專利名稱:防止攻擊的網(wǎng)絡(luò)的配置方法�、防止攻擊的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種防止攻擊的網(wǎng)絡(luò)的配置方法��、防止 攻擊的方法和裝置����。
背景技術(shù):
ARP (Address Resolution Protocol,地址解析協(xié)議)攻擊是針對網(wǎng)絡(luò)設(shè)備 的一種常見攻擊形式,具體的攻擊方式有(1)向網(wǎng)關(guān)設(shè)備發(fā)送大量的ARP 請求/應(yīng)答報文�����,此攻擊方式會占用設(shè)備端口帶寬、網(wǎng)關(guān)設(shè)備忙于處理ARP報 文���,占用設(shè)備的CPU資源���,引起網(wǎng)絡(luò)能力下降,中斷等故障�;(2)向網(wǎng)關(guān)設(shè) 備發(fā)送目的地址連續(xù)變化的掃描報文,如PING包����;此攻擊方式會引起網(wǎng)關(guān)設(shè) 備產(chǎn)生大量的ARPmiss報文(表示ARP表項(xiàng)不存在的消息),占用設(shè)備CPU 資源��,引起網(wǎng)絡(luò)能力下降�����、中斷等故障?,F(xiàn)有技術(shù)中,在網(wǎng)絡(luò)設(shè)備上使用訪問控制列表(Access Control List, ACL ) 可以按照源��、目的地址過濾進(jìn)入網(wǎng)絡(luò)設(shè)備的報文��。當(dāng)ARP攻擊發(fā)生時���,通過 人工干預(yù)識別出攻擊來源����,再按照攻擊報文的特征配置ACL規(guī)則將攻擊報文 過濾掉����。該方案需要人工干預(yù),難以實(shí)現(xiàn)在攻擊發(fā)生時自動保護(hù)�����;而且攻擊 者變換報文的源�����、目的地址后即可避開ACL規(guī)則的過濾�����。另一種現(xiàn)有技術(shù)是按源�、目的地址限制ARP報文的速率。網(wǎng)絡(luò)管理員按照 網(wǎng)絡(luò)的實(shí)際情況配置一個合理的ARP報文的速率上限���,當(dāng)某個源地址或目的 地址的ARP報文速率超過了設(shè)置的速率上限時認(rèn)為發(fā)生了ARP攻擊�,這時超過限制速率上限部分的報文將被丟棄,其他的ARP報文不受影響����。由于此方 案必須要保留所有的ARP報文的訪問時間,因此消耗的資源較大�����,而且在攻 擊者的地址頻繁變化的時候可能失效���。發(fā)明內(nèi)容本發(fā)明的實(shí)施方式提供防止攻擊的網(wǎng)絡(luò)的配置方法����、防止攻擊的方法和 裝置�����,解決目前通信網(wǎng)絡(luò)中防止特定類型報文攻擊的問題��。為解決上述技術(shù)問題�����,本發(fā)明的一個實(shí)施方式提供了一種防止攻擊的網(wǎng) 絡(luò)的配置方法����,該網(wǎng)絡(luò)包括路由設(shè)備和用戶設(shè)備�,所述用戶設(shè)備通過所述路 由設(shè)備與接入運(yùn)營商網(wǎng)絡(luò)通信���,配置該網(wǎng)絡(luò)的方法包括為所述用戶設(shè)備配 置用戶VLAN ID;在所述路由設(shè)備的用戶接入接口為所述用戶設(shè)備配置QinQ 方式接入�;該用戶設(shè)備報文封裝為QinQ報文后發(fā)送���;根據(jù)QinQ報文內(nèi)層的用 戶VLAN ID配置特定類型的報文的抑制速率和缺省行為。