CN108076068B - 一种防攻击方法以及装置 - Google Patents

一种防攻击方法以及装置 Download PDF

Info

Publication number
CN108076068B
CN108076068B CN201711447682.0A CN201711447682A CN108076068B CN 108076068 B CN108076068 B CN 108076068B CN 201711447682 A CN201711447682 A CN 201711447682A CN 108076068 B CN108076068 B CN 108076068B
Authority
CN
China
Prior art keywords
counted
layer
attack
vlan
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711447682.0A
Other languages
English (en)
Other versions
CN108076068A (zh
Inventor
王阳
廖以顺
章靠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201711447682.0A priority Critical patent/CN108076068B/zh
Publication of CN108076068A publication Critical patent/CN108076068A/zh
Application granted granted Critical
Publication of CN108076068B publication Critical patent/CN108076068B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本公开涉及网络通信技术领域,尤其涉及一种防攻击方法以及装置,用以在对协议报文进行防攻击统计时,将一层VLAN统计和二层VLAN统计结合,在基于一层VLAN进行粗略统计达到一定阈值后,再基于二层VLAN进行精确统计,实现对待统计协议报文的精确统计。防攻击方法包括:在接收到待统计协议报文后,检测与待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值;如果未达到第一统计阈值,则对待统计协议报文进行一层VLAN统计;如果达到第一统计阈值,则对待统计协议报文进行二层VLAN统计,并在二层VLAN的统计报文数量达到第二统计阈值时,将待统计协议报文作为攻击报文进行防攻击处理。

