Traitement en cours

Veuillez attendre...

Paramétrages

Paramétrages

Aller à Demande

1. WO2020156081 - PROCÉDÉ ET DISPOSITIF POUR EMPÊCHER DES ATTAQUES DE RÉSEAU

Document

说明书

发明名称 0001   0002   0003   0004   0005   0006   0007   0008   0009   0010   0011   0012   0013   0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087   0088   0089   0090   0091   0092   0093   0094   0095   0096   0097   0098   0099   0100   0101  

权利要求书

1   2   3   4   5   6   7   8   9   10   11   12   13   14  

附图

1   2   3   4  

说明书

发明名称 : 防止网络攻击的方法与装置

[0001]
本申请要求于2019年02月01日提交中国国家知识产权局、申请号为201910105151.6、申请名称为“防止网络攻击的方法与装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。

技术领域

[0002]
本申请涉及计算机领域,并且更具体地,涉及一种防止网络攻击的方法与装置。

背景技术

[0003]
在通过多个运营商边缘设备(provider edge,PE)通过边界网关协议(border gateway protocol,BGP)建立的以太网虚拟私有网络(Ethernet virtual personal network,EVPN)中,每个PE通过各自的端口与多个设备连接,该多个设备可以包括用户设备与服务设备。
[0004]
在EVPN中,可能存在攻击者通过PE(例如,PE1)连接至EVPN的情况,在这种情况下,攻击者可以通过地址解析协议(address resolution protocol,ARP)请求,获取到服务设备的MAC地址,然后通过伪装技术,将自身报文携带的源MAC地址模拟为服务设备的MAC地址,并将该报文发送至PE,此时,PE会将攻击者伪装的MAC地址保存在本地,并会记录该MAC地址对应的出端口信息。如果后续该PE接收到携带的目的MAC地址为该伪装的MAC地址的报文时,会将该报文通过该出端口信息发送至攻击者,造成整个EVPN中的MAC地址出现混乱,进而造成网络错误,导致EVPN处于瘫痪状态。
[0005]
发明内容
[0006]
本申请提供一种防止网络攻击的方法,该方法能够降低由于攻击者攻击EVPN所导致的EVPN处于瘫痪状态的风险。
[0007]
第一方面,提供了一种防止网络攻击的方法,可以应用于以太网虚拟私有网络EVPN中,该EVPN中包括多个网络节点,该方法由该多个网络节点中的第一网络节点执行,包括:接收第一报文,该第一报文携带有第一媒体接入控制MAC地址,该第一MAC地址为该第一报文的源MAC地址;确定第一MAC表项信息,该第一MAC表项信息中包括该第一MAC地址、该第一MAC地址的标识与该第一MAC地址的出端口信息的对应关系,该第一MAC地址的标识用于指示该第一MAC地址是可信任的。
[0008]
基于上述技术方案,通过查看MAC表项信息中包括的该MAC地址的标识是否指示该MAC地址是可信任的,如果是可信任的,则放弃刷新该MAC表项信息,从而避免根据攻击者发送的数据报文对MAC表项信息进行刷新,降低由于攻击者攻击EVPN所导致的EVPN处于瘫痪状态的风险。
[0009]
在一种可能的实现方式中,该第一报文是从该第一网络节点的第一端口接收的, 该确定第一MAC表项信息包括:确定该第一端口被配置为信任端口;根据该第一MAC地址与该第一MAC地址的出端口信息,确定该第一MAC表项信息。
[0010]
基于上述技术方案,通过将网络节点上的重要端口配置为信任端口,当从信任端口接收到数据报文时,确定该数据报文中携带的MAC地址是可信任的,在确定该数据报文中携带的源MAC地址是可信任的情况下,在MAC表项信息添加该源MAC地址与该源MAC地址的标识,该源MAC地址的标识用于指示该源MAC地址是可信任的,从而避免根据攻击者发送的数据报文对MAC表项信息进行刷新,降低由于攻击者攻击EVPN所导致的EVPN处于瘫痪状态的风险。
[0011]
在一种可能的实现方式中,该根据该第一MAC地址与该第一MAC地址的出端口信息,确定该第一MAC表项信息,包括:确定预先保存的第二MAC表项信息中不包括该第一MAC地址或包括该第一MAC地址但不包括该第一MAC地址的出端口信息;更新该第二MAC表项信息;将更新后的该第二MAC表项信息确定为该第一MAC表项信息。
[0012]
