[发明专利]防止未知组播攻击CPU的方法和设备

权利要求书

1.一种防止未知组播攻击CPU的方法，应用于包括专用集成电路ASIC芯片和CPU的设备，其特征在于，该方法包括以下步骤：

所述ASIC芯片接收报文，根据CPU下发的转发表项对已知组播报文进行转发，并识别接收到的报文中的未知组播报文，根据所述未知组播报文的流量标识查找是否存储有该未知组播报文对应的统计流表项；

若没有存储该未知组播报文对应的统计流表项，所述ASIC芯片建立所述未知组播报文对应的统计流表项，并将所述未知组播报文上报CPU；

所述ASIC芯片接收CPU下发的所述未知组播报文对应的转发表项。

2.如权利要求1所述的方法，其特征在于，根据所述未知组播报文的流量标识查找是否存储有该未知组播报文对应的统计流表项之后，还包括：

若存储有该未知组播报文对应的统计流表项，所述ASIC芯片缓存所述未知组播报文。

3.如权利要求1或2所述的方法，其特征在于，所述ASIC芯片识别接收到的报文中的未知组播报文包括：

所述ASIC芯片根据接收的组播报文的标识信息查找配置的组播转发表项，若查找结果为没有对应的组播转发表项，则所述ASIC芯片判断该组播报文为未知组播报文。

4.如权利要求1或2所述的方法，其特征在于，所述ASIC芯片建立所述未知组播报文对应的统计流表项，并将所述未知组播报文上报CPU包括：

所述ASIC芯片根据配置的ipfix功能为所述未知组播报文建立对应的统计流表项，并将所述未知组播报文镜像到CPU。

5.如权利要求1或2所述的方法，其特征在于，所述ASIC芯片接收CPU下发的所述未知组播报文的转发表项之后，还包括：

删除所述ASIC芯片存储的所述未知组播报文的统计流表项。

6.如权利要求1或2所述的方法，其特征在于，还包括：

所述ASIC芯片周期性删除存储的统计流表项。

7.一种防止未知组播攻击CPU的设备，包括专用集成电路ASIC芯片和CPU，其特征在于，所述ASIC芯片包括获取单元、转发单元、识别单元、查找单元、以及上报单元，其中

所述获取单元，用于获取所述设备接收到的组播报文；

所述识别单元，与所述获取单元连接，用于识别接收到的报文中的未知组播报文；

所述转发单元，与所述识别单元连接，用于根据CPU下发的转发表项对已知组播报文进行转发；

所述查找单元，与所述识别单元连接，用于根据所述未知组播报文的流量标识查找是否存储有该未知组播报文对应的统计流表项；

所述上报单元，与所述查找单元和识别单元连接，用于查找结果为没有存储所述未知组播报文对应的统计流表项时，建立所述未知组播报文对应的统计流表项，将所述未知组播报文上报CPU，接收CPU下发的所述未知组播报文对应的转发表项，向所述识别单元提供所述转发表项。

8.如权利要求7所述的设备，其特征在于，所述ASIC芯片还包括：

缓存单元，与所述查找单元连接，用于所述查找单元的查找结果为存储有所述未知组播报文对应的统计流表项时，缓存所述未知组播报文。

9.如权利要求7或8所述的设备，其特征在于，所述识别单元还用于：

根据接收的组播报文的标识信息查找配置的组播转发表项，若查找结果为没有对应的组播转发表项，则判断该组播报文为未知组播报文。

10.如权利要求7或8所述的设备，其特征在于，所述上报单元还用于：

根据配置的ipfix功能为所述未知组播报文建立对应的统计流表项，并将所述未知组播报文镜像到CPU。

11.如权利要求7或8所述的设备，其特征在于，所述ASIC芯片还包括：

删除单元，与所述上报单元连接，用于接收CPU下发的所述未知组播报文对应的转发表项之后，删除所述未知组播报文的统计流表项。

12.如权利要求11所述的设备，其特征在于，所述删除单元还用于：

周期性删除所述ASIC芯片存储的统计流表项。