為解決上述技術(shù)問題��,本發(fā)明的另一個實(shí)施方式提供了一種防止攻擊的 方法�����,該方法用于配置QinQ接入的網(wǎng)絡(luò)中����,根據(jù)QinQ內(nèi)層的用戶VLANID 來識別用戶,該方法包括判斷收到的特定類型的報文是否已經(jīng)配置了報文 限速��,如果是��,則判斷該特定類型的報文的速率是否達(dá)到速率上限�����,如果是, 則丟棄該報文;如果收到的特定類型的報文沒有配置報文限速���,則執(zhí)行缺省 動作����。為解決上述技術(shù)問題�����,本發(fā)明的另一個實(shí)施方式提供了一種一種防止攻 擊的裝置��,包括配置單元���、限速判斷單元��、限速上限判斷單元��、執(zhí)行單元�����, 其中�����,所述配置單元�����,用于在路由設(shè)備的用戶接入接口配置QinQ方式接入��, 根據(jù)QinQ報文內(nèi)層的用戶VLANID配置特定類型報文的速率上限和缺省動作����;所述限速判斷單元�����,用于判斷收到的特定類型報文是否已經(jīng)配置了報文 限速��,如果已經(jīng)配置了報文的所述速率上限���,則交由所述限速上限判斷單元 判斷該特定類型的報文的速率是否達(dá)到所述速率上限��,所述執(zhí)行單元根據(jù)所述限速上限判斷單元的判斷結(jié)果執(zhí)行動作���;如果所述限速判斷單元確定收到 的特定類型報文沒有配置報文的所述速率上限�,則轉(zhuǎn)執(zhí)行單元執(zhí)行所述缺省 動作��。與現(xiàn)有技術(shù)相比���,采用本發(fā)明的實(shí)施方式��,組網(wǎng)配置完成后可以自動防 護(hù)特定類型報文攻擊���,不需人工干預(yù);即使發(fā)生攻擊�����,也可以將攻擊影響的 范圍縮小到特定用戶���,不會影響到同 一接口下其他擁有不同VLAN ID的用戶 或用戶群的正常網(wǎng)絡(luò)連接�����;攻擊者變換源����、目的IP地址也難以規(guī)避安全策略 的防護(hù)�,同時不會帶來額外的性能開銷���;才艮據(jù)連接的用戶配置防護(hù)策略,系 統(tǒng)資源的消耗有限�����,減小對硬件性能的壓力���;防止特定類型^^艮文攻擊的同時 可以阻斷網(wǎng)^a掃描攻擊�����。
圖l為本發(fā)明一個實(shí)施方式的組網(wǎng)圖�����; 圖2為本發(fā)明一個實(shí)施方式防止攻擊的配置方法流程圖; 圖3為本發(fā)明另 一 實(shí)施方式防止攻擊的方法流程圖����; 圖4為本發(fā)明另一實(shí)施方式防止攻擊的裝置流程圖;具體實(shí)施方式
以下結(jié)合具體實(shí)施方式
來說明本發(fā)明的實(shí)現(xiàn)過程�。在IEEE 802.1Q標(biāo)準(zhǔn)中,對Ethernet幀格式進(jìn)行了修改�����,在源MAC地址(Source Address)字段和協(xié)議長度/類型字段(Length/Typee )之間加入了4 字節(jié)的802.1Q Tag ,其中 <吏用了 12bit標(biāo)識不同的VID ( Virtual Local Area Network Identifier,虛擬局域網(wǎng)標(biāo)識符)�����,如表l中陰影部分報文字段所示�����。802.1 Q TagDestination AddressSource AddressTypePRI/ CFI/ VIDLength/T ypeDataFCS (CRC-32)6 bytes6 bytes4 bytes2 bytes46-1517 bytes4 bytes表1基于802.1 Q的VLAN幀格式隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大��,4K的VLANID已經(jīng)不能滿足現(xiàn)在的組網(wǎng)應(yīng)用���, 為了實(shí)現(xiàn)更多的用戶接入���,各廠家都推出自己的解決方案,QinQ是其中的一 種�。