基于上述技术方案,通过将网络节点上的重要端口配置为信任端口,当从信任端口接收到数据报文时,确定该数据报文中携带的MAC地址是可信任的,在确定该数据报文中携带的源MAC地址是可信任的情况下,在MAC表项信息添加该源MAC地址与该MAC地址的标识,此时,还可以进一步判断网络节点上预先保存的MAC表项信息中是否包括该与该源MAC地址相同的MAC地址或包括与该源MAC地址相同的MAC地址但不包括该源MAC地址的出端口信息,如果网络节点上预先保存的MAC表项信息中不包括与该源MAC地址相同的MAC地址,网络节点可以将该源MAC地址、该源MAC地址的标识以及源MAC地址的出端口信息添加在MAC表项信息中,或者,如果MAC表项信息包括与该源MAC地址相同的MAC地址但不包括该源MAC地址的出端口信息,网络节点可以将该源MAC地址的出端口信息添加在MAC表项信息中,从而避免根据攻击者发送的数据报文对MAC表项信息进行刷新,降低由于攻击者攻击EVPN所导致的EVPN处于瘫痪状态的风险。
[0013]
在一种可能的实现方式中,该根据该第一MAC地址与该第一MAC地址的出端口信息,确定该第一MAC表项信息,包括:确定预先保存的第二MAC表项信息中包括该第一MAC地址与该第一MAC地址的出端口信息;将该第二MAC表项信息确定为该第一MAC表项信息。
[0014]
基于上述技术方案,通过将网络节点上的重要端口配置为信任端口,当从信任端口接收到数据报文时,确定该数据报文中携带的源MAC地址是可信任的,在确定该数据报文中携带的源MAC地址是可信任的情况下,在MAC表项信息添加该源MAC地址与该源MAC地址的标识,此时,还可以进一步判断网络节点上预先保存的MAC表项信息中是否包括与该源MAC地址相同的MAC地址与该源MAC地址的出端口信息,如果网络节点上预先保存的MAC表项信息中包括与该源MAC地址相同的MAC地址与该源MAC地址的出端口信息,网络节点则可以不将该源MAC地址与该源MAC地址的出端口信息添加在MAC表项信息中,从而避免根据攻击者发送的数据报文对MAC表项信息进行刷新,降低由于攻击者攻击EVPN所导致的EVPN处于瘫痪状态的风险。
[0015]
在一种可能的实现方式中,第一报文是从该第一网络节点的第一端口接收的,该确定第一MAC表项信息,包括:
[0016]
确定该第一端口未被配置为信任端口;确定预先保存的第二MAC表项信息中包括与该第一MAC地址相同的MAC地址;确定与该第一MAC地址相同的MAC地址的标识指示该MAC地址是可信任的;将该第二MAC表项信息确定为该第一MAC表项信息。
[0017]
基于上述技术方案,通过将网络节点上的重要端口配置为信任端口,当从未被配置为信任端口的接收端口接收到数据报文时,并获得该数据报文携带的源MAC地址后,并没有直接将该源MAC地址与该源MAC地址对应的出端口信息添加在MAC表项信息中,而是通过查看MAC表项信息中是否包括与该源MAC地址相同的MAC地址,当MAC表项信息中包括与该源MAC地址相同的MAC地址时,还要进一步查看MAC表项信息中包括的该MAC地址的标识是否指示该MAC地址是可信任的,如果是可信任的,则放弃刷新该MAC表项信息,从而避免根据攻击者发送的数据报文对MAC表项信息进行刷新,降低由于攻击者攻击EVPN所导致的EVPN处于瘫痪状态的风险。
[0018]
在一种可能的实现方式中,该方法还包括:向EVPN中除该第一网络节点外的其他网络节点发送第二报文,该第二报文携带有该第一MAC地址和该与第一MAC地址标识。
[0019]
基于上述技术方案,网络节点可以向EVPN中除该第一网络节点外的其他网络节点发送携带有第一MAC地址和该与第一MAC地址标识的报文,当网络节点上预先保存的MAC表项信息发生了更新时(例如,MAC表项信息中添加了第一MAC地址和该与第一MAC地址标识),通过将第一MAC地址和该与第一MAC地址标识发送至其他网络节点,使得其他网络节点可以根据第一MAC地址和该与第一MAC地址标识,对本地保存的MAC表项信息及时进行刷新,从而避免根据攻击者发送的数据报文对MAC表项信息进行刷新,降低由于攻击者攻击EVPN所导致的EVPN处于瘫痪状态的风险。
[0020]
在一种可能的实现方式中,该第二报文中包括的每个MAC地址的标识承载在该第二报文的预留位。
[0021]
第二方面,提供一种防止网络攻击的装置,该装置包括用于执行第一方面或第一方面各实现方式中的方法的模块。
[0022]
第三方面,提供一种防止网络攻击的装置,该装置包括:存储器,用于存储程序;处理器,用于执行存储器存储的程序,当存储器存储的程序被执行时,处理器用于执行第一方面或第一方面各实现方式中的方法。
[0023]
第四方面,提供一种计算机可读介质,该计算机可读介质存储用于设备执行的程序代码,该程序代码包括用于执行第一方面或第一方面各实现方式中的方法。
[0024]
第五方面,提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面或第一方面各实现方式中的方法。
[0025]
本申请在上述各方面提供的实现方式的基础上,还可以进行进一步组合以提供更多实现方式。

