基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法

摘要

本发明提供了一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法，防御电路设置在以太网接口的数据链路层和数据物理层之间，其通过MII接口分别与MAC和PHY连接；所述方法包括如下步骤：A、MII接口接收到报文发送信号或报文接收信号后启动防御电路；B、半字节计数控制器将网络数据帧的字段分配到寄存器锁存；C、数值比较器将寄存器与特征数值编码进行数值比较；D、组合逻辑电路控制FIFO缓存模块电路对网络数据帧进行丢弃或通过处理。和现有技术相比，本发明提供的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法纯硬件实现、实时性高、灵活性高、不占CPU资源和实际网口带宽，具有较高稳定性。

说明书

技术领域

本发明涉及一种网络攻击防御电路的实现方法，具体涉及一种基于FPGA的网络Smurf攻 击特征瞬时防御电路实现方法。

背景技术

随着因特网的迅速发展，电力系统对通信网络的依赖越来越大，特别是新一代智能电网 使通信网络信息安全面临新的挑战。由于网络本身(特别是TCP/IP协议)的安全缺陷，各种拒 绝服务(Denial of Service，简称DoS)攻击不可能消失，其中Smurf攻击以其攻击范围广、 隐蔽性强、简单有效等特点成为最常见的网络攻击方式之一，严重威胁着电力信息通信网络 的安全，极大地影响了电力系统的安全、稳定、经济、优质运行，影响着智能电网的实现进 程。

信息通信网络的防Smurf攻击目前主要依靠纯软件防火墙和专用芯片加CPU方案实现的 防火墙设备，它们都存在相应的缺点：纯软件防火墙要耗费一定的CPU资源和存在实际网络 带宽不高等问题，在被攻击时问题尤为严重；专用芯片加CPU方案防火墙设备成本高、不灵 活，需要额外增加设备且设备本身管理部分就是容易被各种攻击。迫切需要一种基于硬件电 路的、不耗CPU资源、高实际网口带宽的网络物理层Smurf攻击防御逻辑电路的实现方法。

发明内容

为了满足现有技术的需求，本发明提供了一种基于FPGA的网络Smurf攻击特征瞬时防御 电路实现方法；所述防御电路设置在以太网接口的数据链路层和数据物理层之间；所述防御 电路通过MII接口分别与MAC和PHY连接；所述方法包括如下步骤：

A、所述MII接口接收到报文发送信号或报文接收信号后启动所述防御电路；

B、半字节计数控制器将网络数据帧的字段分配到寄存器锁存；

C、数值比较器将所述寄存器与特征数值编码进行数值比较；

D、组合逻辑电路控制FIFO缓存模块电路对所述网络数据帧进行丢弃或通过处理。

优选的，所述步骤A中的所述防御电路包括出向数据防御电路和入向数据防御电路；

优选的，所述出向数据防御电路的寄存器包括报文类型寄存器、源IP地址寄存器、IP 报文类型寄存器、报文分段标志寄存器、IP报文类型寄存器、ICMP报文类型寄存器、目的IP 地址寄存器和备份目的IP地址寄存器；

优选的，所述步骤C中的所述数值比较器将所述寄存器与所述特征数值编码比较包括：

所述报文类型寄存器与0x0800比较，若比较结果相同则所述网络数据帧为IP报文；

所述源IP地址寄存器与本网口IP地址比较；

所述IP报文类型寄存器与0x01比较，若比较结果相同则所述网络数据帧为ICMP报文；

所述报文分段标志寄存器与0x02比较，若比较结果相同则所述网络数据帧为分段报文；

所述ICMP报文类型寄存器与0x08或0x0d比较，若比较结果相同则所述网络数据帧为请 求报文；

所述目的IP地址寄存器与所述备份目的IP地址寄存器的上一个网络数据帧锁存的备份 目的IP地址比较；所述目的IP地址寄存器与所述备份目的IP地址寄存器的数值比较器的输 出电平与时钟计数器输出的20ms时钟脉冲电平进行逻辑或运算，用于确保20ms内所述网络 数据帧的目的IP地址不等于所述上一个网络数据帧的目的IP地址，防止Smurf攻击时的连 续数据包；

