本申請公開了一種防火墻以及防止網絡攻擊方法。其中,所述方法包括如下步驟:從因特網接收報文,并判斷報文的長度是否大于閾值;如果報文的長度大于閾值,則將長度大于閾值的報文鏡像到從處理芯片;根據鏡像到從處理芯片的長度大于閾值的報文的數量和頻率判斷是否受到攻擊;如果受到攻擊,則對長度大于閾值的報文進行處理。通過上述方法可以避免將大量的攻擊報文向主處理芯片發送,從而保證主處理芯片具有足夠的資源處理正常報文,保證防火墻正常進行業務轉發。
【技術實現步驟摘要】
本申請涉及通信領域,特別是涉及。
技術介紹
在網絡迅速發展的今天,網絡安全也成為一個越來越重要的問題。黑客通常利用僵尸網絡向被攻擊者發送大量的數據流,造成被攻擊者鏈路擁塞,資源耗盡,從而無法正常運作。在各種攻擊方法中,帶寬型攻擊是其中一種常用的攻擊方法,帶寬型攻擊主要是通過發送無狀態協議的大包來堵塞被攻擊者的鏈路,其中,大包是指長度遠大于正常報文長度的特殊報文。現有技術提供了一種防火墻,防火墻包括交換芯片和處理芯片,其中,交換芯片接收到報文后,將報文向處理芯片發送,處理芯片在接收到報文后,根據網絡攻擊的防范策略進行處理,從而實現阻止因特網對受保護網絡的攻擊。但是,由于交換芯片所接收到的報文都必須向處理芯片發送,在收到網絡攻擊時,大量的攻擊報文都一一向處理芯片發送,將導致處理芯片的資源將被耗盡,正常的報文沒法通過處理芯片向目的地發送,從而導致防火墻不能正常進行業務轉發。
技術實現思路
本申請主要解決的技術問題是提供,能夠使防止主處理芯片收到攻擊影響,保證防火墻正常 進行業務轉發。為解決上述技術問題,本申請第一方面提供一種防止網絡攻擊方法,所述方法包括如下步驟從因特網接收報文,并判斷所述報文的長度是否大于閾值;如果所述報文的長度大于閾值,則將所述長度大于閾值的報文鏡像到從處理芯片;根據鏡像到所述從處理芯片的所述長度大于閾值的報文的數量和頻率判斷是否受到攻擊;如果受到攻擊,則對所述長度大于閾值的報文進行處理。結合第一方面,本申請的第一方面的第一種可能的實施方式中,所述對所述長度大于閾值的報文進行處理包括如下步驟阻止向主處理芯片發送所述長度大于閾值的報文,或限制向所述主處理芯片發送所述長度大于閾值的報文的流量。結合第一方面以及第一方面的第一種可能的實施方式,本申請的第二種可能的實施方式中,所述判斷報文的長度是否大于閾值的步驟之后包括如下步驟如果所述報文的長度小于或等于閾值,則將所述長度小于或等于閾值的報文發送給主處理芯片。結合第一方面,本申請第一方面的第二種可能的實施方式中,還包括如果沒有受到攻擊或者攻擊停止,將接收到的所述報文發送給所述主處理芯片。結合第一方面,本申請第一方面的第三種可能的實施方式中,所述判斷報文的長度是否大于閾值的步驟包括如下步驟判斷所述報文的類型;如果所述報文的類型為網際控制信息協議報文,則判斷所述報文的長度是否大于256字節;如果所述報文的類型為用戶數據報協議報文,則判斷所述報文的長度是否大于I千字節。為解決上述技術問題,本申請第二方面還提供一種防火墻,包括交換芯片、主處理芯片以及從處理芯片,其中,所述交換芯片耦接所述主處理芯片;所述交換芯片用于從因特網接收報文,并判斷所述報文的長度是否大于閾值,并在所述報文的長度大于閾值時,將所述長度大于閾值的報文鏡像到從處理芯片;所述從處理芯片用于接收長度超過閾值的報文,根據鏡像到所述從處理芯片的所述長度大于閾值的報文的數量和頻率判斷是否受到攻擊,并在受到攻擊時,通過所述交換芯片對所述長度大于閾值的報文進行處理。結合第二方面,本申請的第二方面的第一種可能的實施方式中,所述交換芯片具體用于阻止向主處理芯片發送所述長度大于閾值的報文,或限制向所述主處理芯片發送所述長度大于閾值的報文的流量。結合第二方面以及第二方面的第一種可能的實施方式,本申請的第二種可能的實施方式中,所述交換芯片還用于在所述報文的長度小于或等于閾值時,將所述長度小于或等于閾值的報文發送給所述主處理芯片。結合第二方面,本申請第二方面的第二種可能的實施方式中,所述交換芯片還用于在沒有受到攻擊或者攻擊停止時,將接收到的所述報文發送給所述主處理芯片。結合第二方面,本申請第二方面的第三種可能的實施方式中,所述從處理芯片還用于判斷所述報文的類型,在所述報文的類型為網際控制信息協議報文時,判斷所述報文的長度是否大于256字節;在所述報文的類型為用戶數據報協議報文時,判斷所述報文的長度是否大于I千字節。結合第二方面,本申請第二方面的第四種可能的實施方式中,所述從處理芯片集成在所述交換芯片內。結合第二方面,本申請第二方面的第五種可能的實施方式中,所述從處理芯片設置于所述交換芯片之外,所述從處理芯片耦接所述交換芯片。防火墻通過設置了 主、從處理芯片,并在報文的長度大于閾值時,將報文鏡像到從處理芯片,從處理芯片判斷是否受到攻擊,并在受到攻擊時,通知交換芯片阻止長度超過閾值的報文向主處理芯片發送,或通知交換芯片限制長度超過閾值的報文通過主處理芯片的流量,可以避免將大量的攻擊報文向主處理芯片發送,從而保證主處理芯片具有足夠的資源處理正常報文,保證防火墻正常進行業務轉發。