Description

一种防攻击方法以及装置
技术领域
本公开涉及网络通信技术领域,尤其涉及一种防攻击方法以及装置。
背景技术
宽带远程接入服务器(Broadband Remote Access Server,BRAS)是一种面向宽带网络应用的接入网管,是宽带接入网和骨干网之间的桥梁,为宽带接入网提供基本的接入手段和管理功能;不论是宽带接入网中的用户向骨干网侧发送数据包,还是骨干网侧的用户向宽带接入网中发送数据包,都会被汇聚至BRAS,通过BRAS进行转发,导致BRAS很容易遭受到攻击。双层虚拟局域网(Double Virtual Local Area Network,QINQ)实现将用户私网虚拟局域网(Virtual Local Area Network,VLAN)标签封装在公网VLAN标签中,使报文带着两层VLAN标签穿越运营商的骨干网络。其中,用户私网VLAN又称二层VLAN,公网VLAN又称一层VLAN。VLAN是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。
一种能够精确识别攻击报文的防攻击方法成为目前亟待解决的问题。
发明内容
本公开实施例提供一种防攻击方法以及装置,能够精确识别攻击报文。
第一方面,提供一种防攻击方法,应用于宽带远程接入服务器BRAS,该方法包括:
在接收到主机发送的待统计协议报文后,检测与所述待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值;
如果未达到所述第一统计阈值,则对所述待统计协议报文进行一层VLAN统计;所述一层VLAN连接有多个二层VLAN;每个二层VLAN连接有多个主机;
如果达到所述第一统计阈值,则对所述待统计协议报文进行二层VLAN统计,并在二层VLAN的统计报文数量达到第二统计阈值时,将所述待统计协议报文作为攻击报文进行防攻击处理。
第二方面,提供一种防攻击装置,应用于宽带远程接入服务器BRAS,该装置包括:
检测模块,用于在接收到主机发送的待统计协议报文后,检测与所述待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值;
一层VLAN统计模块,用于在所述检测模块的检测结果为未达到所述第一统计阈值时,对所述待统计协议报文进行一层VLAN统计;所述一层VLAN连接有多个二层VLAN;每个二层VLAN连接有多个主机;
二层VLAN统计模块,用于在所述检测模块的检测结果为达到所述第一统计阈值时,对所述待统计协议报文进行二层VLAN统计;
防攻击处理模块,用于在二层VLAN的统计报文数量达到第二统计阈值时,将所述待统计协议报文作为攻击报文进行防攻击处理。
本公开实施例中,在接收到待统计协议报文后,检测与待统计协议报文对应的一层VLAN的统计报文数量是否达到第一统计阈值,如果达到,则对待统计协议报文进行一层VLAN统计;如果未达到,则对待统计协议报文进行二层VLAN统计,并在对待统计协议报文进行二层VLAN统计的统计报文数量达到第二统计阈值时,将待统计协议报文作为攻击报文进行防攻击处理,从而将一层VLAN统计和二层VLAN统计结合,在基于一层VLAN进行粗略统计达到一定阈值后,再基于二层VLAN进行精确统计,能够实现对待统计协议报文的精确统计。
另外,由于在对协议报文进行一层VLAN粗略统计达到一定阈值后,才会对其进行二层VLAN精确统计,而在同一时刻大部分用户所发起的协议报文为攻击报文的概率是非常小的,因此不需要为每一个用户都建立对应的防攻击统计表项,仅仅为部分进行一层VLAN统计达到一定阈值的用户建立防攻击统计表项,较之只对协议报文进行二层VLAN统计,大大减小了基于二层VLAN进行统计时所生成的防攻击统计表项的数量,使得精确化的防攻击统计得以实现。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出现有技术一种BRAS认证的接入组网示意图;
图2示出本公开实施例所提供的一种防攻击方法的流程示意图;
图3示出本公开示例三提供的防攻击方法的流程示意图;
图4示出本公开实施例所提供的一种防攻击装置的结构示意图;
图5示出本公开实施例所提供的另外一种防攻击装置的结构示意图。
具体实施方式
由于在宽带接入网中的用户和骨干网侧的用户在进行数据通信的时候,数据包会被汇聚至BRAS,通过BRAS对数据包进行转发,导致BRAS很容易遭受到攻击。例如在宽带接入网中的某个非法用户拨号上网的时候,由于该非法用户一直无法成功连接骨干网,会持续向BRAS发起请求;该连接请求不断以数据包的形式被汇聚到BRAS,BRAS需要不断的基于该请求判定该非法用户的合法性,计算资源会被大量占用,影响BRAS对其它合法用户所发送的协议的响应能力。
为了防攻击,BRAS需要配套支持很多防攻击特性,使得BRAS能够对接收到的协议报文进行筛选,将其中的攻击报文过滤掉。在相关技术中,多采用QINQ对用户进行隔离,同时在BRAS上配置使能支持两层虚拟局域网(Virtual Local Area Network,VLAN)识别功能,并基于其中一层VLAN或者基于两层VLAN,建立防攻击临时统计表项,以实现对攻击报文的筛选。
在上述过程中,基于一层VLAN对攻击报文的筛选不能对BRAS接收到的攻击报文进行精细化的识别,无法达到精确识别攻击报文以防止攻击的目的。基于两层VLAN对攻击报文进行筛选,虽然解决了基于一层VLAN筛选时无法精细化识别的问题,但随着宽带接入网中的用户不断增加,所生成的防攻击统计表项会成非常庞大,基于数量庞大的表项来对协议报文进行统计筛选显然是不现实的。