附图说明

[0026]
图1是适用于本申请实施例的网络架构的示意图;
[0027]
图2是本申请实施例提供的防止网络攻击的方法的示意性流程图;
[0028]
图3为本申请实施例提供的防止网络攻击的装置的示意性框图;
[0029]
图4为本申请实施例提供的防止网络攻击的装置的另一示意性框图。

具体实施方式

[0030]
下面将结合附图,对本申请中的技术方案进行描述。
[0031]
首先结合图1对适用于本申请的网络架构进行介绍。图1示出了由多个网络节点(例如,PE)建立的EVPN,例如,多个PE可以基于BGP建立该EVPN,每个PE通过各自的端口与多个设备连接,该多个设备可以包括用户设备与服务设备。
[0032]
如图1所示,用户设备1通过PE1接入EVPN,用户设备2通过PE2接入EVPN,服务设备通过PE3接入EVPN,用户设备与服务设备之间可以通过PE进行信息传输。
[0033]
例如,服务设备可以通过PE2、PE1将数据报文发送至用户设备1,服务设备可以通过PE2、PE3将数据报文发送至用户设备2。
[0034]
在本申请实施例中,为了防止攻击者攻击EVPN,将EVPN中的一些重要端口配置为信任端口,其中,信任端口可以是被认为不会攻击EVPN的设备接入EVPN时使用的端口。例如,被认为不会攻击EVPN的设备可以是企业内部的服务器。不信任端口是指有可能攻击EVPN的设备接入EVPN时使用的端口。
[0035]
例如,可以在网络节点上负责与服务设备通信的端口的配置模式下或配置视图下增加trust mac enable命令行,从而将网络节点上的一些可信任的端口配置为信任端口。
[0036]
应理解,上述配置信任端口的方法仅是为了举例而作的示例性说明,并不对本申请实施例构成任何限定,其他配置信任端口的方法均落入本申请的保护范围之内。
[0037]
在本申请实施例中,MAC表项信息中至少包括MAC地址、该MAC地址的标识与MAC地址的出端口信息之间的对应关系,例如,MAC表项信息中可以包括多条记录,每条记录可以包括一个MAC地址、该MAC地址的标识与MAC地址的出端口信息。
[0038]
其中,MAC地址可以是从接收到的数据报文中获得的,MAC地址的标识可以指示该MAC地址是可信任的,当MAC地址是从信任端口接收来的数据报文中携带的源MAC地址时,可以通过MAC地址的标识将该MAC地址标记为可信任的MAC地址,此时可以将该信任端口称为该MAC地址对应的数据报文的接收端口。当数据报文携带的目的MAC地址为该MAC地址时,此时可以将该信任端口称为该MAC地址对应的数据报文的出端口,MAC表项信息中的MAC地址的出端口信息可以指示MAC地址对应的数据报文的出端口。
[0039]
还应理解,上述MAC地址的出端口信息中可以包括出端口的端口号,但本申请对比不作限定,其他能够指示出端口的方式均落入本申请的保护范围之内。
[0040]
本申请实施例中将重要端口配置为信任端口,并在MAC表项信息中增加MAC地址的标识,该MAC地址的标识用于指示该MAC地址是可信任的,当PE从未被配置为信任端口的接收端口接收到数据报文,并获得该数据报文携带的源MAC地址后, 并没有直接将该源MAC地址与该MAC地址对应的出端口信息添加在MAC表项信息中,而是通过查看MAC表项信息中是否包括与该源MAC地址相同的MAC地址,当MAC表项信息中包括与该源MAC地址相同的MAC地址时,还要进一步查看MAC表项信息中包括的该MAC地址的标识是否指示该MAC地址是可信任的,如果是可信任的,则放弃刷新该MAC表项信息,从而避免根据攻击者发送的数据报文对MAC表项信息进行刷新,降低由于攻击者攻击EVPN所导致的EVPN处于瘫痪状态的风险。
[0041]
下面结合图1示出的网络架构对本申请实施例提供的防止网络攻击的方法进行介绍,图2示出了本申请实施例提供的防止网络攻击的方法100的示意性流程图,包括S101至S101,可以由图1中的任意一个网络节点(例如,例如,第一网络节点)执行。
[0042]
S101,接收第一报文,该第一报文携带有第一媒体接入控制MAC地址,该第一MAC地址为该第一报文的源MAC地址。
[0043]
S102,确定第一MAC表项信息,该第一MAC表项信息中包括该第一MAC地址、该MAC地址的标识与该第一MAC地址的出端口信息的对应关系,该第一MAC地址的标识用于指示与该第一MAC地址对应的出端口为信任端口。
