本發明實施例公開了一種交換機的中央處理器防攻擊的方法、裝置、設備及存儲介質，包括：獲取交換芯片所上傳的協議報文集合中所包含的攻擊報文以及攻擊報文的屬性信息；根據攻擊報文的協議類型和源端口號向交換芯片發送攔截指令，以使交換芯片根據攔截指令丟棄從源端口接收的協議類型的攻擊報文。根據攻擊報文的協議類型和源端口號向交換芯片發送攔截指令僅丟棄從特定源端口所接收到的特定協議類型的報文，當某個端口的某種協議報文為攻擊報文時，只丟棄從該端口接收到的該類協議報文，而不影響該端口的其它類型的協議報文，也不影響其他端口的該類型的協議報文，在避免攻擊報文攻擊的情況下能夠保證交換機業務的正常運行，滿足用戶的實際需求。

技術領域

本發明實施例涉及通信技術領域，尤其涉及一種交換機的中央處理器防攻擊的方法、裝置、設備及存儲介質。

背景技術

交換機通過交換芯片將協議報文上送給中央處理器(Central Processing Unit，CPU)，以使CPU根據上送的協議報文來進行協議狀態維護、轉發表項配置以及其它需求的業務類型，但是在網絡中可能會存在大量的惡意攻擊報文導致CPU業務繁忙，使得處理的正常業務中斷，從而出現交換機的失聯。針對上述出現的問題，目前通常采用硬件限速或軟件限速的方式。

其中，硬件限速通常配置交換芯片針對CPU隊列和CPU端口進行限速，但采用這種方式會存在多個協議報文共用一個隊列不能精確區分的問題，另外如果限速不合理，會出現無法保護CPU或者將正常協議報文淹沒的情況；而軟件限速通過軟件分析確定CPU收到的報文為攻擊報文則通過下發整機內容匹配引擎(Content Aware Processor，CAP)規則進行攻擊報文的丟棄，但同時也會將其他端口進入的正常協議報文進行丟棄，從而影響交換機業務的正常運行。因此現有交換機的中央處理器CPU防攻擊的方式都不能滿足用戶的實際需求。

發明內容

本發明實施例提供了一種交換機的中央處理器防攻擊的方法、裝置、設備及存儲介質。以實現對攻擊報文的有效攔截，保證交換機業務的正常運行。

第一方面，本發明實施例提供了一種交換機的中央處理器防CPU攻擊的方法，包括：獲取交換芯片所上傳的協議報文集合中所包含的攻擊報文以及攻擊報文的屬性信息，其中，屬性信息中至少包含攻擊報文的協議類型和對應的源端口號；

根據攻擊報文的協議類型和源端口號向交換芯片發送攔截指令，以使交換芯片根據攔截指令丟棄從源端口接收的協議類型的攻擊報文。

第二方面，本發明實施例提供了一種交換機的中央處理器CPU防攻擊的裝置，包括：

攻擊報文獲取模塊，用于獲取交換芯片所上傳的協議報文集合中所包含的攻擊報文以及攻擊報文的屬性信息，其中，屬性信息中至少包含攻擊報文的協議類型和對應的源端口號；

攻擊報文攔截模塊，用于根據攻擊報文的協議類型和源端口號向交換芯片發送攔截指令，以使交換芯片根據攔截指令丟棄從源端口接收的協議類型的攻擊報文。

第三方面，本發明實施例提供了一種設備，包括：

一個或多個處理器；

存儲器，用于存儲一個或多個程序；

當一個或多個程序被一個或多個處理器執行，使得一個或多個處理器實現上述方法。

第四方面，本發明實施例提供了一種計算機存儲介質，其上存儲有計算機程序，該程序被處理器執行時實現上述方法。