防止攻击的网络的配置方法、防止攻击的方法和装置

摘要

本发明涉及通信领域，尤其涉及一种防止攻击的网络的配置方法、防止攻击的方法和装置。防止攻击的网络的配置方法中，该网络包括路由设备和用户设备，所述用户设备通过所述路由设备与接入运营商网络通信，配置该网络的方法包括：为所述用户设备配置用户VLAN ID；在所述路由设备的用户接入接口为所述用户设备配置QinQ方式接入；该用户设备报文封装为QinQ报文后发送；根据QinQ报文内层的用户VLAN ID配置特定类型的报文的抑制速率和缺省行为。采用该方法和装置，可解决目前通信网络中防止特定类型报文攻击的问题。

说明书

技术领域

本发明涉及通信领域，尤其涉及一种防止攻击的网络的配置方法、防止 攻击的方法和装置。

背景技术

ARP(Address Resolution Protocol，地址解析协议)攻击是针对网络设备 的一种常见攻击形式，具体的攻击方式有：(1)向网关设备发送大量的ARP 请求/应答报文，此攻击方式会占用设备端口带宽、网关设备忙于处理ARP报 文，占用设备的CPU资源，引起网络能力下降，中断等故障；(2)向网关设 备发送目的地址连续变化的扫描报文，如PING包；此攻击方式会引起网关设 备产生大量的ARP miss报文(表示ARP表项不存在的消息)，占用设备CPU 资源，引起网络能力下降、中断等故障。

现有技术中，在网络设备上使用访问控制列表(Access Control List，ACL) 可以按照源、目的地址过滤进入网络设备的报文。当ARP攻击发生时，通过 人工干预识别出攻击来源，再按照攻击报文的特征配置ACL规则将攻击报文 过滤掉。该方案需要人工干预，难以实现在攻击发生时自动保护；而且攻击 者变换报文的源、目的地址后即可避开ACL规则的过滤。

另一种现有技术是按源、目的地址限制ARP报文的速率。网络管理员按照 网络的实际情况配置一个合理的ARP报文的速率上限，当某个源地址或目的 地址的ARP报文速率超过了设置的速率上限时认为发生了ARP攻击，这时超 过限制速率上限部分的报文将被丢弃，其他的ARP报文不受影响。由于此方 案必须要保留所有的ARP报文的访问时间，因此消耗的资源较大，而且在攻 击者的地址频繁变化的时候可能失效。

发明内容

本发明的实施方式提供防止攻击的网络的配置方法、防止攻击的方法和 装置，解决目前通信网络中防止特定类型报文攻击的问题。

为解决上述技术问题，本发明的一个实施方式提供了一种防止攻击的网 络的配置方法，该网络包括路由设备和用户设备，所述用户设备通过所述路 由设备与接入运营商网络通信，配置该网络的方法包括：为所述用户设备配 置用户VLAN ID；在所述路由设备的用户接入接口为所述用户设备配置QinQ 方式接入；该用户设备报文封装为QinQ报文后发送；根据QinQ报文内层的用 户VLAN ID配置特定类型的报文的抑制速率和缺省行为。

为解决上述技术问题，本发明的另一个实施方式提供了一种防止攻击的 方法，该方法用于配置QinQ接入的网络中，根据QinQ内层的用户VLAN ID 来识别用户，该方法包括：判断收到的特定类型的报文是否已经配置了报文 限速，如果是，则判断该特定类型的报文的速率是否达到速率上限，如果是， 则丢弃该报文；如果收到的特定类型的报文没有配置报文限速，则执行缺省 动作。

为解决上述技术问题，本发明的另一个实施方式提供了一种一种防止攻 击的装置，包括配置单元、限速判断单元、限速上限判断单元、执行单元， 其中，所述配置单元，用于在路由设备的用户接入接口配置QinQ方式接入， 根据QinQ报文内层的用户VLAN ID配置特定类型报文的速率上限和缺省动 作；所述限速判断单元，用于判断收到的特定类型报文是否已经配置了报文 限速，如果已经配置了报文的所述速率上限，则交由所述限速上限判断单元 判断该特定类型的报文的速率是否达到所述速率上限，所述执行单元根据所 述限速上限判断单元的判断结果执行动作；如果所述限速判断单元确定收到 的特定类型报文没有配置报文的所述速率上限，则转执行单元执行所述缺省 动作。