[0044]
具体而言,第一网络节点(例如,PE1)接收到数据报文(例如,第一报文),可以根据接收该第一报文的接收端口(例如,第一端口),确定MAC表项信息(例如,第一MAC表项信息)。
[0045]
如果PE1在接收第一报文之前,其上没有预先保存的MAC表项信息,PE1在接收到第一报文后,可以根据第一报文携带的源MAC地址(例如,第一MAC地址)对应的接收端口是否被配置为信任端口。如果第一MAC地址对应的接收端口被配置为信任端口,PE1可以生成第一MAC地址的标识,第一MAC地址的标识用于指示第一MAC地址是可信任的,PE1可以创建MAC表项信息(例如,第一MAC表项信息),将第一MAC地址、第一MAC地址的标识与第一MAC地址的出端口信息添加在第一MAC表项信息中。
[0046]
如果PE1在接收第一报文之前,其上已经存在预先保存的MAC表项信息(例如,第二MAC表项信息),PE1会确定是否将第一MAC地址与第一MAC地址的出端口信息添加在第二MAC表项信息中,或者,是否需要将第一MAC地址的出端口信息添加在第二MAC表项信息中。
[0047]
当PE1将第一MAC地址与第一MAC地址的出端口信息添加在第二MAC表项信息中时,或者,当PE1将第一MAC地址的出端口信息添加在第二MAC表项信息中时,此时PE1更新了第二MAC表项信息,将更新后的第二MAC表项信息确定第一MAC表项信息;
[0048]
当PE1没有将第一MAC地址与第一MAC地址的出端口信息添加在第二MAC表项信息中时,此时PE1并没有更新第二MAC表项信息,则上述第二MAC表项信息即为确定的第一MAC表项信息。
[0049]
应理解,上述第一MAC地址的出端口信息指示第一端口,第一报文是PE1从第一端口接收的,可以将第一端口称为第一报文的接收端口。当某个数据报文携带的目的MAC地址为第一MAC地址时,可以将第一端口称为该数据报文的出端口。下面针对PE1在接收第一报文之前,其上已经存在预先保存的第二MAC表项信息的情况, 对本申请实施例提供的确定第一MAC表项信息的方法进行介绍。
[0050]
作为示例而非限定,该根据该第一端口,确定第一MAC表项信息,包括:确定该第一端口被配置为信任端口;根据该第一MAC地址与该第一MAC地址的出端口信息,确定该第一MAC表项信息,该第一MAC表项信息中包括该第一MAC地址、该第一MAC地址的标识与该第一MAC地址的出端口信息的对应关系。
[0051]
具体而言,PE1在确定第一MAC表项信息时,PE1可以确定第一端口是否被配置为信任端口,如果第一端口被配置为了信任端口,PE1确定可以将第一MAC地址与第一MAC地址的出端口信息添加在第二MAC表项信息。
[0052]
PE1在将第一MAC地址与第一MAC地址的出端口信息添加在第二MAC表项信息中时,可以确定第二MAC表项信息中是否包括与第一MAC地址相同的MAC地址。
[0053]
如果第二MAC表项信息中包括与该第一MAC地址相同的MAC地址,第二MAC表项信息中包括的与该第一MAC地址相同的MAC地址的出端口信息与第一MAC地址的出端口信息不同,此时PE1会更新第二MAC表项信息,PE1可以用第一MAC地址的出端口信息替换掉与该第一MAC地址相同的MAC地址的出端口信息,例如,PE1可以在与该第一MAC地址相同的MAC地址所在的记录中,将与该第一MAC地址相同的MAC地址的出端口信息替换为第一MAC地址的出端口信息。当PE1对第二MAC表项信息更新之后,将更新后的第二MAC表项信息确定第一MAC表项信息。
[0054]
如果第二MAC表项信息中不包括与该第一MAC地址相同的MAC地址,此时PE1会更新第二MAC表项信息,PE1可以将第一MAC地址与第一MAC地址的出端口信息添加在第二MAC表项信息中,例如,PE1可以在第二MAC表项信息中增加一条新的记录,该条新增加的记录用于记录第一MAC地址与第一MAC地址的出端口信息。此外,由于第一端口为信任端口,PE1还可以生成第一MAC地址的标识,第一MAC地址的标识用于指示第一MAC地址是可信任的,将第一MAC地址的标识记录在该条新增加的记录中。当PE1对第二MAC表项信息更新之后,将更新后的第二MAC表项信息确定第一MAC表项信息。
[0055]
