CN102263664A - 一种会话流处理方法及装置 - Google Patents
一种会话流处理方法及装置 Download PDFInfo
- Publication number
- CN102263664A CN102263664A CN2011102290749A CN201110229074A CN102263664A CN 102263664 A CN102263664 A CN 102263664A CN 2011102290749 A CN2011102290749 A CN 2011102290749A CN 201110229074 A CN201110229074 A CN 201110229074A CN 102263664 A CN102263664 A CN 102263664A
- Authority
- CN
- China
- Prior art keywords
- session
- network equipment
- stream
- session stream
- management equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种会话流处理方法及装置,用以解决现有技术中网络设备之间信息交互的安全性降低的问题。该方法第一网络设备接收第二网络设备发送的会话报文,当会话流表中未被占用的容量不小于设定阈值,或者第二网络设备为管理设备时,为该会话报文对应的会话流创建会话流表项,当会话流表中被占用的容量小于设定阈值,且第二网络设备不是管理设备时,不创建会话流表项。由于本发明实施例中当会话流表中未被占用的容量小于设定阈值时,只为管理设备发起的会话流创建会话流表项,可以保证无论何时都能接受管理设备发起的会话流,进而接收管理设备发送的会话配置信息,以阻断洪水攻击的会话流,因此提高了网络设备之间信息交互的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种会话流处理方法及装置。
背景技术
网络中的各网络设备之间一般通过会话流进行信息交互,一个会话流中包含多个会话报文。当网络设备接收到其他网络设备发起的会话流时,需要根据保存的会话配置信息,在自身的会话流表中为该会话流创建该会话流对应的会话流表项,用来管理该会话流。其中,该会话流对应的会话流表项中包含对该会话流进行处理的处理策略,包括是否阻断该会话流的信息,以及其他附加处理操作信息。
并且,通常采用管理设备通过网络对各网络设备进行远程会话管理,具体为,管理设备通过网络将会话配置信息发送给各网络设备保存,该会话配置信息中包含需要阻断的会话流的类型信息,其中,该需要阻断的会话流为不法分子可能发起的攻击会话流。同时,管理设备还可以对各网络设备的会话流进行监控,并自动识别各网络设备的哪些会话流为攻击会话流,如果识别到攻击会话流,且确定发送给各网络设备的会话配置信息中包含的需要阻断的会话流的类型信息中不包括识别出的该攻击会话流的类型信息,则将识别出的该攻击会话流的类型信息添加到会话配置信息中发送给各网络设备,各网络设备则相应的更新保存的会话配置信息。
如果某个网络设备接收到其他网络设备发起的会话流的类型信息为,保存的会话配置信息中包含的需要阻断的会话流的类型信息时,则该某个网络设备为该会话流创建的会话流表项中包含的处理策略即为阻断该会话流。
图1为现有技术中网络设备的会话流处理过程,具体包括以下步骤:
S101:第一网络设备接收第二网络设备发送的会话报文。
其中,第二网络设备向第一网络设备发起会话流时,将该会话流包含的多个会话报文顺序的发送给第一网络设备。
S102:第一网络设备根据该会话报文携带的会话流的标识信息,判断自身的会话流表中是否存在该会话流的标识信息对应的会话流表项,若是,则进行步骤S104,否则进行步骤S103。
其中,该会话流包含的每个会话报文都携带有该会话流的标识信息,该会话流的标识信息包括源互联网协议(Internet Protocol,IP)地址、目的IP地址、协议号、传输控制协议(Transmission Control Protocol,TCP)/用户数据报协议(User Datagram Protocol,UDP)源端口号、TCP/UDP目的端口号。
如果该会话报文为该会话流的第一个会话报文,也即该会话流的会话请求报文,则此时第一网络设备还尚未在自身的会话流表中创建该会话流对应的会话流表项,如果该会话报文不是该会话流的第一个会话报文,则此时第一网络设备必定已经在自身的会话流表中创建了该会话流对应的会话流表项。因此在该步骤中,第一网络设备判断自身的会话流表中是否存在该会话流的标识信息对应的会话流表项,也即判断该会话报文是否为该会话流的第一个会话报文。