如图1所示的BRAS认证的接入组网中,用户(personal computer,PC)1和PC2通过局域网交换机(Local Area Network Switch,LSW)接入BRAS;其中PC1通过LSW1和LSW3接入BRAS,PC2通过LSW2和LSW3接入BRAS;LSW3为双层虚拟局域网中的一层VLAN,LSW1和LSW2分别为双层虚拟局域网中的两个二层VLAN;两个二层VLAN均通过一层VLAN与BRAS隔离。
BRAS如果采用二层VLAN统计对协议报文中的攻击报文进行识别,假设BRAS连接有2000个一层VLAN;通过该一层VLAN隔离的二层VLAN又连接有3000个用户,那么最终所形成的二层防攻击临时统计表项的数量有2000乘以3000,达到6000000个,数量非常庞大,基于数量如此庞大的表项进行统计显然是不现实的。
如果采用一层VLAN统计对协议报文中的攻击报文进行识别,BRAS在接收到主机所发送的协议报文后,会根据协议报文中所携带的LSW3的标识、用户的MAC地址、以及接收到该协议报文的报文接收端口,从当前已经创建的防攻击临时统计表中查找是否有与该待统计协议报文对应的防攻击临时统计表项;如果无,则创建防攻击临时统计表项;如果有,则将当前防攻击临时统计表项中的第一统计位加1;然后并判断当前第一统计位的数值是否达到预设的阈值,如果达到,则将该待统计协议报文作为攻击报文,对其进行防攻击处理。
但是实际实施中,由于处于不同二层VLAN的不同用户可能是配置在同一台物理主机上的两台虚拟机,例如为上述PC1和PC2,两台虚拟机PC1和PC2会共用该物理主机的MAC地址作为自己的MAC地址;同时,两台虚拟机PC1和PC2均通过LSW3实现与BRAS的隔离,因此BRAS接收到两台虚拟主机所发送的待统计协议报文的报文接收端口(port)也是相同的,导致BRAS无法将两台虚拟机所发送的待统计协议报文进行分别统计;如果攻击报文仅仅来自其中一台虚拟机PC1,但是由于另外一台虚拟机PC2所发送的协议报文与PC1所发送的协议报文具有相同的MAC地址、LSW3标识以及相同的接收端口port1,导致PC2所发送的协议报文也会作为攻击报文被BRAS进行防攻击处理。因此BRAS进行一层VLAN防攻击统计会由于统计精确度不够造成非攻击报文也被当作攻击报文进行处理。本公开正是提出一种能够对攻击报文进行精确识别的防攻击方法。
本公开方案在协议报文进行统计时,是将一层VLAN统计和二层VLAN统计结合,在基于一层VLAN进行粗略统计达到一定阈值后,再基于二层VLAN进行精确统计,能够将攻击报文定位到具体的虚拟机而并非是物理主机,实现对待统计协议报文的精确统计。
为使本公开的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本公开做进一步详细的说明。
本公开实施例中用户可以为虚拟机;多台虚拟机可以布设在同一台物理主机上,具有相同的MAC地址;处于同一台物理主机上的多台虚拟机可以分别属于不用的VLAN;对处于不同VLAN的虚拟机的划分是逻辑上的划分,而并非是物理上的划分。另外,用户还可以是布设在物理主机上具有独立计算资源的其他形式的主体。下面以用户为虚拟机对该防攻击方法进行介绍。另外,在本公开实施例中,一层VLAN是指直接与BRAS连接的VLAN,二层VLAN指示通过一层VLAN间接与BRAS连接的VLAN。一层VLAN连接有多个二层VLAN,每个二层VLAN均连接有多个主机。
如图2所示,为本公开实施例提出的一种防攻击方法流程示意图。本公开实施例中,负责执行防攻击方法的主体为BRAS,也可以是与BRAS连接的其它主机设备;一般地,为了便于管理和操作,由BRAS来执行防攻击过程,下面以防攻击过程的主体为BRAS为例进行介绍,该方法包括以下步骤:
步骤S201:在接收到主机发送的待统计协议报文后,检测与待统计协议报文对应的一层VLAN的统计报文数量是否达到第一统计阈值;如果未达到第一统计阈值,则执行S202,如果达到第一统计阈值,则执行S203。
在具体实时中,BRAS设备接收到主机所发送的协议报文,并对协议报文进行转发或者响应。每台主机均通过两层VLAN与BRAS连接,其中一层VLAN位于BRAS与二层VLAN之间,将二层VLAN和BRAS隔离;主机所发出的协议报文在经由一层VLAN和二层VLAN的转发后,除了携带有主机的MAC地址外,还会携带有一层VLAN的标识以及二层VLAN的标识。BRAS在接收到协议报文后,能够确定协议报文的接收端口标识。基于上述MAC地址、一层VLAN标识和二层VLAN标识,以及协议报文的接收端口标识能够唯一确定一台虚拟机;基于上述MAC地址和一层VLAN标识,以及接收协议报文的接收端口标识,能够确定一台物理主机,但无法确定运行在该物理主机上的虚拟机。
BRAS在新接收到待统计协议报文后,通过下述方法对待统计协议报文进行一层VLAN统计:
根据待统计协议报文携带的MAC地址和一层VLAN标识,以及待统计协议报文的接收端口标识,检测具有相同MAC地址、一层VLAN标识、以及接收端口标识的已统计协议报文的数量。
将检测出的已统计协议报文的数量确定为与待统计协议报文对应的一层VLAN的统计报文数量。
在具体实施中,BRAS对接收到的协议报文进行统计,并将已统计的协议报文的数量进行保存。
此处,和当前接收到的待统计协议报文具有相同的MAC地址、一层VLAN标识、以及接收端口标识的已统计协议报文的数量被记录在一层防攻击临时统计表中。可以直接基于该一层防攻击临时统计表中的第一统计位进行检测,如下述示例一所示;也可以间接基于该一层防攻击临时统计表中的第一统计位进行检测,如下述示例二所示。
示例一:
BRAS在对协议报文进行一层VLAN统计时基于一层防攻击临时统计表;一层防攻击临时统计表中包括多个一层防攻击临时统计表项。一层防攻击临时统计表项携带有MAC地址、一层VLAN标识、协议报文的接收端口标识,以及第一统计位,该第一统计位用于记录在对协议报文进行一层VLAN统计时的当前统计报文数量。
例如,一层防攻击临时统计表如表1所示:
表1
Index MAC Svlan Interface 第一统计位
1 mac1 1 port1 40
2 mac2 1 port1 21
其中,Index为一层防攻击临时统计表项的序号;MAC为MAC地址;Svlan为一层VLAN标识;Interface为协议报文的接收端口标识;在序号为1的一层防攻击临时统计表项中,所携带的MAC地址、一层VLAN标识、协议报文的接收端口标识以及第一统计位分别为:mac1、1、port1和40;序号为2的一层防攻击临时统计表项中,所携带的MAC地址、一层VLAN标识、协议报文的接收端口标识以及第一统计位分别为:mac2、1、port1和21;则两个一层防攻击临时统计表项分别对应同一一层VLAN中的两个具有不同MAC地址的用户所发送的协议报文。
当BRAS对接收到的待统计协议报文进行一层VLAN统计时,首先根据待统计协议报文携带的MAC地址和一层VLAN标识,以及该待统计协议报文的接收端口标识,确定与该待统计协议报文具有相同MAC地址、相同一层VLAN标识,以及相同接收端口标识的一层防攻击临时统计表项;其次检测所确定的一层防攻击临时统计表项中第一统计位的数值是否达到第一统计阈值;此处,第一统计位的数值即为当前已统计协议报文的数量。
示例二:
BRAS上新增分级控制表;该分级控制表包括多个分级控制表项;每个分级控制表项中携带有MAC地址、一层VLAN标识、接收端口标识,以及分级统计标记位;如果该分级统计标记位的值为0,则指示对新接收到的与分级控制表项对应的协议报文进行一层VLAN统计;如果该分级统计标记位的值为1,则指示对新接收到的与分级控制表项对应的协议报文进行二层VLAN统计。与分级控制表项对应的协议报文是指,MAC地址、一层VLAN标识、接收端口标识的与分级控制表项中携带的MAC地址、一层VLAN标识、接收端口标识均相同的协议报文。
例如,分级控制表如表2所示:
表2
Index MAC Svlan Interface Classification
1 mac1 1 port1 1
2 mac2 2 port2 0
Index为分级控制表项的序号;MAC为MAC地址;Svlan为一层VLAN标识;Interface为协议报文的接收端口标识;Classification为分级统计标记位;在序号为1的分级控制表项中,所携带的MAC地址、一层VLAN标识、协议报文的接收端口标识以及分级统计标记位分别为:mac1、1、port1和1,指示对MAC地址、一层VLAN标识、协议报文的接收端口标识分别为mac1、1、port1的协议报文进行二层VLAN统计;
序号为2的一层防攻击临时统计表项中,所携带的MAC地址、一层VLAN标识、协议报文的接收端口标识以及分级统计标记位分别为:mac2、2、port2和0;指示对MAC地址、一层VLAN标识、协议报文的接收端口标识分别为mac2、2、port2的协议报文进行一层VLAN统计。
此处,分级统计标记位的值是根据对协议报文进行一层VLAN统计的统计报文结果进行确定的;在每一个分级控制表项建立的时候,该分级统计标记位的值被初始化为0;每一次在对协议报文进行一层VLAN统计后,都要检测当前统计报文结果是否达到第一统计阈值;如果是,则将对应的分级控制表项中的分级统计标记位的值从0更改为1。
当BRAS接收到待统计协议报文后,首先基于该待统计协议报文中的MAC地址、一层VLAN标识,以及待统计协议报文的接收端口标识,确定与该待统计协议报文对应的分级控制表项;然后检测所确定的分级控制表项中的分级统计标记位的值;如果该分级统计标记位为0,则表示与待统计协议报文对应的一层VLAN的统计报文数量未达到第一统计阈值;如果该分级统计标记位为1,则表示与待统计协议报文对应的一层VLAN的统计报文数量达到第一统计阈值。
此处,在确定与待统计协议报文对应的分级控制表项时,如果分级控制表中不存在与待统计协议报文对应的分级控制表项,则建立分级控制表项,并将该分级控制表项中的分级统计标记位初始化为0。
需要注意的是,在上述示例中分级统计标记位的数值的设定仅仅为一个示例,实际上可以根据需要将分级统计标记位设置为其他的值,只要能够对协议报文进行统计的具体方式分别进行指示即可。
S202:对待统计协议报文进行一层VLAN统计。
在具体实施中,对待统计协议报文进行一层VLAN统计,要根据待统计协议报文携带的MAC地址和一层VLAN标识,以及待统计协议报文的接收端口标识,获取具有相同MAC地址、一层VLAN标识、以及所述接收端口标识的已统计协议报文的数量;然后将所述已统计协议报文的数量加1。
此处,在BRAS中,在对待统计协议报文进行一层VLAN统计的时候,首先要根据待统计协议报文中携带的MAC地址和一层VLAN标识,以及待统计协议报文的接收端口标识,从一层防攻击临时统计表中,确定与待统计协议报文对应的一层防攻击临时统计表项;如果与待统计协议报文对应的一层防攻击临时统计表项不存在,则建立与该待统计协议报文对应的一层防攻击临时统计表项,并将建立的一层防攻击临时统计表项的第一统计位的值初始化为1;如果确定了与待统计协议报文对应的一层防攻击临时统计表项,则将一层防攻击临时统计表项中的第一统计位的值加1。