如果第二MAC表项信息中包括与该第一MAC地址相同的MAC地址,且第二MAC表项信息中包括的与该第一MAC地址相同的MAC地址的出端口信息与第一MAC地址的出端口信息相同,此时PE1可以不更新第二MAC表项信息,即将第二MAC表项信息确定第一MAC表项信息。
[0056]
作为示例而非限定,该根据该第一端口,确定第一MAC表项信息,包括:确定该第一端口未被配置为信任端口;确定预先保存的第二MAC表项信息中包括与该第一MAC地址相同的MAC地址;确定该第二MAC表项信息中包括的与该第一MAC地址相同的MAC地址的标识指示与该MAC地址是可信任的;将该第二MAC表项信息确定为该第一MAC表项信息。
[0057]
具体而言,PE1在确定第一MAC表项信息时,PE1可以确定第一端口是否被配置为信任端口,如果第一端口未被配置为信任端口,PE1确定可以进一步确定第二MAC表项信息是否包括与第一MAC地址相同的MAC地址。
[0058]
如果第二MAC表项信息中包括与第一MAC地址相同的MAC地址,PE1还需要进一步确定第二MAC表项信息中包括的与第一MAC地址相同的MAC地址的标识是 否指示该MAC地址是可信任的,如果第二MAC表项信息中包括的与第一MAC地址相同的MAC地址的标识指示该MAC地址是可信任的,此时PE1不会更新,即将第二MAC表项信息确定为第一MAC表项信息。
[0059]
如果第二MAC表项信息中不包括与该第一MAC地址相同的MAC地址,此时PE1会更新第二MAC表项信息,PE1可以将第一MAC地址与第一MAC地址的出端口信息添加在第二MAC表项信息中,例如,PE1可以在第二MAC表项信息中增加一条新的记录,该条新增加的记录用于记录第一MAC地址与第一MAC地址的出端口信息。当PE1对第二MAC表项信息更新之后,将更新后的第二MAC表项信息确定第一MAC表项信息。
[0060]
应理解,当PE1确定是否将第一MAC地址与第一MAC地址的出端口信息添加在第二MAC表项信息中,或者,是否将第一MAC地址的出端口信息添加在第二MAC表项信息中时,PE1确定第一端口是否被配置为信任端口的步骤可以在其他步骤(例如,PE1确定第二MAC表项信息中是否包括第一MAC地址)之前,或者,也可以在其他步骤之后执行,本申请实施例对此不作限定。
[0061]
例如,PE1在确定第一MAC表项信息时,PE1可以确定第二MAC表项信息中是否包括与第一MAC地址相同的MAC地址,如果第二MAC表项信息中包括与第一MAC地址相同的MAC地址,PE1还需要进一步确定第二MAC表项信息中包括的与第一MAC地址相同的MAC地址的标识是否指示该MAC地址是可信任的,如果第二MAC表项信息中包括的与第一MAC地址相同的MAC地址的标识指示该MAC地址是可信任的。
[0062]
此时,PE1可以进一步确定第一端口是否被配置为信任端口,如果第一端口未被配置为信任端口此时PE1不会更新,即将第二MAC表项信息确定为第一MAC表项信息。
[0063]
在本申请实施例中,方法100还可以包括:
[0064]
S103,向EVPN中除该第一网络节点外的其他网络节点发送第二报文,该第二报文携带有该第一MAC地址与该第一MAC地址的标识。
[0065]
具体而言,当PE1确定了第一MAC表项信息后,例如,PE1在第二MAC表项信息中添加了该第一MAC地址与该第一MAC地址的标识。PE1可以向EVPN中除PE1外的其他网络节点发送第一MAC地址与该第一MAC地址的标识,例如,PE1可以将第一MAC地址与该第一MAC地址的标识携带在第二报文中发送至EVPN中除PE1外的其他网络节点。
[0066]
例如,第二报文可以是BGP报文,PE1在发送新添加的MAC地址与该MAC地址的标识时,可以将新添加的MAC地址的标识承载在该BGP报文中的预留位,其中,一个MAC地址的标识在BGP报文中的分布情况可以如下所示:
[0067]
[0068]
其中,T代表MAC地址的标识,当T的取值为1时,指示MAC地址是可信任的。
[0069]
应理解,上述列举的一个MAC地址的标识在BGP报文中的分布情况仅为示意性 说明,在实际应用中,MAC地址的标识还可以承载在上述字节c的8个比特位中除最低位之外的其他比特位,并且可以通过多于1个的比特位来承载MAC地址的标识,本申请实施例对此不作特别限定。
[0070]