与现有技术相比，采用本发明的实施方式，组网配置完成后可以自动防 护特定类型报文攻击，不需人工干预；即使发生攻击，也可以将攻击影响的 范围缩小到特定用户，不会影响到同一接口下其他拥有不同VLAN ID的用户 或用户群的正常网络连接；攻击者变换源、目的IP地址也难以规避安全策略 的防护，同时不会带来额外的性能开销；根据连接的用户配置防护策略，系 统资源的消耗有限，减小对硬件性能的压力；防止特定类型报文攻击的同时 可以阻断网段扫描攻击。

附图说明

图1为本发明一个实施方式的组网图；

图2为本发明一个实施方式防止攻击的配置方法流程图；

图3为本发明另一实施方式防止攻击的方法流程图；

图4为本发明另一实施方式防止攻击的装置流程图；

具体实施方式

以下结合具体实施方式来说明本发明的实现过程。

在IEEE 802.1Q标准中，对Ethernet帧格式进行了修改，在源MAC地址 (Source Address)字段和协议长度/类型字段(Length/Typee)之间加入了4 字节的802.1Q Tag，其中使用了12bit标识不同的VID(Virtual Local Area Network Identifier，虚拟局域网标识符)，如表1中阴影部分报文字段所示。

表1  基于802.1Q的VLAN帧格式

随着网络规模的不断扩大，4K的VLAN ID已经不能满足现在的组网应用， 为了实现更多的用户接入，各厂家都推出自己的解决方案，QinQ是其中的一 种。QinQ就是在原来的802.1Q标签之外再添加一个802.1Q标签，用两层VLAN ID标识一个用户，即802.1Q in 802.1Q，在802.1Q标签报文的基础上再增加一 层802.1Q的标签头来达到扩展VLAN空间的功能。

最早的QinQ是为了实现一种类似VPN(Virtual Private Network，虚拟专 用网)的应用，即报文内层为用户VLAN ID，外层为运营商的VLAN ID。 报文使用外层VLAN ID穿越运营商网络，用内层VLAN ID实现用户互通。现 在QinQ技术已经更多的成为对用户的标识。在本发明实施方式的技术方案中 就是使用QinQ的这一特点作为接入用户的身份标识，并根据不同的用户 VLAN ID进行ARP报文的限制以达到保护的目的。

本发明一个实施方式的组网图如图1所示。该网络包括接入运营商网络、 边缘路由器、二层交换机和用户A、用户B、用户C。用户A、用户B、用户C 通过交换机和边缘路由器与接入运营商网络通信。假设用户A的IP地址为 192.168.0.10，所属的VLAN编号(即用户A的VLAN ID)为100；用户B的IP 地址为192.168.0.11，所属的VLAN编号(即用户B的VLAN ID)为101；用户 C的IP地址为192.168.0.12，所属的VLAN编号(即用户C的VLAN ID)为102； 与用户A、B、C和边缘路由器通信的二层交换机中与用户A、B、C通信的端 口为Trunk100～110，边缘路由器的IP地址为192.168.0.1，QinQ接入的外层 VLAN ID为10。其中用户A、B、C中的任何一个可以是单一用户，也可以是 一个用户网络的出口，下面有多个用户设备，只要用户网络出口下面的这些 用户设备都在一个安全策略域内即可。图1中标出的IP地址和VLAN编号是为 了说明组网方式而举的例子，并不作为对本实施方式或本发明的限制。此处 的二层交换机也可以是能够实现QinQ接入功能的三层交换机、路由设备或其 它网络设备。

配置边缘路由器的流程如图2所示，包括步骤：

20、为用户配置用户VLAN ID

以图1所示的组网图为例，是为所有用户A、B、C配置用户VLAN ID， 这一步骤和普通的接入配置基本相同。假设此处用户A的IP地址为 192.168.0.10，配置用户A的VLAN编号(即用户A的VLAN ID)为100；用户 B的IP地址为192.168.0.11，配置用户B的VLAN编号为101(即用户B的VLAN ID)；用户C的IP地址为192.168.0.12，配置用户C的VLAN编号为102(即用 户C的VLAN ID)。为所有用户A、B、C配置用户VLAN ID的工作可以由网 络管理员手工配置完成，或者由系统设置完成。用户A、B、C的IP地址可以 由网络管理员手工配置完成，或者由系统设置完成。

22、在用户接入接口配置QinQ方式接入

以图1所示的网络为例，是将边缘路由器的用户接入接口配置为QinQ接 入。

24、根据用户VLAN ID配置ARP报文的抑制速率，并配置缺省的行为模 式

根据用户VLAN ID，在用户接入接口配置每个接入用户的ARP报文抑制 速率，也就是配置每个接入用户的ARP报文的速率上限。以图1所示的组网图 为例，需要配置ARP报文抑制速率的用户包括用户A、B、C，实际组网中， 可能包括更多用户或用户终端。配置内容举例如：