在该实施例中,如果是基于上述示例一的方法检测与待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值,那么由于已经确定过与待统计协议报文对应的一层防攻击临时统计表项,则在此不需要再次执行一次确定的过程,直接对所确定的一层防攻击临时统计表项的第一统计位进行更新即可。
如果是基于上述示例二的方法检测与待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值,那么在此需要执行该确定一层防攻击临时统计表项的过程。在确定了于一层防攻击临时统计表项之后,对所确定的一层防攻击临时统计表项的第一统计位进行更新,同时要将更新后的第一统计位的数值与第一统计阈值进行比对;如果该更新后的第一统计位的数值达到该第一统计阈值,则将对应的分级控制表项中的分级统计标记位由0更改为1;当再次接收到与当前待统计协议报文具有相同MAC地址、一层VLAN标识,以及接收端口标识的新的待统计协议报文时,在检测到分级控制表项中的分级统计标记位为1时,对新的待统计协议报文进行二层VLAN统计。
S203:对待统计协议报文进行二层VLAN统计。
在具体实施中,当BRAS对接收到的待统计协议报文进行二层VLAN统计时,首先根据待统计协议报文携带的MAC地址、一层VLAN标识和二层VLAN标识,以及待统计协议报文的接收端口标识,获取具有所述MAC地址、一层VLAN标识、二层VLAN标识以及所述接收端口标识的已统计协议报文的数量;然后将已统计协议报文的数量加1。
此处,BRAS在对协议报文进行二层VLAN统计时,可以通过建立二层防攻击临时统计表,并创建与协议报文对应的二层防攻击临时统计表项来实现。某个协议报文对应的二层防攻击临时统计表项是在对该协议报文进行初次二层VLAN统计的时候才建立的;该二层防攻击临时统计表项中包括协议报文的MAC地址、一层VLAN标识、二层VLAN标识,以及该协议报文的接口端口标识,还包括第二统计位。该第二统计位用于记录在对协议报文进行二层VLAN统计使得当前统计报文数量。
例如,二层防攻击临时统计表如表3所示:
表3
Figure BDA0001527890880000111
Figure BDA0001527890880000121
其中,Index为二层防攻击临时统计表项的序号;MAC为MAC地址;Svlan为一层VLAN标识;Cvlan为二层VLAN标识;Interface为协议报文的接收端口标识;在序号为1的二层防攻击临时统计表项中,所携带的MAC地址、二层VLAN标识、一层VLAN标识、协议报文的接收端口标识以及第一统计位分别为:mac1、1、1、port1和14;序号为2的二层防攻击临时统计表项中,所携带的MAC地址、二层VLAN标识、一层VLAN标识、协议报文的接收端口标识以及第一统计位分别为:mac1、2、1、port1和40;这两个一层防攻击临时统计表项分别对应同一物理主机上两个不同虚拟机所发送的协议报文。
当BRAS接收到待统计协议报文后,首先根据待统计协议报文中携带的MAC地址、一层VLAN标识和二层VLAN标识,以及待统计协议报文的接收端口标识,确定与待统计协议报文对应的二层防攻击临时统计表项;如果当前二层防攻击临时统计表中不存在与待统计协议报文对应的二层防攻击临时统计表项,则建立与待统计协议报文对应的二层防攻击临时统计表项,并将建立的二层防攻击临时统计表项的第二统计位的值初始化为1;如果确定了待统计协议报文对应的二层防攻击临时统计表项,则将所确定的二层防攻击临时统计表项中的第二统计位的值加1。
此处,需要注意的是,在对待统计协议报文进行二层VLAN统计时,还要将与代统计协议报文对应的一层防攻击临时统计表项删除,以减少一层防攻击临时统计表中一层防攻击临时统计表项的数量;当有其它新的待统计协议报文进行一层VLAN统计时,更少的一层防攻击临时统计表项数量有利于减少确定与新的待统计协议报文对应的一层防攻击临时统计表项的计算量,降低BRAS的计算压力。
S204:在二层VLAN的统计报文数量达到第二统计阈值时,将待统计协议报文作为攻击报文进行防攻击处理。
在具体实施中,在对待统计协议报文进行二层VLAN统计后,要检测与当前待统计协议报文对应的统计报文数量是否达到第二统计阈值;如果达到第二统计阈值,则该待统计协议报文为攻击报文;如果未达到第二统计阈值,则该待统计协议报文非攻击报文。
在确定了待统计协议报文为攻击报文后,要将之作为攻击报文进行防攻击处理。
在将待统计报文对作为攻击报文进行防攻击处理的时候,要根据该待统计协议报文中携带的MAC地址、一层VLAN标识、二层VLAN标识以及接收到该待统计协议报文的接收端口标识,生成防攻击表项。
防攻击表项在刚生成时为内存中所保存的软件表项,其中携带有MAC地址、一层VLAN标识、二层VLAN标识;然后该软件表项会下发至与待统计协议报文的接收端口标识对应的接收端口中,保存为硬件表项。当接收端口接收到与硬件表项中携带的MAC地址、一层VLAN标识、二层VLAN标识相同的协议报文后,会基于该硬件表项判断该协议报文为攻击报文,进而对被认定为攻击报文的协议报文进行丢弃处理,以达到防攻击的目的。此处,由于接收端口能够基于硬件表项中携带的MAC地址、一层VLAN标识、二层VLAN标识精确识别出来自虚拟机的攻击报文。
此处,需要注意的是,在生成防攻击表项时,还要将与攻击报文对应的二层防攻击临时统计表项删除,以减少二层防攻击临时统计表中二层防攻击临时统计表项的数量;当有其它新的待统计协议报文进行二层VLAN统计时,更少的二层防攻击临时统计表项数量有利于减少确定与新的待统计协议报文对应的二层防攻击临时统计表项的计算量,降低BRAS的计算压力。
