技术领域
[0001] 本
发明涉及网络通信技术领域,尤其涉及一种防攻击处理方法及网络设备。
背景技术
[0002] SYN(同步)Flood(泛洪)是一种大量伪造非法IP(Internet Protocol,网际协议)地址向网络设备发送SYN报文的攻击方式,导致网络设备长时间维持与非法IP地址的半连接状态,消耗网络设备的系统资源(处理器满负荷或内存不足),影响正常业务的处理。
[0003] 目前,针对SYN Flood攻击的主要防御方法是向
硬件转发芯片发送包含TCP(Transmission Control Protocol,传输控制协议)SYN攻击报文五元组信息的攻击表项,由硬件转发芯片对命中攻击表项的TCP SYN报文进行丢弃或限速,以达到防御SYN Flood攻击、减少网络设备资源消耗的目的。但是,该防御方法仍存在一些不必要的资源消耗,例如,当目的端口不在本设备开启的服务端口范围内时,TCP SYN报文仍会被发送给CPU(Central Processing Unit,
中央处理器)处理,造成对CPU的冲击,且该不存在的目的端口的攻击表项,仍然消耗硬件转发芯片的表项资源。
发明内容
[0004] 本发明的目的在于提供一种防攻击处理方法及网络设备,用以进一步降低TCPSYN攻击对网络设备的资源消耗。
[0005] 为实现上述发明目的,本发明提供了技术方案:
[0006] 本发明提供一种防攻击处理方法,应用于网络设备,所述网络设备包括中央处理器CPU和硬件转发芯片,所述方法包括:
[0007] CPU将本设备开启的传输控制协议TCP服务端口号发送给本设备的硬件转发芯片;
[0008] 当所述硬件转发芯片接收到TCP同步SYN报文时,所述硬件转发芯片判断是否存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号;
[0009] 当不存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号时,所述硬件转发芯片丢弃所述TCP SYN报文。
[0010] 本发明还提供一种网络设备,所述设备包括:
[0011] CPU,用于将开启的传输控制协议TCP服务端口号发送给硬件转发芯片;
[0012] 硬件转发芯片,用于当接收到TCP同步SYN报文时,判断是否存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号;当不存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号时,丢弃所述TCP SYN报文。
[0013] 由以上描述可以看出,本发明通过CPU将本设备开启的TCP服务端口号发送到硬件转发芯片中,由硬件转发芯片对目的端口号不在本设备TCP服务端口号范围内的TCP SYN报文进行丢弃,从而避免目的端口号不在本设备TCP服务端口号范围内的TCP SYN报文发送给CPU,不仅节约了CPU资源,同时也节约了硬件转发芯片中的表项资源。
附图说明
[0014] 图1是本发明
实施例示出的防攻击处理方法
流程图;
[0015] 图2是本发明实施例示出的组网示意图;
[0016] 图3是本发明实施例示出的网络设备的结构示意图。
具体实施方式
[0017] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附
权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
[0018] 在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0019] 应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
[0020] 本发明实施例提出一种防攻击处理方法,该方法通过CPU将本设备开启的TCP服务端口号发送到硬件转发芯片中,由硬件转发芯片对目的端口号不在本设备TCP服务端口号范围内的TCP SYN报文进行丢弃,从而有效防止TCP SYN攻击,同时,可进一步节约网络设备中硬件转发芯片的表项资源。
[0021] 参见图1,为本发明防攻击处理方法的一个实施例流程图,该实施例对网络设备的防攻击处理过程进行描述,其中,该网络设备通常包括CPU和硬件转发芯片。
[0022] 步骤101,CPU将本设备开启的TCP服务端口号发送给本设备的硬件转发芯片。
[0023] 在基于TCP连接提供服务的网络设备中,CPU为每一个服务开启对应的TCP服务端口号,并将开启的TCP服务端口号发送到本设备的硬件转发芯片中。
[0024] 步骤102,当硬件转发芯片接收到TCP SYN报文时,所述硬件转发芯片判断是否存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号。
[0025] TCP连接通过三次握手机制实现,即网络设备之间通过依次交互SYN报文、SYNACK报文以及ACK报文完成TCP连接。
[0026] 当网络设备接收到TCP SYN报文时,该TCP SYN报文首先进入网络设备的硬件转发芯片。由于在步骤101中网络设备已将开启的所有TCP服务端口号发送到硬件转发芯片中,即硬件转发芯片已记录了所有开启的TCP服务端口号,因此,在接收到TCP SYN报文时,硬件转发芯片可根据TCP SYN报文的目的端口号判断该目的端口号是否在本设备已开启的TCP服务端口号范围内。
[0027] 步骤103,当不存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号时,所述硬件转发芯片丢弃所述TCP SYN报文。
[0028] 对于目的端口号不在本设备已开启的TCP服务端口号范围内的TCP SYN报文,硬件转发芯片直接丢弃,不会发送给CPU,因此,可节约网络设备的CPU资源。同时,由于没有发送给CPU,所以,CPU也不会向硬件转发芯片发送与该TCP SYN报文匹配的攻击表项,节约了硬件转发芯片的表项资源。