QinQ就是在原來的802.1Q標(biāo)簽之外再添加一個802.1Q標(biāo)簽,用兩層VLAN ID標(biāo)識一個用戶��,即802.1Qin802.1Q,在802.1Q標(biāo)簽報文的基礎(chǔ)上再增加一 層802.1 Q的標(biāo)簽頭來達(dá)到擴(kuò)展VLAN空間的功能�����。最早的QinQ是為了實(shí)現(xiàn)一種類似VPN ( Virtual Private Network,虛擬專 用網(wǎng))的應(yīng)用,即才艮文內(nèi)層為用戶VLAN ID���, 外層為運(yùn)營商的VLAN ID���。 報文使用外層VLANID穿越運(yùn)營商網(wǎng)絡(luò),用內(nèi)層VLANID實(shí)現(xiàn)用戶互通?�,F(xiàn) 在QinQ技術(shù)已經(jīng)更多的成為對用戶的標(biāo)識�。在本發(fā)明實(shí)施方式的技術(shù)方案中 就是使用QinQ的這一特點(diǎn)作為接入用戶的身份標(biāo)識,并根據(jù)不同的用戶 VLAN ID進(jìn)行ARP報文的限制以達(dá)到保護(hù)的目的�。本發(fā)明一個實(shí)施方式的組網(wǎng)圖如圖l所示。該網(wǎng)絡(luò)包括接入運(yùn)營商網(wǎng)絡(luò)����、 邊纟彖^^由器、二層交換纟凡和用戶A����、用戶B�����、用戶C。用戶A����、用戶B、用戶C 通過交換機(jī)和邊緣路由器與接入運(yùn)營商網(wǎng)絡(luò)通信���?��!┲гO(shè)用戶A的IP地址為 192.168.0.10,所屬的VLAN編號(即用戶A的VLAN ID)為100;用戶B的IP 地址為192.168.0.11,所屬的VLAN編號(即用戶B的VLANID)為101;用戶C的IP地址為192.168.0.12,所屬的VLAN編號(即用戶C的VLAN ID )為102; 與用戶A、 B�、 C和邊緣路由器通信的二層交換機(jī)中與用戶A、 B����、 C通信的端 口為Trunk100 110,邊緣路由器的IP地址為192.168.0.1, QinQ接入的外層 VLANID為IO�����。其中用戶A�、 B、 C中的任何一個可以是單一用戶�,也可以是 一個用戶網(wǎng)絡(luò)的出口,下面有多個用戶設(shè)備�,只要用戶網(wǎng)絡(luò)出口下面的這些 用戶設(shè)備都在一個安全策略域內(nèi)即可。圖1中標(biāo)出的IP地址和VLAN編號是為 了說明組網(wǎng)方式而舉的例子,并不作為對本實(shí)施方式或本發(fā)明的限制���。此處 的二層交換機(jī)也可以是能夠?qū)崿F(xiàn)QinQ接入功能的三層交換機(jī)�、路由設(shè)備或其 它網(wǎng)絡(luò)設(shè)備���。配置邊緣路由器的流程如圖2所示�,包括步驟20�、為用戶配置用戶VLANID以圖l所示的組網(wǎng)圖為例,是為所有用戶A�、 B、 C配置用戶VLAN ID�����, 這一步驟和普通的接入配置基本相同��。 -假設(shè)此處用戶A的IP地址為 192.168.0.10����,配置用戶A的VLAN編號(即用戶A的VLANID)為100;用戶 B的IP地址為192.168.0.11,配置用戶B的VLAN編號為lOl (即用戶B的VLAN ID);用戶C的IP地址為192.168.0.12,配置用戶C的VLAN編號為102 (即用 戶C的VLANID)�。為所有用戶A、 B�、 C配置用戶VLAN ID的工作可以由網(wǎng) 絡(luò)管理員手工配置完成,或者由系統(tǒng)設(shè)置完成���。用戶A��、 B��、 C的IP地址可以 由網(wǎng)絡(luò)管理員手工配置完成�����,或者由系統(tǒng)-沒置完成�����。22����、在用戶接入接口配置QinQ方式接入以圖1所示的網(wǎng)絡(luò)為例�����,是將邊緣路由器的用戶接入接口配置為QinQ接入����。24����、根據(jù)用戶VLANID配置ARP報文的抑制速率�����,并配置缺省的行為模式根據(jù)用戶VLAN ID,在用戶接入接口配置每個接入用戶的ARP報文抑制 速率�����,也就是配置每個接入用戶的ARP報文的速率上限���。以圖l所示的組網(wǎng)圖 為例���,需要配置ARP報文抑制速率的用戶包括用戶A、 B�、 C,實(shí)際組網(wǎng)中���, 可能包括更多用戶或用戶終端���。配置內(nèi)容舉例如-remote-host vlan 100 to 102 arp-speed-limit 15,即配置VLAN100到 VLAN102的接入用戶ARP報文的速率上限為15個/秒�;對于未配置的限制用戶的ARP報文可以配置缺省的行為模式���,如圖l所示 的組網(wǎng)圖中有用戶A、 B���、 C,如果只對用戶A配置了限制命令,用戶B��、 C的 限制就按照缺省行為進(jìn)行�����。缺省行為即缺省動作可以包括丟棄或不加限制�,-remote-host default pass其他用戶的ARP凈艮文允i午通過,不作限制�����。 -remote-host default drop其他用戶的ARP才艮文全部丟棄�,不允許通過。 在本發(fā)明的一個實(shí)施方式中����,二層交換機(jī)將不同安全策略域的用戶或用 戶群的報文配置不同的VLANID,即內(nèi)層VLANID,當(dāng)然也可能為具有相同 安全策略的不同用戶或用戶群配置不同的VLAN ID;邊緣路由器將同 一接口 進(jìn)入的報文封裝上外層VLANID��。這樣,在邊緣路由器上就可以根據(jù)不同的 內(nèi)層VLANID識別來自不同的用戶或用戶群發(fā)來的報文��。邊緣路由器按內(nèi)層 VLANID配置ARP報文速率抑制�,并配置缺省動作。實(shí)際上�����,當(dāng)該邊緣路由 器下的用戶或用戶群都有VLAN ID時���,可以不需要二層交換機(jī)來配置VLAN ID, 二層交換機(jī)用于實(shí)現(xiàn)QinQ接入��。該邊緣路由器也可以替換為普通路由器�。 該方法也可以用于防止其他特定類型的報文攻擊��。所述的接口可以是物理接 口或邏輯接口�����。圖3為本發(fā)明另一實(shí)施方式防止攻擊的方法流程圖�����,如圖3所示�,當(dāng)用戶 報文進(jìn)入邊緣路由器時�����,邊緣路由器的處理步驟包括30���、判斷收到的報文是否ARP報文,如不是ARP報文�,則轉(zhuǎn)步驟36,否則 轉(zhuǎn)步驟32���。32�����、判斷是否配置ARP報文限速邊緣路由器根據(jù)內(nèi)層VLAN ID識別針對此用戶是否配置了 ARP報文限 速����,如未配置限速則轉(zhuǎn)步驟38;對于配置了ARP報文限速的用戶�����,轉(zhuǎn)步驟34�����。34、判斷ARP報文的速率是否達(dá)到限速配置的上限對于配置了 ARP報文限速的用戶�,引擎記錄上一次ARP報文達(dá)到的時間 戳,比較當(dāng)前時間和上次記錄時間的差值�����,換算為接收到的ARP報文的速率����。 比較此速率和配置的允許接收ARP報文速率上限,如未到達(dá)ARP報文的速率 上限則轉(zhuǎn)步驟36按照正常ARP報文流程處理并刷新時間戳����,否則丟棄報文并 保留上次記錄的時間戳不變。36�����、按照正常流程處理該報文38���、判斷缺省動作���,以便執(zhí)行該缺省動作。如果缺省動作為丟棄,則認(rèn) 為所有未配置限速的用戶ARP報文為不安全的ARP報文�����,轉(zhuǎn)步驟380;如果缺 省動作為通過��,則認(rèn)為所有未配置限速的用戶ARP報文為安全ARP報文��,轉(zhuǎn) 步驟36�����。380,全部丟棄收到的該用戶的ARP才艮文�����。當(dāng)然��,在丟棄收到的某個用戶的ARP報文時����,還可以對丟棄的ARP報文進(jìn) 行計數(shù)�����,以做進(jìn)一步的分析處理。如根據(jù)計數(shù)增長的速率判斷是否遭到攻擊��, 向網(wǎng)管發(fā)送告警�����、記錄日志等��。更進(jìn)一步可以記錄丟棄的ARP報文的內(nèi)層 VLANID���,用以5艮蹤攻擊源����。這樣��,當(dāng)邊緣路由器下的某個用戶發(fā)起ARP報文攻擊時��,攻擊者發(fā)送的大 量ARP報文會因超出正常通訊所需的ARP速率而被丟棄���,因此這些攻擊凈艮文 不會影響到邊緣路由器以及運(yùn)營商網(wǎng)絡(luò)的穩(wěn)定��。由于邊緣路由器在計算ARP 報文速率時是根據(jù)不同的內(nèi)層VLAN ID分別計算各個用戶的發(fā)送ARP報文 速率��,而丟棄ARP報文時也只丟棄帶有特定內(nèi)層VLANID的ARP報文�,因此 任一個用戶發(fā)送攻擊^J:時,不會影響到同一個接入接口下其他擁有不同的 用戶VLAN ID的用戶或用戶群的正常連接�����,更不會影響其他接入接口下的用 戶����。由于在邊緣路由器上識別不同用戶是根據(jù)報文的內(nèi)層VLAN ID,與報文 的IP地址沒有關(guān)系,無論攻擊者如何變換IP地址都難以規(guī)避路由器的防護(hù)策略����。由于一個接入接口下的用戶或用戶群數(shù)目是有限的,而且有相同安全等 級或安全策略的用戶可以使用相同的內(nèi)層VLAN ID,所以在接入接口上需要 記錄的用戶信息有限��,通常情況下����,最多為4k條����。這樣在邊^(qū)彖^^由器上占用 的資源在可以控制的范圍之內(nèi),不會對硬件提出過高的要求�����。本發(fā)明的實(shí)施方式的方法中,以圖l所示的組網(wǎng)圖為例�,邊緣路由器管理 員可以通過配置允i午每個用戶生成的ARP表項(xiàng)來控制用戶可以訪問的IP地址 數(shù)目。當(dāng)攻擊者發(fā)起網(wǎng)絡(luò)攻擊前通常會進(jìn)行網(wǎng)段地址的掃描�,即發(fā)送大量的目攻擊方式。在發(fā)送PING包之前會先發(fā)送ARP請求才艮文��,因?yàn)槭褂貌煌挠脩?VLAN ID的用戶不能在二層交換機(jī)上做到二層互通�,如果圖1中的交換機(jī)為 二層交換機(jī),需要通過邊緣路由器才能互通���;這樣在邊緣路由器上就可以限制每個用戶可以生成的ARP表項(xiàng)來控制每個用戶可以同時訪問的IP地址來阻斷網(wǎng)段掃描攻擊����。比如可以根據(jù)用戶的VLAN ID配置允許生成表項(xiàng)的上限 值����,達(dá)到上限后就不許再生成。但是���,如果將圖l中的二層交換機(jī)替換為三層 交換機(jī)或路由器���,則即使這些用戶使用不同的用戶VLANID,仍然可以實(shí)現(xiàn) 這些用戶的互通�����,這時,可以在該三層交換機(jī)或路由器上限制每個用戶可以 生成的ARP表項(xiàng)來控制每個用戶可以同時訪問的IP地址來阻斷網(wǎng)段掃描攻 擊��。比如可以根據(jù)用戶的用戶VLANID配置允許生成表項(xiàng)的上限值���,達(dá)到上 限后就不許再生成�����。本發(fā)明的實(shí)施方式還提供一種防止攻擊的裝置��,如圖4所示�����,該裝置包括 配置單元�、限速判斷單元��、限速上限判斷單元��、執(zhí)行單元�����,其中��,所述配置單元�����,用于在邊緣路由器的用戶接入接口配置QinQ方式接入����, 根據(jù)QinQ報文內(nèi)層的用戶VLAN ID配置ARP報文的抑制速率和缺省行為;所述限速判斷單元����,用于判斷收到的ARP報文是否已經(jīng)配置了 ARP報文限 速,如果已經(jīng)配置了AIO^艮文限速�����,則交由所述限速上限判斷單元判斷該ARP 報文的速率是否達(dá)到速率上限��,所述執(zhí)行單元根據(jù)所述限速上限判斷單元的 判斷結(jié)果執(zhí)行動作���;如果所述限速判斷單元確定收到的ARP報文沒有配置 ARP報文限速���,則轉(zhuǎn)執(zhí)行單元執(zhí)行缺省動作���。優(yōu)選地,還可以包括報文判斷單元�,用于判斷收到的報文是否ARP凈艮文, 若是����,則交由所述限速判斷單元判斷該ARP報文是否配置了 ARP報文限速; 否則��,交由所述執(zhí)行單元執(zhí)行正常處理流程�����。率上限����,則丟棄該報文,否則按照正常流程執(zhí)行�。優(yōu)選地,如果用戶設(shè)備沒有VLAN ID,還可以包括VLAN ID配置單元����, 用于為所述用戶設(shè)備配置用戶VLAN ID。實(shí)際上,該邊緣路由器也可以替換為普通路由器��。該方法也可以用于防 止其他特定類型的報文攻擊��。所述的接口可以是物理接口或邏輯接口 ���。本發(fā)明的另 一實(shí)施方式涉及一種計算機(jī)可讀介質(zhì),該計算機(jī)可讀介質(zhì)中 保存有執(zhí)行防止攻擊的方法的指令序列����,該方法包括判斷收到的報文是否為ARP報文,如不是ARP報文��,則按照正常流程處理 該報文���,否則進(jìn)一步判斷該ARP報文是否已經(jīng)配置了 ARP報文限速�����;邊緣路由器根據(jù)內(nèi)層VLAN ID識別針對此用戶是否配置了 ARP報文限 速��,如未配置限速則判斷缺省動作�,以-便執(zhí)行該缺省動作�。如果缺省動作為 丟棄,則認(rèn)為所有未配置限速的用戶ARP報文為不安全的ARP報文�����,全部丟 棄收到的該用戶的ARP報文;如果缺省動作為通過����,則認(rèn)為所有未配置限速 的用戶ARP報文為安全ARP報文,則按照正常流程處理該報文����。對于配置了 ARP報文限速的用戶,則進(jìn)一步判斷ARP報文的發(fā)送速率是否 達(dá)到限速配置的上P艮����;對于配置了 ARP報文限速的用戶,引擎記錄上一次ARP 報文達(dá)到的時間戳��,比較當(dāng)前時間和上次記錄時間的差值�,換算為接收到的 ARP報文的速率。比較此速率和配置的允許接收ARP報文速率上限��,如未到 達(dá)速率上限則按照正常報文流程處理并刷新時間戳����,否則丟棄報文并保留上 次記錄的時間戳不變。實(shí)際上,該邊緣路由器也可以替換為普通路由器���。該方法也可以用于防 止其他特定類型的報文攻擊����。所述的接口可以是物理接口或邏輯接口 ���。采用本發(fā)明的實(shí)施方式,組網(wǎng)配置完成后可以自動防護(hù)ARP報文攻擊�����, 不需人工干預(yù)���;即使發(fā)生攻擊����,也可以將攻擊影響的范圍縮小到特定用戶�,不會影響到同 一接口下其他擁有不同的用戶VLAN ID的用戶或用戶群的正 常網(wǎng)絡(luò)連接;攻擊者變換源�、目的IP地址也難以規(guī)避安全策略的防護(hù),同時 不會帶來額外的性能開銷���;根據(jù)連接的用戶配置防護(hù)策略��,系統(tǒng)資源的消耗 有限�����,減小對硬件性能的壓力�;防止ARP報文攻擊的同時可以阻斷網(wǎng)段掃描 攻擊。以上所述�����,僅為本發(fā)明較佳的具體實(shí)施方式
