[发明专利]防范无效报文攻击的方法和网络设备

说明书

技术领域

本发明涉及通信领域，特别涉及一种防范无效报文攻击的方法和网络设备。

背景技术

现有的网络设备通常包含转发引擎层、业务处理层。转发引擎层主要完成报文的上送与转发，业务处理层根据转发引擎上送的报文完成相关的业务处理。通常，网络设备需处理哪些类型报文，网络设备究竟开启了哪些服务，在网络设备的业务层面都有明确的记录，网络设备对需上送业务处理层进行处理的相关业务都非常明确。

随着Internet的发展，组网环境日趋复杂，随之网络攻击、病毒攻击也日益频繁，对网络设备的危害性也日趋严重。DOS(Denial of Service，拒绝服务)攻击指攻击者短时间内使用大量数据包或畸形报文向网络设备不断发起连接或请求响应，致使服务器负荷过重而不能处理合法任务，从而导致网络设备业务异常。针对DOS攻击，网络设备通常使用流量限制功能进行DOS攻击防范，流量限制功能主要是限制单位时间内上送网络设备的报文字节数，采用此方法可以有效地缓解DOS攻击对网络设备带来的影响。

在实现本发明的过程中，发明人发现单纯地使用流量限制功能不能尽早阻止无效报文上送给网络设备，仍然存在通道(带宽)的浪费。

发明内容

为了有效地防范无效报文的攻击，本发明实施例提供了一种防范无效报文攻击的方法和网络设备。所述技术方案如下：

一种防范无效报文攻击的方法，所述方法包括：

网络设备的转发引擎层收到报文后，在业务特征状态表中查找所述报文的匹配信息，根据查找的结果判断所述报文是否有效，如果无效，丢弃所述报文。

本发明实施例还提供了一种网络设备，所述设备包括：

转发引擎模块，用于接收报文，在业务特征状态表中查找所述报文的匹配信息，根据查找的结果判断所述报文是否有效，如果无效，丢弃所述报文。

本发明实施例提供的技术方案的有益效果是：

转发引擎层通过业务特征状态表判断报文是否有效，根据判断提前丢弃无效报文，防范了无效报文对设备带宽的浪费，提高了设备防攻击的性能和安全性能。

附图说明

图1是本发明实施例1提供的防范无效报文攻击的方法流程图；

图2是本发明实施例2提供的网络设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例采用网络设备的业务处理层与转发引擎层联动的方法，在转发引擎层判断出报文是否有效，将无效报文在网络设备的转发引擎层丢弃。

实施例1

本实施例提供了一种防范无效报文攻击的方法，该方法包括：

网络设备的转发引擎层收到报文后，在业务特征状态表中查找报文的匹配信息，根据查找的结果判断该报文是否有效，如果无效，丢弃该报文。

网络设备转发引擎层中的业务特征状态表可以通过业务处理层下发，也可以通过人工配置，如由管理员根据网络设备处理业务的情况，为转发引擎层配置业务特征状态表。

本实施例优选由网络设备的业务处理层下发业务特征状态表，由业务处理层统一管理设备开启的业务信息，并定义这些业务信息的报文的业务信息特征码以及开启状态。

例如：SNMP(Simple Network Management Protocol，简单网络管理协议)报文的业务信息特征码为UDP(User Datagram Protocol，用户数据报协议)端口号，即161；DHCP(DynamicHost Configuration Protocol，动态主机分配协议)报文的业务信息特征码为UDP端口号，即67或68。

网络设备业务处理层将业务特征状态表下发到该网络设备的转发引擎层中；网络设备转发引擎层收到业务特征状态表后，将业务特征状态表保存在本层内。

参见图1，上述防范无效报文攻击的方法具体包括以下步骤：

步骤101：转发引擎层收到报文后，提取报文的业务信息特征码；

步骤102：在业务特征状态表中查找是否有与所提取的业务信息特征码匹配的表项，如果有，执行步骤103，否则，执行步骤105。

步骤103：检查所匹配表项中的开启状态是否为开启，如果是，执行步骤104；否则执行步骤105。

步骤104：对该报文进行上送。

步骤105：在转发引擎层丢弃该报文。