附圖說明圖1是本申請防止網絡攻擊方法一實施方式的流程圖;圖2是本申請防止網絡攻擊方法另一實施方式的流程圖;圖3是本申請防火墻一實施方式的結構示意圖。具體實施例方式以下描述中,為了說明而不是為了限定,提出了諸如特定系統結構、接口、技術之類的具體細節,以便透徹理解本申請。然而,本領域的技術人員應當清楚,在沒有這些具體細節的其它實施方式中也可以實現本申請。在其它情況中,省略對眾所周知的裝置、電路以及方法的詳細說明,以免不必要的細節妨礙本申請的描述。參閱圖1,圖1是本申請防止網絡攻擊方法一實施方式的流程圖。本實施方式的防止網絡攻擊方法包括SlOl :防火墻中的交換芯片從因特網接收報文,并判斷報文的長度是否大于閾值。從因特網傳輸過來的報文首先會發送給防火墻,防火墻中的交換芯片接收到從因特網傳輸過來的報文后,判斷報文的長度是否大于閾值。由于帶寬型攻擊主要是通過發送無狀態協議的大包來堵塞被攻擊者的鏈路,所以如果一旦發現報文的長度大于閾值時,則該報文可能是攻擊報文,需要進一步進行判斷。因此,如果報文的長度大于閾值,進入步驟S102。S102 :防火墻中的交換芯片將報文鏡像到從處理芯片。在報文的長度大于閾值時,防火墻中的交換芯片將報文鏡像到從處理芯片,以供從處理芯片進行進一步的判斷,同時,交換芯片繼續將報文向主處理芯片發送。S103:防火墻中的從處理芯片根據鏡像到從處理芯片的報文的數量和頻率判斷是否受到攻擊。從處理芯片在接收到交換芯片所鏡像的報文后,統計交換芯片所發過來的復制的報文的數量和頻率,并通過發送給從處理芯片的報文的數量和頻率判斷是否受到到攻擊。如果遭受到了攻擊,進入步驟S104。S104:防火墻中的交換芯片阻止將長度超過閾值的報文向主處理芯片發送,或限制長度超過閾值的報文通過所述主處理芯片的流量。在受到了攻擊的情 況下,從處理芯片通知交換芯片阻止將長度超過閾值的報文向主處理芯片發送,或通知交換芯片限制長度超過閾值的報文通過主處理芯片的流量,以防止將過多的攻擊報文向主處理芯片發送,導致主處理芯片資源被耗盡,從而保證主處理芯片具有足夠的資源處理正常報文。防火墻通過設置了主、從處理芯片,并在報文的長度大于閾值時,將報文鏡像到從處理芯片,從處理芯片判斷是否受到攻擊,并在受到攻擊時,通知交換芯片阻止長度超過閾值的報文向主處理芯片發送,或通知交換芯片限制長度超過閾值的報文通過主處理芯片的流量,可以避免將大量的攻擊報文向主處理芯片發送,從而保證主處理芯片具有足夠的資源處理正常報文,保證防火墻正常進行業務轉發。參閱圖2,圖2是本申請防止網絡攻擊方法另一實施方本文檔來自技高網...
【技術保護點】
一種防止網絡攻擊的方法,其特征在于,所述方法包括如下步驟:從因特網接收報文,并判斷所述報文的長度是否大于閾值;如果所述報文的長度大于閾值,則將所述長度大于閾值的報文鏡像到從處理芯片;根據鏡像到所述從處理芯片的所述長度大于閾值的報文的數量和頻率判斷是否受到攻擊;如果受到攻擊,則對所述長度大于閾值的報文進行處理。
【技術特征摘要】
1.一種防止網絡攻擊的方法,其特征在于,所述方法包括如下步驟 從因特網接收報文,并判斷所述報文的長度是否大于閾值; 如果所述報文的長度大于閾值,則將所述長度大于閾值的報文鏡像到從處理芯片;根據鏡像到所述從處理芯片的所述長度大于閾值的報文的數量和頻率判斷是否受到攻擊; 如果受到攻擊,則對所述長度大于閾值的報文進行處理。2.根據權利要求1所述的方法,其特征在于,所述對所述長度大于閾值的報文進行處理包括如下步驟 阻止向主處理芯片發送所述長度大于閾值的報文,或限制向所述主處理芯片發送所述長度大于閾值的報文的流量。3.根據權利要求1-2任一權利要求所述的方法,其特征在于,所述判斷報文的長度是否大于閾值的步驟之后包括如下步驟 如果所述報文的長度小于或等于閾值,則將所述長度小于或等于閾值的報文發送給主處理芯片。4.根據權利要求1所述的方法,其特征在于,還包括如果沒有受到攻擊或者攻擊停止,將接收到的所述報文發送給所述主處理芯片。5.根據權利要求4所述的方法,其特征在于,所述判斷報文的長度是否大于閾值的步驟包括如下步驟 判斷所述報文的類型; 如果所述報文的類型為網際控制信息協議報文,則判斷所述報文的長度是否大于256字節; 如果所述報文的類型為用戶數據報協議報文,則判斷所述報文的長度是否大于I千字節。6.一種防火墻,其特征在于,包括交換芯片、主處理芯片以及從處理芯片,其中,所述交換芯片耦接所述主處理芯片; 所...
【專利技術屬性】
技術研發人員:李雯,
申請(專利權)人:華為技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。