S103:根据保存的会话配置信息,在自身的会话流表中创建该会话流对应的会话流表项,执行步骤S104。
当第一网络设备确定自身的会话流表中不存在该会话流的标识信息对应的会话流表项时,确定该会话报文为该会话流的第一个会话报文,也即该会话流的会话请求报文,则根据保存的会话配置信息,在自身的会话流表中创建该会话流对应的会话流表项。
S104:根据该会话流对应的会话流表项中包含的处理策略,对该会话报文进行处理。
当第一网络设备确定自身的会话流表中存在该会话流的标识信息对应的会话流表项时,确定该会话报文不是该会话流的第一个会话报文,则根据该会话流对应的会话流表项中包含的处理策略,对该会话报文进行处理。或者,
当第一网络设备确定该会话报文为该会话流的第一个会话报文,并创建该会话流对应的会话流表项后,根据创建的该会话流对应的会话流表项中包含的处理策略,对该会话报文进行处理。
并且,当该会话报文为该会话流的第一个会话报文,且创建的该会话流对应的会话流表项中包含的处理策略为阻断该会话流时,第一网络设备阻断第二网络设备发起的该会话流,并释放创建的该会话流对应的会话流表项。
然而,对于网络设备而言,会话流表的容量是有限的,当网络设备受到洪水攻击,并且该洪水攻击的每个会话流又没有被阻断时,网络设备会在会话流表中为洪水攻击的每个会话流分别创建对应的会话流表项,从而会话流表的容量很快会被洪水攻击的会话流对应的会话流表项所占满,导致该网络设备因无法为其他正常的会话流创建会话流表项而阻断其他正常的会话流。
在现有技术中,虽然管理设备在发送给各网络设备的会话配置信息中配置了需要阻断的会话流的类型信息,但是洪水攻击的会话流的类型信息是多种多样的,管理设备是不可能一次性预见所有可能发生的攻击会话流,并将所有可能的攻击会话流的类型信息配置在会话配置信息中的。因此在网络设备通过会话流进行信息交互的过程中,总是会可能出现未考虑到的攻击会话流的类型信息。
如果出现了未考虑到的洪水攻击的会话流,也即在会话配置信息包含的需要阻断的会话流的类型信息中不包含该洪水攻击的会话流的类型信息,则该洪水攻击的会话流仍然会消耗掉网络设备的会话流表的全部容量。而如果此时管理设备通过对网络设备的会话流进行监控,识别出该洪水攻击,并将该洪水攻击的会话流的类型信息添加到会话配置信息中,由于管理设备将会话配置信息发送给网络设备的过程也是基于向网络设备发起会话流而进行的,但此时网络设备的会话流表的全部容量都已经被该洪水攻击所消耗,也无法接受管理设备发起的会话流,因此管理设备即使更新了会话配置信息,也无法将更新后的会话配置信息发送给网络设备,以使其阻断该洪水攻击的会话流。
综上所述,基于现有技术的会话流处理方法,网络设备不能有效的抵御洪水攻击,使网络设备之间信息交互的安全性降低。
发明内容
本发明实施例提供一种会话流处理方法及装置,用以解决现有技术中网络设备不能有效的抵御洪水攻击,使网络设备之间信息交互的安全性降低的问题。
本发明实施例提供的一种会话流处理方法,包括:
第一网络设备接收第二网络设备发送的会话报文;并
判断自身的会话流表中未被占用的容量是否不小于设定阈值,并根据接收到的所述会话报文携带的会话流的标识信息,判断所述第二网络设备是否为管理设备;
当所述第一网络设备判断自身的会话流表中未被占用的容量不小于设定阈值,以及,所述第二网络设备为管理设备中的至少一个成立时,在自身的会话流表中创建所述会话流对应的会话流表项;
当所述第一网络设备判断自身的会话流表中未被占用的容量小于设定阈值,且判断所述第二网络设备不是管理设备时,不创建所述会话流对应的会话流表项。
本发明实施例提供的一种会话流处理装置,包括:
接收模块,用于接收第二网络设备发送的会话报文;
第一判断模块,用于判断自身的会话流表中未被占用的容量是否不小于设定阈值;
第二判断模块,用于根据接收到的所述会话报文携带的会话流的标识信息,判断所述第二网络设备是否为管理设备;
处理模块,用于当判断自身的会话流表中未被占用的容量不小于设定阈值,以及,判断所述第二网络设备为管理设备中的至少一个成立时,在自身的会话流表中创建所述会话流对应的会话流表项,当判断自身的会话流表中未被占用的容量小于设定阈值,且判断所述第二网络设备不是管理设备时,不创建所述会话流对应的会话流表项。
本发明实施例提供的一种网络设备,包括如上所述的会话流处理装置。