本公开实施例中,在接收到待统计协议报文后,检测与待统计协议报文对应的一层VLAN的统计报文数量是否达到第一统计阈值,如果达到,则对待统计协议报文进行一层VLAN统计;如果未达到,则对待统计协议报文进行二层VLAN统计,并在对待统计协议报文进行二层VLAN统计的统计报文数量达到第二统计阈值时,将待统计协议报文作为攻击报文进行防攻击处理,从而将一层VLAN统计和二层VLAN统计结合,在基于一层VLAN进行粗略统计达到一定阈值后,再基于二层VLAN进行精确统计,能够将攻击报文定位到具体的虚拟机而并非定位到物理主机,实现对待统计协议报文的精确统计。
另外,由于在对协议报文进行一层VLAN粗略统计达到一定阈值后,才会对其进行二层VLAN精确统计,而大多数用户所发送的协议报文都不会是攻击报文,因此不需要为每一个用户都建立对应的防攻击统计表项,仅仅为部分一层VLAN统计达到一定阈值的用户建立防攻击统计表项,较之只对协议报文进行二层VLAN统计,大大减小了基于二层VLAN进行统计时所生成的防攻击统计表项的数量,使得精确化的防攻击统计得以实现。
参见图3所示,本公开实施例还提供一种防攻击方法的具体示例三,该示例包括:
S301:接收待统计协议报文。
S302:根据待统计报文携带的MAC地址和一层VLAN标识,以及接收到该待统计协议报文的接收端口标识,确定与该待统计协议报文对应的分级控制表项;
S303:检测所确定的分级控制表项中分级统计标记位的值是否为0;如果是,则跳转至S304;如果否,则跳转至S308;
S304:根据待统计报文携带的MAC地址和一层VLAN标识,以及接收到该待统计协议报文的接收端口标识,确定与该待统计协议报文对应的一层防攻击临时统计表项;
S305:将所确定的一层防攻击统计表项中的第一统计位的值加1;
S306:检测加1后的第一统计位是否到达第一统计阈值;如果是,则跳转至S307;
S307:将所确定的分级控制表项中的分级统计标记位的值由0改成1。
S308:根据待统计报文携带的MAC地址、一层VLAN标识和二层VLAN标识,以及接收到该待统计协议报文的接收端口标识,确定与该待统计协议报文对应的二层防攻击临时统计表项;
S309:将所确定的二层防攻击统计表项中的第二统计位的值加1;
S310:检测加1后的第二统计位是否到达第二统计阈值;如果是,则跳转至S311;
S311:根据待统计协议报文中携带的MAC地址、一层VLAN标识、二层VLAN标识以及接收到该待统计协议报文的接收端口标识,生成防攻击表项。
基于同一发明构思,本公开实施例中还提供了与防攻击方法对应的防攻击装置,由于本公开实施例中的装置解决问题的原理与本公开实施例上述防攻击方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参见图4所示,本公开实施例所提供的防攻击装置,应用于BRAS,该装置包括:
检测模块10,用于在接收到主机发送的待统计协议报文后,检测与待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值;
一层VLAN统计模块20,用于在检测模块的检测结果为未达到第一统计阈值时,对待统计协议报文进行一层VLAN统计;一层VLAN连接有多个二层VLAN;每个二层VLAN连接有多个主机;
二层VLAN统计模块30,用于在检测模块的检测结果为达到第一统计阈值时,对待统计协议报文进行二层VLAN统计;
防攻击处理模块40,用于在二层VLAN的统计报文数量达到第二统计阈值时,将待统计协议报文作为攻击报文进行防攻击处理。
可选地,检测模块10,具体用于:根据待统计协议报文携带的介质访问控制MAC地址和一层VLAN标识,以及待统计协议报文的接收端口标识,检测具有MAC地址、一层VLAN标识、以及接收端口标识的已统计协议报文的数量;
将检测出的已统计协议报文的数量确定为与待统计协议报文对应的一层VLAN的统计报文数量。
可选地,一层VLAN统计模块20,具体用于:根据待统计协议报文携带的MAC地址和一层VLAN标识,以及待统计协议报文的接收端口标识,获取具有相同MAC地址、一层VLAN标识、以及接收端口标识的已统计协议报文的数量;
对已统计协议报文的数量进行更新。
可选地,二层VLAN统计模块30,具体用于:
根据待统计协议报文携带的MAC地址、一层VLAN标识和二层VLAN标识,以及待统计协议报文的接收端口标识,获取具有MAC地址、一层VLAN标识、二层VLAN标识以及接收端口标识的已统计协议报文的数量;对已统计协议报文的数量进行更新。
可选地,防攻击模块40,具体用于:
根据待统计协议报文中携带的MAC地址、一层VLAN标识、二层VLAN标识以及接收到该待统计协议报文的接收端口标识,生成防攻击表项,以基于防攻击表项精确识别攻击报文。
本公开实施例还提供了一种防攻击装置,如图5所示,防攻击装置100包括:存储器1000、处理器2000及存储在该存储器1000上并可在该处理器2000上运行的计算机程序,其中,上述处理器2000执行上述计算机程序时实现上述任一实施例中的防攻击方法的步骤。
具体地,上述存储器1000和处理器2000能够为通用的存储器和处理器,这里不做具体限定,存储器1000和处理器2000通过总线3000连接;当处理器2000运行存储器1000存储的计算机程序时,能够执行上述任一实施例中的防攻击方法,从而解决目前基于一层VLAN进行防攻击统计无法实现攻击报文的精确识别的问题,进而能够将一层VLAN统计和二层VLAN统计结合起来,实现攻击报文的精确统计。
本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述任一实施例中对应的防攻击方法的步骤。
