技術領域

本發明涉及工業以太網技術領域，尤其涉及一種防止環網協議報文攻擊設備CPU的方法及裝置。

背景技術

為了保證工業以太網的安全性，使用具有快速倒換能力的環網協議進行網絡規劃是比較普遍的現象。環網協議是網絡正常通信的保障，如果環網協議發生異常，對整個網絡的正常通信將會造成很大的沖擊，嚴重的可能會導致網絡癱瘓，因此環網協議的安全性對整個網絡是非常重要的。

在對環網協議的攻擊中，一種較嚴重的攻擊是仿冒大量的環網協議報文沖擊環網中設備的CPU。在這種攻擊中，攻擊者通過抓取環網中的報文，獲取環網協議的特征值，仿冒該特征值的報文，或者直接將抓取的報文向設備的端口發送。雖然設備的CPU會進行報文合理性的判斷，但是該攻擊方法還是會對環網中設備的CPU造成一定的沖擊。

在現有技術中為了解決這種沖擊，采用了以下方式：

環網中每臺設備的CPU檢測從每個端口接收到的環網協議報文的數量，當從某一端口接收到大量的環網協議報文時，將該端口關閉一段時間。但是這種關閉端口的方法，將會終止該端口的正常通信，影響環網的正常運行。

或者，還可以是環網中每臺設備的CPU檢測從每個端口接收到的環網協議報文的數量，當從某一端口接收到大量的環網協議報文時，對該端口上報CPU進行處理的特定協議報文進行限速，從而減小對CPU的沖擊。但是采用該方法時，如果此時有大量的該特定協議報文通過該端口上報CPU，而該端口此時被限速，很多真實的該特定協議報文將被淹沒，導致環網協議異常。

發明內容

本發明實施例提供一種防止環網協議報文攻擊設備CPU的方法及裝置，用以解決現有技術防止環網協議報文攻擊設備CPU時，影響環網的正常運行及造成環網協議異常的問題。

本發明實施例提供一種防止環網協議報文攻擊設備CPU的方法，所述方法包括：

第一環網設備檢測經自身處理的環網協議報文是否超速；

當檢測到超速時，生成用于生成環網協議特征值的隨機值，將所述隨機值發送給環網中的其他設備；

并向環網中其他設備發送啟動新的特征值的通知信息，使環網中的每臺設備的硬件根據生成的新的特征值對環網協議報文進行檢測，其中所述新的特征值根據所述隨機值、報文類型信息、每臺設備的地址信息及每臺設備中保存的加密算法生成。

本發明實施例提供一種防止環網協議報文攻擊設備CPU的裝置，所述裝置包括：

檢測模塊，用于檢測經自身處理的環網協議報文是否超速；

第一發送模塊，用于當檢測到超速時，生成用于生成環網協議特征值的隨機值，將所述隨機值發送給環網中的其他設備；

第二發送模塊，用于向環網中其他設備發送啟動新的特征值的通知信息，使環網中的每臺設備的硬件根據生成的新的特征值對環網協議報文進行檢測，其中所述新的特征值根據所述隨機值、報文類型信息、每臺設備的地址信息及每臺設備中保存的加密算法生成。

本發明實施例提供一種防止環網協議報文攻擊設備CPU的方法及裝置，該方法包括：當環網中的某一設備檢測自身處理的環網協議報文的數量超速時，生成用于生成環網協議特征值的隨機值，并將該隨機值發送到環網中的每臺設備中，以便環網中的每臺設備的硬件在接收到該設備發送的啟動新的特征值的通知后，采用該生成的新的特征值對接收到的環網協議報文進行檢測，只有檢測該報文非攻擊報文時，才將報文發送到CPU進行處理。由于在本發明實施例中當檢測到自身處理的環網協議報文超速時，開始更新環網中每臺設備中的環網協議特征值，從而可以及時的過濾掉攻擊報文，通過硬件進行判斷的方法，可以有效防止環網協議報文對設備CPU的攻擊。

附圖說明

圖1為本發明實施例提供的一種防止環網協議報文攻擊設備CPU的過程示意圖；

圖2為本發明實施例提供的該防止環網協議報文攻擊設備CPU的一具體實施過程示意圖；

圖3為本發明實施例提供的該防止環網協議報文攻擊設備CPU的另一具體實施過程示意圖；

圖4為本發明實施例提供的環網中各設備的組網結構示意圖；

圖5為本發明實施例提供的基于圖4的該防止環網協議報文攻擊設備CPU的詳細實施過程；

圖6為本發明實施例提供的一種防止環網協議報文攻擊設備CPU的裝置，的結構示意圖。

具體實施方式

本發明為了有效的過濾攻擊報文，防止環網協議報文對設備CPU的攻擊，保證環網的正常運行，提供了一種防止環網協議報文攻擊設備CPU的方法及裝置。