本发明实施例提供一种会话流处理方法及装置,该方法第一网络设备接收第二网络设备发送的会话报文,当判断自身的会话流表中未被占用的容量不小于设定阈值,或者判断第二网络设备为管理设备时,为该会话报文对应的会话流创建会话流表项,当判断自身的会话流表中被占用的容量小于设定阈值,且第二网络设备不是管理设备时,不创建会话流表项。由于本发明实施例中当会话流表中未被占用的容量小于设定阈值时,只为管理设备发起的会话流创建会话流表项,而不再为其他网络设备发起的会话流创建会话流表项,可以保证无论何时都能接受管理设备发起的会话流,进而可以接收管理设备发送的更新后的会话配置信息,以阻断洪水攻击的会话流,因此可以有效的抵御洪水攻击,提高了网络设备之间信息交互的安全性。
附图说明
图1为本发明实施例提供的对软件进行测试的过程;
图2为本发明实施例提供的状态路径示意图;
图3为本发明实施例提供的根据待测试软件的每个状态信息,以及用户输入的每个操作指令,确定每个状态信息的连接关系,并确定状态路径的过程示意图;
图4为本发明实施例提供的对软件进行测试的详细过程;
图5为本发明实施例提供的测试装置结构示意图。
具体实施方式
洪水攻击是指攻击者通过发起大量的攻击会话流,消耗网络设备的会话流容量,从而阻断其他正常的会话流,以达到攻击的目的。在本发明实施例中,为了防止洪水攻击将网络设备的会话流容量全部消耗,导致网络设备因无法为管理设备发起的会话流创建会话流表项而阻断管理设备发起的会话流,在网络设备中设定一个阈值,当会话流表中未被占用的容量,也即会话流表中的空闲容量不小于该设定阈值时,为所有的会话流创建会话流表项,当会话流表中的空闲容量小于该设定阈值时,只为管理设备发起的会话流创建会话流表项,不再为其他网络设备发起的会话流创建会话流表项,使网络设备无论何时都能与管理设备进行正常的会话。
下面结合说明书附图,对本发明实施例进行详细描述。
图2为本发明实施例提供的会话流处理的过程,具体包括以下步骤:
S201:第一网络设备接收第二网络设备发送的会话报文。
S202:第一网络设备判断自身的会话流表中未被占用的容量是否不小于设定阈值,若是,则进行步骤S204,否则进行步骤S203。
在本发明实施例中,第一网络设备接收到第二网络设备发送的会话报文后,判断自身的会话流表中未被占用的容量是否不小于设定阈值,也即判断自身的会话流表中的空闲容量是否不小于设定阈值,或者说判断会话流表中是否还有足够的空闲容量,其中,该设定阈值可以根据需要进行设定。
S203:第一网络设备根据接收到的会话报文携带的会话流的标识信息,判断第二网络设备是否为管理设备,若是,则进行步骤S204,否则进行步骤S205。
若第一网络设备的会话流表中的空闲容量小于设定阈值,则说明会话流表中的空闲容量不足,因此进一步根据该会话报文携带的会话流的标识信息,判断第二网络设备是否为管理设备,也即判断发起该会话流的发起者是否为管理设备。
S204:第一网络设备在自身的会话流表中创建该会话流对应的会话流表项。
当第一网络设备判断自身的会话流表中未被占用的容量不小于设定阈值时,说明会话流表中有足够的空闲容量,因此为该会话报文对应的会话流创建对应的会话流表项。或者,
当第一网络设备判断发起该会话流的第二网络设备为管理设备时,也要为该会话流创建对应的会话流表项,使第一网络设备与管理设备进行正常的会话,以接收管理设备发送的更新后的会话配置信息,并根据会话配置信息中配置的需要阻断的会话流的类型信息,对相应的会话流进行阻断,达到抵御洪水攻击的目的。
S205:不创建该会话流对应的会话流表项。
当第一网络设备判断自身的会话流表中未被占用的容量小于设定阈值,也即当会话流表中没有足够的空闲容量,并且判断第二网络设备不是管理设备,也即发起该会话流的发起者也不是管理设备时,不为该会话流创建对应的会话流表项,将该会话报文丢弃。
并且,在上述过程中,步骤S202和步骤S203的执行顺序不分先后,也即可以先判断第二网络设备是否为管理设备,再判断会话流表中未被占用的容量是否不小于设定阈值,如图3所示。
图3为本发明实施例提供的另一种会话流处理的过程,具体包括以下步骤:
S301:第一网络设备接收第二网络设备发送的会话报文。
S302:第一网络设备根据该会话报文携带的会话流的标识信息,判断第二网络设备是否为管理设备,若是,则进行步骤S304,否则进行步骤S303。
S303:第一网络设备判断自身的会话流表中未被占用的容量是否不小于设定阈值,若是,则进行步骤S304,否则进行步骤S305。
S304:第一网络设备在自身的会话流表中创建该会话流对应的会话流表项。
S305:不创建该会话流对应的会话流表项。
在上述图2和图3所示的过程中,第一网络设备接收第二网络设备发送的会话报文,当判断自身的会话流表中未被占用的容量不小于设定阈值,以及第二网络设备为管理设备中的至少一个成立时,为该会话报文对应的会话流创建会话流表项,当判断自身的会话流表中被占用的容量小于设定阈值,且第二网络设备不是管理设备时,不创建会话流表项。