还应理解,PE1可以在第二MAC表项信息中添加了新的MAC地址与该MAC地址的标识时向其他网络节点发送携带有该MAC地址与该MAC地址的标识的第二报文,或者,也可以无论有没有添加新的新的MAC地址与该MAC地址的标识,以预设时间长度的周期向其他网络节点发送携带有本地已经保存的MAC地址与该MAC地址的标识的第二报文,或者,还可以在网络节点之间建立连接时向其他网络节点发送携带有本地已经保存的MAC地址与该MAC地址的标识的第二报文。
[0071]
以上,结合图1至图2详细说明了本申请实施例提供的防止网络攻击的方法。以下,结合图3与图4详细说明本申请实施例提供的防止网络攻击的装置。
[0072]
图3为本申请实施例提供的防止网络攻击的装置200的示意性框图,该装置200可以配置于EVPN中,包括接收模块201用于接收第一报文,该第一报文携带有第一媒体接入控制MAC地址,该第一MAC地址为该第一报文的源MAC地址。处理模块202用于确定第一MAC表项信息,该第一MAC表项信息中包括第一MAC地址、该第一MAC地址的标识与该第一MAC地址的出端口信息的对应关系,该第一MAC地址的标识用于指示该第一MAC地址是可信任的。
[0073]
可选地,该第一报文是从该装置的第一端口接收的,该处理模块202还用于确定该第一端口被配置为信任端口;根据该第一MAC地址与该第一MAC地址的出端口信息,确定该第一MAC表项信息。
[0074]
可选地,该处理模块202还用于确定预先保存的该第二MAC表项信息中不包括该第一MAC地址或包括该第一MAC地址但不包括该第一MAC地址的出端口信息;更新该第二MAC表项信息;将更新后的该第二MAC表项信息确定为该第一MAC表项信息。
[0075]
可选地,该处理模块202还用于确定预先保存的第二MAC表项信息中包括该第一MAC地址与该第一MAC地址的出端口信息;将该第二MAC表项信息确定为该第一MAC表项信息。
[0076]
可选地,该第一报文是从该装置的第一端口接收的,该处理模块202还用于确定该第一端口未被配置为信任端口;确定预先保存的第二MAC表项信息中包括与该第一MAC地址相同的MAC地址;确定与该第一MAC地址相同的MAC地址的标识指示该MAC地址该MAC地址是可信任的;将该第二MAC表项信息确定为该第一MAC表项信息。
[0077]
可选地,该装置还包括发送模块203用于向EVPN中除该第一网络节点外的其他网络节点发送第二报文,该第二报文携带有该第一MAC地址和该与第一MAC地址标识。
[0078]
可选地,该第二报文中包括的每个MAC地址的标识承载在该第二报文的预留位。
[0079]
应理解的是,本申请实施例的装置200的上述功能可以通过专用集成电路(application-specific integrated circuit,ASIC)实现,或可编程逻辑器件(programmable logic device,PLD)实现,上述PLD可以是复杂程序逻辑器件(complex programmable logical device,CPLD),现场可编程门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。也可以通过软件实现图2所示的防止网络攻击的方法,当通过软件实现图2所示的防止网络攻击的方法时,装置200及其各个模块也可以为软件模块。
[0080]
根据本申请实施例的装置200可对应于执行本申请实施例中描述的方法,并且装置200中的各个单元的上述和其它操作和/或功能为了实现图2所示方法中第一网络节点执行的相应流程,为了简洁,在此不再赘述。
[0081]
图4为本申请实施例提供的一种防止网络攻击的装置的示意图框图。如图4所示,该装置300包括处理器301、存储器302、通信接口303和总线304。其中,处理器301、存储器302、通信接口303通过总线304进行通信,也可以通过无线传输等其他手段实现通信。该存储器302用于存储指令,该处理器301用于执行该存储器302存储的指令。该存储器302存储程序代码3021,且处理器301可以调用存储器302中存储的程序代码3021执行图2所示的防止网络攻击的方法。
[0082]
在一种可能的实现方式中,处理器301用于调用通信接口303执行以下动作:接收第一报文,该第一报文携带有第一MAC地址,该第一MAC地址为该第一报文的源MAC地址。