-remote-host vlan 100 to 102 arp-speed-limit 15，即配置VLAN100到 VLAN102的接入用户ARP报文的速率上限为15个/秒；

对于未配置的限制用户的ARP报文可以配置缺省的行为模式，如图1所示 的组网图中有用户A、B、C，如果只对用户A配置了限制命令，用户B、C的 限制就按照缺省行为进行。缺省行为即缺省动作可以包括丢弃或不加限制， 比如：

-remote-host default pass其他用户的ARP报文允许通过，不作限制。

-remote-host default drop其他用户的ARP报文全部丢弃，不允许通过。

在本发明的一个实施方式中，二层交换机将不同安全策略域的用户或用 户群的报文配置不同的VLAN ID，即内层VLAN ID，当然也可能为具有相同 安全策略的不同用户或用户群配置不同的VLAN ID；边缘路由器将同一接口 进入的报文封装上外层VLAN ID。这样，在边缘路由器上就可以根据不同的 内层VLAN ID识别来自不同的用户或用户群发来的报文。边缘路由器按内层 VLAN ID配置ARP报文速率抑制，并配置缺省动作。实际上，当该边缘路由 器下的用户或用户群都有VLAN ID时，可以不需要二层交换机来配置VLAN ID，二层交换机用于实现QinQ接入。该边缘路由器也可以替换为普通路由器。 该方法也可以用于防止其他特定类型的报文攻击。所述的接口可以是物理接 口或逻辑接口。

图3为本发明另一实施方式防止攻击的方法流程图，如图3所示，当用户 报文进入边缘路由器时，边缘路由器的处理步骤包括：

30、判断收到的报文是否ARP报文，如不是ARP报文，则转步骤36，否则 转步骤32。

32、判断是否配置ARP报文限速

边缘路由器根据内层VLAN ID识别针对此用户是否配置了ARP报文限 速，如未配置限速则转步骤38；对于配置了ARP报文限速的用户，转步骤34。

34、判断ARP报文的速率是否达到限速配置的上限

对于配置了ARP报文限速的用户，引擎记录上一次ARP报文达到的时间 戳，比较当前时间和上次记录时间的差值，换算为接收到的ARP报文的速率。 比较此速率和配置的允许接收ARP报文速率上限，如未到达ARP报文的速率 上限则转步骤36按照正常ARP报文流程处理并刷新时间戳，否则丢弃报文并 保留上次记录的时间戳不变。

36、按照正常流程处理该报文

38、判断缺省动作，以便执行该缺省动作。如果缺省动作为丢弃，则认 为所有未配置限速的用户ARP报文为不安全的ARP报文，转步骤380；如果缺 省动作为通过，则认为所有未配置限速的用户ARP报文为安全ARP报文，转 步骤36。

380，全部丢弃收到的该用户的ARP报文。

当然，在丢弃收到的某个用户的ARP报文时，还可以对丢弃的ARP报文进 行计数，以做进一步的分析处理。如根据计数增长的速率判断是否遭到攻击， 向网管发送告警、记录日志等。更进一步可以记录丢弃的ARP报文的内层 VLAN ID，用以跟踪攻击源。

这样，当边缘路由器下的某个用户发起ARP报文攻击时，攻击者发送的大 量ARP报文会因超出正常通讯所需的ARP速率而被丢弃，因此这些攻击报文 不会影响到边缘路由器以及运营商网络的稳定。由于边缘路由器在计算ARP 报文速率时是根据不同的内层VLAN ID分别计算各个用户的发送ARP报文 速率，而丢弃ARP报文时也只丢弃带有特定内层VLAN ID的ARP报文，因此 任一个用户发送攻击报文时，不会影响到同一个接入接口下其他拥有不同的 用户VLAN ID的用户或用户群的正常连接，更不会影响其他接入接口下的用 户。

由于在边缘路由器上识别不同用户是根据报文的内层VLAN ID，与报文 的IP地址没有关系，无论攻击者如何变换IP地址都难以规避路由器的防护策 略。

由于一个接入接口下的用户或用户群数目是有限的，而且有相同安全等 级或安全策略的用户可以使用相同的内层VLAN ID，所以在接入接口上需要 记录的用户信息有限，通常情况下，最多为4k条。这样在边缘路由器上占用 的资源在可以控制的范围之内，不会对硬件提出过高的要求。

