技術領域

本發(fā)明涉及網(wǎng)絡技術領域，尤其涉及一種防止報文攻擊的處理方法及裝置。

背景技術

在以太網(wǎng)絡中，網(wǎng)絡交換機、路由器等網(wǎng)絡設備多以訪問控制列表(英文：accesscontrollist；簡稱：ACL)篩選設備端口接收到的報文以得到協(xié)議報文，并對得到的協(xié)議報文設定承諾接入速率(英文：CommittedAccessRate；簡稱：CAR)以限制協(xié)議報文被發(fā)送到中央處理器(英文：centralprocessingunit；簡稱：CPU)的速率，以防止CPU接收過多的報文。

為了節(jié)省設置ACL和CAR的硬件資源，網(wǎng)絡設備通常采用對多個端口的同一協(xié)議類型的協(xié)議報文使用相同的ACL以執(zhí)行相同的CAR操作。但是如果非法用戶通過網(wǎng)絡設備中不進行網(wǎng)絡協(xié)議報文交互的端口向網(wǎng)絡設備發(fā)送大量的一種協(xié)議類型的協(xié)議報文，由于多個端口使用相同的ACL和CAR，導致進行網(wǎng)絡協(xié)議報文交互的端口也無法處理該協(xié)議類型的正常的協(xié)議報文，產(chǎn)生類似拒絕服務(英文：denial-of-service；簡稱：DOS)攻擊的效果。

為了避免類似DOS攻擊的效果發(fā)生，通常將網(wǎng)絡設備的端口配置為信任端口和非信任端口兩大類。其中，不進行網(wǎng)絡協(xié)議報文交互的端口被配置為非信任端口，該非信任端口不接收協(xié)議報文，而進行網(wǎng)絡協(xié)議報文交互的端口被配置為信任端口并設定接收協(xié)議報文的CAR，故非信任端口受到攻擊的情況下，不影響信任端口對正常協(xié)議報文的處理。

目前配置信任端口和非信任端口，需要手工配置，工作量大，而且可能被誤配置。

發(fā)明內容

本發(fā)明實施例提供一種防止報文攻擊的處理方法及裝置，以減少誤配置，達到較佳的防止報文攻擊的效果。

第一方面，提供一種防止報文攻擊的處理方法，包括：

監(jiān)測網(wǎng)絡設備端口進行網(wǎng)絡協(xié)議協(xié)商的狀態(tài)；

根據(jù)監(jiān)測到的網(wǎng)絡設備端口進行網(wǎng)絡協(xié)議協(xié)商的狀態(tài)，將進行網(wǎng)絡協(xié)議協(xié)商成功的端口設置為信任端口；

根據(jù)第一訪問控制列表在所述信任端口接收到的報文中選取協(xié)議報文，并根據(jù)第一承諾接入速率限制所述協(xié)議報文被發(fā)送到中央處理器的速率；

根據(jù)監(jiān)測到的網(wǎng)絡設備端口進行網(wǎng)絡協(xié)議協(xié)商的狀態(tài)，將進行網(wǎng)絡協(xié)議協(xié)商失敗的端口設置為非信任端口；

根據(jù)第二訪問控制列表在所述非信任端口接收到的報文中選取協(xié)議報文，并根據(jù)第二承諾接入速率限制所述協(xié)議報文被發(fā)送到中央處理器的速率。

結合第一方面，在第一方面的第一種實現(xiàn)方式中，將進行網(wǎng)絡協(xié)議協(xié)商成功的端口設置為信任端口后，所述方法還包括：

監(jiān)測所述信任端口的報文接收速率；

在所述報文接收速率超過閾值的情況下，將所述信任端口更改為非信任端口。

結合第一方面或者第一方面的第一種實現(xiàn)方式，在第一方面的第二種實現(xiàn)方式中，所述第一訪問控制列表與除所述信任端口以外的其它信任端口使用的第一訪問控制列表相同；所述第一承諾接入速率與除所述信任端口以外的其它信任端口使用的第一承諾接入速率相同。

結合第一方面、第一方面的第一種實現(xiàn)方式和第一方面的第二種實現(xiàn)方式中的任意一個，在第一方面的第三種實現(xiàn)方式中，所述第二訪問控制列表與除所述非信任端口以外的其它非信任端口使用的第二訪問控制列表相同；所述第二承諾接入速率與除所述非信任端口以外的其它非信任端口使用的第二承諾接入速率相同。

結合第一方面和第一方面的第一種實現(xiàn)方式至第一方面的第三種實現(xiàn)方式中的任意一個，在第一方面的第四種實現(xiàn)方式中，監(jiān)測網(wǎng)絡設備端口進行網(wǎng)絡協(xié)議協(xié)商的狀態(tài)之前，所述方法還包括：

設置網(wǎng)絡設備的各端口為非信任端口。

第二方面，本發(fā)明實施例提供一種防止報文攻擊的處理裝置，包括：

監(jiān)測單元，用于監(jiān)測網(wǎng)絡設備端口進行網(wǎng)絡協(xié)議協(xié)商的狀態(tài)；

設置單元，用于將所述監(jiān)測單元監(jiān)測到的進行網(wǎng)絡協(xié)議協(xié)商成功的端口設置為信任端口，并將所述監(jiān)測單元監(jiān)測到的進行網(wǎng)絡協(xié)議協(xié)商失敗的端口設置為非信任端口；

處理單元，用于根據(jù)第一訪問控制列表在所述設置單元設置的信任端口接收到的報文中選取協(xié)議報文，并根據(jù)第一承諾接入速率限制所述協(xié)議報文被發(fā)送到中央處理器的速率，根據(jù)第二訪問控制列表在所述設置單元設置的非信任端口接收到的報文中選取協(xié)議報文，并根據(jù)第二承諾接入速率限制所述協(xié)議報文被發(fā)送到中央處理器的速率。

結合第二方面，在第二方面的第一種實現(xiàn)方式中，所述監(jiān)測單元還用于：