[0083]
处理器301,还用于确定第一MAC表项信息,该第一MAC表项信息中包括第一MAC地址、该第一MAC地址的标识与该第一MAC地址的出端口信息的对应关系,该第一MAC地址的标识用于指示该第一MAC地址是可信任的。
[0084]
可选地,该第一报文是从该装置的第一端口接收的,该处理器301,还用于确定该第一端口被配置为信任端口;根据该第一MAC地址与该第一MAC地址的出端口信息,确定该第一MAC表项信息。
[0085]
可选地,该处理器301还用于确定预先保存的第二MAC表项信息中不包括该第一MAC地址或包括该第一MAC地址但不包括该第一MAC地址的出端口信息;更新该第二MAC表项信息;将更新后的该第二MAC表项信息确定为该第一MAC表项信息。
[0086]
可选地,该处理器301还用于确定预先保存的第二MAC表项信息中包括该第一MAC地址与该第一MAC地址的出端口信息;将该第二MAC表项信息确定为该第一MAC表项信息。
[0087]
可选地,该第一报文是从该装置的第一端口接收的,该处理器301还用于确定该第一端口未被配置为信任端口;确定预先保存的第二MAC表项信息中包括与该第一MAC地址相同的MAC地址;确定与该第一MAC地址相同的MAC地址的标识指示该MAC地址该MAC地址是可信任的;将该第二MAC表项信息确定为该第一MAC表项信息。
[0088]
可选地,处理器301还用于调用通信接口303执行以下动作:向EVPN中除该第一网络节点外的其他网络节点发送第二报文,该第二报文携带有该第一MAC地址和该与第一MAC地址标识。
[0089]
可选地,该第二报文中包括的每个MAC地址的标识承载在该第二报文的预留位。
[0090]
应理解,在本申请实施例中,处理器301可以是CPU,处理器301还可以是其他 通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。
[0091]
该存储器302可以包括只读存储器和随机存取存储器,并向处理器301提供指令和数据。存储器302还可以包括非易失性随机存取存储器。该存储器302可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data date SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
[0092]
该总线304除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图4中将各种总线都标为总线304。
[0093]
应理解,根据本申请实施例的装置300可对应于本申请实施例中的装置200,并可以对应于本申请实施例图2所示方法中的第一网络节点,当装置300对应于图2所示方法中的第一网络节点时,装置300中的各个模块的和其它操作和/或功能分别为了实现图2中的由第一网络节点执行的方法的操作步骤,为了简洁,在此不再赘述。
[0094]
上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储装置。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘(solid state drive,SSD)。
[0095]
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实 现不应认为超出本申请的范围。
[0096]
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0097]
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0098]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0099]
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
[0100]
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0101]
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

