技術(shù)領(lǐng)域

本發(fā)明實施例涉及網(wǎng)絡(luò)通信領(lǐng)域，并且更具體地，涉及處理器的防護方法和設(shè)備。

背景技術(shù)

ICMP(Internet Control Message Protocol，因特網(wǎng)控制消息協(xié)議)是TCP（Transmission Control Protocol，傳輸控制協(xié)議）/IP（Internet Protocol，因特網(wǎng)協(xié)議）協(xié)議族的一個子協(xié)議，用于在IP主機、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。

很多常用的工具基于ICMP消息。例如，Traceroute（路由追蹤）命令是通過發(fā)送包含有特殊TTL（Time To Live，生存時間）的報文、然后接收ICMP超時消息和目標不可達消息來實現(xiàn)的。Ping（Packet Internet Groper，因特網(wǎng)報文探索器）是用ICMP的"Echo request"（回顯請求）和"Echo reply"（回顯應(yīng)答）消息來實現(xiàn)的。

ICMP是一種無連接的協(xié)議，ICMP報文流量在網(wǎng)絡(luò)上沒有規(guī)律，可能某段時間出現(xiàn)大量ICMP報文，而其他時間則ICMP報文很少。ICMP報文常常被利用來攻擊網(wǎng)絡(luò)設(shè)備，例如進行DoS（Denial of Service，拒絕服務(wù)）攻擊，因此ICMP協(xié)議對于網(wǎng)絡(luò)安全具有極其重要的意義。

網(wǎng)絡(luò)設(shè)備需要處理目的地址（destination address）是本機的ICMP報文，將其上送本機CPU（Central Processing Unit，中央處理單元）的軟件協(xié)議棧。本機CPU的處理能力是有限的，當需要處理的ICMP報文遠遠超過協(xié)議棧處理能力時，會導(dǎo)致CPU的過載，甚至最終導(dǎo)致設(shè)備的癱瘓。

因此，需要針對ICMP報文的CPU防護機制。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種處理器的防護方法和設(shè)備，能夠靈活地防護ICMP報文對處理器的沖擊。

第一方面，提供了一種處理器的防護方法，包括：確定網(wǎng)絡(luò)設(shè)備中轉(zhuǎn)發(fā)單元向處理器發(fā)送ICMP報文的傳輸速率；根據(jù)所確定的傳輸速率，控制所述轉(zhuǎn)發(fā)單元向處理器發(fā)送ICMP報文的傳輸速率的上限。

結(jié)合第一方面，在一種實現(xiàn)方式中，所述根據(jù)所確定的傳輸速率，控制所述轉(zhuǎn)發(fā)單元向處理器發(fā)送ICMP報文的傳輸速率的上限，包括：根據(jù)所確定的傳輸速率，將所述傳輸速率的上限設(shè)置為預(yù)定的多個限速值之一。

結(jié)合第一方面及其上述實現(xiàn)方式，在另一種實現(xiàn)方式中，該方法還包括：確定所述處理器的占用率。所述根據(jù)所確定的傳輸速率，將所述傳輸速率的上限設(shè)置為預(yù)定的多個限速值之一，包括：根據(jù)所確定的傳輸速率和所確定的處理器的占用率，將所述傳輸速率的上限設(shè)置為所述多個限速值之一。

結(jié)合第一方面及其上述實現(xiàn)方式，在另一種實現(xiàn)方式中，所述根據(jù)所確定的傳輸速率和所確定的處理器的占用率，將所述傳輸速率的上限設(shè)置為所述多個限速值之一，包括：在所述處理器的占用率低于第一閾值且所述傳輸速率等于當前限速值時，或者在所述處理器的占用率低于第一閾值且所述傳輸速率與當前限速值的比值大于或等于R1時，將所述傳輸速率的上限設(shè)置為所述多個限速值中比當前限速值高一級的限速值，其中R1大于0且小于1。

結(jié)合第一方面及其上述實現(xiàn)方式，在另一種實現(xiàn)方式中，所述將所述傳輸速率的上限設(shè)置為預(yù)定的多個限速值之一，還包括：在所述處理器的占用率高于第二閾值時，將所述傳輸速率的上限設(shè)置為所述多個限速值中的最小限速值。

結(jié)合第一方面及其上述實現(xiàn)方式，在另一種實現(xiàn)方式中，所述根據(jù)所確定的傳輸速率，將所述傳輸速率的上限設(shè)置為預(yù)定的多個限速值之一，包括：在所述傳輸速率等于所述多個限速值中比當前限速值低一級的限速值時，或者在所述傳輸速率與所述多個限速值中比當前限速值低一級的限速值的比值小于或等于R2時，將所述傳輸速率的上限調(diào)整為所述多個限速值中比當前限速值低一級的限速值，其中R2大于0且小于1。

結(jié)合第一方面及其上述實現(xiàn)方式，在另一種實現(xiàn)方式中，在所述確定網(wǎng)絡(luò)設(shè)備中轉(zhuǎn)發(fā)單元向處理器發(fā)送ICMP報文的傳輸速率之前，還包括：將所述傳輸速率的上限設(shè)置為默認限速值，其中所述默認限速值為所述多個限速值中的最小限速值。

第二方面，提供了一種處理器的防護設(shè)備，包括：確定單元，用于確定網(wǎng)絡(luò)設(shè)備中轉(zhuǎn)發(fā)單元向處理器發(fā)送因特網(wǎng)控制消息協(xié)議ICMP報文的傳輸速率；控制單元，用于根據(jù)所述確定單元所確定的傳輸速率，控制所述轉(zhuǎn)發(fā)單元向處理器發(fā)送ICMP報文的傳輸速率的上限。