào)文,轉(zhuǎn)步驟380;如果缺 省動(dòng)作為通過,則認(rèn)為所有未配置限速的用戶ARP報(bào)文為安全ARP報(bào)文,轉(zhuǎn) 步驟36。380,全部丟棄收到的該用戶的ARP才艮文。當(dāng)然,在丟棄收到的某個(gè)用戶的ARP報(bào)文時(shí),還可以對(duì)丟棄的ARP報(bào)文進(jìn) 行計(jì)數(shù),以做進(jìn)一步的分析處理。如根據(jù)計(jì)數(shù)增長(zhǎng)的速率判斷是否遭到攻擊, 向網(wǎng)管發(fā)送告警、記錄日志等。更進(jìn)一步可以記錄丟棄的ARP報(bào)文的內(nèi)層 VLANID,用以5艮蹤攻擊源。這樣,當(dāng)邊緣路由器下的某個(gè)用戶發(fā)起ARP報(bào)文攻擊時(shí),攻擊者發(fā)送的大 量ARP報(bào)文會(huì)因超出正常通訊所需的ARP速率而被丟棄,因此這些攻擊凈艮文 不會(huì)影響到邊緣路由器以及運(yùn)營(yíng)商網(wǎng)絡(luò)的穩(wěn)定。由于邊緣路由器在計(jì)算ARP 報(bào)文速率時(shí)是根據(jù)不同的內(nèi)層VLAN ID分別計(jì)算各個(gè)用戶的發(fā)送ARP報(bào)文 速率,而丟棄ARP報(bào)文時(shí)也只丟棄帶有特定內(nèi)層VLANID的ARP報(bào)文,因此 任一個(gè)用戶發(fā)送攻擊^J:時(shí),不會(huì)影響到同一個(gè)接入接口下其他擁有不同的 用戶VLAN ID的用戶或用戶群的正常連接,更不會(huì)影響其他接入接口下的用 戶。由于在邊緣路由器上識(shí)別不同用戶是根據(jù)報(bào)文的內(nèi)層VLAN ID,與報(bào)文 的IP地址沒有關(guān)系,無論攻擊者如何變換IP地址都難以規(guī)避路由器的防護(hù)策略。由于一個(gè)接入接口下的用戶或用戶群數(shù)目是有限的,而且有相同安全等 級(jí)或安全策略的用戶可以使用相同的內(nèi)層VLAN ID,所以在接入接口上需要 記錄的用戶信息有限,通常情況下,最多為4k條。這樣在邊^(qū)彖^^由器上占用 的資源在可以控制的范圍之內(nèi),不會(huì)對(duì)硬件提出過高的要求。本發(fā)明的實(shí)施方式的方法中,以圖l所示的組網(wǎng)圖為例,邊緣路由器管理 員可以通過配置允i午每個(gè)用戶生成的ARP表項(xiàng)來控制用戶可以訪問的IP地址 數(shù)目。當(dāng)攻擊者發(fā)起網(wǎng)絡(luò)攻擊前通常會(huì)進(jìn)行網(wǎng)段地址的掃描,即發(fā)送大量的目攻擊方式。在發(fā)送PING包之前會(huì)先發(fā)送ARP請(qǐng)求才艮文,因?yàn)槭褂貌煌挠脩?VLAN ID的用戶不能在二層交換機(jī)上做到二層互通,如果圖1中的交換機(jī)為 二層交換機(jī),需要通過邊緣路由器才能互通;這樣在邊緣路由器上就可以限制每個(gè)用戶可以生成的ARP表項(xiàng)來控制每個(gè)用戶可以同時(shí)訪問的IP地址來阻斷網(wǎng)段掃描攻擊。比如可以根據(jù)用戶的VLAN ID配置允許生成表項(xiàng)的上限 值,達(dá)到上限后就不許再生成。但是,如果將圖l中的二層交換機(jī)替換為三層 交換機(jī)或路由器,則即使這些用戶使用不同的用戶VLANID,仍然可以實(shí)現(xiàn) 這些用戶的互通,這時(shí),可以在該三層交換機(jī)或路由器上限制每個(gè)用戶可以 生成的ARP表項(xiàng)來控制每個(gè)用戶可以同時(shí)訪問的IP地址來阻斷網(wǎng)段掃描攻 擊。比如可以根據(jù)用戶的用戶VLANID配置允許生成表項(xiàng)的上限值,達(dá)到上 限后就不許再生成。