权利要求书

[权利要求 1]
一种防止网络攻击的方法,其特征在于,应用于以太网虚拟私有网络EVPN中,所述EVPN中包括多个网络节点,所述方法由所述多个网络节点中的第一网络节点执行,包括: 接收第一报文,所述第一报文携带有第一媒体接入控制MAC地址,所述第一MAC地址为所述第一报文的源MAC地址; 确定第一MAC表项信息,所述第一MAC表项信息中包括所述第一MAC地址、所述第一MAC地址的标识与所述第一MAC地址的出端口信息的对应关系,所述第一MAC地址的标识用于指示所述第一MAC地址是可信任的。
[权利要求 2]
根据权利要求1所述的方法,其特征在于,所述第一报文是从所述第一网络节点的第一端口接收的,所述确定第一MAC表项信息,包括: 确定所述第一端口被配置为信任端口; 根据所述第一MAC地址与所述第一MAC地址的出端口信息,确定所述第一MAC表项信息。
[权利要求 3]
根据权利要求2所述的方法,其特征在于,所述根据所述第一MAC地址与所述第一MAC地址的出端口信息,确定所述第一MAC表项信息,包括: 确定预先保存的第二MAC表项信息中不包括所述第一MAC地址或包括所述第一MAC地址但不包括所述第一MAC地址的出端口信息; 更新所述第二MAC表项信息; 将更新后的所述第二MAC表项信息确定为所述第一MAC表项信息。
[权利要求 4]
根据权利要求2所述的方法,其特征在于,所述根据所述第一MAC地址与所述第一MAC地址的出端口信息,确定所述第一MAC表项信息,包括: 确定预先保存的第二MAC表项信息中包括所述第一MAC地址与所述第一MAC地址的出端口信息; 将所述第二MAC表项信息确定为所述第一MAC表项信息。
[权利要求 5]
根据权利要求1所述的方法,其特征在于,所述第一报文是从所述第一网络节点的第一端口接收的,所述确定第一MAC表项信息,包括: 确定所述第一端口未被配置为信任端口; 确定预先保存的第二MAC表项信息中包括与所述第一MAC地址相同的MAC地址; 确定与所述第一MAC地址相同的MAC地址的标识指示所述MAC地址是可信任的; 将所述第二MAC表项信息确定为所述第一MAC表项信息。
[权利要求 6]
根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括: 向EVPN中除所述第一网络节点外的其他网络节点发送第二报文,所述第二报文携带有所述第一MAC地址和所述与第一MAC地址标识。
[权利要求 7]
根据权利要求6所述的方法,其特征在于,所述第二报文中包括的每个MAC地址的标识承载在所述第二报文的预留位。
[权利要求 8]
一种防止网络攻击的装置,其特征在于,配置于以太网虚拟私有网络EVPN中, 包括: 接收模块,用于接收第一报文,所述第一报文携带有第一媒体接入控制MAC地址,所述第一MAC地址为所述第一报文的源MAC地址; 处理模块,用于确定第一MAC表项信息,所述第一MAC表项信息中包括所述第一MAC地址、所述第一MAC地址的标识与所述第一MAC地址的出端口信息的对应关系,所述第一MAC地址的标识用于指示所述MAC地址是可信任的。
[权利要求 9]
根据权利要求8所述的装置,其特征在于,所述第一报文是从所述装置的第一端口接收的,所述处理模块,还用于: 确定所述第一端口被配置为信任端口; 根据所述第一MAC地址与所述第一MAC地址的出端口信息,确定所述第一MAC表项信息。
[权利要求 10]
根据权利要求9所述的装置,其特征在于,所述处理模块,还用于: 确定预先保存的第二MAC表项信息中不包括所述第一MAC地址或包括所述第一MAC地址但不包括所述第一MAC地址的出端口信息; 更新所述第二MAC表项信息; 将更新后的所述第二MAC表项信息确定为所述第一MAC表项信息。
[权利要求 11]
根据权利要求9所述的装置,其特征在于,所述处理模块,还用于: 确定预先保存的第二MAC表项信息中包括所述第一MAC地址与所述第一MAC地址的出端口信息; 将所述第二MAC表项信息确定为所述第一MAC表项信息。
[权利要求 12]
根据权利要求8所述的装置,其特征在于,所述第一报文是从所述装置的第一端口接收的,所述处理模块,还用于: 确定所述第一端口未被配置为信任端口; 确定预先保存的第二MAC表项信息中包括与所述第一MAC地址相同的MAC地址; 确定与所述第一MAC地址相同的MAC地址的标识指示所述MAC地址所述MAC地址是可信任的; 将所述第二MAC表项信息确定为所述第一MAC表项信息。
[权利要求 13]
根据权利要求8至12中任一项所述的装置,其特征在于,所述装置还包括: 发送模块,用于向EVPN中除所述第一网络节点外的其他网络节点发送第二报文,所述第二报文携带有所述第一MAC地址和所述与第一MAC地址标识。
[权利要求 14]
根据权利要求13所述的装置,其特征在于,所述第二报文中包括的每个MAC地址的标识承载在所述第二报文的预留位

附图

[ 图 1]  
[ 图 2]  
[ 图 3]  
[ 图 4]