优选的，所述入向数据防御电路的寄存器包括报文类型寄存器、IP报文类型寄存器、ICMP 报文类型寄存器和ICMP报文类型Code寄存器；

优选的，所述数值比较器将所述寄存器与所述特征数值编码比较包括：

所述报文类型寄存器与0x0800比较，若比较结果相同则所述网络数据帧为IP报文；

所述IP报文类型寄存器与0x01比较，若比较结果相同则所述网络数据帧为ICMP报文；

所述ICMP报文类型寄存器与0x03比较，若比较结果相同则所述网络数据帧为目的不可 达报文；

所述ICMP报文类型Code寄存器与0x03比较，若比较结果相同则所述网络数据帧为端口 不可达报文；

优选的，所述步骤D中的FIFO缓存模块电路包括出向FIFO缓存模块电路和入向FIFO缓 存模块电路；

所述出向数据防御电路中的组合逻辑电路依据所述数值比较器的输出电平控制出向FIFO 缓存模块电路将所述网络数据帧输出到所述PHY芯片或进行丢弃处理；

所述入向数据防御电路中的组合逻辑电路依据所述数值比较器的输出电平控制入向FIFO 缓存模块电路将所述网络数据帧输入到所述MAC芯片或进行丢弃处理；

优选的，所述防御电路解析报文到达或离开节点的标记时刻为在所述网络数据帧开始标 志字节的最后一位的结束和所述数据链路层的目的地址第一个字节的第一位到来之前的时 刻。

本发明的有益效果是：

1、本发明技术方案中，防御电路设置在以太网口数据链路层和数据物理层之间，通过 MII接口分别与MAC和PHY连接，实现了硬件网络的Smurf攻击特征瞬时防御；

2、本发明技术方案中，采用FPGA实现网络Smurf攻击特征瞬时防御，检测过滤速度快、 不占CPU资源和网口带宽；

3、本发明技术方案中，采用FPGA实现网络Smurf攻击特征瞬时防御，提高了防御电路 的灵活性，降低系统成本；

4、本发明提供的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法具有较高 的稳定性。

5、本发明提供的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法可以整合 到以太网MAC芯片中，具有较高的推广和应有价值。

附图说明

下面结合附图对本发明进一步说明。

图1是：本实施例中的出向数据防御电路结构图；

图2是：本实施例中的入向数据防御电路结构图；

图3是：网络数据帧标记时刻示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描 述。

本发明提供的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法的防御电路设 置在以太网接口的数据链路层和数据物理层之间；所述防御电路通过MII接口分别与MAC （Multiple Access Channe，MAC）和PHY（Physical Layer，PHY）连接；所述方法包括如 下步骤：A、MII接口接收到报文发送信号或报文接收信号后启动防御电路；B、半字节计数 控制器将网络数据帧的字段分配到寄存器锁存；C、数值比较器将寄存器与特征数值编码进行 比较；D、组合逻辑电路控制FIFO缓存模块电路对网络数据帧进行丢弃或通过处理；所述防 御电路包括出向数据防御电路和入向数据防御电路。

图1示出了本实施例中的出向数据防御电路结构图；包括半字节计数器、时钟计数器、 组合逻辑电路、报文类型寄存器、源IP地址寄存器、IP报文类型寄存器、报文分段标志寄 存器、ICMP报文类型寄存器、目的IP地址寄存器、备份目的IP地址寄存器和20ms时钟计 数器；

当出向数据防御电路不发送网络数据帧即报文时，MII接口上的TX_EN为低电平，半字 节计数器清零；

当出向数据防御电路发送网络数据帧即报文时，MII接口上的TX_EN变为高电平，半字 节计数控制器在TX_CLK的作用下开始计数；当7个字节的前导码和1字节的帧开始标志(共 8字节，16个半字节)发送完成后，半字节计数控制器的计数值等于计数值16；半字节计数控 制器发出锁存时钟计数器的命令，即在图3示意的时刻标记报文；