由于本发明实施例中当会话流表中未被占用的容量小于设定阈值时,只为管理设备发起的会话流创建会话流表项,而不再为其他网络设备发起的会话流创建会话流表项,从而当发生了未考虑到的洪水攻击的会话流时,第一网络设备的会话流表也不会被该洪水攻击的会话流全部占满,仍然可以保证与管理设备进行正常的会话。进而,当管理设备识别出该洪水攻击的会话流,并将识别出的会话流的类型信息添加到会话配置信息后,仍然可以将更新后的会话配置信息基于与第一网络设备的会话发送给第一网络设备,第一网络设备则可以根据更新后的会话配置信息中配置的需要阻断的会话流的类型信息,阻断该洪水攻击的会话流。因此可以本发明实施例提供的会话流处理方法可以有效的抵御洪水攻击,提高了网络设备之间信息交互的安全性。
在本发明实施例中,为了提高会话的效率,第一网络设备接收到第二网络设备发送的会话报文后,并在判断自身的会话流表中未被占用的容量是否不小于设定阈值,以及根据接收到的所述会话报文携带的会话流的标识信息,判断所述第二网络设备是否为管理设备之前,还要根据接收到的该会话报文携带的会话流的标识信息,确定自身的会话流表中不存在该会话流的标识信息对应的会话流表项。也即,确定该会话报文为该会话流的第一个会话报文,或者说确定该会话报文为该会话流的会话请求报文。当确定自身的会话流表中存在该会话流的标识信息对应的会话流表项时,说明接收到的该会话报文不是该会话流的第一个会话报文,则直接根据该会话流对应的会话流表项中包含的处理策略,对该会话报文进行处理即可。
在本发明实施例中,第一网络设备根据接收到的会话报文携带的会话流的标识信息,判断第二网络设备是否为管理设备的方法具体为,根据保存的管理设备的IP地址,判断该会话报文携带的会话流的标识信息中包含的源IP地址是否与该管理设备的IP地址相同,若相同,则确定第二网络设备为管理设备,否则确定第二网络设备不是管理设备。
并且,还可以在第一网络设备中设置管理设备的IP地址对应的优先级,以及各网络设备的IP地址对应的优先级,其中,将管理设备的IP地址对应的优先级设置为最高优先级,各网络设备的IP地址对应的优先级均低于该最高优先级。此时,第一网络设备判断第二网络设备是否为管理设备的方法还可以为,根据接收到的该会话报文携带的会话流的标识信息中包含的源IP地址,查找该源IP地址对应的优先级,并判断查找到的源IP地址对应的优先级是否为最高优先级,当判断结果为是时,确定第二网络设备为管理设备,否则确定第二网络设备不是管理设备。也即,当第一网络设备判断自身的会话流表中未被占用的容量不小于设定阈值,为所有优先级的会话流创建会话流表项,否则只为最高优先级的会话流创建会话流表项,该最高优先级即为管理设备的IP地址对应的优先级。
另外,当第一网络设备接收到第二网络设备发送的会话报文后,根据该会话报文携带的会话流的标识信息中包含的源IP地址,未查找到该源IP地址对应的优先级时,说明该源IP地址对应的网络设备可能是网络中新增的网络设备,则可以将该源IP地址对应的优先级设置为低于最高优先级的任一优先级。具体的,可以将该源IP地址对应的优先级设置为缺省优先级,该缺省优先级低于该最高优先级。
当然,还可以在管理设备以及网络中的其他网络设备上配置相应的优先级,同样的,为管理设备配置的优先级为最高优先级,为其他网络设备配置的优先级均低于该最高优先级。此时,当某个网络设备向第一网络设备发起会话流时,在该会话流的会话报文中携带该某个网络设备对应的优先级信息,第一网络设备则根据接收到的会话报文中携带的优先级信息,判断该优先级是否为最高优先级,若是,则确定该某个网络设备为管理设备,否则确定该某个网络设备不是管理设备。
图4为本发明实施例提供的会话流处理的详细过程,具体包括以下步骤:
S401:第一网络设备接收第二网络设备发送的会话报文。
S402:根据该会话报文携带的会话流的标识信息,判断自身的会话流表中是否存在该会话流的标识信息对应的会话流表项,若是,则进行步骤S403,否则进行步骤S404。
S403:根据该会话流的标识信息对应的会话流表项中包含的处理策略,对该会话报文进行处理。
S404:判断自身的会话流表中未被占用的容量是否不小于设定阈值,若是,则进行步骤S407,否则进行步骤S405。
S405:根据该会话报文携带的会话流的标识信息中包含的源IP地址,查找该源IP地址对应的优先级。
S406:判断查找到的优先级是否为最高优先级,若是,则进行步骤S407,否则进行步骤S408。
