[发明专利]一种交换机的中央处理器防攻击的方法、装置、设备及存储介质

说明书

本发明实施例公开了一种交换机的中央处理器防攻击的方法、装置、设备及存储介质，包括：获取交换芯片所上传的协议报文集合中所包含的攻击报文以及攻击报文的属性信息；根据攻击报文的协议类型和源端口号向交换芯片发送拦截指令，以使交换芯片根据拦截指令丢弃从源端口接收的协议类型的攻击报文。根据攻击报文的协议类型和源端口号向交换芯片发送拦截指令仅丢弃从特定源端口所接收到的特定协议类型的报文，当某个端口的某种协议报文为攻击报文时，只丢弃从该端口接收到的该类协议报文，而不影响该端口的其它类型的协议报文，也不影响其他端口的该类型的协议报文，在避免攻击报文攻击的情况下能够保证交换机业务的正常运行，满足用户的实际需求。

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种交换机的中央处理器防攻击的方法、装置、设备及存储介质。

背景技术

交换机通过交换芯片将协议报文上送给中央处理器(Central Processing Unit，CPU)，以使CPU根据上送的协议报文来进行协议状态维护、转发表项配置以及其它需求的业务类型，但是在网络中可能会存在大量的恶意攻击报文导致CPU业务繁忙，使得处理的正常业务中断，从而出现交换机的失联。针对上述出现的问题，目前通常采用硬件限速或软件限速的方式。

其中，硬件限速通常配置交换芯片针对CPU队列和CPU端口进行限速，但采用这种方式会存在多个协议报文共用一个队列不能精确区分的问题，另外如果限速不合理，会出现无法保护CPU或者将正常协议报文淹没的情况；而软件限速通过软件分析确定CPU收到的报文为攻击报文则通过下发整机内容匹配引擎(Content Aware Processor，CAP)规则进行攻击报文的丢弃，但同时也会将其他端口进入的正常协议报文进行丢弃，从而影响交换机业务的正常运行。因此现有交换机的中央处理器CPU防攻击的方式都不能满足用户的实际需求。

发明内容

本发明实施例提供了一种交换机的中央处理器防攻击的方法、装置、设备及存储介质。以实现对攻击报文的有效拦截，保证交换机业务的正常运行。

第一方面，本发明实施例提供了一种交换机的中央处理器防CPU攻击的方法，包括：获取交换芯片所上传的协议报文集合中所包含的攻击报文以及攻击报文的属性信息，其中，属性信息中至少包含攻击报文的协议类型和对应的源端口号；

根据攻击报文的协议类型和源端口号向交换芯片发送拦截指令，以使交换芯片根据拦截指令丢弃从源端口接收的协议类型的攻击报文。

第二方面，本发明实施例提供了一种交换机的中央处理器CPU防攻击的装置，包括：

攻击报文获取模块，用于获取交换芯片所上传的协议报文集合中所包含的攻击报文以及攻击报文的属性信息，其中，属性信息中至少包含攻击报文的协议类型和对应的源端口号；

攻击报文拦截模块，用于根据攻击报文的协议类型和源端口号向交换芯片发送拦截指令，以使交换芯片根据拦截指令丢弃从源端口接收的协议类型的攻击报文。

第三方面，本发明实施例提供了一种设备，包括：

一个或多个处理器；

存储器，用于存储一个或多个程序；

当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现上述方法。

第四方面，本发明实施例提供了一种计算机存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述方法。