本發(fā)明的實(shí)施方式還提供一種防止攻擊的裝置,如圖4所示,該裝置包括 配置單元、限速判斷單元、限速上限判斷單元、執(zhí)行單元,其中,所述配置單元,用于在邊緣路由器的用戶接入接口配置QinQ方式接入, 根據(jù)QinQ報(bào)文內(nèi)層的用戶VLAN ID配置ARP報(bào)文的抑制速率和缺省行為;所述限速判斷單元,用于判斷收到的ARP報(bào)文是否已經(jīng)配置了 ARP報(bào)文限 速,如果已經(jīng)配置了AIO^艮文限速,則交由所述限速上限判斷單元判斷該ARP 報(bào)文的速率是否達(dá)到速率上限,所述執(zhí)行單元根據(jù)所述限速上限判斷單元的 判斷結(jié)果執(zhí)行動(dòng)作;如果所述限速判斷單元確定收到的ARP報(bào)文沒有配置 ARP報(bào)文限速,則轉(zhuǎn)執(zhí)行單元執(zhí)行缺省動(dòng)作。優(yōu)選地,還可以包括報(bào)文判斷單元,用于判斷收到的報(bào)文是否ARP凈艮文, 若是,則交由所述限速判斷單元判斷該ARP報(bào)文是否配置了 ARP報(bào)文限速; 否則,交由所述執(zhí)行單元執(zhí)行正常處理流程。率上限,則丟棄該報(bào)文,否則按照正常流程執(zhí)行。優(yōu)選地,如果用戶設(shè)備沒有VLAN ID,還可以包括VLAN ID配置單元, 用于為所述用戶設(shè)備配置用戶VLAN ID。實(shí)際上,該邊緣路由器也可以替換為普通路由器。該方法也可以用于防 止其他特定類型的報(bào)文攻擊。所述的接口可以是物理接口或邏輯接口 。本發(fā)明的另 一實(shí)施方式涉及一種計(jì)算機(jī)可讀介質(zhì),該計(jì)算機(jī)可讀介質(zhì)中 保存有執(zhí)行防止攻擊的方法的指令序列,該方法包括判斷收到的報(bào)文是否為ARP報(bào)文,如不是ARP報(bào)文,則按照正常流程處理 該報(bào)文,否則進(jìn)一步判斷該ARP報(bào)文是否已經(jīng)配置了 ARP報(bào)文限速;邊緣路由器根據(jù)內(nèi)層VLAN ID識(shí)別針對(duì)此用戶是否配置了 ARP報(bào)文限 速,如未配置限速則判斷缺省動(dòng)作,以-便執(zhí)行該缺省動(dòng)作。如果缺省動(dòng)作為 丟棄,則認(rèn)為所有未配置限速的用戶ARP報(bào)文為不安全的ARP報(bào)文,全部丟 棄收到的該用戶的ARP報(bào)文;如果缺省動(dòng)作為通過,則認(rèn)為所有未配置限速 的用戶ARP報(bào)文為安全ARP報(bào)文,則按照正常流程處理該報(bào)文。對(duì)于配置了 ARP報(bào)文限速的用戶,則進(jìn)一步判斷ARP報(bào)文的發(fā)送速率是否 達(dá)到限速配置的上P艮;對(duì)于配置了 ARP報(bào)文限速的用戶,引擎記錄上一次ARP 報(bào)文達(dá)到的時(shí)間戳,比較當(dāng)前時(shí)間和上次記錄時(shí)間的差值,換算為接收到的 ARP報(bào)文的速率。比較此速率和配置的允許接收ARP報(bào)文速率上限,如未到 達(dá)速率上限則按照正常報(bào)文流程處理并刷新時(shí)間戳,否則丟棄報(bào)文并保留上 次記錄的時(shí)間戳不變。實(shí)際上,該邊緣路由器也可以替換為普通路由器。該方法也可以用于防 止其他特定類型的報(bào)文攻擊。所述的接口可以是物理接口或邏輯接口 。采用本發(fā)明的實(shí)施方式,組網(wǎng)配置完成后可以自動(dòng)防護(hù)ARP報(bào)文攻擊, 不需人工干預(yù);即使發(fā)生攻擊,也可以將攻擊影響的范圍縮小到特定用戶,不會(huì)影響到同 一接口下其他擁有不同的用戶VLAN ID的用戶或用戶群的正 常網(wǎng)絡(luò)連接;攻擊者變換源、目的IP地址也難以規(guī)避安全策略的防護(hù),同時(shí) 不會(huì)帶來額外的性能開銷;根據(jù)連接的用戶配置防護(hù)策略,系統(tǒng)資源的消耗 有限,減小對(duì)硬件性能的壓力;防止ARP報(bào)文攻擊的同時(shí)可以阻斷網(wǎng)段掃描 攻擊。以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