S407:在自身的会话流表中创建该会话流对应的会话流表项,并根据创建的该会话流表项中包含的处理策略,对该会话报文进行处理。
S408:不创建该会话流对应的会话流表项,丢弃该会话报文。
图5为本发明实施例提供的会话流处理装置,具体包括:
接收模块501,用于接收第二网络设备发送的会话报文;
第一判断模块502,用于判断自身的会话流表中未被占用的容量是否不小于设定阈值;
第二判断模块503,用于根据接收到的所述会话报文携带的会话流的标识信息,判断所述第二网络设备是否为管理设备;
处理模块504,用于当判断自身的会话流表中未被占用的容量不小于设定阈值,以及,判断所述第二网络设备为管理设备中的至少一个成立时,在自身的会话流表中创建所述会话流对应的会话流表项,当判断自身的会话流表中未被占用的容量小于设定阈值,且判断所述第二网络设备不是管理设备时,不创建所述会话流对应的会话流表项。
所述装置还包括:
确定模块505,用于在判断自身的会话流表中未被占用的容量是否不小于设定阈值,并根据接收到的所述会话报文携带的会话流的标识信息,判断所述第二网络设备是否为管理设备之前,根据所述会话报文携带的会话流的标识信息,确定自身的会话流表中不存在所述会话流的标识信息对应的会话流表项。
所述第二判断模块503,具体用于根据保存的管理设备的互联网协议IP地址,判断所述会话报文携带的会话流的标识信息中包含的源IP地址是否与管理设备的IP地址相同,当判断结果为是时,确定所述第二网络设备为管理设备,否则确定所述第二网络设备不是管理设备。
所述第二判断模块503包括:
优先级保存单元5031,用于保存管理设备的互联网协议IP地址对应的优先级,以及各网络设备的IP地址对应的优先级,其中,管理设备的IP地址对应的优先级为最高优先级,各网络设备的IP地址对应的优先级均低于所述最高优先级;
查找单元5032,用于根据所述会话报文携带的会话流的标识信息中包含的源IP地址,查找所述源IP地址对应的优先级;
判断单元5033,用于判断查找到的所述源IP地址对应的优先级是否为所述最高优先级,当判断结果为是时,确定所述第二网络设备为管理设备,否则确定所述第二网络设备不是管理设备。
所述查找单元5032,还用于当未查找到所述源IP地址对应的优先级时,将所述源IP地址对应的优先级设置为低于所述最高优先级的任一优先级。
另外,本发明实施例还提供一种网络设备,包括如上所述的会话流处理装置,该网络设备具体可以为网络中的防火墙设备、网关设备、流量控制设备等。
本发明实施例提供一种会话流处理方法及装置,该方法第一网络设备接收第二网络设备发送的会话报文,当判断自身的会话流表中未被占用的容量不小于设定阈值,或者判断第二网络设备为管理设备时,为该会话报文对应的会话流创建会话流表项,当判断自身的会话流表中被占用的容量小于设定阈值,且第二网络设备不是管理设备时,不创建会话流表项。由于本发明实施例中当会话流表中未被占用的容量小于设定阈值时,只为管理设备发起的会话流创建会话流表项,而不再为其他网络设备发起的会话流创建会话流表项,可以保证无论何时都能接受管理设备发起的会话流,进而可以接收管理设备发送的更新后的会话配置信息,以阻断洪水攻击的会话流,因此可以有效的抵御洪水攻击,提高了网络设备之间信息交互的安全性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种会话流处理方法,其特征在于,包括:
第一网络设备接收第二网络设备发送的会话报文;并
判断自身的会话流表中未被占用的容量是否不小于设定阈值,并根据接收到的所述会话报文携带的会话流的标识信息,判断所述第二网络设备是否为管理设备;
当所述第一网络设备判断自身的会话流表中未被占用的容量不小于设定阈值,以及,所述第二网络设备为管理设备中的至少一个成立时,在自身的会话流表中创建所述会话流对应的会话流表项;
当所述第一网络设备判断自身的会话流表中未被占用的容量小于设定阈值,且判断所述第二网络设备不是管理设备时,不创建所述会话流对应的会话流表项。
2.如权利要求1所述的方法,其特征在于,判断自身的会话流表中未被占用的容量是否不小于设定阈值,并根据接收到的所述会话报文携带的会话流的标识信息,判断所述第二网络设备是否为管理设备之前,所述方法还包括:
所述第一网络设备根据所述会话报文携带的会话流的标识信息,确定自身的会话流表中不存在所述会话流的标识信息对应的会话流表项。
3.如权利要求1所述的方法,其特征在于,根据接收到的所述会话报文携带的会话流的标识信息,判断所述第二网络设备是否为管理设备,具体包括:
所述第一网络设备根据保存的管理设备的互联网协议IP地址,判断所述会话报文携带的会话流的标识信息中包含的源IP地址是否与管理设备的IP地址相同;并