具体地,该存储介质能够为通用的存储介质,如移动磁盘、硬盘等,该存储介质上的计算机程序被运行时,能够执行上述防攻击方法,从而解决目前基于一层VLAN进行防攻击统计无法实现攻击报文的精确识别的问题,进而能够将一层VLAN统计和二层VLAN统计结合起来,实现攻击报文的精确统计。
本公开实施例所提供的防攻击方法以及装置的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种防攻击方法,应用于宽带远程接入服务器BRAS,其特征在于,该方法包括:
在接收到主机发送的待统计协议报文后,检测与所述待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值;
如果未达到所述第一统计阈值,则对所述待统计协议报文进行一层VLAN统计;所述一层VLAN连接有多个二层VLAN;每个二层VLAN连接有多个所述主机;
如果达到所述第一统计阈值,则对所述待统计协议报文进行二层VLAN统计,并在二层VLAN的统计报文数量达到第二统计阈值时,将所述待统计协议报文作为攻击报文进行防攻击处理。
2.根据权利要求1所述的方法,其特征在于,检测与所述待统计协议报文对应的一层VLAN的统计报文数量,具体包括:
根据所述待统计协议报文携带的介质访问控制MAC地址和一层VLAN标识,以及所述待统计协议报文的接收端口标识,检测具有所述MAC地址、一层VLAN标识、以及所述接收端口标识的已统计协议报文的数量;
将检测出的已统计协议报文的数量确定为与所述待统计协议报文对应的一层VLAN的统计报文数量。
3.根据权利要求1或2所述的方法,其特征在于,所述对所述待统计协议报文进行一层VLAN统计,具体包括:
根据所述待统计协议报文携带的MAC地址和一层VLAN标识,以及所述待统计协议报文的接收端口标识,获取具有相同MAC地址、一层VLAN标识、以及所述接收端口标识的已统计协议报文的数量;
将所述已统计协议报文的数量加1。
4.根据权利要求1或2所述的方法,其特征在于,所述对所述待统计协议报文进行二层VLAN统计,具体包括:
根据所述待统计协议报文携带的MAC地址、一层VLAN标识和二层VLAN标识,以及所述待统计协议报文的接收端口标识,获取具有所述MAC地址、一层VLAN标识、二层VLAN标识以及所述接收端口标识的已统计协议报文的数量;
将所述已统计协议报文的数量加1。
5.根据权利要求1所述的方法,其特征在于,将所述待统计协议报文作为攻击报文进行防攻击处理,具体包括:
根据所述待统计协议报文中携带的MAC地址、一层VLAN标识、二层VLAN标识以及接收到该待统计协议报文的接收端口标识,生成防攻击表项,以使得所述BRAS基于所述防攻击表项精确识别所述攻击报文。
6.一种防攻击装置,应用于宽带远程接入服务器BRAS,其特征在于,该装置包括:
检测模块,用于在接收到主机发送的待统计协议报文后,检测与所述待统计协议报文对应的一层虚拟局域网VLAN的统计报文数量是否达到第一统计阈值;
一层VLAN统计模块,用于在所述检测模块的检测结果为未达到所述第一统计阈值时,对所述待统计协议报文进行一层VLAN统计;所述一层VLAN连接有多个二层VLAN;每个二层VLAN连接有多个所述主机;
二层VLAN统计模块,用于在所述检测模块的检测结果为达到所述第一统计阈值时,对所述待统计协议报文进行二层VLAN统计;
防攻击处理模块,用于在二层VLAN的统计报文数量达到第二统计阈值时,将所述待统计协议报文作为攻击报文进行防攻击处理。
7.根据权利要求6所述的装置,其特征在于,所述检测模块,具体用于:根据所述待统计协议报文携带的介质访问控制MAC地址和一层VLAN标识,以及所述待统计协议报文的接收端口标识,检测具有所述MAC地址、一层VLAN标识、以及所述接收端口标识的已统计协议报文的数量;
将检测出的已统计协议报文的数量确定为与所述待统计协议报文对应的一层VLAN的统计报文数量。
8.根据权利要求6或7所述的装置,其特征在于,所述一层VLAN统计模块,具体用于:根据所述待统计协议报文携带的MAC地址和一层VLAN标识,以及所述待统计协议报文的接收端口标识,获取具有相同MAC地址、一层VLAN标识、以及所述接收端口标识的已统计协议报文的数量;
将所述已统计协议报文的数量加1。
9.根据权利要求6或7所述的装置,其特征在于,所述二层VLAN统计模块,具体用于:
根据所述待统计协议报文携带的MAC地址、一层VLAN标识和二层VLAN标识,以及所述待统计协议报文的接收端口标识,获取具有所述MAC地址、一层VLAN标识、二层VLAN标识以及所述接收端口标识的已统计协议报文的数量;
所述已统计协议报文的数量加1。
10.根据权利要求6所述的装置,其特征在于,所述防攻击模块,具体用于:
根据所述待统计协议报文中携带的MAC地址、一层VLAN标识、二层VLAN标识以及接收到该待统计协议报文的接收端口标识,生成防攻击表项,以使得所述BRAS基于所述防攻击表项精确识别所述攻击报文。
CN201711447682.0A 2017-12-27 2017-12-27 一种防攻击方法以及装置 Active CN108076068B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711447682.0A CN108076068B (zh) 2017-12-27 2017-12-27 一种防攻击方法以及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711447682.0A CN108076068B (zh) 2017-12-27 2017-12-27 一种防攻击方法以及装置