      ,但本發(fā)明的保護(hù)范圍并不 局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍和不脫 離本發(fā)明的技術(shù)思想范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明 的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
      權(quán)利要求
      1.一種防止攻擊的網(wǎng)絡(luò)的配置方法,其特征在于,該網(wǎng)絡(luò)包括路由設(shè)備和用戶設(shè)備,所述用戶設(shè)備通過所述路由設(shè)備與接入運(yùn)營(yíng)商網(wǎng)絡(luò)通信,配置該網(wǎng)絡(luò)的方法包括為所述用戶設(shè)備配置用戶VLAN ID;在所述路由設(shè)備的用戶接入接口為所述用戶設(shè)備配置QinQ方式接入;該用戶設(shè)備報(bào)文封裝為QinQ報(bào)文后發(fā)送;根據(jù)QinQ報(bào)文內(nèi)層的用戶VLAN ID配置特定類型的報(bào)文的抑制速率和缺省行為。
      2. 如權(quán)利要求l所述的方法,其特征在于,所述配置方式是由所述路由設(shè) 備的管理員手工配置完成或者系統(tǒng)設(shè)置完成的。
      3. 如權(quán)利要求l所述的方法,其特征在于,所述的特定類型的報(bào)文為ARP 報(bào)文。
      4. 如權(quán)利要求l所述的方法,其特征在于,所述的缺省行為模式包括允 許該特定類型的報(bào)文通過或者丟棄該特定類型的報(bào)文。
      5. 如權(quán)利要求l所述的方法,其特征在于,安全策略不同的所述用戶設(shè)備 位于不同的VLAN內(nèi),具有不同的VLAN ID。
      6. 如權(quán)利要求l所述的方法,其特征在于,所述用戶設(shè)備為具有相同 VLAN ID的至少 一個(gè)網(wǎng)絡(luò)設(shè)備。
      7. 如權(quán)利要求l所述的方法,其特征在于,所述路由設(shè)備為普通路由器或 邊緣路由器。
      8. 如權(quán)利要求l所述的方法,其特征在于,所述網(wǎng)絡(luò)還包括實(shí)現(xiàn)QinQ接入的交換設(shè)備,所述用戶設(shè)備通過該交換設(shè)備與所述路由設(shè)備通信。
      9. 如權(quán)利要求8所述的方法,其特征在于,所述交換設(shè)備為二層交換機(jī)、 三層交換機(jī)或路由設(shè)備。
      10. —種防止攻擊的方法,其特征在于,該方法用于配置QinQ接入的網(wǎng)絡(luò) 中,才艮據(jù)QinQ內(nèi)層的用戶VLANID來識(shí)別用戶,該方法包括判斷收到的特定類型的報(bào)文是否已經(jīng)配置了報(bào)文限速,如果是,則判斷 該特定類型的報(bào)文的速率是否達(dá)到速率上限,如果是,則丟棄該報(bào)文;如果 收到的特定類型的報(bào)文沒有配置報(bào)文限速,則執(zhí)行缺省動(dòng)作。
      11. 如權(quán)利要求10所述的方法,其特征在于,所述缺省動(dòng)作包括允許所 述該特定類型的報(bào)文通過或者丟棄所述該特定類型的報(bào)文。
      12. 如權(quán)利要求ll所述的方法,其特征在于,當(dāng)執(zhí)行的缺省動(dòng)作為丟棄所 述該特定類型的報(bào)文時(shí),所述方法還包括對(duì)丟棄的該特定類型的報(bào)文進(jìn)行計(jì)數(shù)。
      13. 如權(quán)利要求ll所述的方法,其特征在于,執(zhí)行的缺省動(dòng)作為丟棄該用 戶設(shè)備的該特定類型的報(bào)文時(shí),所述方法還包括記錄丟棄的該特定類型的報(bào)文的VLAN ID。
      14. 如權(quán)利要求10所述的方法,其特征在于,所述判斷收到的該特定類型 的報(bào)文是否已經(jīng)配置了報(bào)文限速之前,還包括判斷收到的報(bào)文是否為該特定類型的報(bào)文,如果是,則進(jìn)一步判斷收到 的該特定類型的報(bào)文是否已經(jīng)配置了報(bào)文限速;否則按照正常流程處理該報(bào) 文。
      15. 如權(quán)利要求10所述的方法,其特征在于,所述特定類型的報(bào)文為ARP報(bào)文。
      16. —種防止攻擊的裝置,其特征在于,包括配置單元、限速判斷單元、 限速上限判斷單元、執(zhí)行單元,其中,所述配置單元,用于在路由設(shè)備的用戶接入接口配置QinQ方式接入,根 據(jù)QinQ報(bào)文內(nèi)層的用戶VLANID配置特定類型報(bào)文的速率上限和缺省動(dòng)作; 所述限速判斷單元,用于判斷收到的特定類型報(bào)文是否已經(jīng)配置了報(bào)文 限速,如果已經(jīng)配置了報(bào)文的所述速率上限,則交由所述限速上限判斷單元 判斷該特定類型的報(bào)文的速率是否達(dá)到所述速率上限,所述執(zhí)行單元根據(jù)所 述P艮速上限判斷單元的判斷結(jié)果執(zhí)行動(dòng)作;如果所述限速判斷單元確定收到的特定類型報(bào)文沒有配置報(bào)文的所述速 率上限,則轉(zhuǎn)執(zhí)行單元執(zhí)行所述缺省動(dòng)作。
      17. 如權(quán)利要求16所述的裝置,其特征在于,還包括報(bào)文判斷單元,用于 判斷收到的報(bào)文是否是特定類型報(bào)文,若是,則交由所述限速判斷單元判斷 該特定類型報(bào)文是否配置了報(bào)文限速;否則,交由所述執(zhí)行單元執(zhí)行正常處 理流程。
      18. 如權(quán)利要求16所述的裝置,其特征在于,所述根據(jù)所述限速上限判斷 單元的判斷結(jié)果執(zhí)行動(dòng)作,包括如果所述限速上限判斷單元判斷該特定類型報(bào)文的速率已經(jīng)達(dá)到速率上 限,則丟棄該報(bào)文,否則按照正常流程執(zhí)行。
      19. 如權(quán)利要求16所述的裝置,其特征在于,所述特定類型的報(bào)文為ARP 報(bào)文。
      20. 如權(quán)利要求16所述的裝置,其特征在于,所述路由設(shè)備為普通路由器 或邊緣路由器。
      21. 如權(quán)利要求16所述的裝置,其特征在于,還包括VLANID配置單元,用于為所述用戶的用戶設(shè)備配置用戶VLAN ID。
      全文摘要
      本發(fā)明涉及通信領(lǐng)域,尤其涉及一種防止攻擊的網(wǎng)絡(luò)的配置方法、防止攻擊的方法和裝置。防止攻擊的網(wǎng)絡(luò)的配置方法中,該網(wǎng)絡(luò)包括路由設(shè)備和用戶設(shè)備,所述用戶設(shè)備通過所述路由設(shè)備與接入運(yùn)營(yíng)商網(wǎng)絡(luò)通信,配置該網(wǎng)絡(luò)的方法包括為所述用戶設(shè)備配置用戶VLAN ID;在所述路由設(shè)備的用戶接入接口為所述用戶設(shè)備配置QinQ方式接入;該用戶設(shè)備報(bào)文封裝為QinQ報(bào)文后發(fā)送;根據(jù)QinQ報(bào)文內(nèi)層的用戶VLAN ID配置特定類型的報(bào)文的抑制速率和缺省行為。采用該方法和裝置,可解決目前通信網(wǎng)絡(luò)中防止特定類型報(bào)文攻擊的問題。
      文檔編號(hào)H04L12/56GK101257379SQ200810066440
      公開日2008年9月3日 申請(qǐng)日期2008年3月31日 優(yōu)先權(quán)日2008年3月31日
      發(fā)明者迪 吳 申請(qǐng)人:華為技術(shù)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1