[0029] 当硬件转发芯片判断出存在与TCP SYN报文的目的端口号匹配的TCP服务端口号时,说明所要
访问的服务确实存在,硬件转发芯片进一步判断是否存在与该TCP SYN报文的报文特征(例如,五元组信息)匹配的攻击表项,当存在与该TCP SYN报文的报文特征匹配的攻击表项时,说明当前接收的TCP SYN报文为已确认的攻击报文,因此,硬件转发芯片直接丢弃该TCP SYN报文,不发送给CPU;当判断出不存在与该TCP SYN报文的报文特征匹配的攻击表项时,说明该TCP SYN报文还未被确认为攻击报文,因此,硬件转发芯片将该TCP SYN报文发送给CPU。
[0030] CPU根据接收的TCP SYN报文应答SYNACK报文,以完成后续TCP连接的建立,同时,CPU根据该TCP SYN报文的报文特征统计该TCP SYN报文的发送
频率,当该TCP SYN报文的发送频率达到预设的攻击频率
阈值时,说明该TCP SYN报文的发送频率过于频繁,确定该TCP SYN报文为攻击报文,CPU向硬件转发芯片发送与该TCP SYN报文的报文特征匹配的攻击表项。当硬件转发芯片再次接收到匹配该攻击表项的TCP SYN报文时,直接丢弃,不会再发送给CPU,起到防御攻击的目的。
[0031] 由上述描述可以看出,本发明通过CPU向硬件转发芯片发送已开启的TCP服务端口号,由硬件转发芯片对目的端口号不在本设备已开启的TCP服务端口号范围内的TCP SYN报文进行丢弃,提升了网络设备的防御效率,同时,进一步降低了网络设备在防御攻击时的表项资源消耗。
[0032] 参见图2,为本发明示出的一种组网示意图。该组网中包含两个网络设备Device1和Device2,现以Device2接收Device1发送的TCP SYN报文为例,介绍Device2防攻击处理过程。
[0033] 假设,Device2上已开启TCP服务端口号5000和6000,Device2的CPU将TCP服务端口号5000和6000发送给Device2的硬件转发芯片。当Device2的硬件转发芯片接收到Device1发送的TCP SYN报文时,获取TCP SYN报文的目的端口号,假设TCP SYN报文的目的端口号为2000,硬件转发芯片查询本芯片已记录的TCP服务端口号5000和6000,未找到与目的端口号
2000匹配的TCP服务端口号,说明Device1
请求的服务不在Device2提供的服务范围内,因此,硬件转发芯片直接丢弃该TCP SYN报文,不发送给CPU。
[0034] 假设,Device2的硬件转发芯片接收到Device1发送的目的端口号5000的TCP SYN报文,硬件转发芯片查询本芯片记录的TCP服务端口号,找到与目的端口号5000匹配的TCP服务端口号,进一步判断本芯片中是否存在与接收的TCP SYN报文的报文特征匹配的攻击表项,假设,存在匹配的攻击表项,则硬件转发芯片直接丢弃该TCP SYN报文,不发送给CPU。
[0035] 假设,Device2的硬件转发芯片接收到Device1发送的目的端口号6000的TCP SYN报文,硬件转发芯片查询本芯片记录的TCP服务端口号,找到与目的端口号6000匹配的TCP服务端口号,进一步判断本芯片中是否存在与接收的TCP SYN报文的报文特征匹配的攻击表项,假设,不存在匹配的攻击表项,则硬件转发芯片将TCP SYN报文发送给CPU。CPU根据TCP SYN报文生成SYNACK报文通过硬件转发芯片发送给Device1。同时,CPU根据TCP SYN报文的报文特征统计Device1向TCP服务端口号6000发送TCP SYN报文的频率,当统计的频率达到攻击频率阈值时,确定为攻击报文,CPU根据该攻击报文的报文特征生成匹配的攻击表项发送给硬件转发芯片。当Device2的硬件转发芯片再次接收到Device1发送的目的端口号6000的TCP SYN报文时,通过匹配攻击表项直接丢弃,不会发送给CPU。
[0036] 与前述防攻击处理方法的实施例相对应,本发明还提供了网络设备的实施例。
[0037] 请参考图3,为本发明一个实施例中的网络设备的结构示意图。该网络设备包括CPU31和硬件转发芯片32,其中:
[0038] CPU31,用于将开启的TCP服务端口号发送给硬件转发芯片32;
[0039] 硬件转发芯片32,用于当接收到TCP SYN报文时,判断是否存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号;当不存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号时,丢弃所述TCP SYN报文。
[0040] 进一步地,
[0041] 所述硬件转发芯片32,还用于当判断出存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号时,判断是否存在与所述TCP SYN报文的报文特征匹配的攻击表项;当存在与所述TCP SYN报文的报文特征匹配的攻击表项时,丢弃所述TCP SYN报文。
[0042] 进一步地,
[0043] 所述硬件转发芯片32,还用于当判断出不存在与所述TCP SYN报文的报文特征匹配的攻击表项时,将所述TCP SYN报文发送给CPU31。
[0044] 进一步地,
[0045] 所述CPU31,还用于在接收到所述硬件转发芯片32发送的TCP SYN报文之后,根据所述TCP SYN报文的报文特征,统计所述TCP SYN报文的发送频率;当所述TCP SYN报文的发送频率达到预设的攻击频率阈值时,向硬件转发芯片32发送与所述TCP SYN报文的报文特征匹配的攻击表项。
[0046] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何
修改、等同替换、改进等,均应包含在本发明保护的范围之内。