Publications (2)

Publication Number Publication Date
CN108076068A CN108076068A (zh) 2018-05-25
CN108076068B true CN108076068B (zh) 2021-05-07

Family

ID=62155470

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711447682.0A Active CN108076068B (zh) 2017-12-27 2017-12-27 一种防攻击方法以及装置

Country Status (1)

Country Link
CN (1) CN108076068B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112134838B (zh) * 2020-08-12 2022-05-27 新华三技术有限公司合肥分公司 防止网络攻击的方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101217539A (zh) * 2007-12-29 2008-07-09 杭州华三通信技术有限公司 一种防火墙设备及处理二层转发报文的方法
CN101257379A (zh) * 2008-03-31 2008-09-03 华为技术有限公司 防止攻击的网络的配置方法、防止攻击的方法和装置
CN101277230A (zh) * 2008-04-22 2008-10-01 华为技术有限公司 一种层次化流量统计的方法和装置
WO2009135422A1 (zh) * 2008-05-04 2009-11-12 华为技术有限公司 一种QinQ内广播的实现方法和装置
CN106131046A (zh) * 2016-08-12 2016-11-16 杭州华三通信技术有限公司 一种防攻击处理方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070283429A1 (en) * 2006-05-30 2007-12-06 A10 Networks Inc. Sequence number based TCP session proxy
CN101494669B (zh) * 2009-03-10 2012-11-21 华为技术有限公司 给用户终端分配ip地址的方法和装置
CN102195947B (zh) * 2010-03-15 2014-07-16 华为技术有限公司 合法监听的方法及装置
WO2015167489A1 (en) * 2014-04-30 2015-11-05 Hewlett-Packard Development Company, L.P. Network fabric control

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101217539A (zh) * 2007-12-29 2008-07-09 杭州华三通信技术有限公司 一种防火墙设备及处理二层转发报文的方法
CN101257379A (zh) * 2008-03-31 2008-09-03 华为技术有限公司 防止攻击的网络的配置方法、防止攻击的方法和装置
CN101277230A (zh) * 2008-04-22 2008-10-01 华为技术有限公司 一种层次化流量统计的方法和装置
WO2009135422A1 (zh) * 2008-05-04 2009-11-12 华为技术有限公司 一种QinQ内广播的实现方法和装置
CN106131046A (zh) * 2016-08-12 2016-11-16 杭州华三通信技术有限公司 一种防攻击处理方法及装置

Also Published As

Publication number Publication date
CN108076068A (zh) 2018-05-25

Similar Documents

Publication Publication Date Title
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
US10581915B2 (en) Network attack detection
US11671402B2 (en) Service resource scheduling method and apparatus
CN110809010B (zh) 威胁信息处理方法、装置、电子设备及介质
CN113228589B (zh) 使用标签保护基于网络的计算资源
US20120317566A1 (en) Virtual machine packet processing
CN102487339A (zh) 一种网络设备攻击防范方法及装置
CN108270722B (zh) 一种攻击行为检测方法和装置
CN101529862A (zh) 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置
CN107733867B (zh) 一种发现僵尸网络及防护的方法、***和存储介质
CN111464525B (zh) 一种会话识别方法、装置、控制设备及存储介质
CN110933111A (zh) 一种基于DPI的DDoS攻击识别方法及装置
US20180322410A1 (en) System and Method for Vendor Agnostic Automatic Supplementary Intelligence Propagation
CN113114694A (zh) 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法
CN107690004B (zh) 地址解析协议报文的处理方法及装置
US20180020014A1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method, and malicious communication pattern extraction program
CN111953527B (zh) 一种网络攻击还原***
CN106506531A (zh) Arp攻击报文的防御方法及装置
CN108076068B (zh) 一种防攻击方法以及装置
US20200169577A1 (en) Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code
CN112583827B (zh) 一种数据泄露检测方法及装置
CN113098852B (zh) 一种日志处理方法及装置
CN105939321A (zh) 一种dns攻击检测方法及装置
CN106685900B (zh) 漏洞防护方法和装置
CN110048905B (zh) 物联网设备通信模式识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant