[发明专利]防止未知组播攻击CPU的方法和设备

说明书

技术领域

本发明涉及通信领域，尤其涉及一种防止未知组播攻击CPU的方法和设备。

背景技术

在现有的交换机设备中，组播转发流程要求未知组播在到达设备的时候，在广播的同时，需要拷贝一份上CPU，数据平面(CPU)根据这份拷贝得到的未知组播向转发平面(转发硬件)下发相应的组播表项，对应的组播报文才能够通过转发硬件实现相应的未知组播转发。对于转发硬件为ASIC(Application Specific Integrated Circuit，专用集成电路)芯片的设备，通常ASIC芯片上配置有ACL(Access Control List，接入控制列表)的过滤功能，通过该ACL过滤功能获取接收到的流量中的未知组播流量，将未知组播流量上报CPU。由CPU下发转发表项后，ASIC芯片根据转发表项转发未知组播流量。其中，ASIC获取未知组播流量的过程主要包括根据组播流量的标识信息查找组播转发表项，如果ASIC中配置有与组播流量对应的组播转发表项，则该组播流量为已知组播流量，可以根据对应的组播转发表项转发；如果ASIC中没有配置与组播流量的对应的组播转发表项，则ASIC获知该组播流量为未知组播流量。例如，ASIC可以获取组播流量的源/目的IP地址信息，根据源/目的IP地址查找是否配置了对应的组播转发表项，并根据查找结果判断组播流量是否为未知组播流量。

但是在这个过程中，由于转发平面的组播数据流量有时会非常大，在组播转发表项下发之前，会有大量未知组播报文被上送CPU，尤其是同一未知组播流量的大量报文在该流量的转发表项由CPU下发之前，会重复上报CPU，使CPU接收大量无效报文，导致CPU负担过重，常常造成CPU无法响应用户的输入命令等问题。

发明内容

本发明提供了一种防止未知组播攻击CPU的方法和设备，以有效实现CPU的防攻击功能。

本发明提供一种防止未知组播攻击CPU的方法，应用于包括专用集成电路ASIC芯片和CPU的设备，该方法包括以下步骤：

所述ASIC芯片接收报文，根据CPU下发的转发表项对已知组播报文进行转发，并识别接收到的报文中的未知组播报文，根据所述未知组播报文的流量标识查找是否存储有该未知组播报文对应的统计流表项；

若没有存储该未知组播报文对应的统计流表项，所述ASIC芯片建立所述未知组播报文对应的统计流表项，并将所述未知组播报文上报CPU；

所述ASIC芯片接收CPU下发的所述未知组播报文对应的转发表项。

根据所述未知组播报文的流量标识查找是否存储有该未知组播报文对应的统计流表项之后，还包括：

若存储有该未知组播报文对应的统计流表项，所述ASIC芯片缓存所述未知组播报文。

所述ASIC芯片识别接收到的报文中的未知组播报文包括：

所述ASIC芯片根据接收的组播报文的标识信息查找配置的组播转发表项，若查找结果为没有对应的组播转发表项，则所述ASIC芯片判断该组播报文为未知组播报文。

所述ASIC芯片建立所述未知组播报文对应的统计流表项，并将所述未知组播报文上报CPU包括：

所述ASIC芯片根据配置的ipfix功能为所述未知组播报文建立对应的统计流表项，并将所述未知组播报文镜像到CPU。

所述ASIC芯片接收CPU下发的所述未知组播报文的转发表项之后，还包括：

删除所述ASIC芯片存储的所述未知组播报文的统计流表项。

还包括：

所述ASIC芯片周期性删除存储的统计流表项。

本发明提供一种防止未知组播攻击CPU的设备，包括专用集成电路ASIC芯片和CPU，所述ASIC芯片包括获取单元、转发单元、识别单元、查找单元、以及上报单元，其中

所述获取单元，用于获取所述设备接收到的组播报文；

所述识别单元，与所述获取单元连接，用于识别接收到的报文中的未知组播报文；

所述转发单元，与所述识别单元连接，用于根据CPU下发的转发表项对已知组播报文进行转发；

所述查找单元，与所述识别单元连接，用于根据所述未知组播报文的流量标识查找是否存储有该未知组播报文对应的统计流表项；

所述上报单元，与所述查找单元和识别单元连接，用于查找结果为没有存储所述未知组播报文对应的统计流表项时，建立所述未知组播报文对应的统计流表项，将所述未知组播报文上报CPU，接收CPU下发的所述未知组播报文对应的转发表项，向所述识别单元提供所述转发表项。

所述ASIC芯片还包括：