���,但本發(fā)明的保護(hù)范圍并不 局限于此�,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍和不脫 離本發(fā)明的技術(shù)思想范圍內(nèi)�,可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明 的保護(hù)范圍之內(nèi)���。因此�����,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)�����。
權(quán)利要求
1.一種防止攻擊的網(wǎng)絡(luò)的配置方法����,其特征在于,該網(wǎng)絡(luò)包括路由設(shè)備和用戶設(shè)備�,所述用戶設(shè)備通過所述路由設(shè)備與接入運(yùn)營商網(wǎng)絡(luò)通信,配置該網(wǎng)絡(luò)的方法包括為所述用戶設(shè)備配置用戶VLAN ID��;在所述路由設(shè)備的用戶接入接口為所述用戶設(shè)備配置QinQ方式接入��;該用戶設(shè)備報文封裝為QinQ報文后發(fā)送���;根據(jù)QinQ報文內(nèi)層的用戶VLAN ID配置特定類型的報文的抑制速率和缺省行為。
2. 如權(quán)利要求l所述的方法�,其特征在于,所述配置方式是由所述路由設(shè) 備的管理員手工配置完成或者系統(tǒng)設(shè)置完成的�。
3. 如權(quán)利要求l所述的方法,其特征在于�,所述的特定類型的報文為ARP 報文。
4. 如權(quán)利要求l所述的方法�����,其特征在于,所述的缺省行為模式包括允 許該特定類型的報文通過或者丟棄該特定類型的報文����。
5. 如權(quán)利要求l所述的方法,其特征在于����,安全策略不同的所述用戶設(shè)備 位于不同的VLAN內(nèi),具有不同的VLAN ID����。
6. 如權(quán)利要求l所述的方法,其特征在于����,所述用戶設(shè)備為具有相同 VLAN ID的至少 一個網(wǎng)絡(luò)設(shè)備。
7. 如權(quán)利要求l所述的方法����,其特征在于,所述路由設(shè)備為普通路由器或 邊緣路由器�����。
8. 如權(quán)利要求l所述的方法�,其特征在于�,所述網(wǎng)絡(luò)還包括實(shí)現(xiàn)QinQ接入的交換設(shè)備��,所述用戶設(shè)備通過該交換設(shè)備與所述路由設(shè)備通信���。
9. 如權(quán)利要求8所述的方法�,其特征在于��,所述交換設(shè)備為二層交換機(jī)�����、 三層交換機(jī)或路由設(shè)備����。
10. —種防止攻擊的方法��,其特征在于����,該方法用于配置QinQ接入的網(wǎng)絡(luò) 中,才艮據(jù)QinQ內(nèi)層的用戶VLANID來識別用戶��,該方法包括判斷收到的特定類型的報文是否已經(jīng)配置了報文限速���,如果是����,則判斷 該特定類型的報文的速率是否達(dá)到速率上限,如果是���,則丟棄該報文���;如果 收到的特定類型的報文沒有配置報文限速,則執(zhí)行缺省動作���。
11. 如權(quán)利要求10所述的方法�,其特征在于�,所述缺省動作包括允許所 述該特定類型的報文通過或者丟棄所述該特定類型的報文。
12. 如權(quán)利要求ll所述的方法�����,其特征在于���,當(dāng)執(zhí)行的缺省動作為丟棄所 述該特定類型的報文時��,所述方法還包括對丟棄的該特定類型的報文進(jìn)行計數(shù)�����。
13. 如權(quán)利要求ll所述的方法�,其特征在于,執(zhí)行的缺省動作為丟棄該用 戶設(shè)備的該特定類型的報文時�����,所述方法還包括記錄丟棄的該特定類型的報文的VLAN ID��。
