技術領域

本發明涉及通訊技術領域中的寬帶接入技術，尤其涉及寬帶接入中網絡設備上防止用戶攻擊的方法。

背景技術

目前，寬帶接入設備中防火墻技術應用日益廣泛，但這些防火墻技術都是局限于對某類報文作絕對的限制，即禁止該類報文通過，而不能為特定類的報文分配一定的帶寬，也不能針對特定用戶的特定包進行帶寬限制，尤其是需要協議棧進行復雜處理的報文。在一些病毒爆發或某些用戶對設備進行惡意攻擊時，設備需要正常處理的報文過多，就會對業務的正常運行造成嚴重的影響，甚至造成設備癱瘓，或者攻擊報文占用正常用戶的正常報文的帶寬，從而使正常用戶的業務受到影響。

因此，針對特定包或特定用戶的特定包，既要防止用戶發送大量特定包進行攻擊，又要允許用戶特定包進行發送，則需要一種能防止用戶特定包攻擊、同時也能限制該特定包占用帶寬的方法。

發明內容

本發明所要解決的技術問題在于，提供一種在網絡設備上防止用戶特定包攻擊的方法，既防止用戶特定包的攻擊，又能允許特定包以限定的帶寬進行傳送。

本發明提供一種在網絡設備上防止用戶特定包攻擊的方法，所述網絡設備具有控制平面、以及將用戶報文轉發到控制平面的轉發平面，所述方法包括如下步驟：

(1)控制平面接收用戶特定包，定時檢測并記錄所述用戶特定包的流量；

(2)當定時檢測發現所述特定包的流量超過設定閥值時，控制平面以源MAC地址為關鍵字、以限制帶寬和報文類型為參數增加帶寬限制表；

(3)轉發平面收到需要上送控制平面的特定包后，提取特定包中的源MAC地址和報文類型，并依據源MAC地址查找帶寬限制表，如果查到，則根據報文類型獲取帶寬限制表中相應的限制帶寬信息；

(4)轉發平面根據限制帶寬信息對用戶特定包進行帶寬限制，將所述特定包轉發到控制平面。

進一步地，所述特定包是ARP、或RIP、或OSPF、或IGMP、或PPP-ECHO、或PPPOE-DISCOVERY、或UDP報文。

進一步地，所述帶寬限制表至少包括源MAC地址、報文類型、和限制帶寬信息，其由控制平面生成，存儲在控制平面和轉發平面都能訪問的共享存儲區。

進一步地，步驟(1)中是利用一個定時器進行定時，在定時到達時開始檢測用戶特定包的流量。

進一步地，步驟(2)中所述閾值，是根據控制平面硬件的處理能力和具體業務的需求，由管理人員根據情況預先設定。

本發明利用控制面板通過檢測特定用戶包流量是否超過閾值，對超過閾值的特定包建立帶寬限制表，轉發模塊轉發時，對特定包查表，如果能查到，則以相應帶寬限制信息，對帶寬進行限制。本發明既可以避免對特定包的絕對限制，允許特定包接入，又能夠較好地解決用戶特定包攻擊的問題。

附圖說明

圖1是本發明實施例中涉及的網絡設備的結構原理圖；

圖2是本發明實施例中控制平面增加帶寬限制表的流程圖；

圖3是本發明實施例中轉發平面進行帶寬限制處理的流程圖。

具體實施方式

下面結合附圖及具體實施例對本發明所述的防止用戶特定包攻擊的方法，作進一步詳細說明。

如圖1所示，顯示了網絡設備中通常的結構原理圖，通常網絡設備上包括有控制平面和轉發平面，所述轉發平面能夠將接收到的用戶報文轉發到控制平面進行處理。在本發明中，為了防止用戶特定包攻擊，控制平面主要實現對用戶特定包的流量檢測，而轉發平面實現對用戶報文的帶寬限制，將限制帶寬的用戶特定包轉發到控制平面。

在本發明所述的防止用戶特定包攻擊的方法中，分別包括在控制平面和轉發平面的流程。

如圖2所示，顯示了控制平面增加帶寬限制表的流程圖，主要包括如下步驟：

(1)控制平面設置定時器，定時檢測用戶特定包流量，并可以記錄所述的特定包流量，例如可以設置定時器的定時時間為1秒，每一秒鐘進行一次報文流量檢測，該定時器定時時間是可以改變的，也可以是0.5秒或2秒；

(2)根據檢測結果，判斷用戶特定包流量是否超過設定閥值；

(3)如果檢測流量超過閾值，則以源MAC地址為關鍵字、以限制帶寬和報文類型為參數，增加帶寬限制表；

(4)如果檢測流量未超過閾值，則結束。

如圖3所示，顯示了轉發平面進行帶寬限制處理的流程圖，主要包括如下步驟：

(1)轉發平面接收到送往控制平面的用戶特定包；

(2)轉發平面從所述特定包中提取源MAC地址，查找帶寬限制表；