当判断结果为是时,确定所述第二网络设备为管理设备,否则确定所述第二网络设备不是管理设备。
4.如权利要求1所述的方法,其特征在于,所述第一网络设备保存管理设备的互联网协议IP地址对应的优先级,以及各网络设备的IP地址对应的优先级,其中,管理设备的IP地址对应的优先级为最高优先级,各网络设备的IP地址对应的优先级均低于所述最高优先级;
根据接收到的所述会话报文携带的会话流的标识信息,判断所述第二网络设备是否为管理设备,具体包括:
所述第一网络设备根据所述会话报文携带的会话流的标识信息中包含的源IP地址,查找所述源IP地址对应的优先级;并
判断查找到的所述源IP地址对应的优先级是否为所述最高优先级;以及
当判断结果为是时,确定所述第二网络设备为管理设备,否则确定所述第二网络设备不是管理设备。
5.如权利要求4所述的方法,其特征在于,当所述第一网络设备未查找到所述源IP地址对应的优先级时,将所述源IP地址对应的优先级设置为低于所述最高优先级的任一优先级。
6.一种会话流处理装置,其特征在于,包括:
接收模块,用于接收第二网络设备发送的会话报文;
第一判断模块,用于判断自身的会话流表中未被占用的容量是否不小于设定阈值;
第二判断模块,用于根据接收到的所述会话报文携带的会话流的标识信息,判断所述第二网络设备是否为管理设备;
处理模块,用于当判断自身的会话流表中未被占用的容量不小于设定阈值,以及,判断所述第二网络设备为管理设备中的至少一个成立时,在自身的会话流表中创建所述会话流对应的会话流表项,当判断自身的会话流表中未被占用的容量小于设定阈值,且判断所述第二网络设备不是管理设备时,不创建所述会话流对应的会话流表项。
7.如权利要求6所述的装置,其特征在于,所述装置还包括:
确定模块,用于在判断自身的会话流表中未被占用的容量是否不小于设定阈值,并根据接收到的所述会话报文携带的会话流的标识信息,判断所述第二网络设备是否为管理设备之前,根据所述会话报文携带的会话流的标识信息,确定自身的会话流表中不存在所述会话流的标识信息对应的会话流表项。
8.如权利要求6所述的装置,其特征在于,所述第二判断模块,具体用于根据保存的管理设备的互联网协议IP地址,判断所述会话报文携带的会话流的标识信息中包含的源IP地址是否与管理设备的IP地址相同,当判断结果为是时,确定所述第二网络设备为管理设备,否则确定所述第二网络设备不是管理设备。
9.如权利要求6所述的装置,其特征在于,所述第二判断模块包括:
优先级保存单元,用于保存管理设备的互联网协议IP地址对应的优先级,以及各网络设备的IP地址对应的优先级,其中,管理设备的IP地址对应的优先级为最高优先级,各网络设备的IP地址对应的优先级均低于所述最高优先级;
查找单元,用于根据所述会话报文携带的会话流的标识信息中包含的源IP地址,查找所述源IP地址对应的优先级;
判断单元,用于判断查找到的所述源IP地址对应的优先级是否为所述最高优先级,当判断结果为是时,确定所述第二网络设备为管理设备,否则确定所述第二网络设备不是管理设备。
10.如权利要求9所述的装置,其特征在于,所述查找单元,还用于当未查找到所述源IP地址对应的优先级时,将所述源IP地址对应的优先级设置为低于所述最高优先级的任一优先级。
11.一种网络设备,其特征在于,包括如权利要求6~10任一所述的会话流处理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102290749A CN102263664A (zh) | 2011-08-11 | 2011-08-11 | 一种会话流处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102290749A CN102263664A (zh) | 2011-08-11 | 2011-08-11 | 一种会话流处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102263664A true CN102263664A (zh) | 2011-11-30 |
Family
ID=45010133
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102290749A Pending CN102263664A (zh) | 2011-08-11 | 2011-08-11 | 一种会话流处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102263664A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103220225A (zh) * | 2012-05-21 | 2013-07-24 | 华为技术有限公司 | 报文处理方法及设备、*** |