本发明的实施方式的方法中，以图1所示的组网图为例，边缘路由器管理 员可以通过配置允许每个用户生成的ARP表项来控制用户可以访问的IP地址 数目。

当攻击者发起网络攻击前通常会进行网段地址的扫描，即发送大量的目 的地址连续变化的PING报文来判断可以访问的地址有哪些，再确定下一步的 攻击方式。在发送PING包之前会先发送ARP请求报文，因为使用不同的用户 VLAN ID的用户不能在二层交换机上做到二层互通，如果图1中的交换机为 二层交换机，需要通过边缘路由器才能互通；这样在边缘路由器上就可以限 制每个用户可以生成的ARP表项来控制每个用户可以同时访问的IP地址来阻 断网段扫描攻击。比如可以根据用户的VLAN ID配置允许生成表项的上限 值，达到上限后就不许再生成。但是，如果将图1中的二层交换机替换为三层 交换机或路由器，则即使这些用户使用不同的用户VLAN ID，仍然可以实现 这些用户的互通，这时，可以在该三层交换机或路由器上限制每个用户可以 生成的ARP表项来控制每个用户可以同时访问的IP地址来阻断网段扫描攻 击。比如可以根据用户的用户VLAN ID配置允许生成表项的上限值，达到上 限后就不许再生成。

本发明的实施方式还提供一种防止攻击的装置，如图4所示，该装置包括 配置单元、限速判断单元、限速上限判断单元、执行单元，其中，

所述配置单元，用于在边缘路由器的用户接入接口配置QinQ方式接入， 根据QinQ报文内层的用户VLAN ID配置ARP报文的抑制速率和缺省行为；

所述限速判断单元，用于判断收到的ARP报文是否已经配置了ARP报文限 速，如果已经配置了ARP报文限速，则交由所述限速上限判断单元判断该ARP 报文的速率是否达到速率上限，所述执行单元根据所述限速上限判断单元的 判断结果执行动作；如果所述限速判断单元确定收到的ARP报文没有配置 ARP报文限速，则转执行单元执行缺省动作。

优选地，还可以包括报文判断单元，用于判断收到的报文是否ARP报文， 若是，则交由所述限速判断单元判断该ARP报文是否配置了ARP报文限速； 否则，交由所述执行单元执行正常处理流程。

优选地，所述执行单元根据所述限速上限判断单元的判断结果执行动作 的步骤包括：如果所述限速上限判断单元判断该ARP报文的速率已经达到速 率上限，则丢弃该报文，否则按照正常流程执行。

优选地，如果用户设备没有VLAN ID，还可以包括VLAN ID配置单元， 用于为所述用户设备配置用户VLAN ID。

实际上，该边缘路由器也可以替换为普通路由器。该方法也可以用于防 止其他特定类型的报文攻击。所述的接口可以是物理接口或逻辑接口。

本发明的另一实施方式涉及一种计算机可读介质，该计算机可读介质中 保存有执行防止攻击的方法的指令序列，该方法包括：

判断收到的报文是否为ARP报文，如不是ARP报文，则按照正常流程处理 该报文，否则进一步判断该ARP报文是否已经配置了ARP报文限速；

边缘路由器根据内层VLAN ID识别针对此用户是否配置了ARP报文限 速，如未配置限速则判断缺省动作，以便执行该缺省动作。如果缺省动作为 丢弃，则认为所有未配置限速的用户ARP报文为不安全的ARP报文，全部丢 弃收到的该用户的ARP报文；如果缺省动作为通过，则认为所有未配置限速 的用户ARP报文为安全ARP报文，则按照正常流程处理该报文。

对于配置了ARP报文限速的用户，则进一步判断ARP报文的发送速率是否 达到限速配置的上限；对于配置了ARP报文限速的用户，引擎记录上一次ARP 报文达到的时间戳，比较当前时间和上次记录时间的差值，换算为接收到的 ARP报文的速率。比较此速率和配置的允许接收ARP报文速率上限，如未到 达速率上限则按照正常报文流程处理并刷新时间戳，否则丢弃报文并保留上 次记录的时间戳不变。

实际上，该边缘路由器也可以替换为普通路由器。该方法也可以用于防 止其他特定类型的报文攻击。所述的接口可以是物理接口或逻辑接口。

采用本发明的实施方式，组网配置完成后可以自动防护ARP报文攻击， 不需人工干预；即使发生攻击，也可以将攻击影响的范围缩小到特定用户， 不会影响到同一接口下其他拥有不同的用户VLAN ID的用户或用户群的正 常网络连接；攻击者变换源、目的IP地址也难以规避安全策略的防护，同时 不会带来额外的性能开销；根据连接的用户配置防护策略，系统资源的消耗 有限，减小对硬件性能的压力；防止ARP报文攻击的同时可以阻断网段扫描 攻击。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不 局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围和不脱 离本发明的技术思想范围内，可轻易想到的变化或替换，都应涵盖在本发明 的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。