14. 如權(quán)利要求10所述的方法�����,其特征在于����,所述判斷收到的該特定類型 的報文是否已經(jīng)配置了報文限速之前,還包括判斷收到的報文是否為該特定類型的報文��,如果是���,則進(jìn)一步判斷收到 的該特定類型的報文是否已經(jīng)配置了報文限速;否則按照正常流程處理該報 文����。
15. 如權(quán)利要求10所述的方法����,其特征在于���,所述特定類型的報文為ARP報文�。
16. —種防止攻擊的裝置���,其特征在于�����,包括配置單元�����、限速判斷單元�����、 限速上限判斷單元��、執(zhí)行單元����,其中,所述配置單元�����,用于在路由設(shè)備的用戶接入接口配置QinQ方式接入�,根 據(jù)QinQ報文內(nèi)層的用戶VLANID配置特定類型報文的速率上限和缺省動作; 所述限速判斷單元�����,用于判斷收到的特定類型報文是否已經(jīng)配置了報文 限速���,如果已經(jīng)配置了報文的所述速率上限���,則交由所述限速上限判斷單元 判斷該特定類型的報文的速率是否達(dá)到所述速率上限,所述執(zhí)行單元根據(jù)所 述P艮速上限判斷單元的判斷結(jié)果執(zhí)行動作�;如果所述限速判斷單元確定收到的特定類型報文沒有配置報文的所述速 率上限,則轉(zhuǎn)執(zhí)行單元執(zhí)行所述缺省動作�。
17. 如權(quán)利要求16所述的裝置,其特征在于�����,還包括報文判斷單元���,用于 判斷收到的報文是否是特定類型報文����,若是����,則交由所述限速判斷單元判斷 該特定類型報文是否配置了報文限速;否則�����,交由所述執(zhí)行單元執(zhí)行正常處 理流程�����。
18. 如權(quán)利要求16所述的裝置�,其特征在于,所述根據(jù)所述限速上限判斷 單元的判斷結(jié)果執(zhí)行動作���,包括如果所述限速上限判斷單元判斷該特定類型報文的速率已經(jīng)達(dá)到速率上 限�,則丟棄該報文,否則按照正常流程執(zhí)行�����。
19. 如權(quán)利要求16所述的裝置�,其特征在于,所述特定類型的報文為ARP 報文��。
20. 如權(quán)利要求16所述的裝置���,其特征在于��,所述路由設(shè)備為普通路由器 或邊緣路由器�。
21. 如權(quán)利要求16所述的裝置��,其特征在于���,還包括VLANID配置單元����,用于為所述用戶的用戶設(shè)備配置用戶VLAN ID��。
全文摘要
本發(fā)明涉及通信領(lǐng)域�����,尤其涉及一種防止攻擊的網(wǎng)絡(luò)的配置方法、防止攻擊的方法和裝置����。防止攻擊的網(wǎng)絡(luò)的配置方法中���,該網(wǎng)絡(luò)包括路由設(shè)備和用戶設(shè)備��,所述用戶設(shè)備通過所述路由設(shè)備與接入運(yùn)營商網(wǎng)絡(luò)通信��,配置該網(wǎng)絡(luò)的方法包括為所述用戶設(shè)備配置用戶VLAN ID����;在所述路由設(shè)備的用戶接入接口為所述用戶設(shè)備配置QinQ方式接入��;該用戶設(shè)備報文封裝為QinQ報文后發(fā)送����;根據(jù)QinQ報文內(nèi)層的用戶VLAN ID配置特定類型的報文的抑制速率和缺省行為。采用該方法和裝置�,可解決目前通信網(wǎng)絡(luò)中防止特定類型報文攻擊的問題。
文檔編號H04L12/56GK101257379SQ200810066440
公開日2008年9月3日 申請日期2008年3月31日 優(yōu)先權(quán)日2008年3月31日
發(fā)明者迪 吳 申請人:華為技術(shù)有限公司