| CN104767634A (zh) * | 2014-01-06 | 2015-07-08 | 韩国电子通信研究院 | 用于管理流表格的方法和设备 |
| CN104869064A (zh) * | 2014-02-21 | 2015-08-26 | 华为技术有限公司 | 一种流表更新方法及装置 |
| CN104871499A (zh) * | 2012-12-19 | 2015-08-26 | 日本电气株式会社 | 通信节点、控制装置、控制信息条目的管理方法以及程序 |
| CN104871501A (zh) * | 2012-12-19 | 2015-08-26 | 日本电气株式会社 | 分组处理装置、流表项配置方法和程序 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119324A (zh) * | 2007-09-21 | 2008-02-06 | 杭州华三通信技术有限公司 | 网络地址转换属性自适应方法及装置 |
| CN101345755A (zh) * | 2008-08-29 | 2009-01-14 | 中兴通讯股份有限公司 | 一种防止地址解析协议报文攻击的方法和*** |
| US20100183033A1 (en) * | 2009-01-20 | 2010-07-22 | Nokia Corporation | Method and apparatus for encapsulation of scalable media |
| CN101800707A (zh) * | 2010-04-22 | 2010-08-11 | 华为技术有限公司 | 建立流转发表项的方法及数据通信设备 |
-
2011
- 2011-08-11 CN CN2011102290749A patent/CN102263664A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119324A (zh) * | 2007-09-21 | 2008-02-06 | 杭州华三通信技术有限公司 | 网络地址转换属性自适应方法及装置 |
| CN101345755A (zh) * | 2008-08-29 | 2009-01-14 | 中兴通讯股份有限公司 | 一种防止地址解析协议报文攻击的方法和*** |
| US20100183033A1 (en) * | 2009-01-20 | 2010-07-22 | Nokia Corporation | Method and apparatus for encapsulation of scalable media |
| CN101800707A (zh) * | 2010-04-22 | 2010-08-11 | 华为技术有限公司 | 建立流转发表项的方法及数据通信设备 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103220225A (zh) * | 2012-05-21 | 2013-07-24 | 华为技术有限公司 | 报文处理方法及设备、*** |
| CN103220225B (zh) * | 2012-05-21 | 2015-07-08 | 华为技术有限公司 | 报文处理方法及设备、*** |
| US9385948B2 (en) | 2012-05-21 | 2016-07-05 | Huawei Technologies Co., Ltd. | Packet processing method, device and system |
| US9742667B2 (en) | 2012-05-21 | 2017-08-22 | Huawei Technologies Co., Ltd. | Packet processing method, device and system |
| CN104871499A (zh) * | 2012-12-19 | 2015-08-26 | 日本电气株式会社 | 通信节点、控制装置、控制信息条目的管理方法以及程序 |
| CN104871501A (zh) * | 2012-12-19 | 2015-08-26 | 日本电气株式会社 | 分组处理装置、流表项配置方法和程序 |