当计数值在[40～43]范围时，报文类型寄存器锁存16bit(4个半字节)的地址；

当计数值在[58～59]范围时，锁存报文分段标志寄存器；

当计数值在[63～64]范围时，锁存IP报文类型寄存器；

当计数值在[68～75]范围时，锁存源IP地址寄存器；

当计数值在[76～83]范围时，锁存目的IP地址寄存器；

当计数值在[84～85]范围时，锁存ICMP报文类型寄存器。

数值比较器将所述寄存器与特征数值编码进行数值比较包括：

①：报文类型寄存器与0x0800比较，若比较结果相同则所述网络数据帧为IP报文，本 实施例中网络数据帧必须是IP报文；

②：源IP地址寄存器与本网口IP地址比较；

③：IP报文类型寄存器与0x01比较，若比较结果相同则所述网络数据帧为ICMP报文， 本实施例中网络数据帧必须是ICMP报文；

④：报文分段标志寄存器与0x02比较，若比较结果相同则所述网络数据帧为分段报文， 本实施例中网络数据帧必须不是分段报文；

⑤：ICMP报文类型寄存器与0x08或0x0d比较,若比较结果相同则所述网络数据帧为 请求报文；

⑥：目的IP地址寄存器与所述备份目的IP地址寄存器的上一个网络数据帧锁存的

备份目的IP地址比较，所述目的IP地址寄存器与所述备份目的IP地址寄存器的数值比 较器的输出电平与时钟计数器输出的20ms时钟脉冲电平进行逻辑或运算，用于确保20ms内 所述网络数据帧的目的IP地址不等于所述上一个网络数据帧的目的IP地址，防止Smurf攻 击时的连续数据包；

组合逻辑电路依据所述数值比较器的输出电平控制出向FIFO缓存模块电路将网络数据 帧即报文输出到数据链路层的PHY芯片或进行丢弃处理。

图2示出了本实施例中的入向数据防御电路结构图；包括半字节计数器、组合逻辑电路、 报文类型寄存器、所述IP报文类型寄存器、所述ICMP报文类型寄存器和ICMP报文类型Code 寄存器；

当入向数据防御电路不发送网络数据帧即报文时，MII接口上的RX_EN为低电平，半字 节计数器清零；

当入向数据防御电路发送网络数据帧即报文时，MII接口上的RX_EN变为高电平，半字 节计数控制器在RX_CLK的作用下开始计数；当7个字节的前导码和1字节的帧开始标志(共 8字节，16个半字节)发送完成后，计数控制器的计数值等于计数值16；

当计数值在[40～43]范围时，报文类型寄存器锁存16bit(4个半字节)的地址；

当计数值在[63～64]范围时，锁存IP报文类型寄存器；

当计数值在[84～85]范围时，锁存ICMP报文类型寄存器；

当计数值在[86～87]范围时，锁存ICMP报文类型Code寄存器；

当计数值在等于100时刻时，IP报文头部全部传输完毕，组合逻辑电路依据数值比较器 的输出电平控制入向FIFO缓存模块电路将网络数据帧即IP报文输入数据链路层的MAC芯片 或进行丢弃处理，且不对所述网络数据帧不做任何修改；

数值比较器将所述寄存器与特征数值编码进行数值比较包括：

①：报文类型寄存器与0x0800比较，若比较结果相同则所述网络数据帧为IP报文， 本实施例中网络数据帧必须是IP报文；

②：IP报文类型寄存器与0x01比较，若比较结果相同则所述网络数据帧为ICMP报文， 本实施例中网络数据帧必须是ICMP报文；

③：ICMP报文类型寄存器与0x03比较，若比较结果相同则所述网络数据帧为目的不 可达报文；

④：所述ICMP报文类型Code寄存器与0x03比较，若比较结果相同则所述网络数据帧 为端口不可达报文。

图3示出了网络数据帧标记时刻示意图；所述防御电路解析以太网报文到达或离开节点 的标记时刻为在网络数据帧开始标志字节的最后一位的结束和数据链路层的目的地址第一个 字节的第一位到来之前的时刻。

最后应当说明的是：所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。 基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其 他实施例，都属于本申请保护的范围。