[发明专利]一种报文防攻击方法和装置

说明书

本申请实施例公开了一种报文防攻击方法和装置，涉及通信技术领域，解决了现有技术中某个已经建立的会话报文发生攻击时，其他已经建立的会话会受攻击影响导致断链的问题。具体方案为：转发面设备接收协议报文；根据协议报文中携带的会话特征，若确定协议报文属于第一会话，对协议报文进行会话承诺访问速率CAR限速；其中，第一会话为已建立的任意一个会话；已建立的会话中每个会话分别对应一个会话CAR限速，且不同会话之间的会话CAR限速隔离；对会话CAR限速后的协议报文进行会话簇CAR限速；会话簇CAR限速对应至少一个已建立的会话；将会话簇CAR限速后的协议报文发送至控制面设备。

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种报文防攻击方法和装置。

背景技术

路由器一般采用控制面和转发面分离的系统架构，其中，控制面的中央处理器(Central Processing Unit，CPU)处理报文的能力相对于转发面的网络处理器(NetworkProcessor，NP)处理报文的能力较弱，一旦发生路由协议本地报文攻击，会导致CPU处理繁忙，路由协议会话震荡，进而造成整个网络不稳定。一般情况下，路由协议报文从转发面上送到控制面的过程中都会采取承诺访问速率(Committed Access Rate，CAR)限速策略，保证上送到CPU的报文流量在CPU处理能力范围内。

现有的一种防报文攻击方法是通过将报文分为已建立会话的报文和未建立会话的报文，对已建立会话的报文，提取会话特征下发ACL规则。路由器接收到协议报文时，会查找和比较已下发的ACL规则，命中ACL规则的报文通过白名单CAR限速上送CPU。未建立的会话报文无法匹配ACL规则，通过协议普通CAR限速上送CPU。白名单CAR和协议普通CAR之间限速隔离，白名单CAR比协议普通CAR拥有更大的带宽，和更高的上送CPU的优先级。该方案虽然保证了已建立会话的报文不受未建立会话的报文攻击影响，但是由于已建立的会话报文仍然共用一个白名单CAR通道，因此如果有已建立会话的报文发生带宽攻击，其他已建立的会话报文会受攻击影响，导致会话断链。

发明内容

本申请实施例提供一种报文防攻击方法和装置，能够避免某个已经建立的会话报文发生攻击时，其他已经建立的会话会受攻击影响导致断链情况发生。

为达到上述目的，本申请实施例采用如下技术方案：

本申请实施例的第一方面，提供一种报文防攻击方法，该方法包括：首先，转发面设备接收协议报文；然后，根据该协议报文中携带的会话特征，若确定该协议报文属于第一会话，对该协议报文进行会话承诺访问速率CAR限速；其中，该第一会话为已建立的任意一个会话；已建立的会话中每个会话分别对应一个会话CAR限速，且不同会话之间的会话CAR限速隔离；再对会话CAR限速后的协议报文进行会话簇CAR限速；该会话簇CAR限速对应至少一个已建立的会话；最后，将会话簇CAR限速后的协议报文发送至控制面设备。基于本方案，通过对已建立会话的协议报文进行两级限速，能够降低已经建立的会话报文之间攻击影响，避免某个已经建立的会话发生攻击时，其他已经建立的会话会受攻击影响导致断链情况发生。

结合第一方面，在第一种可能的实现方式中，上述会话簇CAR限速对应至少一个已建立的会话，包括：该会话簇CAR限速对应已建立的会话中同一路由协议的会话或者不同路由协议的会话。具体的，若已建立的会话为同一路由协议的会话，会话簇CAR限速可以对应所有已建立的同一路由协议的会话；若已建立的会话为不同路由协议的会话，会话簇CAR限速可以对应所有已建立的不同路由协议的会话，或者，每个会话簇CAR限速可以对应已建立的不同路由协议的会话中同一路由协议的会话。基于本方案，能够将同一路由协议的已建立会话作为一个会话簇进行会话簇CAR限速，也可以将不同路由协议的已建立会话作为一个会话簇进行会话簇CAR限速。