| US9843516B2 (en) | 2012-12-19 | 2017-12-12 | Nec Corporation | Communication node, control apparatus, method for management of control information entries and program |
| US9876716B2 (en) | 2012-12-19 | 2018-01-23 | Nec Corporation | Packet processing apparatus, flow entry configuration method and program |
| CN104767634A (zh) * | 2014-01-06 | 2015-07-08 | 韩国电子通信研究院 | 用于管理流表格的方法和设备 |
| CN104869064A (zh) * | 2014-02-21 | 2015-08-26 | 华为技术有限公司 | 一种流表更新方法及装置 |
| CN104869064B (zh) * | 2014-02-21 | 2018-03-16 | 华为技术有限公司 | 一种流表更新方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
| CN102263664A (zh) | 一种会话流处理方法及装置 | |
| EP3166349A1 (en) | Internet access traffic sharing method, device and terminal | |
| EP2683138A1 (en) | Public network address allocation method and device | |
| CN102572939B (zh) | 一种心跳数据包发送方法、装置及*** | |
| CN101340444A (zh) | 防火墙和服务器策略同步方法、***和设备 | |
| US20160065452A1 (en) | Protection against rule map update attacks | |
| CN102447711A (zh) | 协议报文发送方法及装置 | |
| CN108092940B (zh) | 一种dns的防护方法及相关设备 | |
| CN104102570A (zh) | 一种app运行控制的方法及装置 | |
| CN104268470A (zh) | 安全控制方法和安全控制装置 | |
| CN107154915A (zh) | 防御分布式拒绝服务DDoS攻击的方法、装置及*** | |
| CN105743981A (zh) | 监控方法、监控终端和监控*** | |
| CN102572814B (zh) | 一种移动终端病毒监测方法、***及装置 | |
| CN105592141A (zh) | 一种连接数控制方法及装置 | |
| CN106817267B (zh) | 一种故障检测方法和设备 | |
| CN107911229B (zh) | 运行状态改变的提醒方法、装置、电子设备及存储介质 | |
| EP3263407A1 (en) | Device for controlling operation of modem for vehicle in order to prevent battery discharge and method for controlling same | |
| CN103825812A (zh) | 一种网络限速装置及方法 | |
| CN112910831A (zh) | 报文匹配方法、装置、防火墙设备和存储介质 | |
| WO2020064250A1 (en) | Network slice redirection management | |
| CN107517493A (zh) | 无线资源控制rrc的连接方法、装置及终端 | |
| CN111262846B (zh) | 总线控制器的控制方法、总线控制器及可读存储介质 | |
| CN104380686A (zh) | 用于实施ng防火墙的方法和***、ng防火墙客户端和ng防火墙服务器 | |
| CN101159713A (zh) | 一种限制即时通信应用的方法、***和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20111130 |