[发明专利]防止过滤资源耗尽的方法和网络接入设备

说明书

技术领域

本发明实施例涉及网络技术领域，尤其涉及一种防止过滤资源耗尽的方法和网络接入设备。

背景技术

随着互联网技术的迅速发展，由于各种非法用户的存在，互联网的安全问题日益严重。例如，非法用户会使用任何源因特网协议(Internet Protocol，简称为：IP)地址发起攻击，破坏基于源IP地址的网络计费和管理等。为了防止这种基于源IP的攻击，现有技术中将源IP地址对应到媒体访问地址(Media Access Control，简称为：MAC)，以能够识别攻击源，从而迅速排除网络攻击。

目前，网络接入设备一般都支持将用户的IP地址，MAC地址、以及接入端口信息写入过滤资源中。过滤资源用于识别合法数据报文，过滤非法数据报文。过滤资源可以手动配置在网络接入设备中，也可以由网络接入设备动态学习获得。网络接入设备动态学习的过程主要是通过监听指定协议的报文，并将指定协议的报文中携带的用户信息记录到过滤资源中。如果非法用户掌握了网络接入设备监听指定协议报文的规律，就很容易对网络接入设备的过滤资源发起攻击，发送大量指定协议的报文，使得过滤资源被迅速被占满，其他合法用户信息无法被网络接入设备记录，从而导致合法用户的数据报文被丢弃。过滤资源当中的用户信息具有一个生命周期，正常情况下只有等生命周期结束之后，网络接入设备才会主动检测用户是否续约，从而在过滤资源中删除不再续约的用户信息。即使某些用户并非恶意攻击网络接入设备，也会因为长时间不使用网络而使得网络接入设备的过滤资源被空闲用户所占据，新合法用户无法被网络接入设备记录而成为非法用户。

目前，针对网络接入设备过滤资源耗尽攻击，主要是通过对协议报文限速、限制端口接入用户数和对客户端认证这三种方法来处理的。但是，对协议报文限速是限制协议报文每秒钟发送给网络接入设备CPU处理的数量，送CPU的协议报文速率固定，CPU负担小，过滤资源也能避免短时间被占满，但是从较长一段时间来看，过滤资源还是可以被耗尽。同时，对协议报文限速，无法避免大量空闲用户长期占据资源的问题。在网络接入设备上限制端口接入用户数的方法，对于小型网络或是用户类型单一的网络具有一定作用，但是对大型的网络或者用户类型多样的网络而言，在有限的过滤资源上，为每个端口设定接入用户数这个工作是巨大的，一旦网络拓扑变化，相应的配置更改也会给网络管理员带来巨大的工作量，同时也不能真正解决攻击用户对过滤资源的耗尽攻击。限制端口接入用户数时，对攻击者来说更容易耗尽局部资源，同时空闲用户长期占据资源的问题仍然无法解决。对于客户端认证，需要认证服务器，增加了网络搭建的成本，增加了网络管理员的配置工作量。认证用户认证后并不使用网络接入设备的过滤资源，空闲用户长期占据过滤资源的问题仍然存在。

发明内容

本发明实施例提供一种防止过滤资源耗尽的方法和网络接入设备，用以解决现有技术中的过滤资源耗尽所带来的合法用户无法接入的问题。

本发明实施例提供一种防止过滤资源耗尽的方法，包括：

在一个检测周期内，检测过滤资源的剩余容量；

如果所述剩余容量小于等于预设值，根据所述过滤资源中各条信息的空闲时间和/或生命周期对所述过滤资源进行清理。

本发明实施例还提供了一种网络接入设备，包括：

检测模块，用于在一个检测周期内，检测过滤资源的剩余容量；

清理模块，用于如果所述剩余容量小于等于预设值，根据所述过滤资源中各条信息的空闲时间和/或生命周期对所述过滤资源进行清理。

本发明实施例提供的防止过滤资源耗尽的方法和网络接入设备，通过在一个检测周期内检测过滤资源的剩余容量，一旦剩余容量小于等于预设值，就会对过滤资源进行清理，以防止过滤资源被耗尽，保证了合法用户的接入。根据信息的空闲时间和/或生命周期对过滤资源进行清理和维护，可以判断出过滤资源信息是否空闲，一旦出现空闲且存在影响后续新用户上线的情况，则将空闲用户删除，但不会影响长期在线的老用户，通过这样的处理，无论是恶意攻击造成的信息空闲还是无意造成的信息空闲，都可以被识别出来进行释放，真正解决了过滤资源被耗尽攻击的问题，使有限的过滤资源得到了充分的利用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的防止过滤资源耗尽的方法流程图；

图2为图1中步骤102的第一种实现方法流程图；